1. ホーム
  2. 質問と答え
  3. XMLの特定の部分のみに署名する方法

XMLの特定の部分のみに署名する方法

2012-09-20 10 views
7

XMLの一部のみを署名することによってXML署名を実行しようとしていますが、多くの検索の後に解決策を見つけることができませんでした。XMLの特定の部分のみに署名する方法

私は、Xpath2変換と排他的正規化を使用してXMLに署名するためにjavaを使用しています。私は、次のXML

<?xml version="1.0" encoding="UTF-8"?> 
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#"> 
<header> 
    <id>wsfrwerwerwer</id> 
    <name>addr</name> 
    <somenode> 
     <trace>ND</trace> 
    </somenode> 
</header> 
<payload><ns0:addr xmlns:ns0="http://someaddres/ad/m3"><ns2:data xmlns:ns2="http://someaddres/ad/m3"> 
      <ns2:name>somevalue</ns2:name> 
      <ns2:value>354</ns2:value> 
     </ns2:data> 
    </ns0:addr> 
</payload> 
</msg>

を持っており、それに署名した場合、私は(実データがダミーで置き換える)次の出力を得る

<?xml version="1.0" encoding="UTF-8" standalone="no"?> 
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#"> 
<header> 
    <id>wsfrwerwerwer</id> 
    <name>addr</name> 
    <somenode> 
     <trace>ND</trace> 
    </somenode> 
</header> 
<payload> 
    <ns0:addr xmlns:ns0="http://someaddres/ad/m3"> 
     <ns2:data xmlns:ns2="http://someaddres/ad/m3"> 
      <ns2:name>somevalue</ns2:name> 
      <ns2:value>354</ns2:value> 
     </ns2:data> 
    </ns0:addr> 
    <Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> 
     <SignedInfo> 
      <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> 
      <SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/> 
      <Reference URI=""> 
       <Transforms> 
        <Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2"> 
         <XPath xmlns="http://www.w3.org/2002/06/xmldsig-filter2" xmlns:ns0="http://someaddres/ad/m3" Filter="intersect">//*[local-name()='addr']/*</XPath> 
        </Transform> 
       </Transforms> 
       <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/> 
       <DigestValue>sdlfjdeklsdfngf</DigestValue> 
      </Reference> 
     </SignedInfo> 
     <SignatureValue>femhjgklnlkl</SignatureValue> 
     <KeyInfo> 
      <X509Data> 
       <X509Certificate>swerwerwrwerwerwe</X509Certificate> 
      </X509Data> 
     </KeyInfo> 
    </Signature> 
</payload> 
</msg>

私は署名を検証する場合は、すべてが正常であるしかし、ここで問題がありますこれの直後では、XMLでXSLTを実行しますが、いくつかの要素にいくつかの変更を行いますが、符号付き要素(ns0:addr)はそのまま残していません。私は明示的に "addr"要素だけに署名する必要があると言っていますが、私がその親(​​、msgまたはaddr)のいずれかへの変更を実行しようとすると、(私の理解によると) 。ヘッダー内の何かなどの他の要素に変更を加えた場合でも、署名は有効です。

Iは、XPath式(//*[local-name()='addr']/*)をテストして、署名されるべき正しいデータを選択する(ns2:data)が、ルート要素(msgaddr)から出発しても、それにつながるすべての要素を取っているように見えます。

また、UNIONなどの異なる変換を使用しようとしましたが、まったく動作しません。

問題がどのようなものか分かりますか? Javaで、デバッグ目的でXMLに署名するときに何が署名されているかを正確に確認する方法はありますか?

EDIT:ルート要素(MSG)へのaddr要素ともそれはMSGからnewmsgにメイン要素名と名前空間を変更されます。

XSLTの実行が後でNS0から名前空間を移動するようなことをやってます(および異なるデフォルトの名前空間)が、符号付きデータ(ns2:data)はそのまま残します。私は

Map<String, String> namespaceMap = new HashMap<String, String>(0); 
namespaceMap.put("ns0", "http://someaddres/ad/m3"); 
XPathType xPathType = new XPathType(xPathParameters, Filter.INTERSECT, namespaceMap); 
List<XPathType> xPathList = new ArrayList<XPathType>(0); 
xPathList.add(xPathType) 
XPathFilter2ParameterSpec xPathFilter2ParameterSpec = new XPathFilter2ParameterSpec(xPathList); 
transform = fac.newTransform(CanonicalizationMethod.XPATH2, xPathFilter2ParameterSpec);

も代わりに包まのを:

それに署名するために使用されるコードは、私が変換XPATH2を使用しています多かれ少なかれ代わりに包まの場合を除き、ここでhttp://docs.oracle.com/javase/7/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html

言及したコード変換であります使用EXCLUSIVE

canonicalisationMethod = fac.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, (C14NMethodParameterSpec) null);

EDIT2:

私は、XML署名プロセスのより細かいデバッグを有効にするために管理し、次のように持っている:

それはしかし、それはまた、私は思ってしまうの署名にいくつかの余分な名前空間を追加して、正しいデータに署名しているようだ

FINER: Pre-digested input: 21-Sep-2012 10:51:39 org.jcp.xml.dsig.internal.DigesterOutputStream write FINER: <ns2:data xmlns="http://someaddress/ad/m1" xmlns:ns0="http://someaddres/ad/m3" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://someaddres/ad/m3"> <ns2:name>somevalue</ns2:name> <ns2:value>354</ns2:value> </ns2:data>

それらの名前空間が親要素から取られているので、それが問題である場合。

誰も追加の名前空間が追加されないようにする方法を知っていますか?

出典

2012-09-20 ByteFlinger

+0

はい、完全なXMLに署名しています(単に<参照URI = ""> 'を見て)。 XML文書に署名するために使用するコードを表示できますか? – dusan

+0

私はもう一度その前にいれば、コードの一部を後で入れようとします。はい、 'uri =" "'これは、代わりにxpathを使用して、どのノードが署名されているかを選択するためです。そうではないでしょうか?また、ヘッダーのような他の内部ノードを変更しても、署名は有効なので、何かが正しく動作していないと思うようになります。 – ByteFlinger

+0

それは私にはうまく見えます。 xslt変換後にXMLをリストできますか?また、 'msg'や' payload'を変更したとしたら、子ノードを追加したのか、名前を変更しましたか? – pd40

答えて

1

私は最終的に(理想的ではありませんが)許容可能なソリューションに到着しました。

排他的正規化では不十分です。他のすべてのトランスの後にExclusiveトランスフォームも追加する必要があります。私は上に書いたコードスニペット、以下:署名要素の外側の任意の他の名前空間が考慮されませんように、それは内部の名前空間(複数可)を挿入する追加効果を持つものの

List<Transform> transforms = new ArrayList<Transform>() 
transforms.add(transform) 
fac.newTransform(CanonicalizationMethod.EXCLUSIVE, (TransformParameterSpec) null)

する。これは、(それを行います署名された要素は許可されます)。

また、署名された要素へのxpath内の要素が考慮されるようです。したがって、次のxpath /root/A/Bがある場合、タグBに署名しますが、Aまたはルート要素。

これは、//Bのような要素が少ないxpathを使用することによって克服できます。

私はこれまでにも私はできなかったが、この問題を克服することは可能かもしれないと信じている。

出典

2012-10-06 12:43:06 ByteFlinger

0

Exclusive XML Canonicalizationに渡すことができ、InclusiveNamespaces PrefixListを説明するパラメータがネームスペースに関連しています。

あなたはそれが名前空間の標準化に影響を与えるかどうかを確認するためにプレフィクスリストを使用してExcC14NParameterSpecにnewCanonicalizationMethod()を渡してみてください。

出典

2012-09-21 10:02:19 pd40

+1

ありがとうございます。私はこれを使ってみました: 'リスト prefixList = new ArrayList (); prefixList.add( "ns2"); C14NMethodParameterSpec c14NMethodParameterSpec =新しいExcC14NParameterSpec(prefixList); canonicalisationMethod = xmlSigFactory.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE、c14NMethodParameterSpec); ' 変更は行われませんでした。署名は、リストに接頭辞を多かれ少なかれ追加するかどうかによって変わるように見えますが、それでも署名する必要のある要素を変更することはできません。 – ByteFlinger

関連する問題

 関連する問題