eCoC·Sign
XAdES 深解:eCoC 必须的 XML 高级电子签名格式
XAdES数据标准落地实践

XAdES 深解:eCoC 必须的 XML 高级电子签名格式

XAdES 是 eCoC 合规的技术核心。本文深入介绍 XAdES 的规范来源、签名格式层级,以及在 eCoC 场景下的实现要点,帮助工程师建立正确的技术认知。

eCoCSign 研究团队·2026年5月6日·5 分钟阅读

什么是 XAdES

XAdES(XML Advanced Electronic Signatures,XML 高级电子签名)是由欧洲电信标准化协会(ETSI)制定的 XML 数字签名扩展规范,其核心标准文件为 ETSI EN 319 132(分为 Part 1 基础规范和 Part 2 扩展规范)。XAdES 建立在 W3C 的 XML-DSig(XML 数字签名)标准之上,增加了长期有效性、签名时间戳、证书链嵌入等特性,满足欧盟 eIDAS 条例对"高级电子签名"的法律要求。

在 eCoC 的技术规范中,EU 2018/858 及其配套实施法规要求 eCoC 文件必须使用 XAdES 进行签名,以确保文件的法律效力和可长期验证性。

XAdES 的签名格式层级

XAdES 定义了多个签名格式级别,每一级都在前一级的基础上增加更多保护属性:

XAdES-BES(Basic Electronic Signature)

基础级别,包含签名值、签名证书的引用,以及签名时间。这是最简单的 XAdES 形式,但不包含时间戳,签名的时间有效性依赖证书的有效期。

XAdES-T(Timestamp)

在 BES 基础上增加了签名时间戳,由可信时间戳机构(TSA)颁发。时间戳证明签名在特定时间点确实存在,即使签名证书后来被吊销,历史签名的有效性仍可被证明。

XAdES-XL(Extended Long-term)

在 T 的基础上嵌入了完整的证书链吊销状态信息(CRL 或 OCSP 响应)。这意味着验证时无需再去网络查询证书状态,适合长期归档场景。

XAdES-A(Archival)

最高级别,在 XL 基础上增加了归档时间戳,防止随着哈希算法或证书算法老化导致签名失效。适用于需要数十年有效性的场景。

eCoC 的实践要求:一般而言,eCoC 场景至少需要 XAdES-T 级别以满足法规要求,部分成员国的 NAP 可能要求更高级别。建议在接入具体 NAP 之前,确认其技术规范中对签名级别的具体要求。

XAdES 的签名形式

除了级别,XAdES 还有三种签名嵌入形式:

  • Enveloped(包裹式):签名被嵌入到被签名的 XML 文档内部,适合对整个 XML 文件签名的场景,eCoC 通常采用此形式。
  • Enveloping(封装式):被签名内容被放入签名结构内部。
  • Detached(分离式):签名与被签名文件分离存储,通过 URI 引用关联。

在 eCoC 的 XML Schema 中,签名元素(<ds:Signature>)通常以 Enveloped 形式嵌入到 eCoC 根元素内,签名覆盖整个文档(使用 XPath transform 排除签名元素自身)。

证书要求:eIDAS 与 QTSP

eCoC 的 XAdES 签名证书必须来自 eIDAS 合规的合格信任服务提供商(QTSP,Qualified Trust Service Provider)。具体要求包括:

  1. 合格签名证书:证书类型必须是 eIDAS 定义的"合格电子签名证书"或"合格电子印章证书"(分别对应个人签名和法人签名场景),由欧盟信任列表(EU Trust List,简称 EUTL)上的 QTSP 颁发。
  2. QSCD 要求:私钥必须存储在合格签名创建设备(QSCD,如 HSM 硬件安全模块)中,以满足"合格电子签名"的法律要求。
  3. 目标国认可:虽然 eIDAS 在欧盟范围内有强制互认原则,但在实际操作中,建议确认目标成员国的 NAP 接受清单。

国内企业申请证书的实际路径

对于中国企业而言,申请欧盟 QTSP 证书存在一定的实际门槛:大多数 QTSP 要求申请人(通常是法人代表或授权签署人)完成身份核验(eKYC),部分需要线下公证。申请周期通常在 2-6 周,建议提前安排,不要等到系统开发完成才启动证书申请。

在 eCoC XML 中的实现要点

以下是工程师在实现 XAdES eCoC 签名时需要注意的几个关键点:

规范化(Canonicalization)

XML 签名对空白字符、命名空间前缀等细节极为敏感。必须使用标准的 XML 规范化算法(如 http://www.w3.org/TR/2001/REC-xml-c14n-20010315 或 Exclusive Canonicalization)确保签名的稳定性。

引用完整性

<ds:Reference> 元素必须正确引用被签名的内容节点,并使用适当的 Transform(如 Enveloped Signature Transform)。任何对 XML 结构的意外修改都会导致签名验证失败。

时间戳服务的可用性

生产环境中需要确保 TSA 服务的高可用性,建议配置多个备用 TSA,避免因时间戳服务不可用导致签名流程中断。

XAdES 的技术复杂度远超普通 PDF 签名,尤其是在多系统集成和长期有效性保障方面。如果你的工程团队正在评估 XAdES 实施方案,欢迎预约我们的技术咨询,我们可以结合你的 IT 架构给出具体的实现路径建议。

如果你正在推进 eCoC 合规

欢迎预约 30 分钟免费咨询,我们会根据你的业务给出具体落地建议。