Kryptering og underskrift
Webtjenester og XML-baseret dataudveksling lover store fordele i forbindelse med integration af informationssystemer. Men før at teknologien kan anvendes for alvor, er der behov for standardiserede sikkerhedsløsninger. Disse løsninger er undervejs, og som det ofte forekommer i forbindelse med udvikling af nye teknologier, er der mange bolde i luften samtidig.
Forskellige teknologier adresserer forskellige anvendelsesområder, og bag de unge specifikationer står en skønsom blanding af proprietære løsninger, brancheorganisationer og egentlige standardiserings-institutioner som OASIS og World Wide Web-konsortiet.
Nogle specifikationer adresserer de lave niveauer i den teknologiske pyramide, som behovene for kryptering og anvendelse af digitale underskrifter. I den anden ende af skalaen findes specifikationer, som adresserer specifikke behov, så som teknologier til single sign-on.
Kryptering og underskrift
To grundlæggende teknologier er XML Encryption og XML Signature, som adresserer helt basale behov for sikkerhed og autentifikation i forbindelse med elektroniske dokument-transaktioner.
XML Encryption benytter almindelige krypterings-procedurer, giver mulighed for at blande krypteret indhold med ikke-krypteret og specificerer de krypterede dele ved at indkapsle dem i bestemte XML-elementer.
Behovene i forbindelse med XML-baseret udveksling er de samme som med alle andre former for elektroniske transaktioner. Der er i hvert fald fire områder, som skal adresseres: Autentifikation, data-integritet, uafviselighed og fortrolighed.
Autentifikation betyder ganske simpelt, at afsenderen og modtagerens identitet kan godtgøres. Data-integritet betyder, at det kan afgøres, som de sendte data er blevet ændret under transporten. Uafviselighed betyder, at afsenderen kan bevise, at modtageren har modtaget data; den samme funktion rekommanderede breve udfører i postvæsenet.
Der er som sagt ikke noget nyt i disse krav til elektronisk udveksling, og der findes gennemprøvede teknologier, som understøtter funktionerne. XML Signature understøtter disse krav, og gør det på en måde, som giver mening i forbindelse med internet-baseret kommunikation og XML.
XML Signature
XML Signature
Eksempelvis kan man nøjes med at sætte sin underskrift på kun en del af et XML-dokument. Det kan have en stor betydning i tilfælde, hvor XML-dokumentet er sammensat af mange kilder fra forskellige organisationer. Et andet tilfælde kan være dokumenter, hvor visse dele af dokumentet er fast, mens andre dele af dokumentet kan redigeres vidre.
Da XML Signature kræver brug af fingeraftryks-mekanismer, som sikrer, at det underskrevne dokument ikke ændres, sættes der specielle krav til den måde, XML-koden er udformet.
To XML-dokumenter kan nemlig være indholdsmæssigt ens, men have mindre forskelle, som skyldes anvendelse af eksempelvis mellemrum og linieskift. XML-parsere er kan være ligeglade med sådanne forskelle, men fingeraftryks-algoritmer giver forskellige resultater, hvilket kan medfører, at et uændret dokument fejlagtigt afvises som værende falsk.
Derfor skal XML-koden i dokumentet bringes på en slags normalform, før fingeraftrykket tages. Den slags kaldes kanonisering i jargonen (canonicalization), og en specifikation, XML-C14N, beskriver hvorledes det gøres. Selve dokumentet ændres dog ikke. Kanoniseringen foretages kun, mens fingeraftrykket tages.
SAML
Mens XML Encryption og XML Signature tilbyder grundlæggende sikkerhedsfunktioner til XML-dokumenterne, benytter andre standarder XML til at udføre sikkerhedsfunktioner.
Ligesom med XML Encryption og XML Signature er der ikke tale om nye problemer, men om gamle problemer og nye løsninger, som implementeres ved hjælp af XML.
En specifikation blandt andre, SAML, (Security Assertion Markup Language), benytter XML til autentifikation og autorisation. Det primære mål for SAML er at specificere hvorledes forespørgsler og svar udformes, og hvorledes SOAP og HTTP kan anvendes til brug for SAML.
Mere bogstav-suppe
I forbindelse med SAML fremkommer specifikationen XACL, der for at gøre bogstav-forvirringen komplet nogle gange betegnes XACML. XACL står for Extensible Acces Control Language, og dette sprog specificerer politikker som kan afgøre, om adgang til en ressource skal imødekommes eller afvises. SAML og XACL tænkes anvendt sammen, således at en SAML-forespørgsel kunne indeholde eksempelvis brugernavn og password, der afleveres til en applikation. Denne applikation kan ved hjælp af XACL afgøre, om brugeren har ret til at få adgang til en given ressource eller få udført en given transaktion.
SAML kan benyttes til at implementere single sign-on-systemer, som tillader brugere at besøge mange forskellige websites og tjenester, efter kun at have logget ind en enkelt gang. Det kan for eksempel gøre det nemmere for brugere at benytte e-handel, da brugeren kun skal logge på én gang for at kunne shoppe i mange forskellige web-butikker. Princippet er identisk med Microsofts Passport-teknologi.
Mere bogstav-suppe
Blandt andre XML-sikkerhedsteknologier, som stikker hovedet frem, findes WS-Security, som specificerer hvilke sikkerhedsteknologier, eksempelvis PKI eller Kerberos, som skal anvendes ved udførsel af sikkerhedsfunktioner. WS i navnet står for webtjenester, webservices, og specifikationen retter sig imod anvendelsen af SOAP i et webtjeneste-miljø.
XKMS, XML Key Management System, er udformet til at kunne holde styr på, finde og godkende nøgler som benyttes i forbindelse med sikkerhedsfunktioner.
Teknologierne inden for sikkerhedsområdet ved XML-anvendelse er i rivende udvikling, og antallet af teknologier, sprog og forkortelser med X stopper ikke ved de her nævnte. Mange af teknologierne smelter dog sammen, og konkurrerende teknologier vil køre hinanden trætte, så der vil givetvis ske en konvergens på området - forhåbentlig da.
