如何注册XML的只是特定部分(How to sign only specific part of X

2019-07-31 18:04发布

我试图通过后不过一番搜索我一直没能找到一个解决方案签署仅XML的部分做一些XML签名。

我用java签署使用Xpath2变换和EXCLUSIVE标准化的XML。 如果我有下面的XML

<?xml version="1.0" encoding="UTF-8"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
    <id>wsfrwerwerwer</id>
    <name>addr</name>
    <somenode>
        <trace>ND</trace>
    </somenode>
</header>
<payload><ns0:addr xmlns:ns0="http://someaddres/ad/m3"><ns2:data xmlns:ns2="http://someaddres/ad/m3">
            <ns2:name>somevalue</ns2:name>
            <ns2:value>354</ns2:value>
        </ns2:data>
    </ns0:addr>
</payload>
</msg>

并签名,我得到下面的输出(带有虚拟替换真实数据)

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
    <id>wsfrwerwerwer</id>
    <name>addr</name>
    <somenode>
        <trace>ND</trace>
    </somenode>
</header>
<payload>
    <ns0:addr xmlns:ns0="http://someaddres/ad/m3">
        <ns2:data xmlns:ns2="http://someaddres/ad/m3">
            <ns2:name>somevalue</ns2:name>
            <ns2:value>354</ns2:value>
        </ns2:data>
    </ns0:addr>
    <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
        <SignedInfo>
            <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
            <SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
            <Reference URI="">
                <Transforms>
                    <Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
                        <XPath xmlns="http://www.w3.org/2002/06/xmldsig-filter2" xmlns:ns0="http://someaddres/ad/m3" Filter="intersect">//*[local-name()='addr']/*</XPath>
                    </Transform>
                </Transforms>
                <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
                <DigestValue>sdlfjdeklsdfngf</DigestValue>
            </Reference>
        </SignedInfo>
        <SignatureValue>femhjgklnlkl</SignatureValue>
        <KeyInfo>
            <X509Data>
                <X509Certificate>swerwerwrwerwerwe</X509Certificate>
            </X509Data>
        </KeyInfo>
    </Signature>
</payload>
</msg>

如果我验证签名,一切都很好,但是这里的问题是,经过这个权利我在其中进行一些更改一些元素,但不带符号的元素(XML的执行XSLT ns0:addr ),这是保持不变。 即使我明确地说,只有“地址”元素应当签字,如果我尝试进行更改任何其父母( payloadmsgaddr ),它那么当(根据我的理解)失败签名不应该。 如果我执行诸如内的任何变化头与其他元素,签名仍然有效。

我已经测试XPath表达式( //*[local-name()='addr']/* ),并将其选择要签名的正确的数据( ns2:data ),但它似乎还服用导致它的所有元素从根元素开始( msgaddr )。

我也曾尝试使用不同的变换,例如联合但是,这并不在所有的工作。

有谁知道什么问题可能是什么? 有什么办法,在Java中,清楚地看到签署调试目的的XML时,什么是被签名的?

编辑:

在XSLT运行后会做这样的事情从NS0移动命名空间:地址元素的根元素(MSG),也将味精改变主元素名称和命名空间newmsg(和不同的默认命名空间),但离开签名的数据( ns2:data )不变。

用于签名的代码是或多或少这里提到的代码http://docs.oracle.com/javase/7/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html

除了代替笼罩变换我使用的是XPATH2变换:

Map<String, String> namespaceMap = new HashMap<String, String>(0);
namespaceMap.put("ns0", "http://someaddres/ad/m3");
XPathType xPathType = new XPathType(xPathParameters, Filter.INTERSECT, namespaceMap);
List<XPathType> xPathList = new ArrayList<XPathType>(0);
xPathList.add(xPathType)
XPathFilter2ParameterSpec xPathFilter2ParameterSpec = new XPathFilter2ParameterSpec(xPathList);
transform = fac.newTransform(CanonicalizationMethod.XPATH2, xPathFilter2ParameterSpec);

而且还笼罩,而不是我在用EXCLUSIVE

canonicalisationMethod = fac.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, (C14NMethodParameterSpec) null);

EDIT2:

我已成功地使XML签名过程的精细调试,得到了以下几点:

FINER: Pre-digested input: 21-Sep-2012 10:51:39 org.jcp.xml.dsig.internal.DigesterOutputStream write FINER: <ns2:data xmlns="http://someaddress/ad/m1" xmlns:ns0="http://someaddres/ad/m3" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://someaddres/ad/m3"> <ns2:name>somevalue</ns2:name> <ns2:value>354</ns2:value> </ns2:data>

这似乎是签约正确的数据但它也增加了一些额外的命名空间,这使得我不知道这是否是因为这些namspaces从父元素所采取的问题签名。

任何人都知道如何使它不会被添加额外的所有命名空间?

Answer 1:

使用XML签名多大的战斗力之后,我终于到达了一个可接受的解决方案(虽然不是理想的)。

事实证明独家标准化是不够的。 您还需要添加其他所有变压器后独家变换。 下面的代码片段我上面写的:

List<Transform> transforms = new ArrayList<Transform>()
transforms.add(transform)
fac.newTransform(CanonicalizationMethod.EXCLUSIVE, (TransformParameterSpec) null)

这将让这个签名的元件之外的任何其他名称空间不会被考虑(虽然它具有额外的效果,即,签名元素内插入的命名空间(S)是允许的)。

此外,它似乎在XPath来带符号的元素的任何元素将被考虑在内,所以如果你有以下XPath /root/A/B将签署代码B然而,你将不能够改变任何一个的标签名或根元素。

这可以通过使用一个XPath在它更少的元件,如被克服//B

我相信这是可能过于克服这个问题,但到目前为止,我还没有能够。



Answer 2:

有参数,涉及到的命名空间,可以传递到专用XML规范化描述的InclusiveNamespaces PrefixList 。

你可以尝试通过一个ExcC14NParameterSpec使用前缀列表,看看是否能影响到的命名空间的标准化,以newCanonicalizationMethod()。



文章来源: How to sign only specific part of XML