关于 XML 签名

AIR 支持以下来自针对 XML 签名语法和处理的 W3C 建议的元素：

• 所有核心签名语法元素（W3C 建议文档的第 4 节）— 但不完全支持 KeyInfo 元素

• KeyInfo 元素必须仅包含 X509Data 元素

• X509Data 元素必须仅包含 X509Certificate 元素

• SHA256 摘要方法

• RSA-SHA1 (PKCS1) 签名算法

• “不带注释的规范化 XML”规范化方法和转换

• 封装的签名转换

• 时间戳

以下文档阐释典型的 XML 签名（为简化本例，已删除大多数加密数据）：

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> 
    <SignedInfo> 
        <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/> 
        <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> 
        <Reference URI="URI_to_signed_data"> 
            <Transforms> 
                <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>            </Transforms> 
            <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/> 
            <DigestValue>uoo...vY=</DigestValue> 
        </Reference> 
    </SignedInfo> 
    <SignatureValue>Ked...w==</SignatureValue> 
    <KeyInfo> 
        <X509Data> 
            <X509Certificate>i7d...w==</X509Certificate> 
        </X509Data> 
    </KeyInfo> 
</Signature>

签名的重要元素有：

• SignedInfo — 包含对签名的数据和在签名时计算的摘要值的引用。签名的数据本身可能包含在与 XML 签名相同的文档中，也可能在外部。

• SignatureValue — 包含使用签名者的私钥加密的 SignedInfo 元素的摘要。

• KeyInfo — 包含签名证书，以及建立信任链所需的任何其他证书。注意，尽管从技术角度来看 KeyInfo 元素是可选的，但如果不包括该元素，AIR 就无法验证签名。

有三种常规类型的 XML 签名：

• Enveloped — 此签名插入要签名的 XML 数据的内部。

• Enveloping — 签名的 XML 数据包含在 Signature 元素的 Object 元素中。

• Detached — 签名的数据位于 XML 签名的外部。签名的数据可能在外部文件中。另一种情况是，该数据可能位于与签名相同的 XML 文档中，只不过不是 Signature 元素的父元素或子元素。

XML 签名使用 URI 引用签名的数据。签名和验证应用程序必须使用相同的约定解析这些 URI。当使用 XMLSignatureValidator 类时，必须提供 IURIDereferencer 接口的实现。此实现负责解析 URI 并作为 ByteArray 对象返回签名的数据。使用在签名中生成摘要的同一算法对返回的 ByteArray 对象生成摘要。