《信息安全技术 XML数字签名语法与处理规范》由会员分享,可在线阅读,更多相关《信息安全技术 XML数字签名语法与处理规范(58页珍藏版)》请在金锄头文库上搜索。
1、中华人民共和国国家标准GB/T 25061XXXX代替 GB/T 25061-2010信息安全技术 XML数字签名语法与处理规范Information security technologyXML digital signature syntax and processing specification 在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。(征求意见稿)XXXX - XX - XX发布XXXX - XX - XX实施ICS 35.040L 80GB/T 25061-XXXX目次前言II1 范围12 规范性引用文件13 术语、定义和缩略语13.1 术语和定义13.2 符
2、号和缩略语24 XML签名概述24.1 概述24.2 定义文件用法说明35 处理规则35.1 生成35.2 确认46 签名语法46.1 概述46.2 Signature元素66.3 SignatureValue元素66.4 SignedInfo元素66.5 KeyInfo元素126.6 Object元素187 附加的签名语法197.1 概述197.2 Manifest元素197.3 SignatureProperties元素197.4 Signature元素中的处理指令207.5 Signature元素中的注释20附录A (资料性附录) XML数字签名实例21附录B (规范性附录) XML数字
3、签名文档类型定义27附录C (规范性附录) XML数字签名模式定义37附录D (资料性附录) 算法标识符46参考文献53I前言本标准按照GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准代替GB/T 250612010 信息安全技术 公钥基础设施 XML数字签名语法与处理规范,与GB/T 250612010文件相比,主要技术变化如下: 修改了标准名称,由信息安全技术 公钥基础设施 XML数字签名语法与处理规范改为信息安全技术XML数字签名语法与处理规范; 在规范性引用文件中,增加了新的引用文件(见2); 修改了4.2节
4、的名称,增加了xmldsig11的相关说明(见4.2); 修改了5.1、5.2和第6章的章节名称(见5.1,5.2和6); 在KeyInfo中,增加了SM2 KeyValue类型定义,表示SM2椭圆曲线密码算法密钥值(见6.5.3.3); 在KeyInfo元素中,增加了DEREncodedKeyValue和KeyInfoReference子元素,并给出模式定义(见6.5.6和6.5.7); 在附录C中,增加了xmldsig11.xsd定义和xmldsig1-schema.xsd(见C.2和C.3); 在附录D中,增加了密码杂凑算法SM3,消息鉴别算法HMAC-SM3,签名算法SM2-SM3的定
5、义(见D.3.2和D.4.3); 在附录D中,增加了XML规范化1.1算法和独占XML规范化1.0算法(见D.6.3和D.6.4)。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本标准起草单位:北京信安世纪科技股份有限公司、格尔软件股份有限公司、数安时代科技股份有限公司、国家密码管理局商用密码检测中心。本标准起草人:汪宗斌、刘婷、郑强、张永强、吕春梅、焦靖伟、史晓峰。本标准的历次版本发布情况为: GB/T 250612010。1GB/T XXXXX-XXXX信息安全技术 XML数字签名语法与处理规范1 范围本标准规定了创建和表示XML数字签名的处理规则、签名语法和附加
6、的签名语法。本标准适用于制作和处理XML数字签名的应用程序、系统或服务。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 1988 信息技术 信息交换用七位编码字符集GB/T 13000 信息技术 通用多八位编码字符集(UCS)GB/T 16264.82005 信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架GB/T 187932002 信息技术 可扩展置标语言(XML)1.0GB/T 205182018 信息安全技术 公钥基础设施 数字证书格式GB/
7、T 32905 信息安全技术 SM3密码杂凑算法GB/T 32918 (所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法GB/T 352762017 信息安全技术 SM2密码算法使用规范RFC 2045 基于多用途互联网邮件扩展第一部分:互联网消息体格式RFC 3279 证书和证书撤销列表轮廓RFC 3986 统一资源标识符(URI): 通用语法RFC 4514 轻型目录访问协议(LDAP):甄别名的字符串表示RFC 5480 椭圆曲线密码主体公钥信息3 术语、定义和缩略语3.1 术语和定义GB/T 187932002界定的以及下列术语和定义适用于本文件。3.1.1 分离签名 detach
8、ed signature签名于Signature元素以外的内容上,签名和数据对象位于不同XML文档中的XML签名文档的组织形式。3.1.2 封内签名 enveloping signature签名于Signature元素中的Object元素之上,以Signature为父元素,将原始文档包含在Signature中的XML签名文档的组织形式。3.1.3 封皮签名 enveloped signature签名于整个XML内容之上,然后将Signature作为子元素插入到原始文档中的XML签名文档组织形式。注 :封皮签名在计算SignatureValue时不包含其自身。3.1.4 Reference确认
9、reference validation确认由Reference所指定的元素经变换后的杂凑值是否与DigestValue指定的匹配。3.1.5 签名 Signature签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。注 :XML签名有三种描述方式:分离签名、封内签名和封皮签名。3.1.6 签名应用 signature application指实现了Signature元素类型的结构及其子结构的应用程序。3.1.7 Signature确认 signature validation指比较确认
10、中以CanonicalizationMethod指定的规范化方法和SignatureMethod指定的签名方法处理SignedInfo的结果是否与SignatureValue中的值是否匹配。3.1.8 变换 transform把一个数据从原始状态转化成导出状态的处理。例如:XML规范化,XPath和XSLT变换等。3.2 符号和缩略语下列符号和缩略语适用于本文件:CA证书认证机构(Certificate Authority)CRL证书撤销列表(Certificate Revocation List)HTTP超文本传输协议(Hypertext Transfer Protocol)PKI公钥基础设
11、施(Public Key Infrastructure)URI统一资源标识符(Universal Resource Identifier)XML可扩展置标语言(Extensible Markup Language)XPathXML路径(XML Path)XSL可扩展样式表语言(Extensible Stylesheet Language)XSLTXSL变换(Extensible Stylesheet Language Transformations)?代表前一符号出现0次或1次代表前一符号出现1次或多次*代表前一符号出现0次、1次或多次4 XML签名概述4.1 概述本章描述了XML数字签名的结
12、构,第5章给出了处理规则、第6章签名语法和第7章附加的签名语法,XML格式要求参见GB/T 187932002。XML签名可通过间接方式作用于任意数据对象,处理的步骤是先对数据对象进行杂凑处理,处理后的结果放置在一个元素中,再对得到的元素进行杂凑处理并且通过密码学方法进行签名。XML数字签名使用Signature元素来表示,其结构如下: ( ()? )+ ()? ()*签名是通过URI关联数据对象的。在XML文档内部,签名通过XML片段标识符关联本地的数据对象,本地数据可包含在封内签名中,也可包含在封皮签名中。分离签名作用于外部网络资源或者作用于以兄弟元素形式出现的同一个XML文档的本地数据对
13、象,因此这种签名既不是封内签名也不是封皮签名。一个XML文档中签名元素(以及它的ID和属性值和名字)可与其他元素同时存在,也可和其他元素结合在一起,命名时应注意避免违反XML标识的唯一性。本标准凡涉及密码算法相关内容,按照国家有关法规实施。签名实例参见附录A。4.2 定义文件用法说明本标准有两个规范性附录,附录B 数字签名文档类型定义,附录C XML数字签名模式定义。在应用本标准时,应将附录B和附录C的文件存放到应用可访问的位置,例如本标准中假定存放在http:/127.0.0.1/2001/XMLSchema.dtd、http:/127.0.0.1/2000/09/xmldsig-core-
14、schema.xsd、http:/127.0.0.1/2009/xmldsig11-schema.xsd、http:/127.0.0.1/TR/xmldsig-core1/xmldsig1- schema.xsd 中,可根据实际情况调整存放位置,可使用本标准附录C.3定义的方法来集合这些定义。5 处理规则5.1 生成5.1.1 Reference生成对于每个要签名的数据对象,Reference元素生成的步骤如下:a) 根据应用程序的要求,对数据对象进行变换;b) 计算变换后的数据对象的杂凑值;c) 创建一个Reference元素,包括一个可选的数据对象的标识,可选的变换元素,密码杂凑算法和杂凑值。5.1.2 Signature生成 Signature元素生成的步骤如下:a
