探讨XML签名应用中容易被忽视的规范化过程、变换过程以及基于Java的XML数字签名的具体实现.docVIP

　　探讨XML签名应用中容易被忽视的规范化过程、变换过程以及基于Java的XML数字签名的具体实现 --Abstract: L signature procedure plementation of XML signature based on Java. Key ent Specification)、SAML ( Security Assertion MarkupLanguage)等一系列规范的基础。 本文首先比较了XML签名的与传统的数字签名技术的不同点,接着讨论了XML数字签名规范中的基本元素,重点探讨了XML签名应用中容易被忽视或错误理解的规范化(Canonicalization)过程和参考对象的变换(Tranform)过程,然后阐述了XML数字签名的生成和校验的基本方法,最后给出了一个利用IBM的XML Security Suite库实现XML数字签名的Java实例。将XML语言引入数字签名技术后,打破了传统数字签名技术的局限性,给数字签名应用程序增加了灵活性和可扩展性。 2XML数字签名与传统数字签名比较 XML数字签名与传统的数字签名技术相比,并没有技术上的飞跃或本质上的不同。与传统的数字签名技术一样,XML数字签名技术同样基于目前被广泛使用的公共密钥体系(Public Key Infrastructure,PKI)。用户利用标准的非对称加密算法例如RSA、DSA,用自己的私钥对要签署的数据签名,然后对方用签名者的公钥对签名进行校验。如果他人仿冒签名者的身份对数据签名(除非他获得了签名者的私钥),或者已签名的数据在传输过程中被篡改,那么签名的校验将会失败。并且由于用户私钥的私密性,因此一旦对方获得了签名者的签名,其签名行为是不可抵赖的(Non-repudiation)。 传统数字签名技术的局限性在于,其签名粒度过粗,签名对象是要签署的文档整体。以电子政务中常见的电子公文签名为例,传统的数字签名技术可以采用整体式签名、基于OLE的对象链接嵌入式签名和基于S/MIME的数字签名[2]。但这些技术很难支持电子公文的批复和多重签名,也不支持对公文的部分签名,对应用程序较为依赖,因此通用性不好。 而XML数字签名技术较好地解决了上述问题。XML签名的灵活性和扩展性在于,XML数字签名的处理规范充分利用了XML语言本身及其伙伴标准例如XPath、XPointer、XSLT强大的表达能力和扩展能力,不仅可以像传统的数字签名技术一样对整个文档签名,还可以实现XML数字签名的特有功能,即在较细的粒度上如对文档的特定部分进行签名,而且支持多重签名。在XML签名的元素中,其URI属性不仅可以指定本地或网络上的文本或二进制数据,还可以指定XML文档内部的某个元素。如果想对多个数据签名,可以采用多个Reference元素分别指向不同的签名对象。XML签名方式是极其灵活的,根据签名元素和被签名对象之间的关系,XML有如下三种签名方式: 1)封装式签名(Enveloping Signature) 被签名数据被封装在XML签名元素的内部,Signature元素类似于一个信封,将签名的数据封在里面。 2)嵌入式签名(Enveloped Signature)Signature元素本身被嵌入到被签名数据中,被签名的数据充当了包含签名的“信封”。 3)分离式签名(Detached Signature)Signature元素和被签名数据是彼此分离的,两者之间不存在包含和被包含的关系。被签名的数据可以是独立的外部文档,也可以是跟Signature元素位于同一XML文档内的并列的兄弟元素(Sibling Element)。 3　XML数字签名基本组件 在XML数字签名规范中,XML签名包括四个基本元素:元素、元素、元素和元素,如以下程序所示: ( ()? )+ ()? ()* 其中,元素和元素是必须的,元素和元素是可选的。图中的“?”表示该元素可以出现0次或1次,图中的“+”表示该元素至少出现1次,图中的“*”表示该元素可以出现0次或多次。元素是整个XML签名中数据最丰富的核心元素,它包含了XML签名中最重要的信息,例如指定了被签署数据的位置、被签署数据的变换算法、摘要算法、元素的规范化算法以及最后的签名算法。由以上程序可以看出,元素包括三个子元素,分别是、和--rence。即签名算法指的是对整个元素应用规范化方法后,采用的单向散列函数及签名的算法,常见的有RSA、DSA与MD5、SHA-1的组合。和都是针对其父元素即整个元素而言的。由于参考对象(Reference)的变换算法和元素的规范化问题往往容易被忽视,从而导致XML签名校验的失败,因此我们重点讨论元素的规范化和参考对象(Reference)的变换算法问题: 1)元素的规范化问题 规范化的目的,是