Spec-Zone .ru
спецификации, руководства, описания, API
|
|
Spec-Zone .ru
спецификации, руководства, описания, API
|
Проверка допустимости XML-подписи
Инстанцирование Документа, который Содержит Подпись
Определение Элемента Подписи, который будет Проверен
Создание Контекста Проверки допустимости
Проверка допустимости XML-подписи
Что, Если XML-подпись Не в состоянии Проверить?
Инстанцирование Документа, который будет Подписан
Создание Пары С открытым ключом
Печать или Отображение Получающегося Документа
XML Java API Цифровой подписи является стандартным API Java для генерирования и проверки допустимости XML-подписей. Этот API был определен при Процессе Сообщества Java как JSR 105 (см. ). Этот JSR является заключительным и этот выпуск Java, SE содержит реализацию доступа FCS Окончательной версии API.
XML-подписи могут быть применены к данным любого типа, XML или двоичного файла (см. ). Получающаяся подпись представляется в XML. XML-подпись может использоваться, чтобы защитить Ваши данные и обеспечить целостность данных, аутентификацию сообщений, и аутентификацию подписывающего лица.
После обеспечения краткого обзора XML-подписей и XML API Цифровой подписи, этот документ представляет два примера, которые демонстрируют, как использовать API, чтобы проверить и генерировать XML-подпись. Этот документ предполагает, что у Вас есть элементарные знания криптографии и цифровых подписей.
API разрабатывается, чтобы поддерживать все необходимые или рекомендуемые функции Рекомендации W3C для Синтаксиса XML-подписи и Обработки. API является расширяемым и сменным и является основанным на Архитектуре Поставщика услуг Криптографии Java. API разрабатывается для двух типов разработчиков:
JCA providerBefore getting into specifics, it is important to see how XWS-Security and XML Digital Signature API are related. In this release of the Java SE, XWS-Security is based on non-standard XML Digital Signature APIs.
Java applications and middleware that need to create or process XML Signatures should use this XML Digital Signature API.
It can be used by Web Services Security (the goal for a future release) and by non-Web Services technologies (for example, signing documents stored or transferred in XML). Both JSR 105 and JSR 106 (XML Digital Encryption APIs) are core-XML security components. (See for more information about JSR 106.)
XWS-Security does not currently use the XML Digital Signature API or XML Digital Encryption APIs. XWS-Security uses the Apache libraries for XML-DSig and XML-Enc. The goal of XWS-Security is to move toward using these APIs in future releases.
--> -->
Эти шесть упомянутых ниже пакетов включают XML API Цифровой подписи:
javax.xml.crypto пакет содержит общие классы, которые используются, чтобы выполнить XML криптографические операции, такие как генерирование XML-подписи или шифрование данных XML. Два известных класса в этом пакете KeySelector class, который позволяет разработчикам предоставлять реализации, которые определяют местоположение и дополнительно проверяют ключей, используя информацию, содержавшуюся в a KeyInfo объект, и URIDereferencer class, который позволяет разработчикам создавать и определять свои собственные реализации разыменования URI.
javax.xml.crypto.dsig пакет включает интерфейсы, которые представляют базовые элементы, определенные в спецификации цифровой подписи XML W3C. Из основного значения XMLSignature class, который позволяет Вам подписывать и проверять цифровой подписи XML. Большинство структур XML-подписи или элементов представляются соответствующим интерфейсом (за исключением KeyInfo структуры, которые включаются в их собственный пакет и обсуждаются в следующем абзаце). Эти интерфейсы включают: SignedInfo, CanonicalizationMethod, SignatureMethod, Reference, Transform, DigestMethod, XMLObject, Manifest, SignatureProperty, и SignatureProperties. XMLSignatureFactory class является абстрактной фабрикой, которая используется, чтобы создать объекты, которые реализуют эти интерфейсы.
javax.xml.crypto.dsig.keyinfo пакет содержит интерфейсы, которые представляют большинство KeyInfo структуры, определенные в рекомендации цифровой подписи XML W3C, включая KeyInfo, KeyName, KeyValue, X509Data, X509IssuerSerial, RetrievalMethod, и PGPData. KeyInfoFactory class является абстрактной фабрикой, которая используется, чтобы создать объекты, которые реализуют эти интерфейсы.
javax.xml.crypto.dsig.spec пакет содержит интерфейсы, и классы, представляющие входные параметры для обзора, подписи, преобразовывают, или алгоритмы канонизации, используемые в обработке XML-подписей.
Наконец, javax.xml.crypto.dom и javax.xml.crypto.dsig.dom пакеты содержат DOM-специфичные классы для javax.xml.crypto и javax.xml.crypto.dsig пакеты, соответственно. Только разработчики и пользователи, которые создают или используют DOM-на-основе XMLSignatureFactory или KeyInfoFactory реализация должна будет сделать прямое использование этих пакетов.
JSR 105 криптографических служб является конкретной реализацией краткого обзора XMLSignatureFactory и KeyInfoFactory классы и ответственны за создание объектов и алгоритмов, которые анализируют, генерируют и проверяют XML-подписей и KeyInfo структуры. Конкретная реализация XMLSignatureFactory должен оказать поддержку для каждого из необходимых алгоритмов как определено рекомендацией W3C для XML-подписей. Это может дополнительно поддерживать другие алгоритмы как определено рекомендацией W3C или другие спецификации.
JSR 105 рычагов модель провайдера JCA для регистрации и загрузки XMLSignatureFactory и KeyInfoFactory реализации.
Каждый бетон XMLSignatureFactory или KeyInfoFactory реализация поддерживает определенный тип механизма XML, который идентифицирует XML, обрабатывающий механизм, который реализация использует внутренне, чтобы проанализировать и генерировать XML-подпись и KeyInfo структуры. Этот JSR поддерживает один стандартный тип, ДОМА. XML реализация провайдера Цифровой подписи, которая связывается Java SE, поддерживает механизм ДОМА. Поддержка новых стандартных типов, таких как JDOM, может быть добавлена в будущем.
XML реализация API Цифровой подписи должен использовать базовые классы механизма JCA, такой как java.security.Signature и java.security.MessageDigest, выполнять криптографические операции.
В дополнение к XMLSignatureFactory и KeyInfoFactory классы, JSR 105 поддерживает интерфейс поставщика услуг для алгоритмов канонизации и преобразования. TransformService class позволяет Вам разрабатывать и включать реализацию определенного преобразования или алгоритма канонизации для определенного типа механизма XML. TransformService class использует стандартную модель провайдера JCA для регистрации и загрузки реализаций. Каждый JSR 105 реализаций должен использовать TransformService class, чтобы найти провайдера, который поддерживает, преобразовывает и алгоритмы канонизации в XML-подписи, которые он генерирует или проверяет.
Можно использовать XML-подпись, чтобы подписать любые произвольные данные, является ли это XML или двоичным файлом. Данные идентифицируются через URI в одном или более Опорных элементах. XML-подписи описываются в один или больше из трех форм: отсоединенный, окутывание, или окутанный. Отсоединенная подпись по данным, которые являются внешними, или за пределами элемента подписи непосредственно. Окутывающие подписи являются подписями по данным, которые являются в элементе подписи, и окутанная подпись является подписью, которая содержится в данных, которые это подписывает.
Самый легкий способ описать содержание XML-подписи состоит в том, чтобы показать фактическую выборку и описать каждый компонент более подробно. Следующее является примером окутанной XML-подписи, сгенерированной по содержанию XML-документа. Содержание документа прежде, чем это будет подписано:
Получающаяся окутанная XML-подпись, расположенная с отступом и отформатированная для удобочитаемости, следующие:
<?xml version="1.0" encoding="UTF-8"?>
<Envelope xmlns="urn:envelope">
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod
Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1"/>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>uooqbWYa5VCqcJCbuymBKqm17vY=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>
KedJuTob5gtvYx9qM3k3gm7kbLBwVbEQRl26S2tmXjqNND7MRGtoew==
</SignatureValue>
<KeyInfo>
<KeyValue>
<DSAKeyValue>
<P>
/KaCzo4Syrom78z3EQ5SbbB4sF7ey80etKII864WF64B81uRpH5t9jQTxe
Eu0ImbzRMqzVDZkVG9xD7nN1kuFw==
</P>
<Q>li7dzDacuo67Jg7mtqEm2TRuOMU=</Q>
<G>
Z4Rxsnqc9E7pGknFFH2xqaryRPBaQ01khpMdLRQnG541Awtx/
XPaF5Bpsy4pNWMOHCBiNU0NogpsQW5QvnlMpA==
</G>
<Y>
qV38IqrWJG0V/mZQvRVi1OHw9Zj84nDC4jO8P0axi1gb6d+475yhMjSc/
BrIVC58W3ydbkK+Ri4OKbaRZlYeRA==
</Y>
</DSAKeyValue>
</KeyValue>
</KeyInfo>
</Signature>
</Envelope>
Signature элемент был вставлен в контенте, который он подписывает, таким образом делая это окутанная подпись. Необходимое SignedInfo элемент содержит информацию, которая фактически подписывается:
<SignedInfo>
<CanonicalizationMethod
Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1"/>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>uooqbWYa5VCqcJCbuymBKqm17vY=</DigestValue>
</Reference>
</SignedInfo>
Необходимое CanonicalizationMethod элемент определяет алгоритм, используемый, чтобы канонизировать SignedInfo элемент прежде, чем это будет подписано или проверено. Канонизация является процессом преобразования контента XML к канонической форме, чтобы принять во внимание изменения, которые могут лишить законной силы подпись по тем данным. Канонизация необходима из-за природы XML и способа, которым это анализируется различными процессорами и посредниками, которые могут изменить данные так, что, подпись больше не действительна, но подписанные данные все еще логически эквивалентны.
Необходимое SignatureMethod элемент определяет алгоритм цифровой подписи, используемый, чтобы генерировать подпись, в этом случае DSA с SHA 1.
Один или больше Reference элементы идентифицируют данные, которые перевариваются. Каждый Reference элемент идентифицирует данные через URI. В этом примере значение URI является пустой Строкой (""), который указывает на корень документа. Дополнительное Transforms элемент содержит список один или больше Transform элементы, каждый из которых описывает алгоритм преобразования, используемый, чтобы преобразовать данные прежде, чем это будет переварено. В этом примере есть тот Transform элемент для окутанного алгоритма преобразования. Окутанное преобразование требуется для окутанных подписей так, чтобы элемент самой подписи был удален прежде, чем вычислить значение подписи. Необходимое DigestMethod элемент определяет алгоритм, используемый, чтобы переварить данные, в этом случае SHA1. Наконец необходимое DigestValue элемент содержит фактическое base64-закодированное переваренное значение.
Необходимое SignatureValue элемент содержит base64-закодированное значение подписи подписи по SignedInfo элемент.
Дополнительное KeyInfo элемент содержит информацию о ключе, который необходим, чтобы проверить подписи:
<KeyInfo>
<KeyValue>
<DSAKeyValue>
<P>
/KaCzo4Syrom78z3EQ5SbbB4sF7ey80etKII864WF64B81uRpH5t9jQTxe
Eu0ImbzRMqzVDZkVG9xD7nN1kuFw==
</P>
<Q>li7dzDacuo67Jg7mtqEm2TRuOMU=</Q>
<G>
Z4Rxsnqc9E7pGknFFH2xqaryRPBaQ01khpMdLRQnG541Awtx/
XPaF5Bpsy4pNWMOHCBiNU0NogpsQW5QvnlMpA==
</G>
<Y>
qV38IqrWJG0V/mZQvRVi1OHw9Zj84nDC4jO8P0axi1gb6d+475yhMjSc/
BrIVC58W3ydbkK+Ri4OKbaRZlYeRA==
</Y>
</DSAKeyValue>
</KeyValue>
</KeyInfo>
Это KeyInfo элемент содержит a KeyValue элемент, который поочередно содержит a DSAKeyValue элемент, состоящий из открытого ключа, должен был проверить подписи. KeyInfo может содержать различный контент, такой как сертификаты X.509 и идентификаторы ключа PGP. См. из Рекомендации XML-подписи для получения дополнительной информации о различном KeyInfo типы.
Следующие разделы описывают два примера, которые показывают, как использовать XML API Цифровой подписи:
Можно счесть код показанным в этом разделе в Validate.java файл в docs/technotes/guides/security/xmldsig каталог. Файл, на котором это работает, envelopedSignature.xml, находится в том же самом каталоге.
Чтобы скомпилировать и выполнить пример, выполните следующие команды от docs/technotes/guides/security/xmldsig каталог:
$ javac Validate.java
$ java Validate signature.xml
signature.xml в текущем рабочем каталоге.
Этот пример показывает Вам, как проверить XML-подписи, используя JSR 105 API. Пример использует ДОМА (Объектная модель документа), чтобы проанализировать XML-документ, содержащий элемент Подписи и JSR 105 реализаций ДОМА, чтобы проверить подписи.
Сначала мы используем JAXP DocumentBuilderFactory проанализировать XML-документ, содержащий Подпись. Приложение получает реализацию по умолчанию для DocumentBuilderFactory вызывая следующую строку кода:
Мы должны также сделать фабрику осведомленной о пространстве имен:
Затем, мы используем фабрику, чтобы получить экземпляр a DocumentBuilder, который используется, чтобы проанализировать документ:
DocumentBuilder builder = dbf.newDocumentBuilder(); Document doc = builder.parse(new FileInputStream(argv[0]));
Мы должны определить Signature элемент, которого мы хотим проверить, с тех пор в документе мог быть больше чем один. Мы используем метод ДОМА Document.getElementsByTagNameNS, передача этого URI пространства имен XML-подписи и имя тега Signature элемент, как показано:
NodeList nl = doc.getElementsByTagNameNS
(XMLSignature.XMLNS, "Signature");
if (nl.getLength() == 0) {
throw new Exception("Cannot find Signature element");
}
Это возвращает список всех Signature элементы в документе. В этом примере есть только один Signature элемент.
Мы создаем XMLValidateContext экземпляр, содержащий входные параметры для того, чтобы проверить подписи. Так как мы используем ДОМА, мы инстанцируем a DOMValidateContext экземпляр (подкласс XMLValidateContext), и передача это два параметра, a KeyValueKeySelector возразите и ссылка на Signature элемент, который будет проверен (который является первой записью NodeList мы генерировали ранее):
KeyValueKeySelector объясняется более подробно в Использовании KeySelectors.
Мы извлекаем содержание Signature элемент в XMLSignature объект. Этот процесс вызывают, неупорядочивая. Signature элемент неупорядочивается, используя XMLSignatureFactory объект. Приложение может получить реализацию ДОМА XMLSignatureFactory вызывая следующую строку кода:
Мы тогда вызываем unmarshalXMLSignature метод фабрики, чтобы неупорядочить XMLSignature объект, и передача это контекст проверки допустимости мы создали ранее:
Теперь мы готовы проверить подписи. Мы делаем это, вызывая validate метод на XMLSignature объект, и передача это контекст проверки допустимости следующим образом:
validate метод возвращает "true", если подпись проверяет успешно согласно core validation rules в W3C XML Signature Recommendation, и ложь иначе.
Если XMLSignature.validate метод возвращает false, мы можем попытаться сузить причину отказа. В базовой проверке допустимости XML-подписи есть две фазы:
Каждая фаза должна быть успешной для подписи, чтобы быть допустимой. Проверять, можем ли подпись, отказавшая, чтобы криптографически проверить, мы проверить состояние, следующим образом:
boolean sv =
signature.getSignatureValue().validate(valContext);
System.out.println("signature validation status: " + sv);
Мы можем также выполнить итерации по ссылкам и проверить состояние проверки допустимости каждого, следующим образом:
Iterator i =
signature.getSignedInfo().getReferences().iterator();
for (int j=0; i.hasNext(); j++) {
boolean refValid = ((Reference)
i.next()).validate(valContext);
System.out.println("ref["+j+"] validity status: " +
refValid);
}
KeySelectors используются, чтобы найти и выбрать ключи, которые необходимы, чтобы проверить XMLSignature. Ранее, когда мы создали a DOMValidateContext объект, мы передали a KeySelector возразите как первый параметр:
Альтернативно, мы, возможно, передали a PublicKey как первый параметр, если мы уже знали, какой ключ необходим, чтобы проверить подписи. Однако, мы часто не знаем.
KeyValueKeySelector конкретная реализация краткого обзора KeySelector class. KeyValueKeySelector реализация пытается счесть соответствующий ключ проверки допустимости использованием данных содержавшийся в KeyValue элементы KeyInfo элемент XMLSignature. Это не определяет, доверяют ли ключу. Это - очень простое KeySelector реализация, разработанная для иллюстрации, а не реального использования. Более практический пример a KeySelector тот, который ищет a KeyStore для доверяемых ключей то соответствие X509Data информация (например, X509SubjectName, X509IssuerSerial, X509SKI, или X509Certificate элементы) содержавшийся в a KeyInfo.
Реализация KeyValueKeySelector следующие:
private static class KeyValueKeySelector extends KeySelector {
public KeySelectorResult select(KeyInfo keyInfo,
KeySelector.Purpose purpose,
AlgorithmMethod method,
XMLCryptoContext context)
throws KeySelectorException {
if (keyInfo == null) {
throw new KeySelectorException("Null KeyInfo object!");
}
SignatureMethod sm = (SignatureMethod) method;
List list = keyInfo.getContent();
for (int i = 0; i < list.size(); i++) {
XMLStructure xmlStructure = (XMLStructure) list.get(i);
if (xmlStructure instanceof KeyValue) {
PublicKey pk = null;
try {
pk = ((KeyValue)xmlStructure).getPublicKey();
} catch (KeyException ke) {
throw new KeySelectorException(ke);
}
// make sure algorithm is compatible with method
if (algEquals(sm.getAlgorithm(),
pk.getAlgorithm())) {
return new SimpleKeySelectorResult(pk);
}
}
}
throw new KeySelectorException("No KeyValue element
found!");
}
static boolean algEquals(String algURI, String algName) {
if (algName.equalsIgnoreCase("DSA") &&
algURI.equalsIgnoreCase(SignatureMethod.DSA_SHA1)) {
return true;
} else if (algName.equalsIgnoreCase("RSA") &&
algURI.equalsIgnoreCase(SignatureMethod.RSA_SHA1)) {
return true;
} else {
return false;
}
}
}
Код, обсужденный в этом разделе, находится в GenEnveloped.java файл в
docs/technotes/guides/security/xmldsig каталог. Файл, на котором это работает, envelope.xml, находится в том же самом каталоге. Это генерирует файл envelopedSignature.xml.
Чтобы скомпилировать и выполнить эту выборку, выполните следующую команду от
docs/technotes/guides/security/xmldsig каталог:
$ javac GenEnveloped.java
$ java GenEnveloped envelope.xml envelopedSignature.xml
Пример программы генерирует окутанную подпись документа в файле envelope.xml и сохранит это в файле envelopedSignature.xml в текущем рабочем каталоге.
Этот пример показывает Вам, как генерировать XML-подпись, используя XML API Цифровой подписи. Более определенно пример генерирует окутанную XML-подпись XML-документа. Окутанная подпись является подписью, которая содержится в контенте, который она подписывает. Пример использует ДОМА (Объектная модель документа), чтобы проанализировать XML-документ, который будет подписан и JSR 105 реализаций ДОМА, чтобы генерировать получающуюся подпись.
Элементарные знания XML-подписей и их различных компонентов полезны для того, чтобы понять этот раздел. См. для получения дополнительной информации.
Во-первых, мы используем JAXP DocumentBuilderFactory проанализировать XML-документ, который мы хотим подписать. Приложение получает реализацию по умолчанию для DocumentBuilderFactory вызывая следующую строку кода:
Мы должны также сделать фабрику осведомленной о пространстве имен:
Затем, мы используем фабрику, чтобы получить экземпляр a DocumentBuilder, который используется, чтобы проанализировать документ:
DocumentBuilder builder = dbf.newDocumentBuilder(); Document doc = builder.parse(new FileInputStream(argv[0]));
Мы генерируем пару с открытым ключом. Позже в примере, мы будем использовать закрытый ключ, чтобы генерировать подпись. Мы создаем пару ключей с a KeyPairGenerator. В этом примере мы создадим DSA KeyPair с длиной 512 байтов:
KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");
kpg.initialize(512);
KeyPair kp = kpg.generateKeyPair();
Практически, закрытый ключ обычно ранее сгенерирован и сохранен в a KeyStore файл со связанным сертификатом с открытым ключом.
Мы создаем XML Цифровая подпись XMLSignContext содержа входные параметры для того, чтобы генерировать подпись. Так как мы используем ДОМА, мы инстанцируем a DOMSignContext (подкласс XMLSignContext), и передача это два параметра, закрытый ключ, который будет использоваться, чтобы подписать документ и корень документа, который будет подписан:
Мы собираем различные части Signature элемент в XMLSignature объект. Эти объекты все создаются и собрали использование XMLSignatureFactory объект. Приложение получает реализацию ДОМА XMLSignatureFactory вызывая следующую строку кода:
Мы тогда вызываем различные методы фабрики, чтобы создать различные части XMLSignature возразите как показано ниже. Мы создаем a Reference объект, передавая к этому следующее:
Затем, мы создаем SignedInfo объект, который является объектом, который фактически подписывается, как показано ниже. Создавая SignedInfo, мы передаем как параметры:
Затем, мы создаем дополнительное KeyInfo объект, который содержит информацию, которая позволяет получателю найти ключ, должен был проверить подписи. В этом примере мы добавляем a KeyValue объект, содержащий открытый ключ. Создать KeyInfo и его различные подтипы, мы используем a KeyInfoFactory объект, который может быть получен, вызывая getKeyInfoFactory метод XMLSignatureFactory, следующим образом:
Мы тогда используем KeyInfoFactory создать KeyValue возразите и добавьте это к a KeyInfo объект:
KeyValue kv = kif.newKeyValue(kp.getPublic()); KeyInfo ki = kif.newKeyInfo(Collections.singletonList(kv));
Наконец, мы создаем XMLSignature объект, передавая как параметры SignedInfo и KeyInfo объекты, которые мы создали ранее:
Заметьте, что мы еще фактически не генерировали подпись; мы сделаем это в следующем шаге.
Теперь мы готовы генерировать подпись, которую мы делаем, вызывая sign метод на XMLSignature объект, и передача это контекст подписания следующим образом:
Получающийся документ теперь содержит подпись, которая была вставлена как последний дочерний элемент корневого элемента.
Можно использовать следующий код, чтобы напечатать получающийся подписанный документ файлу или стандартному выводу:
OutputStream os;
if (args.length > 1) {
os = new FileOutputStream(args[1]);
} else {
os = System.out;
}
TransformerFactory tf = TransformerFactory.newInstance();
Transformer trans = tf.newTransformer();
trans.transform(new DOMSource(doc), new StreamResult(os));
