科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道Java SE 6中XML数字签名标准Java接口

Java SE 6中XML数字签名标准Java接口

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文首先简要介绍技术背景,以实例来讲解 XML 数字签名的语法和处理规则,之后用具体的程序例子解释如何使用 Java SE 6 生成各种格式的 XML 数字签名并进行验证

作者:孙 瑛霖 来源:IT专家网 2008年4月29日

关键字: 接口 XML Java SE 6 java

  • 评论
  • 分享微博
  • 分享邮件
XML 数字签名技术用于对 XML 格式的数据进行数字签名,以保证报文的完整性,不可否认性,以及提供身份认证信息。JSR 105 提供了 XML 数字签名的 Java 接口,而最近发布的 Java SE 6 则包括了 JSR 105的 实现,从而为基于 Java 的应用程序提供了标准的 XML 数字签名接口。本文首先简要介绍技术背景,以实例来讲解 XML 数字签名的语法和处理规则,之后用具体的程序例子解释如何使用 Java SE 6 生成各种格式的 XML 数字签名并进行验证。

  1. 技术背景

  1.1 数字签名简介

  数字签名是非对称密钥技术的一种应用模式,用于保证报文的完整性,不可否认性,以及提供身份认证信息。数字签名的原理如图 1 所示。

图 1:数字签名的原理
数字签名的原理

  发送者在发送报文之前,先选用某种摘要算法为报文生成一个摘要值,并使用自己的私钥对摘要值加密,然后将加密后的摘要附在报文后面,一同发送给报文的接收者。接收者收到报文后,从中分离出原始报文和加密后的报文摘要,使用与发送者相同的摘要算法计算原始报文的摘要值 D,并使用发送者的公共密钥将加密后的报文摘要解密得到摘要值 D’,检查 D 与 D’ 是否匹配。

  如果匹配,那么由于密钥对的唯一性,所以可以确定报文发送者的身份,而且由于数据摘要算法的特点,还可以确定原始报文在传输过程中没有被篡改。

  1.2 XML 数字签名简介

  XML 发展至今,已经逐渐成为标准的数据描述技术,在分布式应用中广泛地用于数据的交换。由于 XML 数据本身的特殊性和使用 XML 进行数据传输的分布式应用的特点,在对 XML 文档的特定部分进行签名,多方签名,以及签名后保持 XML 文档原有的良构特性等诸多方面,传统的数字签名技术都无法很好地实现。

  基于这样的问题,W3C 组织制订了 XML 数字签名规范,规定了标准的 XML 数字签名语法和处理规则。同传统意义的数字签名相比,XML 数字签名能够对 XML 文档进行细粒度地分析,支持多种方式的文档数据转换,只对文档的特定部分进行签名和验证,并且能够保持 XML 文档的良构特性。此外,XML 数字签名提供的密钥信息表示方法清晰易读,更加便于签名的自动验证处理。

 1.3 XML 数字签名实例

  本节用一个简单的例子来介绍 XML 数字签名的语法和处理规则。

  表 1签名前的 XML 文档

 1. <?xml version='1.0'?>
 2. <PaymentInfo xmlns="http://example.com/payment">
 3.   <CustomerName>Peter</CustomerName>
 4.   <Amount>10000</Amount>

 5.   <CreditCardInfo>
 6.     <ID>4392 5649 8178 2315</ID>
 7.     <Issuer>CMB</Issuer>
 8.     <Expiration>06/2010</Expiration>
 9.     <Currency>USD</Currency>
10.   </CreditCardInfo>
11. </PaymentInfo>

  表 1 中的 XML 文档描述了 Peter 的信用卡支付记录。在按照 XML 数字签名规范对整个文档签名之后,生成的 XML 文档如表 2 所示:

  表 2 签名后的 XML 文档

 1. <?xml version="1.0" encoding="UTF-8" standalone="no"?>
 2. <PaymentInfo xmlns="http://example.com/payment">
 3.   <CustomerName>Peter</CustomerName>
 4.   <Amount>10000</Amount>
 5.   <CreditCardInfo>
 6.     <ID>4392 5649 8178 2315</ID>
 7.     <Issuer>CMB</Issuer>
 8.     <Expiration>06/2010</Expiration>
 9.     <Currency>USD</Currency>
10.   </CreditCardInfo>

11.   <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
12.     <SignedInfo>
13.       <CanonicalizationMethod 
  Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/>
14.       <SignatureMethod
            Algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1"/>
15.       <Reference URI="">
16.         <Transforms>
17.           <Transform
   Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
18.         </Transforms>
19.         <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
20.         <DigestValue>9gETxLIm1huTZtMkmGlybtZWa5g=</DigestValue>
21.       </Reference>
22.     </SignedInfo>

23.     <SignatureValue>
OIFpnZmeGt+tOywzTgrcYBje/04uGmGIrbZYYxxXj4jsBdq+0JwZ1A==
</SignatureValue>

24.  <KeyInfo>
25.   <KeyValue>
26.     <DSAKeyValue>
27.    <P>
28.      /KaCzo4Syrom78z3EQ5SbbB4sF7ey80etKII864WF64
29.      B81uRpH5t9jQTxeEu0ImbzRMqzVDZkVG9xD7nN1kuFw==
30.    </P>
31.    <Q>li7dzDacuo67Jg7mtqEm2TRuOMU=</Q>
32.    <G>
33.      Z4Rxsnqc9E7pGknFFH2xqaryRPBaQ01khpMdLRQnG
34.      541Awtx/XPaF5Bpsy4pNWMOHCBiNU0NogpsQW5QvnlMpA==
35.    </G>
36.    <Y>
37.      NMxkCcO6Hdd146qBJ4FQGPpz8IncS8onBPshqlxsd
38.      pAqgM2lgn8kCPHqfO7jLx7NPZwHeDtHLfKKSYg+Ln6Xzw==
39.    </Y>
40.     </DSAKeyValue>
41.   </KeyValue>
42.  </KeyInfo>
43.   </Signature>

44. </PaymentInfo>

  所有与 XML 数字签名相关的信息都存放在 <Signature> 元素中。<Signature> 元素包含有几个主要的子元素:

  •   <Reference> 元素至少包含一个 <Reference> 元素,每个 <Reference> 元素用于对待签名数据进行引用,包含有引用方式、转换方法、摘要算法和摘要值等信息
  •   <Reference> 还包含有 XML 数据的规则化方法,并指定了数字签名所使用的算法。
  •   <SignatureValue> 元素包含对 <Reference> 元素规范化后的内容进行签名生成的数字签名的值。
  •   <KeyInfo> 元素用于指定验证签名所需的公共密钥相关信息。

  XML 数字签名的过程大致为:

  1. 根据每个 <Reference> 元素中指定的资源引用方式,摘要算法,数据转换方法等信息,对引用资源进行转换,然后对转换后的结果计算出摘要值。

  2. 根据 <SignedInfo> 元素中指定的 XML 数据的规范化方法对 <SignedInfo> 规则化,对规范化之后的数据生成摘要值,并使用私钥对摘要值进行加密,将生成的加密摘要值存放在 <SignatureValue> 元素中。

……

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章