（通信与信息系统专业论文）基于证书网关的数字证书跨ca查取技术研究.pdf

武汉理工大学硕士学位论文 摘要 数字证书是一种权威性的电子文档。它是由一个权威机构一一c a ( c e r t i f i c a t i o na u t h o r i t y ) 发行的，人们可以在互联网交往中用它来识别对方的 身份。当一方需要给另一方发送加密信息时，则首先需要获得对方的数字证书。 在一个存在多个c a 的p k i ( p u b l i ck e yi n f r a s t r u c t u r e ，公开密钥基础设施) 体系 中，如何跨越不同c a 在线查取证书是一个到目前为止还没有很好解决的关键问 题。 本文对数字证书的查取技术进行了研究，针对数字证书跨c a 查取的需求， 设计出一种基于证书网关的跨c a 的数字证书查取系统，该系统在不改变c a 现有 结构、不要求统一命名空间的前提下，实现了数字证书跨c a 的查取。证书用户 在任意一个c a 登陆系统后，向证书网关提交用户名、电子邮件等查询条件，查 询到系统中所有c a 中符合查询条件的用户的数字证书。证书用户能根据需要， 选择下载搜索到的用户的数字证书。 本文研究了数字证书跨c a 查取系统的网络结构，分析了证书查询请求的转 发方式，通过广度优先生成树的方式优化了网络结构，并通过证书网关的配置 文件实现了网络优化。 本文通过超文本传输协议实现了证书用户和证书网关之间的交互，证书用 户以浏览器为客户端，通过网页将数字证书查询请求提交给证书网关所在的w e b 服务器进行处理。证书网关与证书网关之间使用w e bs e r v i c e s 协议进行交互，通 过w e bs e r v i c e s 服务的接口，能获得其他网关所在c a 的数据库的用户的数字证 书，实现了证书网关之间的通信。证书网关与数据库之间使用的是j d b c 技术， 证书网关能快速的查询并获取用户的数字证书。 本文使用的是l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) 证书库，定义 了一条数据库的s c h e m a ，增加了一个对象类，此对象类具有证书区别名的属性。 在证书库中的每个用户条目都包含用户名、电子邮件、证书区别名、证书等属 性，证书用户能通过用户名、电子邮件、证书区别名等查询条件获取对应用户 的数字证书。 关键词：证书网关，轻量级目录协议，证书认证中心 武汉理工大学硕士学位论文 a b s t r a c t d i g i t a lc e r t i f i c a t ei sa na u t h o r i t a t i v ee l e c t r o n i cd o c u m e n t i ti si s s u e df r o ma n a u t h o r i t y c a ( c e r t i f i c a t i o na u t h o r i t y ) ，p e o p l ec a nu s ed i g i t a lc e r t i f i c a t eo nt h e i n t e m e tt oi d e n t i f ye a c ho t h e r si d e n t i t y w h e nt h eo t h e rp a r t yn e e dt os e n de n c r y p t e d i n f o r m a t i o n ，t h e nf i r s to fa l ln e e de a c ho t h e r sd i g i t a lc e r t i f i c a t e s e x i s ti nan u m b e ro f c a sp k i ( p u b l i ck e yi n f r a s t r u c t u r e ) s y s t e m ，h o wa c r o s sd i f f e r e n tc ao n l i n ea c c e s s t ot h ec u r r e n tc e r t i f i c a t ei sn o ty e ts o l v e dt h ek e yi s s u e t h i st h e s i sf o c u s e so nr e s e a r c ho ft h ed i g i t a lc e r t i f i c a t ef o ra c c e s s ，f o rt h en e e d o ft r a n s - c ac e r t i f i c a t er e t r i e v a l ，d e s i g n sat r a n s c ac e r t i f i c a t er e t r i e v a ls y s t e mb a s e d c e r t i f i c a t eg a t e w a y , t h i ss y s t e md o e sn o tc h a n g ei nt h ee x i s t i n gs t r u c t u r eo fc a ，d o e s n o tr e q u i r et h ep r e m i s eo fau n i f i e dn a m e s p a c e ，a n di tr e a l i z e st h ed i g i t a lc e r t i f i c a t e t r a n s - c ac e r t i f i c a t er e t r i e v a l ac e r t i f i c a t eu s e ri n a n yc al a n d i n gs y s t e m ，t h e g a t e w a yt ot h ec e r t i f i c a t es u b m i t t e db yu s e rn a m e ，e m a i lq u e r y , q u e r y t ot h eg a t e w a y a s s o c i a t e d 、 ，i t l lt h ec e r t i f i c a t eo ft h eu s e rd a t a b a s eo fd i g i t a lc e r t i f i c a t e s ，a sw e l la s o t h e rc e r t i f i c a t e sc e r t i f i c a t eg a t e w a yc o n n e c t e dn e t w o r kc l e a r a n c eo ft h ed a t a b a s e u n d e rt h eu s e r sd i g i t a lc e r t i f i c a t e t h ec e r t i f i c a t eu s e rc h o o s e st od o w n l o a dt h e d i g it a lc e r t i f i c a t ef o rh i sn e e df r o mt h es e a r c hr e s u l t 。 i nt h i s t h e s i s ，t h ec ad i g i t a lc e r t i f i c a t et oa c c e s st h es y s t e mi n t e r - n e t w o r k s t r u c t u r e ，a na n a l y s i so ft h et r a n s m i t t e dc e r t i f i c a t eq u e r yr e q u e s t ，t h r o u g ht h ew a yo f b r e a d t h - f i r s t s p a n n i n g t r e et oo p t i m i z et h en e t w o r ks t r u c t u r e ，a n dt h r o u g ht h e c e r t i f i c a t ep r o f i l eg a t e w a yn e t w o r ko p t i m i z a t i o na c h i e v e d i nt h i st h e s i s ，h y p e r t e x tt r a n s f e rp r o t o c o li su s e db e t w e e nc e r t i f i c a t eu s e ra n d c e r t i f i c a t eg a t e w a y t h ec e r t i f i c a t eu s e rf o rt h ec l i e n tt ob r o w s et h r o u g ht h ew e b s i t e w i l lb et h ed i g i t a lc e r t i f i c a t eq u e r yr e q u e s tt ot h ec e r t i f i c a t eo ft h ew e bs e r v e rw h e r e t h eg a t e w a yf o rp r o c e s s i n g t h ew e bs e r v i c e st e c h n o l o g yi su s e db e t w e e n g a t e w a y s t h r o u g ht h ew e bs e r v i c e si n t e r f a c es e r v i c e s ，g a t e w a ya c c e s st oo t h e rd a t a b a s e s w h e r et h ec a sd i g i t a lc e r t i f i c a t eu s e r st or e a l i z et h ec o m m u n i c a t i o nb e t w e e nt h e g a t e w a yc e r t i f i c a t e b e t w e e nt h eg a t e w a ya n dt h ed a t a b a s ej d b ct e c h n o l o g yi su s i n g ， i i 武汉理工大学硕士学位论文 t h ec e r t i f i c a t eg a t e w a yc a nq u i c k l yq u e r yd a t a b a s ea n da c c e s st ot h eu s e r sd i g i t a l c e r t i f i c a t e t h i st h e s i si st h eu s eo fl d a pc e r t i f i c a t es t o r e ( l i g h t w e i g h td i r e c t o r ya c c e s s p r o t o c 0 1 ) ，d e f i n e sad a t a b a s es c h e m a , a n di n c r e a s e sa no b j e c tc l a s s ，w h i c hh a st h e a t t r i b u t e d i s t i n g u i s h e dn a m e i nt h ec e r t i f i c a t el i b r a r yf o re a c hu s e re n t r yc o n t a i n s c o m m o nn a m e ，e - m a i l ，c e r t i f i c a t ed i s t i n g u i s h e dn a m e ，c e r t i f i c a t e sa n do t h e ra t t r i b u t e s o ft h eu s e r t h ec e r t i f i c a t eu s e rc a nq u e r yu s e r sd i g i t a lc e r t i f i c a t eb yu s e r sc o m m o n n a m e e - m a i la n dc e r t i f i c a t ed i s t i n g u i s h e dn a m e k e y w o r d s ：c e r t i f i c a t eg a t e w a y , l d a p , c a i i i 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得 武汉理工大学或其它教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。 签名：衄日期：兰塑厶三 学位论文使用授权书 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即： 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权武汉理工大学可以将本学位论文的 全部内容编入有关数据库进行检索，可以采用影印、缩印或其他复制 手段保存或汇编本学位论文。同时授权经武汉理工大学认可的国家有 关机构或论文数据库使用或收录本学位论文，并向社会公众提供信息 服务。 ( 保密的论文在解密后应遵守此规定) 研究生( 签名) ：鲐，琶 导师( 签 日期0 2 叼l 3 武汉理工大学硕士学位论文 1 1 课题背景 第1 章绪论 i n t e m e t 网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得 商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。 为了保证互联网上电子交易及支付的安全性、保密性等，防范交易及支付过程 中的欺诈行为，必须在网上建立种信任机制。这就要求参加电子商务的买方 和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证【1 3 】。数 字证书是一种权威性的电子文档，它具有电子签名及信息加密两大功能，可以 有效地解决如网上商店、网上银行、网上政府等相关操作方的身份认证问题， 确保网络上的身份是真实的、不可假冒的，并能运用对称和非对称密码体制等 密码技术，建立起一套安全的信息传输系统，确保信息除发送方和接收方外不 被其他人窃取以及信息在传输过程中不被篡改，有效地保障相关操作信息的安 全性、完整性及不可否认性，从而建立一个安全可靠的网络环境。数字证书是 由一个权威机构a 发行的，人们可以在互联网交往中用它来识别对方的身 份。当然在数字证书认证的过程中，c a 作为权威的、公正的、可信赖的第三方， 其作用是至关重要的【4 刮。 自1 9 9 8 年在上海市成立第一家c a 以来，全国已经有超过三十四家c a 中 心，每个c a 机构都可以负责签发证书、认证证书、管理已颁发证书，各个c a 基本上是分散的，并且一个c a 签发的证书只能在该c a 的作用域内应用。当一 方需要给另一方发送加密信息时，则首先需要获得对方的数字证书。如果双方 都在同一个c a 信任域，这个问题比较容易解决，只需到双方所在c a 的l d a p 证书库查取对方的证书即可【_ 7 引。但是，若双方在不同c a ，则会遇到困难，因 为你可能不知道对方c a 的l d a p 服务器在哪，甚至可能不知道对方来自哪个 c a ，并且对方可能有多个不同c a 签发的数字证书。如何实现数字证书跨c a 的应用，仅解决跨c a 证书信任是不够的，需要解决的另一个关键技术问题是如 何跨不同c a 获取数字证书【9 1 0 1 。 武汉理工大学硕士学位论文 1 2 国内外研究水平及动态 电子商务、电子政务对网络安全的要求，不仅推动着互联网交易秩序和交 易环境的建设，同时也带来了巨大的商业利润。从1 9 9 9 年8 月3 日成立的我国第 一家c a 认证中心中国电信c a 安全认证系统起，目前我国已有1 4 0 多家c a 认 证机构，但大都不具备合法身份。从2 0 0 4 年8 月8 日中华人民共和国电子签名 法颁布以后，已被信息产业部审批的合法c a 机构已有2 2 家。其中一些行业建 成了自己的一套c a 体系，如中国金融认证中心( c f c a ) 、中国电信c a 安全认证 系统( c t c a ) 等；还有一些地区建立了区域性的c a 体系，如北京数字证书认 证中心( b j c a ) 、上海电子商务c a 认证中心( s h e c a ) 、广东省电子商务认证 中心( c n c a ) 、云南省电子商务认证中心( c n c a ) 等。 ( 1 ) 中国电信c t c a 中国电信自1 9 9 6 年开始进行电子商务安全认证的研究、试验工作；1 9 9 7 年 底，开始进行电子商务试点工作；1 9 9 9 年8 月3 日，中国电信c t c a 安全认证系统 通过国家密码委员会和信息产业部的联合鉴定，并获得国家信息产品安全认证 中心颁发的认证证书，成为首家允许在公网上运营的c a 安全认证系统。目前， 中国电信可以在全国范围内向用户提供c a 证书服务。现在中国电信已经为用户 发放了六万多张c t c a 证书。 ( 2 ) 中国金融认证中心c f c a 中国金融认证中心于2 0 0 0 年6 月2 9 日正式挂牌成立，是经中国人民银行和国 家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金 融信息安全基础设施之一，也是中华人民共和国电子签名法颁布后，国内 首批获得电子认证服务许可的c a 之一。其国产化p k i c a 系统始建于2 0 0 3 年，被 列入国家8 6 3 计划，得到了中国人民银行、国家科技部、国家密码管理局和中国 银联的高度重视和支持。2 0 0 5 年5 月，该系统正式通过国家科技部8 6 3 项目验收， 并开始大规模应用。在中国金融认证中心发放的证书超过了一百万张【l 。 从9 0 年代初期以来，美国、加拿大等国相继开展了p k i c a 体系的研究和建 设工作。 ( 1 ) 美国联邦p k i ( f p k i ) 体系 f p k i 体系主要由联邦的桥认证机构( f b c a ) ，首级认证机构( p c a ) ，次级 认证机构( s c a ) 等组成。它是一种混合结构，可以支持树状结构、网状结构和 2 武汉理工大学硕士学位论文 信任列表等。它允许加入f p k i 体系中的机构可以使用任何结构的p k i 信任域。 f b c a 是f p k i 体系中的核心组织，是不同信任域之间的桥梁c a 。它与不同的信 任域之间建立对等的信任关系，同时允许用户保留他们自己的原始信任点。它 主要负责为不同信任域的首级c a 颁发交叉认证的证书，建立各个信任域的担保 等级与f b c a 的担保等级之间的一一映射关系，更新交叉认证证书，发布交叉认 证证书注销清单。它不要求一个机构在与另一个机构发生信任关系时，必须遵 循联邦p k i 所确定的这种映射关系，而是可以采用它认为合适的映射关系建立彼 此之间的信任。 ( 2 ) 加拿大政府p k i ( g o cp k i ) 体系 与f p k i 相比，g o cp k i 体系结构要简单得多，它是一个树状结构。加拿大 政府p k i 体系结构是由政策管理机构( p m a ) 、中央认证机构( c c f ) 、一级c a 和当地注册机构( l r a ) 组成。c c f 是中央认证机构，它实施g o cp k i 体系中的 所有策略，签署和管理与一级c a 交叉认证的证书。一级c a 是由政府运营，制定 一个和多个证书担保的等级，分发和管理数字证书，定期颁布证书注销清单。 l r a 是一级c a 设置的登记机构，其职责是认证和鉴别申请者的身份；为密钥恢 复或证书恢复请求进行审批；接受并审批证书的注销请求【l 2 1 。 现阶段，数字证书的查取验证机制是基于轻量级目录访问协议( l d a p ) 。 l d a p 查取验证服务系统是p k i 体系的重要组成部分，为数字证书的应用提 供证书查取服务：c a 签发完证书或是证书废除列表c r l ( c e r t i f i c a t er e v o c a t i o n l i s t ) 后，会将其发布到l d a p 上去；用户登录c a 的查询系统，输入条件进行 查询，l d a p 服务器根据用户的查询条件查询出数据，用户选择所要下载的证 书，c a 系统的l d a p 服务器将选择证书从本l d a p 服务器下载下来并发送到客 户端；通过c r l 文件，用户还可以对数字证书是否废除进行验证【l3 ，1 4 j 。 l d a p 机制在任意计算机平台上可以快速访问查询数据，都是在一个c a 的p k i 体系中实现了数字证书的查取，并没有很好的实现数字证书跨c a 查 取。有人提出了一个解决数字证书跨域查取的一个途径，在已有l d a p 系统 的基础上构建一个统一的l d a p 体系，但这需要所有c a 遵从统一的命名空 间，且各c a 的命名空间相互分离不重叠，而这显然是不现实的，因为各c a 通常有自己的命名空间，且相互间可能存在重叠，比如两个c a 可能向同一个 机构的用户签发数字证书，这样0 ( o r g a n i z a t i o n ) 和o u ( o r g a n i z a t i o nu n i t ) 就会存在重叠【l 引。 3 武汉理工大学硕士学位论文 本文将在l d a p 查取的机制上，提出证书网关的概念，解决数字证书跨 c a 查取的技术问题。 1 3 本论文的主要研究工作 本文通过超文本传输协议实现了证书用户和证书网关之间的交互，证书用 户以浏览为客户端，通过网页将数字证书查询请求提交给证书网关所在的w e b 服务器进行处理。证书网关与证书网关之间使用w e bs e r v i c e s 协议进行交互，通 过w e bs e r v i c e s j 艮务的接口，能获得其他网关所在c a 的数据库的用户的数字证 书，实现了证书网关之间的通信。证书网关与数据库之间使用的是j d b c 技术， 证书网关能快速的查询并获取到用户的数字证书。 本文使用的是l d a p 证书库，定义了一条数据库的s c h e m a ，增加了一个对象 类，此对象类具有证书区别名的属性。在证书库中的每个用户条目都包含用户 名、电子邮件、证书区别名、证书等属性，证书用户能通过用户名、电子邮件、 证书区别名等查询条件获取对应用户的数字证书。 1 4 本论文结构 本论文共分为五章，各章的内容具体安排如下 第一章绪论 介绍课题的背景和来源，作者所做的工作以及论文的结构。 第二章证书跨c a 查取系统的原理 介绍了数字证书跨c a 查取系统的原理，网络结构及工作原理。 第三章证书跨c a 查取系统的设计 介绍了证书跨c a 查取系统的设计以及各个模块的功能。 第四章证书跨c a 查取系统的实现 介绍了数字证书跨c a 查取系统的实现，并通过一个简单的应用示例展示了 整个系统的操作流程。 第五章总结与展望 结束语总结了本文的研究成果，并根据设计实现过程中所进行的思考，提 出了目前系统还存在的不足之处，以及下一步改进工作的想法。 4 武汉理工大学硕士学位论文 第2 章证书跨c a 查取系统的原理 2 1 系统介绍 在现有的c a 体系中，各个c a 中心基本上都是分散的，如图2 1 所示，各 个c a 分布在因特网中，当一个证书用户需要下载某个c a ( 例如：c o ) 的 证书订户的数字证书时，证书用户需要知道c a 的地址，通过因特网连接到证书 中心，并从c a 的证书库l d a p 中搜索并下载证书用户需要的数字证书。 图2 1c a 分布图 其中证书用户和c a 之间使用的是h t t p 协议的客户服务器模式，而c a 与 证书库之间使用的j d b c 技术，如图2 2 所示。 h t t p 请求 图2 - 2c a 系统的协议 5 武汉理工大学硕士学位论文 证书用户输入c a 的地址后，通过h t t p 协议将证书查询的请求传递给c a ， c a 在接收到用户的h 1 v r p 请求后，通过j d b c 技术在本地的l d a p 数据库中查 找符合条件的证书，并通过h t t p 协议将查找到的证书返回给证书用户，提供 给证书用户下载。但是，如果证书用户需要下载的数字证书存放在c ab 的证 书库中，而证书用户仅仅知道c aa 的地址，那么证书用户将不能获得需要的 数字证书。 根据实际应用的需求，本文提出证书网关的概念，实现证书跨c a 查取系统。 证书跨c a 查取系统通过证书网关，将分布在不同域的c a 连接起来，每个c a 都和一个证书网关相连，通过证书网关之间相互连接，实现了c a 之间的通信。 证书网关的实质是一个l d a p 网关，它与各个c a 的l d a p 证书库系统相连， 提供跨c a 的证书查询、获取【i 引。 与传统的c a 系统相同，证书用户和证书网关之间采用h t t p 协议，证书网 关通过h t t p 协议的客户n 务器模式获得证书用户的请求，并根据请求的条件 查询证书库，将数字查询到的数字证书返回给证书用户；证书网关与l d a p 数 据库的交互依然采用l d a p 协议。与传统c a 系统不同的是证书网关之间采用 w e bs e r v i c e s 协议交互。 w e bs e r v i c e s 使原来各孤立的各个c a 之间的信息能够相互通信。w e b s e r v i c e s 所使用的是i n t e m e t 上统一的、开放的标准，所以w e bs e r v i c e 可以在任 何支持这些标准的环境( 例如：w i n d o w s ，l i n u x ) 中使用。w e bs e r v i c e 是一个 用于分散和分布式环境下，基于x m l 的网络信息交换的通讯协议。在此协议下， 软件组件或应用程序能够通过标准的h t t p 协议进行通讯。在现有的c a 系统上， 只需实现一个标准的w e bs e r v i c e s 接口，既能实现证书跨c a 查取系统。且该系 统具有较高简单性和扩展性，有助于大量异构程序和平台的c a 系统之间的互操 作。 证书跨c a 查取系统结构如图2 3 所示。该系统的基本工作原理如下：证 书订户在某个c a 签发的数字证书通过该c a 的l d a p 向外发布；当某用户需 要获取其它人的数字证书时，该用户向证书网关提交查询请求，并给出查询 条件( 如电子邮箱、c o m m o nn a m e 等) ：该证书网关通过与c a 的l d a p 系 统、其它证书网关交互，查找满足条件的数字证书，并将结果返回给查询者。 6 图2 - 3 证书网关技术体系的系统结构 2 , 2 证书网关之间的通信方式 设定证书跨c a , 查取系统中有四个c a ，他们通过证书网关相互连接，四个 证书网关的连接方式如图2 4 所示。 图2 - 4 证书网关的连接方式 当证书网关a 接收到证书用户的证书查询请求后，首先在证书网关a 所在 的域中查询数字证书，之后通过广播的方式将证书查询请求转发给证书网关a 相邻的其他证书网关，如图2 5 所示。 图2 - 5 证书网关a 转发请求 7 武汉理工大学硕士学位论文 当证书网关b 接收到证书网关a 的证书请求后，证书网关b 也先在其所在 的域查询数字证书后，再次通过广播的方式将证书查询请求转发给证书网关b 相连的其他证书网关。通过广播的方式在证书网关之间进行请求的转发，可以 遍历整个系统的所有c a 这样就实现了证书跨c a 的查取。 但是，证书网关这样的通信存在一个很大的问题：证书查询的请求不停的 在网络中转发，并且没有方向性，例如证书网关a 将证书查询请求转发给证书 网关b 后，证书网关b 又会将证书查询请求转发给证书网关a ，本文通过添加 一个链表，来记录证书请求走过的路径，使得请求不会发起请求的域转发。 当证书网关a 向证书网关c 转发证书查询请求时，证书网关会同时传递给 证书网关c 一个链表，链表里面记录是证书网关a 所在的域。当证书网关c 通 过广播的方式转发证书请求前，证书网关c 首先去检查链表中请求已经经过的 域( 这里是证书网关a 所在的域) ，之后将自己所在的域信息添加进链表中，最 后将证书查询请求以广播的方式转发给证书网关d ，而不回发证书网关a ；同样 的证书网关d 将通过广播的方式将证书查询请求转发给证书网关b ，而不会转 发给证书网关a 和证书网关c 。通信流程如图2 - 6 所示。 t 删陌志习竺! i 再旨 图2 - 6 证书网关通信流程 采用了路径标志的链表的广播方式具有以下优点： ( 1 ) 速度快。广播的方式最大的优点就是速度快。直接向每个证书网关发 出查询通知，没有经过任何的中间节点。 ( 2 ) 实现简单。广播的方式实现起来很简单，不涉及很复杂的技术问题， 每个证书网关只需要配置网络中其余的证书网关的服务地址就可以了。 也存在以下缺点： ( 1 ) 对网络拓扑结构要求比较高。广播的方式要求每个证书网关都配置有 其余所有证书网关的服务地址，也就是说要求任意两个证书网关都是直接相连 8 武汉理工大学硕士学位论文 的，一旦存在不直接相连的证书网关，证书查询请求就无法转发，可能查询不 到系统中某个c a 中符合查询条件的证书。 ( 2 ) 不够灵活。如果证书网关的网络拓扑结构经常发生变化，或者增加和 删除某些证书网关，则每次都需要更新每个证书网关的网络连接配置，操作起 来极其不方便。 2 3 系统网络的优化 多个证书网关相连构成的数字证书跨域查取系统实际上是一个无向的连通 图，每个证书网关是连通图的结点。图2 - 4 中的证书网关结构可以看作连通图， 如图2 7 所示。 图2 - 7 证书网关的结构的连通图 生成树是连通图的包含图中的所有顶点的极小连通子图，图的生成树不唯 一，从不同的顶点出发进行遍历，可以得到不同的生成树。当以结点a 为顶点 时，可以得到多个生成树，部分生成树如图2 8 所示。 图2 - 8 结点a 为顶点的生成树 当以结点b 为顶点时，可以得到多个生成树，部分生成树如图2 - 9 所示。 9 武汉理工大学硕士学位论文 图2 - 9 结点b 为顶点的生成树 生成树优化的系统网络有两个不确定性：一个是生成树的顶点，一个是生 成树的方法。当选定连通图的一个结点作为顶点后，通过连通图的深度优先搜 索或广度优先搜索就可以获得唯一的深度优先生成树或广度优先生成树1 6 ，1 7 1 。 当b 为顶点时，图2 7 的连通图的深度优先生成树如图2 1 0 所示。 图2 - 1 0 深度优先生成树 则对应的证书网关的连接图如图2 1 1 所示。 图2 - 1 1 优化后的证书网关连接 1 0 武汉理工大学硕士学位论文 对应的系统体系结构如图2 1 2 所示。 当用户a 需要查询、获取某证书订户b 的数字证书时，用户a 向某个证书 网关( 这里是证书网关a ) 提交证书查询请求，网关a 向所有与它相连的l d a p 系统和其它网关( 这里是证书网关b ) 转发该请求，接收到该请求的所有证书网 关重复这个过程，最终所有c a 的l d a p 系统都接收到了该查询请求；每个l d a p 将查询结果返回给与之相连的证书网关，证书网关在从相连的l d a p 、证书网关 获得所有的查询结果后，对查询结果进行合成形成新的结果( 合成结果可能包 含一个或多个来自不同c a 的订户证书，也可能无证书) ，并将合成的结果沿与 请求到达相反的方向返回给相邻的网关，比如网关b 将来自与它相连的l d a p 系统及网关c 返回的查询结果合成后返回给网关a ；最终，最初接收到查询请 求的证书网关a 将最后的合成查询结果返回给请求提交者( 用户a ) 。( 图2 1 0 中的虚线箭头表明了订户b 的数字证书的返回路径) 2 4 本章小结 图2 1 2 优化后的系统体系结构 ( 证书订户) 本章通过对现有的c a 系统进行分析，提出证书网关的概念，构建了证书跨 c a 查取系统，对系统的技术体系原理进行了介绍，分析了系统网络的工作原理 并采用生成树对系统网络进行了优化。 武汉理工大学硕士学位论文 第3 章证书跨c a 查取系统的设计 3 1 证书网关的设计 3 1 1 证书网关的结构和功能 证书网关包括三个部分：w e b 服务，w e bs e r v i c e s 服务和配置文件。其结构 如图3 1 。 图3 - 1 证书网关的结构 ( 1 ) w 曲服务 w e b 服务部分是接收用户的证书查询请求的。当某个用户在证书网关a 所 在的c a 通过h t t p 协议请求查询数字证书时，w e b 服务部分通过请求的查询条 件，在本地的l d a p 数据库中获得符合条件的数字证书，并将请求转发给与证 书网关a 相邻的其他证书网关( 这里是证书网关b 和证书网关c ) ，最后将查询 到的证书保存在s e s s i o n 中，提供给用户下载1 8 ，1 9 1 。 ( 2 ) w e bs e r v i c e s 服务 w e bs e r v i c e s 服务是用来接收其他网关的证书查询请求的。w e bs e r v i c e s 服 1 2 武汉理工大学硕士学位论文 务接受到远程的证书查询请求后，在本地的l d a p 数据库中，查找符合条件的 树证书，并将查询请求转发给其他相邻证书网关( 不包括已经响应请求的证书 网关) ，这样可以遍历所有的c a 的l d a p 数据库2 0 , 2 1 1 。 ( 3 ) 配置文件 配置文件里是w e bs e r v i c e s 服务需要的一些信息，包括本证书网关所在c a 的名称c a n s ，本w 曲s e r v i c e s 服务的地址m y u r l ，和相邻的证书网关的w e b s e r v i c e s 服务的地址a d j a c e n t d o m a i n 。 3 1 2 证书网关之间的工作流程 圉 1 3 一求一生何 武汉理工大学硕士学位论文 图3 2 所示证书网关结构中，当证书网关a 接收到证书用户的证书查询请 求后，请求将通过a b d 、a b d c 、a c d 、a c d b 、a d c 、a d b 等六条路径遍历 整个网络。证书网关的工作流程如图3 2 所示。 实线表示请求，虚线表示请求的返回。在请求走过的a b d 路径中，证书网 关a 的w e b 服务通过证书网关b 的w e bs e r v i c e s 服务获得证书网关b 所在c a 的l d a p 中的符合查询条件的数字证书后，再传递给证书网关d ，路径结束后， 将查询到的证书返回给证书网关a 的w e b 服务。当所有的请求都返回以后，证 书网关a 的w e b 服务将搜索到的所有证书提供给用户，用户可以根据需要选择 下载。 3 1 3 证书网关之间的多线程 每个正在系统上运行的程序都是一个进程。每个进程包含一到多个线程。 进程也可能是整个程序或者是部分程序的动态执行。线程是一组指令的集合， 或者是程序的特殊段，它可以在程序里独立执行。也可以把它理解为代码运行 的上下文。所以线程基本上是轻量级的进程，它负责在单个程序里执行多任务。 通常由操作系统负责多个线程的调度和执行。多线程是为了使得多个线程并行 的工作以完成多项任务，以提高系统的效率。 在数字证书跨c a 查取的系统中，当证书网关向相邻证书网关发送证书查询 请求时，都新启动一个线程，证书网关的工作流程如图3 3 所示。 实线表示请求，虚线表示请求的返回。第一步，证书网关a 通过多线程技 术，将数字证书查询请求同时转发给证书网关b ，证书网关c 和证书网关d 。 第二步，证书网关b ，证书网关c 和证书网关d 在本地的l d a p 数据库中查询 证书后，将数字证书查询请求传递给他们的证书网关。第三步，如果还有相邻 的证书网关则继续传递，如果一条路径走到终点则返回查询的结果。第四步， 所有的查询结束，返回查询的结果。等待所有的线程返回后，证书网关a 把查 询到的用户的数字证书存放在s e s s i o n 中，提供给证书用户下载。使用了多线程 技术之后，经历四步的遍历，就完成了四个证书网关之间的查询遍历，比没有 使用多线程时，缩短了遍历时间，大大的提高了数字证书查询的效率【2 2 2 3 1 。 1 4 武汉理工大学硕士学位论文 圉 3 2l d a p 数据库中的数据 3 2 1l d a p 信息表达方式 在l d a p 中信息以树状方式组织，在树状信息中的基本数据单元是条目， 而每个条目由属性构成，属性中存储有属性值；l d a p 中的信息模式，类似于面 向对象的概念，在l d a p 中每个条目必须属于某个或多个对象类( o b j e c tc l a s s ) ， 1 5 一求一青 武汉理工大学硕士学位论文 每个o b j e c tc l a s s 由多个属性类型组成，每个属性类型有所对应的语法和匹配规 则；对象类和属性类型的定义均可以使用继承的概念。每个条目创建时，必须 定义所属的对象类，必须提供对象类中的必选属性类型的属性值，在l d a p 中 一个属性类型可以对应多个值【2 4 , 2 5 】。 图3 4 表示的是一个l d a p 数据的树状结构，其中r o o t 表示数的根，o 表 示组织( o r g a n i z a t i o n ) ，o u 表示部f - j ( o r g a n i z a t i o n u n i t ) ，c 表示国家( c o u n t r y ) 。 条目o ，o u ，c 分别由各自的o b j e c tc l a s s e s 决定，拥有一个或多个属性。 i a t t r i b u t e l i ! a t t r i b u t e 2 a t t r i b u t e 2 i 一一 i i - 图3 - 4l d a p 树状结构 在l d a p 中每个条目均有自己的d n ( d i s t i n g u i s h e d n a m e ) 和r d n ( r e l a t i v e d i s t i n g u i s h e dn a m e ) 。d n 是该条目在整个树中的唯一名称标识，r d n 相对区别 名是条目在父节点下的唯一名称标识，如同文件系统中，带路径的文件名就是 d n ，文件名就是r d n t 2 6 2 7 1 。 图3 4 中，如果r o o t 为d c - - w h u t ，d c = e d u ；c 为中国( c n ) ；o 为武汉理 工大学( w h u t ) ，则在武汉理工大学的一个c n ( c o m m o nn a m e ) 为张三的人 的d n 为c n = 张三，o = w m ，t ，c = c n ，d c - - w h u t ，d c = e d u 。 3 2 2l d a p 数据库中的数据 在l d a p 数据库中，用户的d n 和用户数字证书的区别名对应，例如叫t o m 的一个用户，他的数字证书的d n 为c n = t o m ，o 翘，c - u s ，则在l d a p 数据库中，t o m 存放在美国x 敞公司的条目下，如图3 5 所示。 1 6 武汉理工大学硕士学位论文 ? u s e r c e r t i f i c a t e - ! m a i l i l ：一c e r t d n l 一 图3 5l d a p 中的数据和属性 在图3 5 中，每个用户具有以下三个属性。 ( 1 ) u s e r c e r t i f i c a t e 用户的数字证书，用来存放用户的数字证书。 ( 2 ) m a i l 用户的邮件地址，例如t o m x x x t o m 。可以通过用户的邮件信息查找到对 应的用户。 ( 3 ) c e r t d n 用户数字证书的区别名，需要和用户在l d a p 数据库的d n 相对应。 3 3 本章小结 本章首先设计了数字证书跨c a 查取系统，然后分别介绍了系统中证书网关 和数据库的功能。根据功能的需求，对证书网关和数据库的数据结构进行了定 义和设计。并通过多线程技术提供了系统的通信效率。 1 7 武汉理工大学硕士学位论文 第4 章证书跨c a 查取系统的实现 4 1 证书网关的实现 证书网关的w e b 服务以t o m c a t 为w e b 应用服务器，使用j s p 和s e r v l e t 技 术；证书网关的w e bs e r v i c e s 服务使用x f i r e 技术实现；证书网关对数据库的访 问使用了基于s p r i n g 框架的j d b c 技术。 4 1 1 证书网关的w 曲服务 j s p 的w e b 应用体系结构如图4 1 所示。 图4 - 1w e b 应用体系结构 w e b 服务器在遇到访问j s p 网页的请求时，首先执行其中的程序段，然后将 执行结果连同j s p 文件中的h t m l 代码一起返回给客户。插入的j a v a 程序段可以 操作数据库、重新定向网页等，以实现建立动态网页所需要的功能 2 8 , 2 9 1 。 j s p 与s e r v l e t 一样，是在服务器端执行的，通常返回该客户端的就是一个 h t m l 文本，因此客户端只要有浏览器就能浏览【3 0 j 。 w e b 服务包括三个