（计算机软件与理论专业论文）基于面向服务体系结构的数字时间戳服务.pdf

竺尘篓竺：尘兰：耋竺! ：兰丝丝兰 基于面向服务体系结构的数字时间戳服务 摘要 电子商务、电子政务使得剐络上的商业活动年【j 电予办公 _ 1 益频繁，山此 产生了大量的电子文档，而对于这些文档的生成、交易和签署等闩期时问信 息的存储、保护和证明也越来越重要，成为近几年来安全领域专家们热切关 注的信息安全课题之一。 数字时间戳是用来确定电子文档在何时创建和签署的一种技术，它也能 用来比较两个有争议的电子文档的相关时间的先后，这对于那些对时| 日j 敏感 的技术专利、机密文件、网上交易来说是非常重要的。此外，数字时问戳还 可以为数字签名提供一个长久的有效期，有助于公钥基础设施( p u b l i ck e y n f r a s t r u c t u r e p k i ) 的井级。而且数字时间戳是p k i 的重要组成部分，足 支持不可否认服务的关键因素。 就当前现有的链接时间戳方案来说，仍存在着很多问题，它们小是查址 效率低。就是数字时间戳的数据结构复杂、算法很难理解实现。本文则提出 了一种新的基于轮的链接时间戳方案，其核心的概念是仍保持线性链接方案 简单、提供相对时间证明的优点，但在轮的基础上对轮又进行轮的划分。当 查证受质疑的时间戳时，只需抽取时间戳链上很小一部分的关键时间戳接 点，来构成一条相对很短的时间戳查证路径。这样，一方面减小了查证计算 的时间复杂度提高了查证效率；另一方面，山于查证的效率人人提商。所 以可选多个可信时阃戳作为参照，进行重复查证，以保证查证的证掘更具泌 服力。 此外，文中对于时间戳系统的设计是以网络服务的形式来实现的。考虑 到时间戳服务中对匿名性请求的需求，以及系统的可集成性，系统被发汁为 在面向网络服务体系结构下的订票服务、时间戳服务、时间源同步服务和公 兆路径j j 醍务及它们之间的交互。最后，为了能使各个服务j 瑚业务过程自动化 的执行，文中给出了一个以网络服务的业务流程执行语言( b u s i n e s sp r o c e s s e x e c u t i o nl a n g u a g ef o rw e bs e r v i c e s ，b p e l 4 w s ) 定义的流程描述。 关键词数字时间戳；链接时问戳方案：数字时间戳服务；时问戳权威：公 钥基础没施 鉴玺釜翌三銮主三主罂圭主生兰三 d i g i t a lt i m e - s t a m p i n gs e r v i c eb a s e do n s e r v i c e 0 r i e n t e da r c h i t e c t u r e a b s t r a c t w e b b a s e db u s i n e s sa c t i v i t i e sa n dh a n d l i n go f f i c i a lb u s i n e s sb yc o m p u t e ri s s of r e q u e n t l yt o d a yi ne - c o m m e r c ea n de - g o v e r n m e n t 、) l ，i 也p r o d u c i n gal a r g e n u m b e ro fe l e c t r o n i cd o c u m e n t s t os t o r e ，p r o t e c ta n dv e r i f yt h ed a t ao ft h ed a t e a n dt i m ew h i c ht a k e sp l a c ew h e ne l e c t r o n i cd o c u m e n t sa r ep r o d u c e d ，e x c h a n g e d a n ds i g n e db e c o m e ss oi m p o r t a n tt h a ts e c u r i t ye x p e r t sp a yc l o s ea r e n t i o nt oi ti n r e c e n ty e a r s d i g i t a lt i m e - s t a m p i n gi sas e to ft e c h n i q u e se n a b l i n gu s t oa s c e r t a i nw h e t h e r a ne l e c t r o n i cd o c u m e n tw a sc r e a t e do rs i g n e da tac e r t a i nt i m e i tc a nb eu s e df o r v e r i f y i n gw h i c ho ft w od i s p u t a b l ee l e c t r o n i cd o c u m e n t si sc r e a t e de a r l i e r i t i s v e r yi m p o r t a n tt ot h o s ew h i c ha r e s e n s i t i v et ot i m ei n c l u d et e c h n i c a lp a t e n t s ， s e c r e ti n t e l l i g e n c e sa n do n l i n et r a d e s b e s i d e s ，d i g i t a lt i m e - s t a m p i n gi m p r o v e s s e c u r i t yo fp k ib e c a u s eo fo f f e r i n gal o n gt e r mo fv a l i d i t yf o rd i g i t a ls i g n a t u r e d i g i t a lt i m e s t a m p i n gi si m p o r t a n tc o m p o n e n to fp k ia n ds u p p o r ta n r e p u d i a t i o n a st oe x i s t i n gl i n k i n gs c h e m e sf o rt i m e s t a m p i n g ，t h e r ea r es t i l ls o m e d r a w b a c k su n r e s o l v e d t h e ya r ee i t h e rc o s t l yi nt i m e s t a m p i n gv e r i f i c a t i o no r c o m p l i c a t i o nw i t l lu n d e r s t a n d i n g d a t as t r u c t u r ea n da l g o r i t h m t h ep a p e r p r e s e n t s an e wr o u n d - b a s e dl i n k i n gt i m e s t a m p i n gs c h e m e i tc r e a t e sl a r g er o u n d sw i t h s m a l l e rr o u n d sa sw e l l 硒t a k e sa d v a n t a g eo fl i n e a rl i n k i n gs c h e m ew h i c hi s s i m p l ea n ds u p p o r t sr e l a t i v et e m p o r a la u t h e n t i c a t i o n i tn e e d sas m a l lf r a c t i o no f t h ew h o l et i m e s t a m pc h a i nb e t w e e nt w ot i m e s t a m p sa sk e yp o i n tt ob u i l da v e r i l y i n gc h a i nw h e nv e r i f i c a t i o np r o c e s s e s i nt h i sw a y , i th a sr e d u c e dt i m e c o m p l e x i t ya n dc o m p u t e dw i t hg r e a te f f i c i e n c y i nv e r i f i c a t i o no ft i m e s t a m p c h a i n s ；o nt h eo t h e rh a n d ，b e c a u s et h ee f f i c i e n c yo fv e r i f i c a t i o ni m p r o v e sg r e a t l y , al o to ft r u s tt i m e s t a m pa v a i l a b l ec a nb eu s e df o rr e p e a tv e r i f i c a t i o n ss o a st o e n s u r et h a tt h ee v i d e n c ev e r i f i e dh a sc o n v i n c i n g n e s se v e nm o r e i na d d i t i o n ，t h ed e s i g no ft i m e - s t a m p i n gs y s t e mi sr e a l i z e di nt h ef o r mo f 窒釜鎏耋三奎兰三兰塑圭兰堡丝兰 w e bs e r v i c e si nt h ea r t i c l e t h es y s t e mi sd i v i d e di n t of o u rw e bs e r v i c e s i n c l u d i n gt i c k e t b o o k i n g ，t i m e - s t a m p i n g ，t i m es o u r c es y n c h r o n i z a t i o na n dp u b l i c d i r e c t o r yu n d e rt h es e r v i c e - o r i e n t e d a r c h i t e c t u r ea n d o p e r a t e dt h r o u g h a s s o c i a t i o n a m o n g t h o s ew e bs e r v i c e s m e a n w h i l et h e s y s t e mp r o v i d e s a n o n y m o u st i m e - s t a m p i n gs e r v i c ea n dc a l lb ee a s i l yi n t e g r a t e di n t oo t h e rs y s t e m s a tl a s t t h ep a p e rp r e s e n t sad e f i n i t i o no fp r o c e s sw i t hb p e l 4 w sf o rb u s i n e s s p r o c e s sf r o me v e r yw e bs e r v i c eb e i n ge x e o u f i o no fa u t o m a t i o n k e y w o r d sd i g i t a lt i m e - s t a m p i n g ；l i n k i n gs c h e m ef o rt i m e - - s t a m p i n g ；d i g i t a l t i m e - s t a m p i n gs e r v i c e ( d t s ) ；t i m e s t a m p i n ga u t h o r i t y ( t s a ) ；p u b l i c k e yi n f r a s t r u c t u r e ( p k i ) i l l - 哈尔滨理工大学t 学硕士学位论文 1 1 引言 第1 章绪论 当前，在大多数的i t 应用中，系统的安全性是人们最为关心的话题之 一。互联网的普及，使得商业交易中、财政计算、服务提供商、消费者的数据 正面临潜在的危险，如商业信息的欺诈、偷窃造成经济的直接损失，病毒攻击 使得服务中断、资源滥用造成的商业合作机会流失等等。为了减小这种风险， 而又不影响信息系统在开放网络环境中的发布，系统必须具有以下几个特征： 认证、授权、保密、完整和防抵赖。当前，在信息安全领域中我们提出了一个 特别具有挑战意义的课题，即如何保证一个电子文档在一段较长的时罩有 j ：。数字时间戳服务正是相对这一安全领域的问题而产生的， 过去的十几年中，特别是加上数字签名在数字时间戳中的应用，无论是在 学术上还是商业应用中，数字时间戳在提供法律证据上所起的作用越来越备受 科学家和安全领域专家们的关注。数字时间戳是用来确定电子文档何时生成和 签名时间的技术f j 】口】f 3 】。如果没有时间戳，签名的密钥失效、更换时，我们将无 法确定有以前签名的电子文档是否还能提供法律证据；同时，如果签名者声称 他的密钥意外丢失而拒绝承认他的签名，我们将没有一个可参考的日期时间去 判断，就不能防止签名者这种抵赖行为的发生【4 1 。 如果时间戳能够证明某个文档在某一时间之前存在，则被称为文档的时间 戳。两个不同的数字文档之间的相对关系有两种对比方式，直接比较和相对比 较【5 1 1 6 删： 1 如果两个时间戳文档之间存在因果关系，则可以直接对它们进行对比， 这种因果关系通过单向线性哈希函数来建立，每一个时间戳都依赖时州上先于 它的时间戳信息。 2 ，也可为时间戳文档附加物理时间信息，由于该技术本身的特点，这种关 系是不直接的，因为我们无法确定附加的物理时间是否是真实的时间。 虽然物理时间不能证明相对的时间关系，但在一定程度上，它能够提供一 些精确性的信息，这种精确性依赖于时徊j 源的可信度。而另方面，直接比较 不依赖于任何的对于第三方的信赖。 啥尔滨理工大学工学硕士学位论文 1 2 数字时间戳的发展概况 1 9 9 4 年b e n a l o h 和d em a r e 提出了一种包括请求者和时间戳服务器的链接 时间戳方案，它采用了被称为“单向累积器”的技术【b 。单向累积器简单的定 义为一个单向哈希函数f ：x y 斗盖，对于所有的x x ，h ，y 2 y ，有 f ( f ( x ，m ) ，y 2 ) = f ( f ( x ，儿) ，y ，) 。在该方案中，r s a 被用作单向累积器。 1 9 9 5 年t a k u r a 提出了分布式时间签名系统”1 ，它包括了两种类型的服务 器：接听服务器和多个签名服务器。时间戳请求者把它的请求发送到接听服务 器，接听服务器给该请求加上时间信息，然后把该请求发送给多个签名服务 器，每个签名服务器都生成一个部分签名发送回给接昕服务器，如果部分签名 的个数大于预设的个数，接昕服务器就生成一个数字签名连同时间戳发回给时 间戳请求者。 p k i t s f p u b l i ck e y i n f r a s t r u c t u r e w i t ht i m e s t a m p i n ga u t h o r i t y ) 是 e t s ( e u r o p e a nt r u s t e ds e r v i c e s ) 的工程之一，它是由e u r o p e a nc o m m i s s i o n 在 1 9 9 8 年启动资助的研究项目f 】。在p k i t s 里，对于数字时间戳涉及到了理论 上和实际应用中的研究，并提出了一些建议性的时间戳方案。在这些建议性的 数字时间戳方案中，被称为“同步处理”新机制的链接时间戳方案吸引了相关 人士更多的注意，它假设存在多个时间戳服务器，为了取得时间戳的链按信 黾、它l 。j 中的每一个定时间的向从其它时间戳服务器中随机选中的一个发送艺 的链接信息。 1 9 9 6 年至1 9 9 8 年，比利时的f e d e r a lo f j j c of o rs c i e n t i f i c 、t e c h n i c a la n d c u l m r 甜a f f a i r s 为研究时间戳而建立了称为t i m e s e c 的工程项目【l ”。比利时 安全专家主要的贡献就是促进了t i m e s e c 项目的发展并提出了一个链接时间 戳方案。该方案有两个特征：其一，类似数字认证，时间戳服务器在每一轮中 用简单二进制树结构聚合时间戳请求者发来的哈希值；其二，它利用了双重哈 希函数，更好的保证了方案的安全性。 d i g k a ln o t a r y ”1 是由s u r e t y c o r n 提供的时间戳服务，s e r c u r e s e a l 是由在日 本的n t td a t a 作为s u r e t y 。c o r n 的代理提供的与d i g i t a ln o t a r y 相同的服务。 d i g i t a ln o t a r y 的实体包括请求者和时间戳服务器。一个时间戳文档由时间戳的 标识1 d 、加戳的哈希值圮、同一轮中时间戳服务器收到的其它哈希值集合l 和时间信息。它采用了双重哈希函数：s h a 1 和m d 5 ，生成的哈希值的长 度为2 8 8 位。 哈尔滨理工大学工学硕士学位论文 b u l d a s 等于2 0 0 0 年提出的链接时间戳方案包含以下四个特征 13 1 “】：第 一，它采用了称为“线索认证树”的树结构来生成时间戳；第二，该方案提供 了相对时间认证，它是通过时间证书来包含足够的数据来证明时间戳在哪一轮 及轮内生成的顺序：第三，p a ( p u b l i ca u t h o r i t y ) 在每一轮结束是发布一个“累 积的轮时间戳”作为相对时间认证的证据，轮的时间戳由本轮内的累积哈希值 和上一轮的时间戳计算而得；第四，查证方不需要时间戳服务器的参与进行查 证计算。 陈开渠提出了一个十进制的时间戳协议【i ”，因为它每轮中有1 0 个时间戳 文档，每1 0 轮又组成一个新的轮。十进制的时间戳协议采用了类似同步树方 案的机制，轮内的时间戳是线性链接的，轮和轮的时间戳也是线性链接的，当 轮的序号能整除1 0 1 ( i 为大于0 的正整数) 时，轮的时间戳增加向前第1 0 个 时间戳的链接信息。十进制的时间戳方案提高了一般的线性链接方案的查证效 率。 1 3 时间戳方案的分类与对比 从当前存在的文献的角度来看，时间戳方案大体分为三种：简单方案、链 接方案和分布式方案。 在简单方案中，由可信的第三方时间戳权威( t i m es t a m p i n ga u t h o r i t y , t s a ) 来生成时问戳文档f ”】，在这种方式由，一个时间戳文档不包含其他旷间戳的信 息。此方案最明显的缺陷就是t s a 必须是无条件被信赖的。然而，i s a 若修 改了任一时间戳文档的数据，我们将无任何办法去监督这种情况的发生。而 且，一旦t s a 的签名密钥被盗，偷盗者可随意伪造假的时间戳。1 9 9 1 年， h a b e r 和s t o m e t t a 提出了一种线性链接方案机制有效的减少了这种对于t s a 的 依赖。 链接方案的基本思想就是生成的一个时间戳文档中包含有其它时间戳的信 息。特别是利用单向h a s h 函数可以把所有的时间戳文档串成一条链。如果时 间戳颁布者想修改或伪造一个时间戳文档，他将不得不修改所有与该时间戳相 关的其它时间戳信息。也就是说，他不得不伪造一条足够长的时间戳链口】，这 要比简单方案中操作一个时间戳困难的多。 最后，在分布式方案中，像简单方案中生成时间戳文档一样，多个时间戳 颁布者各自独立的用自己的密钥和时间源来生成单个的时间戳文档。时间戳的 颁布者是随机选取的，时间戳请求者是不能事先知道和决定的。如果时间戳的 哈尔滨理工大学工学顾士学位论文 签名者少于规定的数目，将不能生成正确的时间戳信息。该方案的优点在于串 通一个足够数目的时间戳颁布者对于请求者是一件相对比较困难的事情，然 而，生成一个时间戳需要多个时间戳颁布者同时参与，因此方案的实际可实施 性很难。 通常情况下，大部分实际方案的算法都是基于链接方案的，因为链接方案 的机制就安全性和性能两方面来考虑要优于其它两个类型的方案。 1 4 课题研究的内容和意义 本课题立论的目的是在当前国内外电子政务积极发展的前提下，电子政务 日常工作中的电子文档的日期时间信息与纸面的签署的日期时间不一样，它们 容易被篡改、删除、伪造，因此需要特别的手段来提供和证明电子文档中的时 间信息，数字时间戳正是这一有利工具。此外，电子办公中文件的传输、递 交、审批等需嬖签名保护，而单纯的数字签名无法防止抵赖签名行为的发生。 数字州间戳服务作为p k i 体系一个重要的组成部分，是提供不可否认的关键因 素。 在此，本文将对数字时间戳服务在理论和实践上更进一步的进行研究和设 计。涉及的范围包括链接时间戳方案中查证效率的提高、时间戳数据结构及时 间戳协议和查证协议中算法的简化；其次，时间戳服务应具有匿名时间戳请求 特征，时间戳系统在基于面向服务的体系结构下以网络服务实现的方式的设 计。因此本课题的研究具有重要的理论意义和实用价值。 对于数字时间戳研究和实际应用的推动发展，本文的主要贡献体现在以下 两个方面： 1 对于当前存在的数字时间戳方案给出一个全面的概述和比较。出于对时 间戳算法的安全性、性能、易理解性上考虑，提出一种基于轮新的链接时间戳 方案。 2 本文提出并设计了一个能够发布于i n t e r - n e t 上的时间戳服务系统，其基 本思想是采用面向服务的体系结构( s e r v i c e o r i e n t e da r c h i t e c t u r e ，s o a ) 下的 网络服务技术，为兼并遗留系统、扩展新的服务和共享网络服务以及容易的集 成到p k i 体系下提供强有力的支持。 哈尔滨理工大学工学硕士学位论文 2 t 引言 第2 章面向服务体系结构中的网络服务 基于组件的设计提供了标榜为“可重用”的细粒度对象，但是这样的对象 的粒度级别太低；而另一方面，在应用程序开发和系统集成中，粗粒度组件越 来越成为可重用的目标，粗粒度对象通过内聚一些更细粒度的对象来提供定义 良好的功能。 面向服务的设计是将组件描述成提供相关服务的物理黑盒封装的可执行代 码单元。它的服务只能通过一致的已发布接口( 它包括交互标准) 进行访问。 组件必须能够连接到其他组件( 通过通信接口) 以构成一个更大的组件。服务 通常实现为粗粒度的可发现软件实体，它作为单个实例存在，并且通过松散耦 合的基于消息通信模型来与应用程序和其他服务交互。 因此，设计出一个可重用、易集成到p k i 体系结构下的时间戳系统，可以 借助面向服务体系结构，把数字时间戳作为一个服务来发布。本章将主要研究 面向服务体系结构和网络服务的相关理论和应用。 2 2 面向服务的体系结构的定义 面向服务的体系结构是一个组件模型，它将应用程序的不同功能单元( 称 为服务) 通过这些服务之间定义良好的接口和契约联系起来f 1 ”。接口是采用中 立的方式进行定义的，它应该独立于实现服务的硬件平台、操作系统和编程语 言。这使得构建在各种这样的系统中的服务可以以一种统一和通用的方式进行 交互。 这种具有中立的接口定义( 没有强制绑定到特定的实现上) 的特征称为服 务之间的松耦合。松耦合系统的好处有两点，一点是它的灵活性，另一点是， 当组成整个应用程序的每个服务的内部结构和实现逐渐地发生改变时，它能够 继续存在。 对松耦合的系统的需要来源于业务应用程序需要根据业务的需要变得更加 灵活，以适应不断变化的环境，比如经常改变的政策、业务级别、业务重点、 合作伙伴关系、行业地位以及其他与业务有关的因素，这些因素甚至会影响业 哈尔滨理工大学工学硕士学位论文 务的性质。我们称能够灵活地适应环境变化的业务为按需( o nd e m a n d ) 业 务，在按需业务中，一旦需要，就可以对完成或执行任务的方式进行必要的更 改。 2 3 网络服务的定义 网络服务提供了一个接口，它用标准的x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) 消息描述了一系列可通过网络访问的操作的集合o s 。网络服务由s e r v i c e d e s c r i p t i o n 来描述，它涵盖了服务的所有必要的细节，包括信息格式、传输协 议和定位。网络服务隐藏了服务的实现，允许服务不依赖其位于的软件或硬件 平台、编程所用的语言而被调用。因此，基于网络服务的应用是松散耦合、面 向组件、跨技术实现的。网络服务执行一个特殊的任务或一个任务集，它们可 被单独调用或被其他的网络服务调用，以实现更复杂的聚合和商业交易。 图2 - 1 网络服务中的面向服务体系结构 f i g 2 1t h es e r v i c eo r i e n t e da r c h i t e c t u r ef o rw e bs e r v i c e s 网络服务基于三个角色以及它们之间的交互：s e r v i c ep r o v i d e r ，s e r v i c e r e g i s t r y 和s e r v i c er e q u e s t o r ，交互包括发布，查找和交互三个操作。例如图2 - 1 哈尔滨理t 大学t 学硕士学位论文 中，s e r v i c ep r o v i d e r 提供服务实现的软件模块，并把网络服务描述的定义发送 给s e r v i c er e q u e s t o r 或s e r v i c er e g i s t r y ，s e r v i c er e q u e s t o r 用查找操作从本地或 s e r v i c er e g i s t r y 处得到服务的描述，之后用服务描述来绑定到特定的s e r v i c e p r o v i d e r 并调用s e r v i c ep r o v i d e r 提供的网络服务的实现。 2 4 网络服务协议栈 网络服务结构包括几个层，为了以交互的方式来执行发布、查找和交互这 三个操作，定义了一个网络服务协议栈，对应每一层包含了相应的标准。 网络服务协议栈基于网络，s e r v i c er e q u e s t o r 通过网络可访问所有发布的服 务。h t t p ( h y p e r t e x tt r a n s f e rp r o t o c 0 1 ) 是网络服务结构中事实的标准网络协 议，其它所支持的网络协议还包括有s m t p ( s i m p l em a i lt r a n s f e rp r o t o c 0 1 1 和 f t p ( f i l et r a n s f e rp r o t o c 0 1 ) 。 拔f 柬的一层是基于x m l 的消息层。通常，我们选择s o a p ( s i m p l e o b j e c ta c c e s sp r o t o c 0 1 ) 作为x m l 的消息协议，主要是因为s o a p 具有以下特 征： 1 ，它是基于文档消息通信和x m l 远程过程调用的标准封装机制。 2 简单易用。 3 不仅仅是x m l 简单的h t t pp o s t ，它还用s o a p 头和函数或功能的 标准编码提供了消息的合并正交扩展机制。 4 s o a p 消息支持网络服务结构中的发布、查找和绑定操作。 s 姒r 五亟困 m r 二亟习 i n2 - 2 具有互操作性的网络服务协议栈 f i g 2 2i n t e r o p e r a b l eb a s ew e b s e r v i c e ss t a c k 如图2 2 所示为具有互操作性的网络服务协议栈，其它的支持可通过填加 协议和技术或替代的形式来提供。实际上服务描述层是描述文档的栈。首先， 网络服务定义语言( w e bs e r v i c ed e f i n i t i o nl a n g u a g e ，w s d l ) 是基于x m l 服务 哈尔滨理工大学工学硕士学位论文 描述的标准。w s d l 定义了服务交互的接口和机制，而余下的必要的描述就是 如何规范商业上下文、服务的质量、服务和服务之间的关系。可以用其它服务 描述的文档来补充w s d l 文档，以形容网络服务中更高级的方面。例如，除 了w s d l 文档以外，用统一描述、发现和集成( u n i v e r s a ld e s c r i p t i o n 、d i s c o v e r y a n di n t e g r a t i o n ，u d d i ) 数据结构来描述商业上下文，用网络服务流语言( w e b s e r v i c e sf l o wl a n g u a g e ，w s f l ) 来描述服务的组织及工作流。 因为网络服务足由服务描述表示并通过s o a p 访问定义的，因此协议栈的 前三层是网络服务必须的。最简单也最基本的协议栈是由h t t p 、s o a p 、 w s d l 分别作为网络层、消息层和服务描述层的协议来构成的，这是所有企业 和企业之间、公共的网络服务都支持的具有互操作性的协议栈。而企业内部、 私有的的网络服务则支持其它的网络协议和分布式计算技术。 其余的两层的实现位于基本栈的顶部，称为服务发布和服务发现。在服务 请求者生命周期里，任何能够让请求者获得w s d l 文档的行为被称为服务的 发布。最简单的情况就是服务提供者直接发送w s d l 文挡给服务请求者，称 为直接发布，e m a i l 是直接发布的一种工具。直接发布对于静态的应用系统非 常有用。另一种方法是，服务提供者把w s d l 文档发布到一台具有本地的 w s d l 注册、私有u d d i 注册或u d d i 操作点的主机上。 因为网络服务若不发布，则不能被发现：因此，服务发现是依赖服务发布 的，并且所有的发现机制与发布机制平行对应。服务发现机制的目的就是让服 务请求者访问服务描述并在应用程序运行时获得该服务描述。最简单的悦子就 是服务请求者从本地文件中获取w s d l 文档，w s d l 文档通常是直接发布或 前面查找操作的结果。此外，在设计或运行时，用本地w s d l 注册、私有 u d d i 注册或u d d i 操作接点也能发现服务。 因为网络服务的实现是软件模块，因此由网络服务的组合也可生成服务。 网络服务的一个组合将扮演众多角色中的一个。企业的多个网络服务合作能够 为呈现为一个单独的接口，或来自不同企业的服务能够相互合作来执行计算机 对计算机、商务对商务的交易。换句话说，当一个网络服务参与一项业务处理 时，工作流管理者负责对它的调用。因此，协议栈的最高层为服务流层，它描 述了服务到服务的通信、协作和执行的业务流。 2 5 面向服务的体系结构的网络服务实现方式 网络服务并不是实现面向服务的体系结构的惟一方式，通用对象请求代理 哈尔滨理工大学工学顺上学位论文 体系结构( c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e ，c o r b a ) 是另一种方 式。但是为了建立体系结构模型，需要的并不仅仅只是服务描述，还要定义整 个应用程序如何在服务之间执行其工作流，尤其需要找到业务的操作和业务中 所使用的软件的操作之间的转换点。因此，s o a 应该能够将业务的商业流程 与它们的技术流程联系起来，并且映射这两者之间的关系。 s o a 本身是应该如何将软件组织在一起的抽象概念。它依赖于用x m l 和网络服务实现并以软件的形式存在的更加具体的观念和技术。s o a 服务和 网络服务之间的区别在于设计。s o a 概念并没有确切地定义服务具体如何交 互，而仅仅定义了服务如何相互理解以及如何交互。其中的区别也就是定义如 何执行流程的战略与如何执行流程的战术之间的区别。而另一方面，网络服务 在需要交互的服务之间如何传递消息有具体的指导原则；从战术上实现s o a 模型是通过h t t p 传递的s o a p 消息中最常见的s o a 模型。因而，从本质 上讲，网络服务是实现s o a 的具体方式之一。 2 6 网络服务的业务流程执行语言 w s d l 所直接支持的交互模型仅仅是同步或不相关的异步交互的无状态 模型。业务交互的模型通常假设在涉及双方或多方的有状态的长期运行的交互 中的同步和异步对等消息交换序列。 网络服务的业务流程执行语言( b u s i n e s sp r o c e s se x e c u t i o nl a n g u a g ef o r w e bs e r v i c e s ，b p e l 4 w s ) 的定位是成为整合方面的网络服务标准，通过它可 以创建能够如完成网络服务调用、操纵数据、抛出故障或终止一个流程等工作 的不同活动，然后将它们连接起来，从而创建出复杂的流程。这些活动可以嵌 套到结构化活动中，结构化活动定义了其中的活动的运行方式，如是串行或是 并行则取决于某些条件。 b p e l 4 w s 支持两种截然不同的使用情形： 1 实现可执行的业务流程。 2 。描述不可执行的抽象流程。 作为可执行流程的实现语言，b p e l 4 w s 的作用是将一组现有的服务整合起 来，从而定义一个新的网络服务。因此，b p e l 4 w s 基本上是一种实现这样的 整台的语占。与其它任何网络服务一样，整合服务的接口也被描述为w s d l p o r t t y p e 的集合。整合( 称为流程) 指明了服务接口与整合的总体执行的配合 情况。 哈尔滨理工大学工学硕士学位论文 2 7 本章小结 在本章中，主要探讨了面向服务的体系结构和网络服务的定义及它们之间 的关系，以及网络服务的协议栈的基本层和位于基本协议层之上的其它的扩展 协议，最后简单介绍了网络服务的业务流程执行语言在网络服务中所起到的作 用。 晴尔滨理1 = 大学工学硕士学位论文 3 1 引言 第3 章时间戳方案 时问戳的主要目的就是时间认证，证明某个文档生成的确定时间。从法律 的角度来定义，时间戳系统就是一个监督者的集合、一个时间戳服务器以及一 个三元组协议( s ；v ；a ) 1 1 ”。时间戳协议s 允许每个时间戳请求信息的递交。某 个监督者则用查证协议矿来验证某些时间戳的绝对递交时间或它们之间的相对 时间顺序。审计协议a 则被监督者用来监督时间戳服务器是否履行了它的职 责。此外，时间戳系统对请求的信息是保密的且对请求的处理是匿名的，即时 f n j 戳系统不必知道是谁提出的时间戳信息请求。 3 2 简单方案 简单时i 剐戳方案依赖于第三方，即时间戳权威机构( t i m es t a m p i n g a u t h o r i t y , t s a ) ，它负责时间证明和时间戳的签名。因此，时间戳协议包括请 求者的数字签名和请求递交的时间，其叙述如下： 1 用户发送文档x 给t s a ； 2 t s a 在递交文档之后附加上当前的时间t 和t s a 的标识i d ，然后签名 ( 1 d ，f ，工) ； 3 t s a 把f 和s = s i g t s 。( 1 d ，f ，x ) 发送给用户。 查证协议v 检查数字签名的完整性，并通过比较两个时间戳的绝对时间来 确定它们之间的时间顺序。审计协议a 通过递交时间戳请求的实验和检查认证 过的时间戳的正确性来揭发t s a 的非法行为。 然而，这种时间戳系统是非常脆弱的，因为它必须无条件的依赖第三方， 但第三方的行为不一定是可信的；或者时间戳颁发者的签名密钥被破坏，则无 法辨别时间戳是真的还是伪造的。 3 3 链接方案 链接方案能够克服简单方案中的缺陷，它基于这样的原则：现实世界中， 数字文档的生成时闯是可被观察到的，但只观察数据本身是无法确定其生成的 哈尔滨理工大学工学硕士学位论文 具体时间。然而，用一种单向依赖关系来定义时间的矢量性相对时间证明 ( r e l a t i v et e m p o r a la u t h e n t i c a t i o n ，r t a ) ，就可以检查各个数据项生成的相对时 序关系。 基于以上原则，几乎所有链接方案都用到了单向无冲突h a s h 函数，它足 具有如下描述特点的一类函数的集合h 2 a i t 2 1 l ： 1 压缩性：把输入任意有限比特长的字串工压缩成固定长度以的比特长字 串 ( ； 2 计算的容易性：给定h 和x ，计算 ( x ) 是容易的； 3 ，单向性：给定h 和h ( x ) ，计算出x 是不可行的； 4 无冲撞性：给定任意两个不同的x ，x ，使 ( x ) = h ( x 、是不可行的。 现在，我们只需把文档z 的h a s h 值y = h ( x ) 递交给时间戳权威机构，因为 出于证明的目的，y 与x 是等效的。借助h a s h 函数，可以为时间戳服务带来 两点好处： 1 保密性：文档持有替计算文档的h a s h 值，然后发送给时间戳眼务器， 原文档只用来验证时间戳，因此文档的内容不会在传输的过程中或在时间戳服 务器上被泄露。 2 ，网络负载：因为传递的是文档固定长度的h a s h 值，因此大容量通信引 起的网络拥塞的几率大大削减 与此同时，由于有安全数字签名机制的存在，当时间戳权威机构收到 h a s h 值后，建立时间戳信息，并签名后发送回给客户。客户通过检验签名， 以确定时间戳权威机构是否确实处理了他的请求，同时也确定他收到的h a s h 值是否是他请求的那个。依赖于不同的实现的目的，可能所有的人共用一个 h a s h 函数，也可能不同的人有不同的h a s h 函数。 在时间戳的链接方案中，h a s h 函数主要用来产生颁布的时间戳之间的依 赖关系。这里，如果h 是单向无冲突的h a s h 函数，某时刻，监督者p 知道h ( x ) 和x ，则某个人( 也可能是p 本人) 用z 在t 之前计算得到办( x ) 。链接方案的时间 戳协议s 可叙述如下： 1 用户发送文档的h a s h 值给t s a ； 2 t s a 在给定的时间窗内把用户的请求文档与先前颁发的时间戳的信息关 联； 3 t s a 签名并把时间戳发送给用户。 显然，如果要伪造一个时间戳，则必须伪造所有与该时间戳相关的依赖信 息，也就是伪造一段时间戳链，这是相对要困难的。 哈尔滨理i 大学工学硕士学位论义 然后，查证协议矿从被怀疑的时间戳开始，沿上述依赖关系到达一个最近 的可信时间戳( 通常公开发布到媒体上) ，如果查证的路径可以正常通行，则说 明时间戳信息是正确的，否则是伪造的。丽且，从上述的情况也可以看出，查 证一个受怀疑的时间戳的同时，也查证了一段时间戳链的一致性。而为了防止 t s a 伪造一段时间戳链，可多次从质疑的时间戳开始查证，取不同的可信参考 时间戳。 同时为了监督t s a 的行为，审计协议a 负责t s a 签署、颁发时问戳等行 为的日志记录，并定期查证己颁发时间戳链的一致性，以此来检举发现t s a 的不合法行为。 3 4 分布式方案 在分布式方案中，不存在一个中心时间戳服务器。在安全数字签名方案存 在的假想前提1 、，即对每一个斤j 户安全伪随机生成器g 都可用i - , q ，则每个用 产都能进行签名。伪随机生成器是一个算法，输入种子后卿输出不可预知的序 列。 分布式方案中时间戳协议s 描述如下： 1 给定文档的h a s h 值，伪随机生成器获取用户的标识k 元组： g ( y ) = ( i d l ，i d 2 ，觋) 对应。上d 2 ，- ，d 。的用户收到时间戳请求y 和标识凹。 2 由o ( y ) 分派的各用户给信息( f ，i d ，y ) 签名，并把签名信息j 返回。由 此，时间戳包含了【( 弘i d ) ，( 5 l ，殴) 】。 此方案的优点在于伪随机生成器g 的应用，它确保了寻找到一个文档y ， 去计算出同样可预先决定的上d 。2 ， 一，。是不可能的。因此，为了伪造一个 时间戳，递交者不得不串通k 个随机选取的用户，这个可能性是很低的。 当然，分布式方案的缺点也很明显。首先，所有可能的用户集合需预先建 立，而且伪随机生成器的结果限于存在的用户。其次，颁布的时间戳对网络带 宽要求的大小也是简单方案中的k 倍。最后，不同时间源的同步和认证时间可 信度的法律定义仍是一个棘手的问题。因此，关于分布式方案的研究不是很 多，而且实际上实现起来也存在很大的难度。 哈尔滨理工人学工学硕士学位论文 3 5 链接方案的演化 最著名的链接方案就是由h a b e r 和s t o m e t t a 提出的线性链接方案口i 。为了减 小对t s a 的依赖，所有的时间戳用单向无冲突h a s h 函数h 串成一条链。这种情 况下，第 个递交的文档y 。的时间戳为s = s i g t s a ( 九，。，i d 。，y 。，l 。) ，其中t 。是 当前时间，1 , 9 是请求者的标识，三。是递归形式的链接信息 l 。：= ( f 。一l ，i d 一l ，y 。i ，h ( l 。一1 ) ) 但此方案实际实现存在几个问题。首先，查证两个时间戳之间的单向关系 所需的步骤与它们俩之间的时间戳数目线性成