XML-Sicherheitsaspekte

XML-Sicherheit im Überblick

Sicherheitsrelevante Arbeiten werden im Zusammenhang mit XML meist unter dem Begriff XML-Security zusammengefasst. XML-Security beinhaltet aktuell drei zentrale Bereiche:

• XML-Access-Control

• XML-Signatur

• XML-Encryption

Access Control wird meist im Rahmen der Umsetzung einer Sicherheitspolitik durchgeführt. Diese dient in der Regel der Vergabe von Rechten beim Zugriff auf XML-basierte Daten - und auch Teilen davon wie beispielsweise Entitäten. Um einer Entität Ressourcen zuzuordnen, muss diese zuvor authentifiziert werden. Dies kann durch kryptographische Mechanismen geschehen.

Denkbar sind insbesondere Mechanismen zur serverseitigen Zugriffssteuerung, die folgendermaßen aussehen könnten: Der Sicherungsmechanismus wird auf Seiten des Servers implementiert und verteilt XML-Dokumente. Diese liegen in der Access-Control-Komponente als DOM-Bäume vor. An die Knoten des DOM-Baums werden Zusatzinformationen wie beispielsweise die erforderliche Berechtigungsstufe geknüpft. Bei Abruf des Dokuments und zuvor erfolgter Authentifikation des Anwenders wird der DOM-Baum spezifisch für den jeweiligen Nutzer (und seine Berechtigungen) zurechtgeschnitten.

XML-Signaturen definieren Syntaxkonstrukte und Verfahrensregeln zur Repräsentation von digitalen Signaturen in XML. XML-Encryption spezifiziert ein Datenformat, das verschlüsselte Daten mit Hilfe einer XML-basierten Syntax beschreibt.