（计算机应用技术专业论文）基于web+services的ca互操作技术的应用研究.pdf

基于w e bs e r v i c b s 的c a 互操作技术的应用研究摘要公铜基础设施( p u b l i ck e yi n f r a s t r u c t u r e ) p k i 技术已成为信息安全技术的核心，公钥基础设施和认证机构( p k i c e r t i f i c a t i o na u t h o r i t i e s ) p k i c a 安全体系能够有效解决电子商务、电子政务、电子事务等的安全问题但是随着屯子商务、电子政务、电子事务的不断发展p k i c a 所带来的互操作问题制约了p k i c a 技术的应用。目前，国内外c a 互操作技术主要有桥接c 模式和树状层次模型，但实际应用中都存在很多问题，如桥接c a模式限制了p k i c a 系统之间互操作的一些功能，树状层次模型不能运用到大范围场台等问题。由于目前流行的w e bs e r v i c e s 技术具有跨平台的互操作性特点，把w e b s e r v i c e s 技术运用到c a 系统的建设中，可以解决目前c a 系统之间互操作所存在的一些问题。本文在对目前常用的几种p k i c a 互操作技术存在的问题进行了分析研究；阐述了w e bs e r v i c e s 技术原理及技术特点包括舭，s o a p ，1 s d l u d d i 等：提出了基于w e bs e r v i c e s的c a 交叉认证的模型；采用基于j 2 e e 平台的开发工具( w e b l o g i c + j b u i l d e r ) 实现了该模型的部分功能，包括一个轻量级的虚拟c 系统、c a 之间互操作服务系统该模型系统的主要特点是不用解决由于c a 处于不同平台( 如w i n d o w s ，u n i x ) 造成的异构问题，而且也不用担心用不同语言开发的应用程序间交互的问题，具有很好的跨平台性、扩展性和安全性；对原有c a 系统改动最小，可保护已有的投资；技术难度比较小，易于实现。且与未来w e b技术的发展相适应。本文共分六大部分。第一章绪论；第二章公钥基础设施p k i ；第三章w e bs e r v i c e s 技术：第四章开发工具及配置：第五章基于w e bs e r v i c e s 的c a 互操作模型的设计和实现：第六章结束语，对模型的进一步改善进行展望。关键词：公钥基础设施( p k i ) ；认证机构( c ) ；互操作；w e bs e r v i c e s基于w e bs e r v i c e s 的c a 互操作技术的应用研究a b s t r a c tp k i 伊l l b l i ck e yi n f r a s t r u c t u r e ) h a sb e e nt h ek e yo fi n f o r m a t i o ns e c u r i t y p k ic a ( p u b l l i ek e yi n f r a s t r u c t u r ea n dc e r t i f i c a t i o na u t h o r i t i e s ) s e c u r i t ys y s t e mc a nd ow i t hd i 位r e n ts e c u r i t yp r o b l e m s ，s u c h 船e - b u s i n e s s ，e - g o v e r n m e n t , e - t r a n s a c t i o na n ds oo n b u tw i t ht h ed e v e l o p m e n to ft h ee - b u s i n e s s ，e - g o v e r n m e n ta n de - t r a n s a c t i o n y k i c ai n t e r o p e r b i l i t yh a sr e s t r i c t e dt h ea p p l i c a t i o no np k 比at e c h n o l o g y n o w , i n t o r o p e r b i l i t yt e c h n i q u ee x i s t e do v e rt h ew o r l dh a ss o m ep r o b l e m st h a tb r i d g e dp k il i m i tt h ef o l la p p l i c a t i o no np k i ，c aa n dd e n d r i f o r mp k ic a n tu s ei ng r e a ta l e a t h e nw o r ko u tam o d e lo fc ai n t e r o p e m b i l i t yw i t hw | e bs e r v i c e st or e s o l v ei n t e r o p 鼬b i l i t ym a n e r b e c a u w b bs e r v i c e sc 孤u s ei nd i f f e r e n tf i a l1 醯a n c l em o r ed e e p l yd or e s e a r c hf o rt e c h n 0 1 0 9 yo fc ai n t e r o p c r a b i l i t yw i t hp r o b l e m s w g bs e r v i c e sa n di t si m p o r t a n tk n o w l e d g e - 儿，s o a p , u d d ia n dw s d l t h e nw o r ko u tam o d e lo fc ai n t e r o p e m b i l i t yw i t hw 曲s e r v i c e st or e s o l v ei n t e r o r m a b i l i t ym a t t e r t h i sm o d e ll 娣p o p u l a rw 曲s e r v i c e st e c h n o l o g ya n dw e b l o g i c + j b u i l d e rt o o l sb a s e do nj 2 e et od ow i t hc ai n t e r o p e r a b i l i t y t h e nc a r r yo u tp a r tf u n c t i o n f i r s t , s i m p l yd u m m yc as y s t e mw i l lb eb u i l t s e c o n d , a c c o m p l i s ha p p r o x i m a t e l yi n t e r o p e r a b i l i t ys e r v e r n i sm o d e lh a sal o to fa d v a n t a g e s s u c ha su n c o n s t r a i n e do s ，i n t e r o p o m b m t y ，e x t e u s i b m t ya n ds e c u f i 坝s ot h em o d l eo fc ai n t e r o p e r a b i l i t yw i t hw j bs e r v i c e sd o e s n tt a k em e a s u r e st oc o p ew i t hc ai nd i f f e r e n to p e r a t i n gs y s t e m s ( f o re x a m p l e ，w d d o w sa n dii n d ( ) ，a n dd o e s n tw o r r ya b o u tc o m m u n i c a t i o no fd i f f e r e n ta p p l i e a t i o i l sd e p e n d e n to nd i f f e r e n tp r o g r a m m i n gl a n g u a g e ；t h el e a s tc h a n g e sf o rp r i m a r yc as y s t e m ，a n dp r o t e c tp r i m a r yr e s o u r c e ；e a s yt e e h n 0 1 0 9 yc a nc o n f o r mt ow e bd e v e l o p m e n tl a t e r t h i sa r t i c l eh a ss i xp a r t s p a r to n ei si n t r o d u c t i o n p a r tt w oi sp k i ( p u b l i ck e yi n f r a s t r u c t u r e ) p a r tt h r e ei sw e bs e r v i c e st e c h n o l o g y p a r tf o u ri su s i n gt o o l sa n dd e p l o y m e n t p a r tf i v ei sr e a l i z a t i o nf o ram o d e lo fc ai n t e r o p e m b i l i t yw i t hw 曲s e r v i c e s p a r ts i xi st a g ，a n ds u m m a t i z 他a n dp r o s p e c tf o rt h i sa r t i c l e k e y w o r d ：p u b l i ck e yn 渤s t r u c t u r e ( p r d ) ；c e r t i f i c a t i o na u t h o r i t i e s ( c a ) ；i n t e r o p e r b i l i t y ；w e bs e r v i c e s基于w e bs e r v i c e s 的c a 互操作技术的应用研究第一章绪论1 1 引言在信息数字化迅速发展的今天，因特网为数字化信息社会提供了良好的技术应用载体，然而政府及企业在国家的经济发展中担当着举足轻重的角色，相应的信息化平台也在国家的经济活动运作中发挥着重要作用。而数据在传输及应用过程中的安全，无疑是最关键的一个问题那么，如何为电子商务、电子政务、电子事务构建一个安全的信息平台，为其提供良好的应用环境呢? 因此，p k i 技术正是在高度保障系统安全的需求下产生的，因为p k i( 公钥基础设施) 技术可以保证网上数据的机密性、完整性、有效性。简单地说，p k i 技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。所以，p k i 技术是信息安全技术的核心。也是电子商务、电子政务的关键和基础技术。c a 认证中心是p k i 的核心组成部分，它的功能主要是为网上各种实体颁发证明自己身份的电子证书，同时负责在使用中检验和管理证书它是电子商务、电子政务、网上银行、网上证券等网上交易具有权威性、可信任性以及公正性的第三方机构。它结合多种密码技术和手段，采用证书进行公钥管理，通过第三方的可信任机构( 认证中心，即c a ) 把用户的公钥和用户的其他标识信息捆绑在一起，以在因特网上验证用户的身份，为用户建立一个安全的网络运行环境，并可以在多种应用环境下方便地使用加密和数字签名技术来保证网上数据的机密性、完整性、有效性。正因为以上所提到的p k i c a 体系各种特点，使得通过网络进行的电子商务、电子政务等活动_ l _ l j 电子方式验证信任关系得以有效解决。从2 0 世纪8 0 年代开始，世界范围内使用因特网的人数迅速增长，为电子商务政务的发展和广泛应用提高了良好的基础。根据i d c 调查显示，2 0 0 0 年世界电子商务的交易额为3 5 4 0 亿美元，2 0 0 5 年达约5 万亿美元，年复合增长率达7 0 。有需求就会有市场，强大的网络安全需求促进了网络安全产品及服务市场的发展，随着电子商务政务成为世界范围内新的研究热点。其安全性也相应成为实施中的关键问题，也是技术难点因此，p k i 技术正是在网络高度安全的需求下产生的，因为p k i 技术能让网上数据的传输保证机密性、完整性、有效性。目前，p k i 产品的生产厂家很多，具有代表性的主要是e n t r u s t 和v e r i s i g n 。e n t r u s t 作为北方电讯的控股公司，从事p k i 软件的研究与产品开发已经有很多年的历史，并一直在业界保持领先地位。占p k i 软件市场3 0 左右的份额，它拥有许多成熟的p k i 及配套产品，能提供有效的密钥管理功能，而e n t r u s t 的解决方案和其他出售商颁布的x 5 0 9证书不能互操作是其需要解决的最大问题。这点充分说明了目前的问题：由于没有统一的p k i 互操作标准，不同种类产品或者实施不同安全策略的c a 之问很难兼容和互操作。使得数字认证技术的广泛应用受到了制约，同时也成为制约电子商务发展以及电子政务战略实施的瓶颈。目前，中国已经成立了相当数量的c 屯他们分属于不同行业、不同区域，且技术各异，如进行重新规划再投资则数量巨大，且造成已有投资浪费。综合国内外在p k i c a 互操作上的发展水平，不管是已经采用还是将要采用的方案都会造成较大的代价和浪费，所以很有必要针对目前实际情况研究出较可行的方案。研究目标是令可行的互操作方案应该不仅要在技术理论上是可行的，还要符合中国c a 的实际发展情况，应做到在对现有p k i 做最小改动、产生最小影响的情况下，实现c a 之间的交叉认证，并保证原有系统的安全性和可扩展性，减少改3基于w e bs e r v i c e s 的c a 互操作技术的应用研究造c a 的代价。因此考虑提出利用w e bs e r v i c e s 技术来实现c a 互操作的难题。为什么要提出用w e bs e r v i c e s 技术呢? 首先，w e bs e r v i c e s 是面向服务的应用程序，能够在w e b 上动态地交互，具有很强的重用性和灵活性其次具有较完善的安全机制，保证数据传输的完整性和机密性。最后，w e b 服务体系结构最重要的优点，就是允许在不同平台上使用不同编程语言以一种基于标准的技术开发程序，来与其它应用程序通讯。因为w e b服务建立在对开放标准舭广泛接受的基础上，w e b 服务使用x 札序列化其客户端收发的数据。即使客户端和w e b 服务主机使用不同的操作系统，或者应用程序使用不同的程序语言开发，只要客户端程序可以解析) 衄。，那么它就可以使用w e b 服务返回的数据。所以现在希望采取w e b 服务的方式来实现c a 互操作，完全利用w e b 服务的跨平台无限制性以及互操作性、可扩展性的优点来包装实现现在的不同c a 间的互操作，保留曾经花大量资金跟人力的老c a 以及相应应用程序系统，考虑对原有的c a 结构做出最小的修改实现基于w e b 服务的c a 互操作系统。1 2 本文的研究内容依据上述对c a 互操作理论和w e bs e r v i c e s 技术的阐述，在当前社会如火如荼推行商务电子化的背景下，结合研究应服务于实践的原则，确定本文的研究任务：针对实现以w e bs e r v i c e s 为基础的c a 互认证模型及其涉及的主要技术方法进行研究。首先，阐述了c a 互操作的产生背景、概念、瓶颈和信任模型：其次，对认证中重要的数字签名和认证机构进行介绍。然后，对关键技术w e bs e r v i c e s 概念和构架进行介绍，讨论它的实现的相关技术：最后，应用c a 互操作和w e bs e r v i c e s 研究的理论、技术和方法，阐述出设计和实现，并提出了一种基于w e bs e r v i c e s 的c a 互操作模型，以及给出具体实现和设计。1 3 本文的结构与组织本文共分六章，第一章是绪论，第二章简述公钥基础设旌p k i ，具体叙述了认证机构和数字签名的相关理论，第三章叙述关键技术- w e bs e r v i c e s ，第四章介绍开发工具及配置。第五章是基于w e bs e r v i c e s 的c a 互操作模型的设计与实现。第六章是结束语具体结构和组织为：第一章绪论对c a 互认证存在的问题进行综述，提出合适目前发展的方案，阐述了c a 互操作存在问题以及对利用的w e bs e r v i c e s 技术的特点简单叙述。第二章公钥基础设施p k i从总体上介绍了一下p k i 技术，首先阐述它的概念和特点，其次介绍它的体系结构，接着介绍了p k i 的核心c a 认证中心，其中给出c a 系统结构以及相关技术的叙述，分析目前c a 中儿种互信任模型以及国内外c a 发展现状和前景。针对数字签名的理论基础一密码学方面进行介绑，先列山了对称密钥密码和非对称密钥密码两大体系。再讲述了数字签名的原理。撮后讨论p k i 的技术标准和它的发展前景。第三章w e bs e r v i c e s 技术w e bs e r v i c e s 的实现依赖于很多技术，这一章的任务就是介绍本文中的将运用的一些技术( 札，s o a p ，u i d i 和w s d l ) 的概念，并详细的介绍它们相关的技术要点。在讨论w e bs e r v i c e s 的安全性。第四章开发工具及配置首先，介绍了j 2 e e 架构并跟n e t 进行比较，接着再比较了基于j 2 e e 的两大平台：w e b l o g i c 和w e b s p h e r e 。介绍所用的开发工具j b u i l d e r 9 + w e b l o g i c 9 1 ，并分别叙述4基于w e bs e r v i c e s 的c 互操作技术的应用研究它们的特点。第五章基于w e bs e r v i c e s 的c a 互操作模型的设计与实现本章第一部分给出c a 互操作模型的结构设计，其中包括：结构设计、证书的制作实现、数字认证以及相关的测试过程。第二部分设计w e bs e r v i c e s 服务体系，涉及体系设计、包装成w e b 服务的c a 结构、服务器端设计和测试和客户端设计设计和测试。第六章结束语对全文的工作进行总结，指出不足和需要改进的地方，对进一步的工作进行展望。第二章公钥基础设施p k i由于电子商务、电子政务、网上银行及网上证券等金融业网上交易业务的飞速发展。网络安全，特别是互联网通信的安全性令人瞩目。为此，越来越多的安全协议如s s l 、s e t 、s m i m e 等得了到广泛的应用。但是，最新发展起来的网络安全技术和安全服务的保证却是公钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 2 1p k i 简述p k i 是一个利用非对称密码算法( 即公开密钥算法) 原理和技术实现的并提供网络安全服务的具有通用性的安全基础设施，它是一种遵循标准的利用公钥加密技术为电子商务、电子政务、网上银行和网上证券业的开展，提供一整套安全保证的基础平台它通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如，某企业可以建立公钥基础设施( p k i ) 体系来控制对其计算机网络的访问。用户利用p k i基础平台所提供的安全服务，能在网上实现安全地通信。p k i 这种遵循标准的密钥管理平台，能够为所有网上应用，透明地提供加解密和数字签名等密码服务所需要的密钥和证书管理。其中证书是p k i 的核心元索，c a 是p k i 的核心执行者。p k i 让个人或企业安全地从事其商业行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方( 竞争对手等) 截获。企业可以建立其内部w e b站点，只对其信任的客户发送信息。p k i 采用各参与方都信任一个同一c a ( 认证中心) ，由该c a 来核对和验证各参与方身份的身份这种信任机制。例如，许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构一政府，因而他们也就信任这些证件。然而，一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。通过公钥基础设施( p k i ) ，交易双方( 可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心( c a ) 。典型的是采用数字证书的应用软件和c a 信任的机制。例如，有相同客户端浏览器中根证书列表中包含了它所信任c a 的根证书，当浏览器需要验证一个数字证书的合法性( 假如说要进行在线安全交易) 的时候，此浏览器首先从其根证j 嵋列表中查找签发该数字证书的认证中心根证书。如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后，浏览器承认此站点的具有合法身份并显示此站点的网页。如果该认证中心根证书不在信任c a 根证书列表中，浏览器会显示警告信息并询问是否要信任这个新的认证中心。通常地，浏览器会弹出提供永久的信任、临时的信任或不相信该认证中心的选项对话框给客户选择，因为作为客户来说，他们有权选择信任哪些认证中心，而信任的处理工作通过应用软件来完成( 在这个例子中是通过浏览器完成的) 。公开密钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 是国际上目前较为成熟的解决开放式互联网络信息安全需求的一套体系，而且还在发展之中。2 2p k i 的结构5基于w e bs e r v i c e s 的c 互操作技术的应用研究p k i 的内容主要有认证机构c a 、证书与证书库、密钥管理及恢复系统、证书历史档案、客户端软件处理系统及证书运作声明- - - c p s 等等。2 2 1p k i 结构一般而言，作为一个标准的p k i 域，必须具备以下主要内容：l 、认证机构c a ( c e r t i f i c a t ea u t h o r i t y ) 。认证机构c a 是p k i 的核心执行机构，是p k i 的主要组成部分。一般简称为c a ，在业界通常把它称为认证中心。它是一种信任机构，因为证书将公钥和它的持有人关联起来了，由c a 来保证证书中的信息的正确性。c a 的主要职责是确认证书持有人的身份。这就像物理世界签发身份证的政府公安部门一样，身份证是证明公民自身的安全文件。任何需要检验个人身份的单位都相信由公安局签发的身份证。这是一个可信任的第三方的例子。与此类似，证书经c a 数字签名并颁发，以证明证书包含的公钥就属于证书持有人。因此。通过可信赖的第三方。信任c a 的任何人也将信赖证书持有人的公钥。认证中心从广义上讲还应包括证书申请注册机构r a ( r e q i s t r a t i o na u t h o r i t y ) ，它们是数字证书的申请注册、审批、证书签发和管理机构。2 、证书和证书库。证书是数字证书或电子证书的简称，它符合】l5 0 9 标准，是网上实体身份的证明，证明某一实体的身份以及其公钥的合法性，证明该实体与公钥的匹配关系因为通过公钥和私钥对数据进行加密和签名引出一个很重要的与安全有关的问题就是：你如何确认你所使用的公钥是属于一个合法的人，解决的办法就是将证书上的公钥与证书持有人相结合，证实二者之问的匹配关系。证书在公钥体制中是密钥管理的媒介，不同的实体可以通过证书来互相传递公钥：证书是由权威性、可信任性和公正性的第三方机构所签发，因此，它是权威性电子文档。证书的主要p | 容，按x 5 0 9 标准规定其逻辑表达式为：c a a = c a ( v ，s n ，a i ，c a ，u c a ，a ，u a ，a p ，t a )其中，c a a 认证机构c a 为用户a 颁发的证书c a ( ) 一认证机构c a 对花括弧内证书内容进行的数字签名v 一证书版本号s n - - 证书序列号a i - - 用于对证书进行签名的算法标识c a 一签发证书的c a 机构的名字u c a - - 签发证书的c a 的惟一标识符a 一用户a 的名字u 一用户a 的惟一标识a p 一用户a 的公钥t a - - 证书的有效期从v 到t a 是证书在标准域中的主要内容。这些内容主要用于身份认证。存放证书的介质有软盘、硬盘和i c 卡。一般b 2 b 高级证书要求存放在i c 中，因为证书存放在i c 卡中私钥不出卡，安全性高、携带方便、便于管理。证书库是c a 颁发证书和撤消证书的集中存放地，它像网上的“白页”一样，是网上公共信息库。提供广大公众进行开放式查询。要查询的内容有两个，一是要想得到与之通信实体的公钥；一是要验证通信对方的证书是否已进入“黑名单”。颁发证书和撤消证书的集中存放地。实际就是数据库，通常称为目录服务器。其标准格式采用x 5 0 0 ，目录查询协议为l d a p ，客户端软件可以通过这种协议实时查询目录服务器。如图2 一l 所示。6基于w e bs e r v i c e s 的c a 互操作技术的应用研究图2 - 1c r l 查询在上图中显示了浏览器和服务器分别到证书库中查询“黑名单”c r l 的过程，如在证书库中查询证书公钥，其过程也相似。证书库支持分布式存放，即c a 机构所签发的证书。可以采用数据库镜像技术，将其中一部分与本组织有关的证书和证书撤消列表存放到本地，以提高证书的查询效率，减少向总目录查询的瓶颈。3 、密钥备份及恢复。密钥备份及恢复是密钥管理的主要内容，用户由于某些原因将解密数据的密钥丢失，已被加密的密文无法解开。造成数据丢失为避免这种情况的发生，p k i 提供了密钥备份与密钥恢复机制，即密钥备份与密钥恢复系统。密钥备份与密钥恢复是由可信任的认证机构c a来完成的。在用户的证书生成时。加密密钥即被c a 备份存储了；当需要恢复时，用户向c a提山申请，c a 会为用户自动进行恢复。在p k i 中，密钥恢复指加密密钥而言，用于签名的密钥是不能作备份的。因为数字签名是支持不可否认性的，那样会造成签名不惟一性。4 、密钥和证书的更新。一个证二峙的有效期是有限的，这种规定在理论上是基于当前非对称算法和密钥长度的可破译性分析：在实际应_ h | i 中是由于长期使用同一个密钥，有被破译的危险，为证书使用的安全，证书和密钥必须有一定的更换频度。为此，p k i 对己发的证书必须有一个更换措施，这个过程称为“密钥更新或证书更新”。证书更新，若让用户手工进行操作是一件很麻烦的事情，一般都是由p k i 本身自动完成，不需要用户干预。即在用户使用证书的过程中，p k i 会自动到目录服务器中检查证书的有效期，当有效期到来之前的某一时间间隔内( 如2 0 日之内) ，p k i c a 会自动启动更新程序，生成一个新证书来代替旧证书。旧证书到期废止，新证书开始启用。5 、证书历史档案。从以上密钥更新的过程，我们不难看出经过一定时间以后，每一个用户都会形成多个旧证书和只少有一个当前新证书。这一系列旧证书和相应的私钥就组成了用户密钥和证书的历史档案。记录整个密钥历史是一件十分重要的事情，因为某用户几年前用自己的公钥加密的数据或者是其他人用自己的公钥加密的数据，他无法使用现在的私钥解密。那么，该用户就必须要从他的密钥历史档案中，查找到几年前的私钥来解密数据。如此类似地，有时也需要从密钥历史档案中，找到合适的证书验证某用户几年前的数字签名。所以p k i 必须为客户每年建立证书历史档案。6 、客户端软件。，为方便客户操作，解决p k i 的应用问题，在客户的浏览器端装有客户端软件。其功能为7基于w e bs e r v i c e s 的c a 互操作技术的应用研究实现数字签名、加密传输数据，也是安全通信的接收点；在认证的过程中，查询证书和相关的证书撤消信息以及进行证书路径处理；对特定文档提供时间戳请求等等。总之，它像客户机服务器一样，客户端提出请求服务，服务器端为此能够作响应处理。客户端软件在桌面系统中运行，它透明地通过桌面系统中的应用提供一致性的安全服务。7 、交叉认证。交叉认证就是多个p k i 域之间实现互操作，这个p k i 域签发的证书，到那个p k i 域里也能承认，不同的p k i 域之间的用户，都要求验证对方c a 发放的证书，这就是交叉认证。交叉认证实现的方法有多种形式。一种方法是桥接c a ，即用一个第三方c a 作为桥，将多个c a连接起来，成为一个可信任的统一体：另一种方法是多个c a 的根c a ( r c a ) 互相签发根证书，这样当不同的p k i 域中的终端用户沿着不同的认证链，检验认证到根时，达到互相信任的目的。交叉认证的目的就是被用作在不同的依托方群体中扩展信任8 、证书运作声明c p s证书运作声明c p s ( c e r t i f i c a t ep r a c t i c es t a t e m e n t ) ，也称证书运作规范，它是p k i 不可缺少的安全策略组成部分。它由前言、总论、一般规定、鉴别与授权、运作要求、技术安全控制、证书及c i l l 结构等章节组成。主要规定c a 及用户各方的义务、责任以及如何确保c a 运作的安全。它与用户间起到法规的作用。2 2 2p k i 提供的安全服务p k i 作为安全基础设施。能为不同的用户按不同安全需求提供多种安全服务。这些服务主要有：认证、数据完整性、数据保密性、不可否认性、公正等服务1 、认证。认证服务即身份识别与鉴别，就是确认实体即为自己所声明的实体，鉴别身份的真伪。如甲乙双方的认证，甲首先要验证乙的证书的真伪，当乙在网上将证书传送给甲时，甲首先要用权威机构c a 的公钥解开证书上c a 的数字签名，如签名通过验证，证明乙持有的证书是有效的；接着甲还要验证乙身份的真伪，乙可以将自己的口令用自己的私钥进行数字签名传送给甲，甲已经从乙的证书中或从证书库中查得了乙的公钥，甲就可以用乙的公钥来验证乙_ i 自己独有的私钥进行的数字签名。如果该签名通过验证，乙在网上的身份就确凿无疑。其过程如图2 2 所示：图2 - 2 认证描述2 、数据完整性数据完整性服务就是确认数据没有被修改，即数据无论是在传输或是在存储过程中经过检查确认没有被修改。数据完整性服务的实现主要方法是数字签名技术，它既可以提供实体认证，又可以保障被签名数据的完整性。这是因为密码哈希算法和签名算法提供的保证，8基于w e bs e r v i c e s 的c a 互操作技术的应用研究啥希算法的特点是输入数据的任何变化都会引起输出数据的不可预测的极大变化；签名是用自己的私钥将该哈希值进行加密，和数据一起传送给接受方。如果敏感数据在传输和处理过程中被篡改，接受方就不会收到完整的数据签名，验证就会失败反之，如果签名通过了验证。就证明接收方收到的是没经修改的完整性数据。其处理过程如图2 - 3 所示：霜昏：图2 - 3 数据完整性及保密性过程保证数据完整性或保密性的过程如下：a 为发方，b 为收方。( 1 ) a 将原文信息进行哈希( h a s h ) 运算，得一哈希值称数字摘要如：( 2 ) 发方a 用私钥p v a 。采用非对称算法r s a ，对数字摘要如进行加密，即得数字签名d s ：( 3 ) a 用对称密钥s k 对原文信息、数字签名s d 及发方a 证书的公钥采用对称算法加密，得加密信息e ；( 4 ) a 用收方b 的公钥p b b ，采用r s a 算法对对称密钥s k 加密，形成数字信封d e ，就好像将对称密钥s k 装到了一个信封里；( 5 ) 发方a 将加密信息e 和数字信封d e 一起发送给b ；( 6 ) 收方b 接受到数字信封后，首先用自己的私钥p v b 解密数字信封，取出对称密钥s k ：( 7 ) b 用对称密钥解密加密信息，还原出原文信息、数字签名s d 及发方a 证书的公钥p b a ：( 8 ) 收方b 验证数字签名，用发方a 的公钥解密数字摘要如；( 9 ) 同时将原文信息用同样的哈希算法得哈希值如；( 1 0 ) 将两个哈希值皿和如进行比较，验证原文是否被修改。这就是p k i 保证数据完整性及数据保密性的详细过程。3 、数据保密性，即数字信封。保密性服务就是确保数据的秘密，除了指定的实体外。其他没经授权的人不能读出或看慷该数据。p k i 的保密性服务采用了“数字信封”机制，即发送方先产生一个对称密钥，并用该对称密钥加密敏感数据。同时。发送方还用接收方的公钥加密对称密钥，像装a - - 个“数字信封”里。然后，将被加密的对称密钥( “数字信封”) 和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”，得到对称密钥，用对称密钥解开被加密的敏感数据。其他没经授权的人，因为没有拆开“数字信封”的私钥，看不见或读不懂原数据，起到了数据保密性的作用。4 、不可否认性服务。9基于w e bs e r v i c e s 的c a 互操作技术的应用研究不可否认性服务是指从技术上实现保证实体对他们的行为的诚实性，即用数字签名的方法防止其对行为的否认。其中，人们更关注的是数据来源的不可否认性和接收的不可否认性，即用户不能否认敏感信息和文件不是来源于他；以及接收后的不可否认性，即用户不能否认他已接收到了敏感信息和文件。此外还有其他类型的不可否认性，传输的不可否认性、创建的不可否认性和同意的不可否认性等等。5 、公正服务。p k i 中的公正服务与一般社会公正人的服务有所不同，p k i 中支持的公正服务是“数据认证”的含义。也就是说，认证机构c a 中的公正人证明数据是有效的或正确的，这种正确是取决于数据验证的方式。如在p k i 中被验证的数据是基于哈希值的数字签名、公钥在数学上的正确性和签名私钥的合法性。p k i 公正人是一个被其他p k i 实体所信任的实体能够正确、公正的提供公正服务。2 3c a 认证机构2 3 1c a 认证系统结构和功能认证中心为了实现其功能，主要由以下三部分组成：注册服务器：通过w e bs e r v e r 建立的站点，可为客户提供每日2 4 小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候等顿恼。证书申请受理和审核机构：负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表( c l c l ) 的生成和处理等服务目前c a 认证系统主要由以下三部分组成：在客户端面向证书用户的数字证书申请、查询和下载系统；在r a 端由i l a 管理员对证书申请进行审批的证书授权系统；在c a 控制台，签发用户证书的证书签发系统。c a 的组成如图2 4 所示：它是一个层次结构，第一级是根c a ( r o o tc a ) ，负责总政策：第二级是政策c a ( p c a ) ，负责制定具体认证策略：第三级为操作c a ( o c a ) ，是证书签发和发布机构。图2 - 4 以中国金融c a 结构为图例说明证书申请注册机构l l a 也为层次结构，l c a 为注册总中心，负责证书申请注册汇总：l r a为远程本地受理点，负责用户的证书申请受理。r a 结构如图2 5 所示。1 0基于w e bs e r v i c e s 的c a 互操作技术的应用研究图2 - 5i c a 结构它们的主要功能归纳起来如下：验证并标识证书申请者的身份，对证书申请者的信用度，申请证书的目的，身份的真实可靠，进行审查，确保证书与身份绑定的正确性；确保c a 用于签名证书的非对称密钥的质量和安全性，为了防止被破译，c a 用于签名的私钥长度必须具有1 0 2 4 位以上，如果是由硬件卡产生的私钥，它是不能出卡：对证书信息资料的管理，如证书序号和c a 标识的管理，确保证书主体标识的惟一性。防止证书主体的名字的重复；在证书使用中确定并检查证书的有效期，保证不使用过期作废证书，确保网上交易的安全；发布和维护作废证书列表( c l l l ) ，因某种原因证书要作废，就必须将其作为“黑名单”发布在证书作废列表中，以供交易时在线查询，防止交易风险；对已签发证书的使用全过程进行监视跟踪，作全程日志记录，以各发生交易争端时，提供公正依据，参与仲裁。由此可见，c a 是电子商务、电子政务、网上银行、网上证券等交易的权威性、可信任性和公正性的第三方机构。2 3 2c a 与目录服务一、目录服务简述目录服务是用于在全球范围内查找用户和商业伙伴的强大的搜索工具。通讯簿支持l d a p ( 轻量级目录访问协议) 访问目录服务。而且其内置功能可以访问最流行的几种目录服务您也可以从i n t e r n e t 服务提供商那里添加附加的目录服务。同i n t e r n e t 搜索工具一样，目录服务使用不同的方式收集数据，因此，当尝试联机查找个人或公司时，您可以尝试用多种服务，方便快捷二、目录服务的作用，如果只拥有安全证书，那么还不能说已经将无秩序的i n t e r n e t 变成了一个有秩序的“社会”环境。好比只有一块块的砖头，还需要一个结构框架，才能将砖头按一定方式填充成为楼房此时还应该具备这样一种能够存储管理这些证书的结构“框架”。l d a p 目录服务恰如其分地充当了这个角色。首先安全证书需要强大的检索功能，需要检索的频率将大大高于更新频率，而对增、删、改等数据库更新功能的需求相对不高：其次。安全证书不需要支持数据库管理系统常用的事务处理，免去了完整性约束。大大简化了数据操作；第三，不需要支持数据库通用的s q l 查询接口，而是要求可以通过浏览器访问。尽管s o l 具有极大的灵活性。l d a p 目录服务直接基于面向连接的t c p i p 协议实现，定义了l d a p 客户机和l d a p 服务器间的通信过程和信息格式。l d a p 服务器在服务端口( 缺省端口号为3 8 9 ) 监听，收到客户机的请求后建立连接，开始会话。一次l d a p 会话过程包含以下4 个步骤：对本次l d a p 会话初始化；客户身份验证：基于w e bs e r v i c e s 的c a 互操作技术的应用研究目录操作( 如检索、增加、删除、修改等) ；结束会话。对于会话过程的每个步骤、对客户机的每个请求，服务器都有相应的应答信息。l d a p 目录服务可以提供全球通用的目录服务。它具有网络化的登录器、良好的扩展性、全天候的执行能力、弹性的复制模式和符合标准的层次式命名系统。如此一来，我们就能透过i n t e r n e t 和i n t r a n e t 有效地分享资源。三、目录服务与c a 的关系其实，在l d a p 目录服务中，不仅仅是对于网络的使用者，任何和网络相连的元件( 包括p c 、服务器、路由器、打印机和电话机等) 都可以被视为一个个独立的对象，被记载于一个覆盖全球的网络结构框架中，从而具有独一无二的“电子身份”。这样，不管是网络的使用者( 安全证书) ，还是组成网络本身的各部件，均可被清晰地确认其在网络上的地位、权限、位置、所属部门或地域及与整个网络的对应关系。只要具备这样一种能够确立各对象电子身份的结构框架。人类将不难建立一个三维的、有多重分辨力的数字化系统，它包括所有能够被定位的信息于是问题被归结为我们能否在全球网络上建立一个能够确定各对象身份与位置的结构框架，它不仅能够履行中央集权的记录与管理义务，而且可以依据物理网络的变化、增长而随时调整。以适应千变万化的大千世界。回答是肯定的，那正是被称为网络灵魂的。目录服务”。l d a p 目录服务器就是其中的一个代表，它可以将全世界在物理上分布的网络建置于一个逻辑的目录树中，并且随时进行合并或分割。在目录服务的世界里，由于不同的电子身份被赋予不同的权限，因此用户的信息资源受到入侵和破坏的可能性大大减少。当然，只要您不把自己彻底封闭起来，绝对的安全是不存在的，但至少网络的管理者和政府机构能轻易查找出攻击的来源。并运用国家机器来保障你的正当权益。2 3 3 数字证书一、数字证书概述数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在i n t e r n e t上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是一个由权威机构c a 机构，又称为证书授权( c e r t i f i c a t ea u t h o r i t y ) 中心发行的，人们可以在交往中用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文什。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证j 旧中还包括密钥的有效时间。发证机关( 证书授权中心) 的名称，该证书的序列号等信息，证忙的格式遵循i t l r rx 5 0 9 国际标准。致字证二采h j 公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥( 私钥) ，用它进行解密和签名：同时设定一把公共密钥( 公钥) 并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时发送方使月；i 接收方的公钥对数据加密，而接收方则使用自己的私钥解密。这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，用户可以公开其公开密钥，而保留其私有密钥。二、数字证书的分类l 、个人身份证书符合x 5 0 9 标准的数字安全证书，证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于e - k e y 中，用于个人在网上进1 2基于w e bs e r v i c e s 的c a 互操作技术的应用研究行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。2 、企业或机构身份证书符合x 5 0 9 标准的数字安全证书，证书中包含企业信息和企业的公钥，用于标识证书持有