如何仅签署XML的特定部分

时间:2012-09-20 12:18:53

标签: java xml xpath xml-signature xml-dsig

我试图通过只签署部分xml来做一些XML签名但是经过多次搜索后我找不到解决方案。

我使用java使用Xpath2转换和EXCLUSIVE规范化来签署XML。如果我有以下XML

<?xml version="1.0" encoding="UTF-8"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
    <id>wsfrwerwerwer</id>
    <name>addr</name>
    <somenode>
        <trace>ND</trace>
    </somenode>
</header>
<payload><ns0:addr xmlns:ns0="http://someaddres/ad/m3"><ns2:data xmlns:ns2="http://someaddres/ad/m3">
            <ns2:name>somevalue</ns2:name>
            <ns2:value>354</ns2:value>
        </ns2:data>
    </ns0:addr>
</payload>
</msg>

并签名,我得到以下输出(真实数据替换为虚拟)

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
    <id>wsfrwerwerwer</id>
    <name>addr</name>
    <somenode>
        <trace>ND</trace>
    </somenode>
</header>
<payload>
    <ns0:addr xmlns:ns0="http://someaddres/ad/m3">
        <ns2:data xmlns:ns2="http://someaddres/ad/m3">
            <ns2:name>somevalue</ns2:name>
            <ns2:value>354</ns2:value>
        </ns2:data>
    </ns0:addr>
    <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
        <SignedInfo>
            <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
            <SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
            <Reference URI="">
                <Transforms>
                    <Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
                        <XPath xmlns="http://www.w3.org/2002/06/xmldsig-filter2" xmlns:ns0="http://someaddres/ad/m3" Filter="intersect">//*[local-name()='addr']/*</XPath>
                    </Transform>
                </Transforms>
                <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
                <DigestValue>sdlfjdeklsdfngf</DigestValue>
            </Reference>
        </SignedInfo>
        <SignatureValue>femhjgklnlkl</SignatureValue>
        <KeyInfo>
            <X509Data>
                <X509Certificate>swerwerwrwerwerwe</X509Certificate>
            </X509Data>
        </KeyInfo>
    </Signature>
</payload>
</msg>

如果我验证签名,一切都很好,但是这里的问题就在于此之后我在XML中执行XSLT,它对某些元素执行了一些更改,但没有留下签名元素(ns0:addr)完整。即使我明确说明只应该对“addr”元素进行签名,但如果我尝试对其任何父级(payloadmsgaddr)执行更改,则会失败签名时(根据我的理解)它不应该。如果我对其他元素(如标题内的任何内容)执行更改,则签名仍然有效。

我已经测试了XPath表达式(//*[local-name()='addr']/*)并且它选择了要签名的正确数据(ns2:data),但它似乎也从根元素开始采用所有导致它的元素( msgaddr)。

我也尝试使用不同的转换,例如UNION,但这根本不起作用。

有人知道问题可能是什么吗?在Java中,有没有办法在签署XML以进行调试时准确查看正在签名的内容?

编辑:

稍后运行的xslt将执行诸如将命名空间从ns0:addr元素移动到根元素(msg)的操作,并且还将主要元素名称和命名空间从msg更改为newmsg(以及不同的默认命名空间)但保留签名数据(ns2:data)。

用于签名的代码或多或少是此处提到的代码http://docs.oracle.com/javase/7/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html

除了ENVELOPED转换,我使用的是XPATH2转换:

Map<String, String> namespaceMap = new HashMap<String, String>(0);
namespaceMap.put("ns0", "http://someaddres/ad/m3");
XPathType xPathType = new XPathType(xPathParameters, Filter.INTERSECT, namespaceMap);
List<XPathType> xPathList = new ArrayList<XPathType>(0);
xPathList.add(xPathType)
XPathFilter2ParameterSpec xPathFilter2ParameterSpec = new XPathFilter2ParameterSpec(xPathList);
transform = fac.newTransform(CanonicalizationMethod.XPATH2, xPathFilter2ParameterSpec);

而且我使用EXCLUSIVE而不是ENVELOPED

canonicalisationMethod = fac.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, (C14NMethodParameterSpec) null);

EDIT2:

我已设法启用更精细的xml签名过程调试,并获得以下内容:

FINER: Pre-digested input: 21-Sep-2012 10:51:39 org.jcp.xml.dsig.internal.DigesterOutputStream write FINER: <ns2:data xmlns="http://someaddress/ad/m1" xmlns:ns0="http://someaddres/ad/m3" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://someaddres/ad/m3"> <ns2:name>somevalue</ns2:name> <ns2:value>354</ns2:value> </ns2:data>

它似乎正在签署正确的数据,但它也在签名中添加了一些额外的命名空间,这让我想知道这是否是问题,因为这些namspace是从父元素中获取的。

有人知道如何让它不会添加所有额外的命名空间吗?

2 个答案:

答案 0 :(得分:1)

经过与XML签名的激烈斗争后,我终于找到了一个可接受的解决方案(尽管并不理想)。

事实证明,独家规范化还不够。您还需要在所有其他变换器之后添加Exclusive变换。在我上面写的代码片段之后:

List<Transform> transforms = new ArrayList<Transform>()
transforms.add(transform)
fac.newTransform(CanonicalizationMethod.EXCLUSIVE, (TransformParameterSpec) null)

这将使得不会考虑签名元素之外的任何其他命名空间(尽管它具有允许在signed元素内插入命名空间的附加效果)。

此外,似乎会考虑签名元素的xpath中的任何元素,因此如果您有以下xpath /root/A/B,它将签署标记B但是您将无法更改标记名称A或根元素。

这可以通过使用包含较少元素的xpath来解决,例如//B

我相信也有可能克服这个问题,尽管到目前为止我还没有。

答案 1 :(得分:0)

有一些与命名空间相关的参数可以传递给描述Exclusive XML CanonicalizationInclusiveNamespaces PrefixList

您可以尝试使用前缀列表将ExcC14NParameterSpec传递给 newCanonicalizationMethod(),以查看它是否会影响命名空间的规范化。