详解Java数字签名提供XML安全

用Java数字签名提供XML安全

众所周知,XML在产品和项目开发中起着非常重要的作用。通过XML文档可以获取很多信息,还可以使用XML文件进行CRUD(增加、查询、更新和 删除)操作。然而值得注意的是,我们如何确保XML中的数据是来自经过认证的可信和可靠的来源。关于XML文件数据的可靠性和真实性存在很多问题。通常的 情况是,开发者直接处理XML文件而不去考虑数据的可靠性。有一些情况提出了上面的所有问题。现实生活中,每当我们从邮局收到一封信件时我们如何确定这封 信是来自我们的朋友?依据可能是他/她的习惯用语、用词或者邮件详细地址。也可能是他/她的个性签名。如今,我们收到的信件可能被某人进行了篡改,添加了 其他内容。基于上述原因,通常我们会验证朋友的手写签名。当然这些是关于来自邮局的普通邮件。电子消息又该如何?我们如何验证电子消息的真实性?这种情况 我们会采用数字签名。本文会对保证数据完整性的XML数字签名技术进行简要介绍,并且展示如何为XML文件附加电子签名及其验证过程。

使用的技术

过去几年里,XML数字签名取得了快速发展,在金融领域尤其如此。在开始讨论之前,让我们考虑一个典型场景:想象一下,某个组织将所有雇员的薪资内 容用XML文件发送给所得税部门。那么现在的问题是:所得税部门如何验证这份XML文件?这就是说,IT部门需要验证该组织的敏感信息。IT部门需要确保 XML文件的来源可信,并且在IT部门收到之前没有经过篡改——也就是说文档的内容没有在传递中被修改。首先,我们需要理解数字签名的概念。数字签名是一 种用来验证文档发自可信方的电子签名。它确保了文档的原始内容在传输中没有受到修改。数字签名可以用于任何加密和非加密消息,因此接收方可以识别发送者的 身份,并确认消息没有被其他人修改。根据维基百科的定义:“数字签名是一种验证数字信息或文档的数学方法”。一个有效的数字签名可以让接收者确认收到的消 息来自已知发送方,发送者不能否认自己发送了此消息(提供认证和不可否认性)并且此消息在传输中未经修改(提供完整性)。数字签名通常被用在软件发布、金 融事务和其他需要检测伪造或篡改的重要场合。

下面让我们来看完整的一个带有数字签名的XML文件:

<?xml version="1.0" encoding="UTF-8" standalone="no"?><SalaryDeposit>
  <Organisation>
    <Name>DDLab Inc</Name>
    <AccountNo>SBC-12345789</AccountNo>
  </Organisation>
  <Employees>
    <Emp>
      <Name>John Abraham</Name>
      <AccountNo>SB-001</AccountNo>
      <Amount>1234</Amount>
    </Emp>
    <Emp>
      <Name>Bipasha Basu</Name>
      <AccountNo>SB-002</AccountNo>
      <Amount>2334</Amount>
    </Emp>
    <Emp>
      <Name>Vidya Balan</Name>
      <AccountNo>SB-003</AccountNo>
      <Amount>3465</Amount>
    </Emp>
    <Emp>
      <Name>Debadatta Mishra</Name>
      <AccountNo>SB-007</AccountNo>
      <Amount>5789</Amount>
    </Emp>
    <Emp>
      <Name>Priti Zinta</Name>
      <AccountNo>SB-009</AccountNo>
      <Amount>1234</Amount>
    </Emp>
  </Employees>
  <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
    <SignedInfo>
      <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
      <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
      <Reference URI="">
       <Transforms>
         <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
       </Transforms>
       <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
       <DigestValue>bHS+6uf8KbJV4AGzoHNHLfnXvKM=</DigestValue>
      </Reference>
    </SignedInfo>
    <SignatureValue>
aUEMrCT5dzeOfSNaznzoT0If8WZ8KQcMNXDqtoeseonVk3NqOk9ctcxrf3QVX3wP6810DDRPdI6l
   e8ccG64Ge0HjkO+aYC5+c2L/qKBzwtSbl/olJEuFU2DVxBQO+K29TTUJfxpVzC9Zf2pvT+1NRj0f
   2/ofHujYZ01D6+YqI8c=
    </SignatureValue>
    <KeyInfo>
      <KeyValue>
       <RSAKeyValue>
         <Modulus>
jfAd5uV38L36+lDZJrqfH9oLN86VJezXYfAeU+lrFoHlKAXVJLAi9hKvBHQRer4tPfdez6iSBKsl
      6IHkPnVRAKt0xU99uxi5QpymsWAX3qnBqHlw9Z70PwyZ+Xysfw4Q2tK2HtSgUOhMuaUcIf9sbHvf
      gbvcRPgxDZZqfIzDmDU=</Modulus>
         <Exponent>AQAB</Exponent>
       </RSAKeyValue>
      </KeyValue>
    </KeyInfo>
  </Signature>
</SalaryDeposit> 

上面是一个带有签名的XML文件,该文件可以随时进行验证。文件中包了含雇员名称、帐号和薪资信息。然而,实际的数字签名通 过<Signature></Signature>标记进行附加。<Signature> 标记中的信息提供了文档的真实性。正如你看到的那样,虽然你可以随意修改其中的数据,但是这种修改会在随后的签名验证中被查到。
基本上数字签名有三种类型:

  1. 封内签名
  2. 封外签名
  3. 分离签名

封内签名

这种签名是将签名作为XML对象的子信息,也就是说 <Signature>是邮件中XML文件的子标签。封内数字签名的结构如下:

<RootElement>
 <Signature>
 ……
 </Signature>
</ RootElement> 

本文会介绍如何创建XML封内数字签名。

封外签名

这种签名将XML文档包含到Signature对象,也就是说<Signature>标签是签名XML文件的根元素。封外签名结构如下:

<Signature >
  < MyXMLDocument >
  ……
  </ MyXMLDocument >
</Signature> 

分离签名

这种情况下,签名是独立生成的不作为XML的一部分。也就是说你会拥有两个XML文件:一个待签名的XML文件,另一个是XML签名。下面是分离签名的XML结构:

<Signature>
……
</Signature> 

XML数字签名文件结构如下:

<Signature xmlns="">
  <SignedInfo>
    <CanonicalizationMethod Algorithm="" />
    <SignatureMethod Algorithm="" />
    <Reference URI="">
      <Transforms>
        <Transform Algorithm="" />
        </Transforms>
      <DigestMethod Algorithm="" />
      <DigestValue></DigestValue>
    </Reference>
  </SignedInfo>
  <SignatureValue></SignatureValue>
  <KeyInfo>
    <KeyValue>
      <RSAKeyValue>
        <Modulus></Modulus>
        <Exponent></Exponent>
      </RSAKeyValue>
    </KeyValue>
  </KeyInfo>
</Signature> 

XML中<Signature>有3个子标签,结构如下:

<Signature>
  <SignedInfo></SignedInfo>
  <SignatureValue></SignatureValue>
  <KeyInfo></KeyInfo>
</Signature> 

这里<Signature>是XML数字签名的根元素,这一点由W3C建议并且必须遵守。<SignedInfo>元素是你的签名信息;<SignatureValue>包含了实际的签名以及使用Base64加密的内容;最后<KeyInfo>表示公钥。让我们再看一下<SignedInfo>标签,结构如下:

<SignedInfo>
  <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
  <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
  <Reference URI="">
    <Transforms>
      <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
    </Transforms>
    <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
    <DigestValue>bHS+6uf8KbJV4AGzoHNHLfnXvKM=</DigestValue>
  </Reference>
</SignedInfo> 

当使用Java创建XML数字签名时,SignedInfo对象被用来在数字签名的Signature标签内创建元素。这也是W3C建议的XML签名标准中的一部分。

XML标签<KeyInfo>的结构如下:

<KeyInfo>
  <KeyValue>
    <RSAKeyValue>
      <Modulus></Modulus>
      <Exponent></Exponent>
    </RSAKeyValue>
  </KeyValue>
</KeyInfo> 

KeyInfo>标记包含了需要数学计算的相关信息,主要有公钥的系数和指数。
要创建XML数字签名可以遵循下列步骤:

  1. 生成一组私钥和公钥。
  2. 获得原始XML文件。
  3. 通过Java API使用私钥和公钥为原始的XML文件签名,生成带有XML签名的文档。

让我们看看使用Java生成XML签名的相关代码:

public void generateXMLDigitalSignature(String originalXmlFilePath,
String destnSignedXmlFilePath, String privateKeyFilePath, String publicKeyFilePath) {
  // 获取XML文档对象
  Document doc = getXmlDocument(originalXmlFilePath); 

  // 创建XML签名工厂
  XMLSignatureFactory xmlSigFactory = XMLSignatureFactory.getInstance("DOM");
  PrivateKey privateKey = new KryptoUtil().getStoredPrivateKey(privateKeyFilePath);
  DOMSignContext domSignCtx = new DOMSignContext(privateKey, doc.getDocumentElement());
  Reference ref = null;
  SignedInfo signedInfo = null;
  try {
    ref = xmlSigFactory.newReference("", xmlSigFactory.newDigestMethod(DigestMethod.SHA1, null),
    Collections.singletonList(xmlSigFactory.newTransform(Transform.ENVELOPED,
    (TransformParameterSpec) null)), null, null);
    signedInfo = xmlSigFactory.newSignedInfo(
    xmlSigFactory.newCanonicalizationMethod(CanonicalizationMethod.INCLUSIVE,
    (C14NMethodParameterSpec) null),
    xmlSigFactory.newSignatureMethod(SignatureMethod.RSA_SHA1, null),
    Collections.singletonList(ref));
  } catch (NoSuchAlgorithmException ex) {
    ex.printStackTrace();
  } catch (InvalidAlgorithmParameterException ex) {
    ex.printStackTrace();
  } 

  // 传入公钥路径
  KeyInfo keyInfo = getKeyInfo(xmlSigFactory, publicKeyFilePath); 

  // 创建新的XML签名
  XMLSignature xmlSignature = xmlSigFactory.newXMLSignature(signedInfo, keyInfo);
  try {
    // 对文档签名
    xmlSignature.sign(domSignCtx);
  } catch (MarshalException ex) {
    ex.printStackTrace();
  } catch (XMLSignatureException ex) {
    ex.printStackTrace();
  } 

  // 存储签名过的文档
  storeSignedDoc(doc, destnSignedXmlFilePath);
} 

XML签名验证

数字签名的验证包含以下操作:

验证数字签名

  • 计算<SignedInfo>元素摘要。
  • 使用公钥解密<SignatureValue>元素。
  • 比较上面两个值。
  • 计算引用摘要
  • 重新计算<SignedInfo>元素引用摘要。
  • 将它们与<DigestValue>中的摘要比较。

为了验证XML签名文档,需要完成下列步骤

  1. 得到XML文档和公钥。
  2. 验证<SignedInfo> 元素的数字签名。
  3. 计算<SignedInfo> 元素的摘要并对值进行比较。

让我们看看下面这段XML数字签名示例代码:

public static boolean isXmlDigitalSignatureValid(String signedXmlFilePath, String pubicKeyFilePath) throws Exception {
  boolean validFlag = false;
  Document doc = getXmlDocument(signedXmlFilePath);
  NodeList nl = doc.getElementsByTagNameNS(XMLSignature.XMLNS, "Signature");
  if (nl.getLength() == 0) {
    throw new Exception("No XML Digital Signature Found, document is discarded");
  } 

  PublicKey publicKey = new KryptoUtil().getStoredPublicKey(pubicKeyFilePath);
  DOMValidateContext valContext = new DOMValidateContext(publicKey, nl.item(0));
  XMLSignatureFactory fac = XMLSignatureFactory.getInstance("DOM");
  XMLSignature signature = fac.unmarshalXMLSignature(valContext);
  validFlag = signature.validate(valContext);
  return validFlag;
} 

如上面示例代码所示,XML签名可以通过重新计算<SignedInfo>的摘要值进行验证,验证算法由 <SignatureMethod>元素指定;使用公钥可以验证<SignedInfo>摘要中 的<SignatureValue>值是否正确。 引用摘要会在<SignedInfo>元素中重新计算,并与<Reference> 元素中对应的<DigestValue> 进行比对。接下来,让我们熟悉一下XML数字签名相关的Java组件。

XMLSignatureFactory

XMLSignatureFactory是生成XML文档数字签名的工厂对象。对象的创建如下列代码所示:

XMLSignatureFactory factory = XMLSignatureFactory.getInstance("DOM"); 

DOMSignContext

DOMSignContext对象用来生成DOM树。在创建数字签名的过程中,DOM树会被附上XML数字签名。DOMSignContext对象要求输入私钥和XML文档的根元素。

Reference

Reference对象用来在Signature 标记的SignedInfo内部创建XML数字签名。对象创建的遵循“W3C XML签名文法和处理”规则。Reference的基本结构如下:

<Reference URI="">
  <Transforms>
  <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
  </Transforms>
  <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
  <DigestValue>bHS+6uf8KbJV4AGzoHNHLfnXvKM=</DigestValue>
</Reference> 

SignedInfo

类似的,SignedInfo对象可以在数字签名的Signature标记内部创建元素。创建的规则同样遵循“W3C XML数字签名协议”。SignedInfo的基本结构如下:

<SignedInfo>
  <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
  <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
  <Reference URI="">
    <Transforms>
    <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
    </Transforms>
    <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
    <DigestValue>bHS+6uf8KbJV4AGzoHNHLfnXvKM=</DigestValue>
  </Reference>
</SignedInfo> 

XMLSignature

最后,XMLSignature对象用来创建XML文档的封面签名。按照W3C的建议,签名对象应该作为XML数字签名的根元素。
完整的结构如下:

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
  <SignedInfo>
    <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
    <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
    <Reference URI="">
      <Transforms>
      <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
      </Transforms>
      <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
      <DigestValue>bHS+6uf8KbJV4AGzoHNHLfnXvKM=</DigestValue>
    </Reference>
  </SignedInfo>
  <SignatureValue>aUEMrCT5dzeOfSNaznzoT0If8WZ8KQcMNXDqtoeseonVk3NqOk9ctcxrf3QVX3wP6810DDRPdI6l
  e8ccG64Ge0HjkO+aYC5+c2L/qKBzwtSbl/olJEuFU2DVxBQO+K29TTUJfxpVzC9Zf2pvT+1NRj0f
  2/ofHujYZ01D6+YqI8c=</SignatureValue>
  <KeyInfo>
    <KeyValue>
    <RSAKeyValue>
      <Modulus>jfAd5uV38L36+lDZJrqfH9oLN86VJezXYfAeU+lrFoHlKAXVJLAi9hKvBHQRer4tPfdez6iSBKsl
      6IHkPnVRAKt0xU99uxi5QpymsWAX3qnBqHlw9Z70PwyZ+Xysfw4Q2tK2HtSgUOhMuaUcIf9sbHvf
      gbvcRPgxDZZqfIzDmDU=</Modulus>
      <Exponent>AQAB</Exponent>
    </RSAKeyValue>
    </KeyValue>
  </KeyInfo>
</Signature> 

为了有一个完成的理解,可以从这里下载完整的Netbeans项目代码。

可以用你最喜欢的Java IDE对项目进行配置;也可以在source文件夹下运行程序。这个项目已经包含了公钥和私钥。如果想要自己生成,可以运行 “TestGenerateKeys”类生成一对公钥和私钥。通过指定自己的XMI文件,还可以查看XML签名的生成过程。

以上就是本次我们给大家整理的内容的全部,感谢大家对我们的支持,如果大家还有不明白的可以在下方留言区讨论。

(0)

相关推荐

  • Java操作XML工具类XmlUtil详解

    本文实例为大家分享了Java操作XML工具类的具体代码,供大家参考,具体内容如下 一.代码 public class XmlUtil { /** * 将XML文件输出到指定的路径 * * @param doc * @param fileName * @throws Exception */ public static void outputXml(Document doc, String fileName) throws Exception { TransformerFactory tf = T

  • java 生成xml并转为字符串的方法

    如下所示: import javax.xml.parsers.DocumentBuilderFactory; import javax.xml.parsers.DocumentBuilder; import javax.xml.transform.TransformerFactory; import javax.xml.transform.OutputKeys; import javax.xml.transform.Transformer; import javax.xml.transform.

  • Java对XML文件增删改查操作示例

    本文实例讲述了Java对XML文件增删改查操作.分享给大家供大家参考,具体如下: xml文件: <?xml version="1.0" encoding="UTF-8"?> <books> <book> <name>哈里波特</name> <price>10</price> <memo>这是一本很好看的书.</memo> </book> <b

  • Java对象的XML序列化与反序列化实例解析

    上一篇文章我们介绍了java实现的各种排序算法代码示例,本文我们看看Java对象的xml序列化与反序列化的相关内容,具体如下. XML是一种标准的数据交换规范,可以方便地用于在应用之间交换各类数据.如果能在Java对象和XML文档之间建立某种映射,例如Java对象的XML序列化和反序列化,那么就可以使Java的对象方便地与其他应用进行交换. java.beans包里面有两个类XMLEncoder和Decoder,分别用于将符合JabaBeans规范的Java对象以XML方式序列化和反序列化.以下

  • Java通过XPath获取XML文件中符合特定条件的节点

    在Java解析XML文件的过程中,有时需要获取符合某些特定条件的节点,以下是实现代码. import javax.xml.xpath.XPath; import javax.xml.xpath.XPathConstants; import javax.xml.xpath.XPathExpressionException; import javax.xml.xpath.XPathFactory; import org.eclipse.swt.widgets.Shell; import org.ec

  • java解析XML Node与Element的区别(推荐)

    对Element和Node有困惑是因为对xml整个结构不了解,以下作为一个简要概述: 以下图为w3c.org网站的xml文档树图: 从上图可以看出,一个xml文档由元素节点,属性节点,文本节点构成,其中bookstore被称为文档元素或根元素,也是一个元素节点 XML DOM是这样规定一个节点的 XML 文档中的每个成分都是一个节点. 整个文档是一个文档节点    即Document节点.在java中Document接口是继承于Node接口,表示整个XML 文档 每个 XML 标签是一个元素节点

  • java实现简单解析XML文件功能示例

    本文实例讲述了java实现简单解析XML文件功能.分享给大家供大家参考,具体如下: package demo; import java.io.File; import java.io.IOException; import javax.xml.parsers.DocumentBuilder; import javax.xml.parsers.DocumentBuilderFactory; import javax.xml.parsers.ParserConfigurationException;

  • java中使用dom4j解析XML文件的方法教程

    前言 dom4j是一个java的XML api,性能优异.功能强大.易于使用.以前听说过来解析xml文件的几种标准方式:但是从来的没有应用过来,所以可以在google中搜索dmo4j解析xml文件的方式,学习一下dom4j解析xml的具体操作.下面话不多说了,来一起看看详细的介绍吧 官网下载Dom4j地址:https://dom4j.github.io/ 注意:使用Dom4j开发,需下载dom4j相应的jar文件 题目:后台利用dom4j解析student.xml文件,并返回List<Stude

  • java使用DOM4J对XML文件进行增删改查操作

    本文实例为大家分享了java使用DOM4J对XML文件进行增删改查操作的具体代码,供大家参考,具体内容如下 源代码: DOM4j.java package com.zc.homeWork19; import java.io.FileWriter; import java.util.ArrayList; import java.util.Iterator; import java.util.List; import org.dom4j.Document; import org.dom4j.Elem

  • java将XML文档转换成json格式数据的示例

    本文介绍了java将XML文档转换成json格式数据的示例,分享给大家,具体如下: 功能 将xml文档转换成json格式数据 说明 依赖包: 1. jdom-2.0.2.jar : xml解析工具包; 2. fastjson-1.1.36.jar : 阿里巴巴研发的高性能json工具包 程序源代码 package com.xxx.open.pay.util; import com.alibaba.fastjson.JSONObject; import org.jdom2.Element; imp

随机推荐