ГОСТ ISO/IEC 24824-3—2013
А.2.2.17 Наконец, подписывающее приложение формирует SOAP блок заголовка безопасности веб
сервисов. Это приводит к появлению информационного элемента wsse:Security element, который содержит, как
дочернийэлементинформационныхэлементов.ранеепроизведенныеэлементыинформации
wsseiBinarySecurityToken и ds:Signature element.
А.2.3 Проверка подписанного инфо-набора SOAP сообщений
А.2.3.1 Процесс проверки подписи описан в W3C XML-подпись, 3.2. Ниже представлено описание этого
процесса, применительно к примеру подписанного инфо-набора SOAP сообщений.
А.2.3.2 Основной процесс проверки требует проверки ссылок и проверки подписей.
А.2.3.3 Перед проверкой ссылок, проверяющее приложение должно канонизировать подписанную инфор
мацию и работать уже с канонизированной подписанной информацией. Все ссыпки в следующих пунктах к ин
формационным элементам внутри подписанной информации, представленной информационным элементом
ds.Signedlnfo element и содержимым, относятся к информационным элементам, представленным в канониче
ской подписанной информации.
П р и м е ч а н и е - Важно, чтобы лица и автоматизированные механизмы работали с подписанными
данными, а не с оригинальными данными, см. W3C XML-подпись. 8.1.3.
А.2.3.4 Проверяющее приложение получает «исключающий канонической алгоритм быстрого инфо-набора
без комментариев» для канонизации подписанной информации, представленной свойством [normalized value]
информационного элемента Algorithm attribute в информационном элементе ds:CanonicalizationMethod
element.
А.2.3.5 Проверяющее приложение канонизируют подписанную информацию следующим образом:
a) ввод в «исключающий канонический алгоритм быстрого инфо-набора без комментариев» является
набором узлов XPath информационного элемента ds:Signedlnfo element и его дочерних элементов информации
(см. 6.1.5. а)):
b
) канонический XML-документ формируется из набора узлов XPath (см. 6.1.5) с использованием канони
ческого XML алгоритма, указанного вW3C исключающий канонический XML (см. 6.4.4);
c) канонический XML-документ парсится для формирования XML инфо-набора (см. 6.1.5. Ь));
d) канонический XML инфо-набор сериализуется как канонический документ быстрого инфо-набора (см.
6.1.5, с)) с ограничениями на сериализацию, указанными в 6.3;
e) канонический документ быстрого инфо-набора парсится для формирования XML инфо-набора. из кото
рого получается подписанная информация, представленная информацией ds:Signedlnfo element.
А.2.3.6 Далее, проверяющее приложение определяет, что для проверки ссылок есть одна ссылка на про
верку. представленная информационным элементом ds;Reference element.
А.2.3.7 Проверяющее приложение получает объект данных для хэширования путем разыменования URI
«#TheBody», которое представлено свойством [normalized value] информации URI attribute в информационном
элементе ds:Reference element, и выполняет преобразования обьекта данных, представленные информацион
ным элементом ds:Transforms element.
А.2.3.8 Разыменование достигается путем поиска инфо-набора SOAP сообщений, чтобы идентифициро
вать элемент информации element, который имеет элемент информации wsu:ld attribute со свойством
[normalized value], равным идентификатору «TheBody». В этом случае, набор узлов XPath элемента информа
ции soap:Body element и его дочерние элементы информации идентифицируются как объект данных для хэши
рования.
А.2.3.9 Преобразования состоят из одного преобразования, представленного информационным элемен
том ds:Transforms element, который определяет «исключающий канонический алгоритм быстрого инфо-набора
без комментариев» (см. 6.4.4 и 7). представленного информационным элементом Algorithm attribute (в элемен
теинформацииds:Transformselement).свойство[normalizedvalue]которогоявляется
Kurn:fastinfoset:c14n:exclusive».
А.2.3.10 Проверяющее приложение выполняет преобразование объекта данных в последовательность ок
тетов (которые являются вводом в алгоритм хэширования) следующим образохс
a) ввод в «исключающий канонический алгоритм быстрого инфо-набора без комментариев» является
набором узлов XPath информационного элемента soap:Body element и его дочерних элементов информации
инфо-набора SOAP сообщений из А. 1.4 (см. 6.1.5. а));
b
) канонический XML-документ формируется из набора узлов XPath (см. 6.1.5. а)) с использованием кано
нического XML алгоритма, указанного вW3C исключающем каноническом XML (см. 6.4.4);
c) канонический XML-документ парсится для получения XML инфо-набора (см. 6.1.5. Ь)):
d) канонический XML инфо-набор сериализуется как канонический документ быстрого инфо-набора (см.
6.1.5. с)), с ограничениями на сериализацию, указанными в 6.3;
e) последовательность октетов, что подается на вход алгоритма хэширования, является каноническим до
кументом быстрого инфо-набора.
А.2.3.11 Проверяющее приложение хэширует последовательность октетов для получения хэш-суммы с
использованиемSHA-1алгоритмахэширования.представленногоинформационнымэлементом
ds:DigestMethod element.
10