知识大全 Java SE 6中XML数字签名标准Java接口

Posted 2022-07-20 元素

篇首语：追光的人，终会万丈光芒。本文由小常识网(cha138.com)小编为大家整理，主要介绍了知识大全 Java SE 6中XML数字签名标准Java接口相关的知识，希望对你有一定的参考价值。

Java SE 6中XML数字签名标准Java接口 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容，让我们赶快一起来看一下吧！

　　级别中级

　　孙瑛霖软件工程师 IBM 中国软件开发实验室 SOA设计中心

　　年月日

XML 数字签名技术用于对 XML 格式的数据进行数字签名以保证报文的完整性不可否认性以及提供身份认证信息 JSR 提供了 XML 数字签名的 Java 接口而最近发布的 Java SE 则包括了 JSR 的实现从而为基于 Java 的应用程序提供了标准的 XML 数字签名接口本文首先简要介绍技术背景以实例来讲解 XML 数字签名的语法和处理规则之后用具体的程序例子解释如何使用 Java SE 生成各种格式的 XML 数字签名并进行验证

　　技术背景

　　 数字签名简介

　　数字签名是非对称密钥技术的一种应用模式用于保证报文的完整性不可否认性以及提供身份认证信息数字签名的原理如图所示

图数字签名的原理

　　发送者在发送报文之前先选用某种摘要算法为报文生成一个摘要值并使用自己的私钥对摘要值加密然后将加密后的摘要附在报文后面一同发送给报文的接收者接收者收到报文后从中分离出原始报文和加密后的报文摘要使用与发送者相同的摘要算法计算原始报文的摘要值 D 并使用发送者的公共密钥将加密后的报文摘要解密得到摘要值 D 检查 D 与 D 是否匹配

　　如果匹配那么由于密钥对的唯一性所以可以确定报文发送者的身份而且由于数据摘要算法的特点还可以确定原始报文在传输过程中没有被篡改

　　 XML 数字签名简介

　　XML 发展至今已经逐渐成为标准的数据描述技术在分布式应用中广泛地用于数据的交换由于 XML 数据本身的特殊性和使用 XML 进行数据传输的分布式应用的特点在对 XML 文档的特定部分进行签名多方签名以及签名后保持 XML 文档原有的良构特性等诸多方面传统的数字签名技术都无法很好地实现

　　基于这样的问题 W C 组织制订了 XML 数字签名规范规定了标准的 XML 数字签名语法和处理规则同传统意义的数字签名相比 XML 数字签名能够对 XML 文档进行细粒度地分析支持多种方式的文档数据转换只对文档的特定部分进行签名和验证并且能够保持 XML 文档的良构特性此外 XML 数字签名提供的密钥信息表示方法清晰易读更加便于签名的自动验证处理

　　 XML 数字签名实例

　　本节用一个简单的例子来介绍 XML 数字签名的语法和处理规则

表签名前的 XML 文档

　　 <?xml version= ?> <PaymentInfo xmlns= > <CustomerName>Peter</CustomerName> <Amount> </Amount> <CreditCardInfo> <ID> </ID> <Issuer>CMB</Issuer> <Expiration> / </Expiration> <Currency>USD</Currency> </CreditCardInfo> </PaymentInfo>

　　表中的 XML 文档描述了 Peter 的信用卡支付记录在按照 XML 数字签名规范对整个文档签名之后生成的 XML 文档如表所示

表签名后的 XML 文档

　　 <?xml version= encoding= UTF standalone= no ?> <PaymentInfo xmlns= > <CustomerName>Peter</CustomerName> <Amount> </Amount> <CreditCardInfo> <ID> </ID> <Issuer>CMB</Issuer> <Expiration> / </Expiration> <Currency>USD</Currency> </CreditCardInfo> <Signature xmlns= # > <SignedInfo> <CanonicalizationMethod Algorithm= xml c n #WithComments /> <SignatureMethod Algorithm= #dsa sha /> <Reference URI= > <Transforms> <Transform Algorithm= #enveloped signature /> </Transforms> <DigestMethod Algorithm= #sha /> <DigestValue> gETxLIm huTZtMkmGlybtZWa g=</DigestValue> </Reference> </SignedInfo> <SignatureValue> OIFpnZmeGt+tOywzTgrcYBje/ uGmGIrbZYYxxXj jsBdq+ JwZ A== </SignatureValue> <KeyInfo> <KeyValue> <DSAKeyValue> <P> /KaCzo Syrom z EQ SbbB sF ey etKII WF B uRpH t jQTxeEu ImbzRMqzVDZkVG xD nN kuFw== </P> <Q>li dzDacuo Jg mtqEm TRuOMU=</Q> <G> Z Rxsnqc E pGknFFH xqaryRPBaQ khpMdLRQnG Awtx/XPaF Bpsy pNWMOHCBiNU NogpsQW QvnlMpA== </G> <Y> NMxkCcO Hdd qBJ FQGPpz IncS onBPshqlxsd pAqgM lgn kCPHqfO jLx NPZwHeDtHLfKKSYg+Ln Xzw== </Y> </DSAKeyValue> </KeyValue> </KeyInfo> </Signature> </PaymentInfo>

　　所有与 XML 数字签名相关的信息都存放在 <Signature> 元素中 <Signature> 元素包含有几个主要的子元素

<Reference> 元素至少包含一个 <Reference> 元素每个 <Reference> 元素用于对待签名数据进行引用包含有引用方式转换方法摘要算法和摘要值等信息 <Reference> 还包含有 XML 数据的规则化方法并指定了数字签名所使用的算法 <SignatureValue> 元素包含对 <Reference> 元素规范化后的内容进行签名生成的数字签名的值 <KeyInfo> 元素用于指定验证签名所需的公共密钥相关信息

　　XML 数字签名的过程大致为

根据每个 <Reference> 元素中指定的资源引用方式摘要算法数据转换方法等信息对引用资源进行转换然后对转换后的结果计算出摘要值根据 <SignedInfo> 元素中指定的 XML 数据的规范化方法对 <SignedInfo> 规则化对规范化之后的数据生成摘要值并使用私钥对摘要值进行加密将生成的加密摘要值存放在 <SignatureValue> 元素中

　　 XML 数字签名的验证

　　XML 数字签名的验证主要包括两个步骤首先需要对 <SignedInfo> 元素中包含的数据引用部分进行验证然后对整个 <SignedInfo> 元素的签名值进行验证其间任何一步验证失败则代表整个 XML 数字签名验证失败

　　对数据引用的验证

　　对 <SignedInfo> 中每一个 <Reference> 执行如下验证步骤

) 应用指定的数据转换方法取得引用的数据对象 ) 使用指定的摘要生成算法生成摘要值 ) 将生成的摘要值同 <Reference> 中 <DigestValue> 元素包含的摘要值相比较如果不匹配则验证失败

　　对 <SignedInfo> 签名值的验证

) 从 <KeyInfo> 元素中的 <KeyValue> 元素或者根据 <KeyInfo> 元素中指定的信息从外部获取用于验证数字签名的数据发送方公共密钥 ) 使用验证密钥将 <SignatureValue> 元素中的加密签名值解密得到值 D ) 使用 <SignatureMethod> 元素指定的签名算法对规则化之后的 <SignedInfo> 元素计算摘要值得到值 D ) 判断 D 和 D 是否匹配如果不匹配则验证失败

　　 XML 数字签名的Java实现

　　在 W C 推出 XML 数字签名规范之后不久很多组织和厂商就已经开始提供实现产品目前除了各大厂商推出的实现产品之外应用比较广泛的开源产品是 Apache XML Security 项目该项目实现了 W C 的 XML 数字签名规范和 XML 加密规范并且提供 Java 和 C++ 两个版本供用户选用

　　JSR (Java XML Digital Signature API Specification) 规定了 XML 数字签名规范的标准 Java 实现接口于年月日最终发布随后于年秋季发布的 Java SE (产品代号 Mustang) 将 JSR 纳入 Java 标准库中为基于 Java 的上层应用提供标准的 XML 数字签名支持从此需要使用 XML 安全特性的 Java 项目有了来自 Java 核心平台的基础支持再也不需要为选择合适的第三方产品而烦恼

　　使用 Java SE 生成 XML 数字签名并验证

　　本节使用具体的程序例子介绍如何使用 Java SE 中的标准 Java 接口生成各种格式的 XML 数字签名并进行验证所有的程序例子都使用下表中的 XML 文档其中主要包含有 Simon 和 Peter 二人的信用卡支付记录

　　表程序中使用的 XML 文档

　　 <?xml version= ?> <SalesData> <PaymentInfo xmlns= > <CustomerName>Simon</CustomerName> <Amount> </Amount> <CreditCardInfo> <ID> </ID> <Issuer>CMB</Issuer> <Expiration> / </Expiration> <Currency>USD</Currency> </CreditCardInfo> </PaymentInfo> <PaymentInfo xmlns= id= PeterPayment > <CustomerName>Peter</CustomerName> <Amount> </Amount> <CreditCardInfo> <ID> </ID> <Issuer>CMB</Issuer> <Expiration> / </Expiration> <Currency>USD</Currency> </CreditCardInfo> </PaymentInfo> </SalesData>

　　本节的程序基于 Java SE 请读者自行下载安装并配置开发环境

　　 生成并验证 Enveloped 格式的 XML 数字签名

　　Enveloped 格式的签名指签名元素包含于被签名数据中如表所示

　　表 Enveloped格式的 XML 数字签名

　　生成签名

　　创建 XMLSignatureFactory 实例

　　XMLSignatureFactory 是与签名相关的 XML 元素对象的创建工厂本文在这里创建以DOM 处理机制实现的 XMLSignatureFactory 实例

　　创建对整个 XML 文档的引用

　　这一步创建 <Reference> 元素引用整个 XML 文档

　　 Transform envelopedTransform = fac newTransform(Transform ENVELOPED TransformParameterSpec)null); DigestMethod sha DigMethod = fac newDigestMethod(DigestMethod SHA null); Reference refToRootDoc = fac newReference( sha DigMethod Collections singletonList(envelopedTransform) null null);

　　创建 Reference 的时候将 URI 参数指定为表示对整个 XML 文档进行引用摘要算法指定为 SHA 这里将转换方式指定为 ENVELOPED 这样在对整个文档进行引用并生成摘要值的时候 <Signature> 元素不会被计算在内

　　创建 <SignedInfo> 元素

　　<Reference> 元素创建好之后下一步是创建 <SignedInfo> 元素

　　 CanonicalizationMethod c nWithCommentMethod = fac newCanonicalizationMethod( CanonicalizationMethod INCLUSIVE_WITH_MENTS (C NMethodParameterSpec) null); SignatureMethod dsa_sha SigMethod = fac newSignatureMethod(SignatureMethod DSA_SHA null); SignedInfo signedInfo = fac newSignedInfo(c nWithCommentMethod dsa_sha SigMethod Collections singletonList(refToRootDoc));

　　因为最终的数字签名是针对 <SignedInfo> 元素而生成的所以需要指定该 XML 元素的规范化方法以确定最终被处理的数据这里指定为 INCLUSIVE_WITH_MENTS 表示在规范化 XML 内容的时候会将 XML 注释也包含在内

　　至此待签名的内容（<SignedInfo> 元素）已指定好再只需要签名所使用的密钥就可以创建数字签名了

　　创建密钥对

　　XML 数字签名规范规定了多种在 <KeyInfo> 中指定验证密钥的方式比如 <KeyName><KeyValue><X Data><PGPData> 等等这里使用 XML 数字签名规范规定必须实现的 <DSAKeyValue> 来指定验证签名所需的公共密钥在程序中使用 java security 包生成 DSA 密钥对

　　首先创建密钥对

　　 KeyPairGenerator kpGen = KeyPairGenerator getInstance( DSA ); kpGen initialize( ); KeyPair keyPair = kpGen generateKeyPair();

　　然后以公钥为参数创建 <KeyValue> 元素

　　 KeyInfoFactory keyInfoFac = fac getKeyInfoFactory(); KeyValue keyValue = keyInfoFac newKeyValue(keyPair getPublic());

　　根据创建好的 <KeyValue> 元素创建 <KeyInfo> 元素

　　 KeyInfo keyInfo = keyInfoFac newKeyInfo(Collections singletonList(keyValue));

　　这里创建的密钥对其中的公钥已经用于创建 <KeyInfo> 元素并存放在其中供签名验证使用而其中的私钥则会在下一步被用于生成签名

　　创建 <Signature> 元素

　　前面已经创建好 <SignedInfo> 和 <KeyInfo> 元素为了生成最终的数字签名需要根据这两个元素先创建 <Signature> 元素然后进行签名创建出 <SignatureValue> 元素

　　 XMLSignature signature = fac newXMLSignature(signedInfo keyInfo);

　　 XMLSignature 类中的 sign 方法用于对文档进行签名在调用 sign 方法之前还需要创建 DOMSignContext 对象为方法调用提供上下文信息包括签名所使用的私钥和最后生成的 <Signature> 元素所在的目标父元素

　　 DocumentBuilderFactory dbf = DocumentBuilderFactory newInstance(); dbf setNamespaceAware(true); Document doc = dbf newDocumentBuilder() parse(new FileInputStream(args[ ])); DOMSignContext dsc = new DOMSignContext(keyPair getPrivate() doc getDocumentElement());

　　这里首先使用 JAXP 的 DOM 接口将待签名文档解析然后根据前面创建的私钥和待签名文档的根元素创建 DOMSignContext 对象

　　请注意到这里为止都只是创建各种生成签名所需数据的 XML 元素表示并没有开始真正地生成数字签名

　　最后一步生成签名

　　 signature sign(domSignCtx);

　　 sign 方法会生成签名值并作为元素值创建 <SignatureValue> 元素然后将整个 <Signature> 元素加入为待签名文档根元素的直接子元素

　　输出签名后的文档

　　数字签名生成之后使用 JAX P的 XML 转换接口将签名后的 XML 文档输出查看签名结果

　　 TransformerFactory tf = TransformerFactory newInstance(); Transformer transformer = tf newTransformer(); transformer transform(new DOMSource(doc) new StreamResult(System out));

　　验证签名

　　本节介绍如何使用 Java SE 提供的 XML 数字签名 API 对上一节生成的数字签名进行验证验证代码如表

　　表验证 XML 数字签名

　　 private static void validate(String signedFile) throws Exception // Parse the signed XML document to unmarshal <Signature> object DocumentBuilderFactory dbf = DocumentBuilderFactory newInstance(); dbf setNamespaceAware(true); Document doc = dbf newDocumentBuilder() parse(new FileInputStream(signedFile)); // Search the Signature element NodeList nl = doc getElementsByTagNameNS(XMLSignature XMLNS Signature ); if (nl getLength() == ) throw new Exception( Cannot find Signature element ); Node signatureNode = em( ); XMLSignatureFactory fac = XMLSignatureFactory getInstance( DOM ); XMLSignature signature = fac unmarshalXMLSignature(new DOMStructure(signatureNode)); // Get the public key for signature validation KeyValue keyValue = (KeyValue)signature getKeyInfo() getContent() get( ); PublicKey pubKey = keyValue getPublicKey(); // Create ValidateContext DOMValidateContext valCtx = new DOMValidateContext(pubKey signatureNode); // Validate the XMLSignature boolean coreValidity = signature validate(valCtx); // Check core validation status if (coreValidity == false) System err println( Core validation failed ); // Check the signature validation status boolean sv = signature getSignatureValue() validate(valCtx); System out println( Signature validation status: + sv); // check the validation status of each Reference List refs = signature getSignedInfo() getReferences(); for(int i= ; i<refs size(); i++) Reference ref = (Reference)refs get(i); boolean refValid = ref validate(valCtx); System out println( Reference[ +i+ ] validity status: + refValid); else System out println( Signature passed core validation );

　　解析签名后生成的 XML 文档（行－行）

　　对于 Enveloped 格式的 XML 签名而言生成的 <Signature> 元素位于被签名的 XML 中所以这里首先使用 JAXP 将签名后生成的 XML 文档解析

　　查找签名元素（行－行）

　　所有与 XML 数字签名相关的信息都存放在 <Signature> 元素中所以需要先取到 <Signature> 元素由于前面在生成签名的时候将 <Signature> 元素存放为文档根元素的直接子元素所以这里根据元素名 Signature 进行搜索搜索到的第一个元素即为 <Signature> 元素

　　构造 <Signature> 元素（行－行）

　　使用 XMLSignatureFactory 类的 unmarshalXMLSignature 方法从 DOM 节点构造出 XMLSignature 对象为下一步验证签名作准备

　　获取验证签名所需的公共密钥（行－行）

　　在本例中验证密钥以 <DSAKeyValue> 的格式存放于 <KeyInfo> 元素中这里使用 XMLSignature 对象的接口取出公钥

　　 创建DOMValidateContext（行－行）

　　在验证签名的过程中需要创建 DOMValidateContext 对象来指定上下文信息参数为前面获取到的验证公钥和 <Signature> 元素

　　验证签名（行－行）

　　验证签名所需的所有信息都已就绪开始使用XMLSignature 对象提供的接口进行验证

　　检查验证结果（行－行）

　　如果签名验证失败则分别对 <Reference> 元素的签名值和其中的每一个引用进行验证进一步确定导致验证失败的原因如果签名值验证成功而某个引用验证失败则说明是该引用新生成的摘要值与原文档中的摘要值不匹配导致验证失败

　　以签名后生成的 XML 文档作为输入执行验证程序从程序的输出信息可以判断出验证成功

　　Signature passed core validation

　　接下来将包含有 <Signature> 元素的待验证文档作一点改动把 Peter 的支付信息中的金额改为美元再次执行程序进行验证则验证失败

　　Core validation failed Signature validation status: true Reference[ ] validity status: false

　　输出信息提示签名值验证成功而对整个文档的引用验证失败签名值验证成功是因为 <SignedInfo> 没有改动对文档的引用验证失败是因为前面修改了文档中的数据

　　 生成并验证Enveloping格式的签名

　　Enveloping 格式的签名指 <Signature> 元素包含着被签名的数据内容如表所示

　　表 Enveloping 格式的数字签名

　　在 Enveloping 格式的数字签名中待签名的 XML 内容需要通过 URI 或者 Transform 进行引用

　　生成签名

　　 // Create XMLObject refering to Simon s payment info DocumentBuilderFactory dbf = DocumentBuilderFactory newInstance(); dbf setNamespaceAware(true); Document origDoc = dbf newDocumentBuilder() parse(new FileInputStream(inputFile)); Element docEle = origDoc getDocumentElement(); Node simonPayment = docEle getElementsByTagName( PaymentInfo em( ); XMLStructure content = new DOMStructure(simonPayment); XMLObject xmlObj = fac newXMLObject(Collections singletonList(content) SimonPayment null null); // Create the reference to element to be signed Reference ref = fac newReference( #SimonPayment fac newDigestMethod(DigestMethod SHA null)); XMLSignature signature = fac newXMLSignature(si ki Collections singletonList(xmlObj) null null);

　　为了引用待签名的内容首先查找到 Simon 的支付记录对应的 DOM 元素使用 XMLStructure 对其进行包装然后生成 XMLObject 并为其指定 id 为 SimonPayment 随后在创建 Referenc 的时候同样指定引用 id 为 SimonPayment 在创建 XMLSignature 对象的时候将待签名的 XMLObject 作为参数这些 XMLObject 包含的 XML 内容将会成为 <Signature> 元素的子元素从而创建出 Enveloping 格式的签名程序的其他部分与生成 Enveloped 格式的数字签名相同

　　签名之后生成的 <Signature> 元素如下

　　 <Signature xmlns= # > <SignedInfo> <CanonicalizationMethod Algorithm= xml c n #WithComments /> <SignatureMethod Algorithm= #dsa sha /> <Reference URI= #SimonPayment > <DigestMethod Algorithm= #sha /> <DigestValue> XGesfrCnr KuXCBmwlb ofheksg=</DigestValue> </Reference> </SignedInfo> <SignatureValue> kxOvEO beK rcLh+ OyJz G KjFBKKLGREtMGgio CZzYpaNH/nyfw== </SignatureValue> <KeyInfo> <KeyValue> <DSAKeyValue> <P> /KaCzo Syrom z EQ SbbB sF ey etKII WF B uRpH t jQTxeEu ImbzRMqzVDZkVG xD nN kuFw== </P> <Q>li dzDacuo Jg mtqEm TRuOMU=</Q> <G> Z Rxsnqc E pGknFFH xqaryRPBaQ khpMdLRQnG Awtx /XPaF Bpsy pNWMOHCBiNU NogpsQW QvnlMpA== </G> <Y> MOqJjU ihtTOS wiVnoZSCz mDewfBsy eRLIzgZe iJ F jGJHC HvUt zd l zHu ubZpR y XIEAxvprKw== </Y> </DSAKeyValue> </KeyValue> </KeyInfo> <Object Id= SimonPayment > <PaymentInfo xmlns= > <CustomerName>Simon</CustomerName> <Amount> </Amount> <CreditCardInfo> <ID> </ID> <Issuer>CMB</Issuer> <Expiration> / </Expiration> <Currency>USD</Currency> </CreditCardInfo> </PaymentInfo> </Object> </Signature>

　　表中的验证程序同样可以用来验证上面生成的 Enveloping 格式的 XML 签名

　　 生成并验证Detached格式的签名

　　Detached 格式的签名指 <Signature> 元素与被签名的数据内容之间是彼此分离的既不是包含关系也不是被包含关系如下表所示

　　Detached 格式多用于对外部独立的数据对象进行签名使用 URI 来引用外部数据对象也可以引用同一 XML 文档中的其他元素对之进行数字签名

　　表中待签名的 XML 文档包含有两次信用卡交易的支付信息第一个是 Simon 的信用卡交易记录第二个是 Peter 的本节将对 Peter的支付记录进行数字签名所使用的签名格式是 Detached 格式为了让 <Signature> 元素能够引用到包含有 Peter 信用卡交易信息的 XML 元素这里用 id 属性对 Peter 的 <PaymentInfo> 元素加以引用

　　生成签名

　　本节的大部分代码都与生成 Enveloped 格式签名的代码相同只是在创建 Reference 的时候有些不同

　　 XMLSignatureFactory fac = XMLSignatureFactory getInstance( DOM ); // Create the reference to Peter s payment info DigestMethod sha DigMethod = fac newDigestMethod(DigestMethod SHA null); Reference ref = fac newReference( #PeterPayment sha DigMethod);

　　 #PeterPayment 用于引用位于同一文档中的 Peter 的 <PaymentInfo> 元素

　　验证签名

　　使用表中的 validate 方法对生成的数字签名进行验证输出信息表示验证成功然后在生成的 XML 文档中将 Simon 的支付金额改为重新验证结果依然为验证成功这是因为只对 Peter 的支付记录进行签名所以 Simon 的支付信息改变不会影响数字签名的验证结果如果再将 Peter 的支付金额改为重新验证则输出信息显示验证失败

　　总结

　　同传统意义的数字签名技术相比 XML 数字签名技术有很多不可替代的优点它能够在保持 XML 文档良构性的前提下对文档内容进行细粒度的签名和验证通过资源引用和转换的机制扩大了签名的作用范围更能够满足分布式应用系统中的安全需求

　　W C 组织制订的 XML 数字签名规范规定了标准的 XML 签名语法和处理规则而Java SE 则为 XML 数字签名提供了标准的 Java 接口目前这些 XML 数字签名规范和程序标准还在进一步完善中相信随着技术的发展 XML 数字签名技术必将得到越来越广泛的应用

　　参考资料

Donald E Eastlake Joseph M Reagle David Solo XML Signature Syntax and Processing ( core/) W C Remendation Feb JSR － XML Digital Signature APIs（） JSR － XML Digital Encryption APIs（） Apache XML Security（） Sun Java SE （） developerWorks 中国网站 XML 技术专区 developerWorks 中国网站 Java 技术专区

　　关于作者

　　孙瑛霖软件工程师现就职于IBM中国SOA设计中心对网络与分布式系统安全和SOA等技术有着浓厚的兴趣

cha138/Article/program/Java/Javascript/201311/25379