身份管理与数字证书信息同步的设计与实现毕业论文

1、. . . . 河 北 工 业 大 学毕 业 论 文作 者： 东媛 学 号 112527 学 院：计算机科学与软件学院 系(专业)： 计算机科学与技术 题 目：身份管理与数字证书信息同步的设计与实现指导者：(姓 名) (专业技术职务)评阅者：(姓 名) (专业技术职务) 年 月 日毕业设计（论文）中文摘要题 目：身份管理与数字证书信息同步的设计摘要： 伴随着信息安全的发展安全，PKI数字证书技术的使用在用户管理过程中也存在许多繁琐的工作，给用户管理着带来很多不便。授权和管理在两个系统间反复的输入用户信息。身份管理与数字证书同步系统解决了这个问题，只需要一次根证书的认证，就可以在信息管理系统中自

2、动调用申请接口，自动完整数字证书的签发过程，既保证了安全，又带来了方便。因此在效率与安全的时代，身份管理与数字证书信息同步系统应需求而产生。关键词： PKI技术数字证书信息安全40 / 46毕业设计（论文）外文摘要Title Identity Management and Digital Certificate InformationSynchronizationAbstractWith the development of information security,there are manytedious work in the management of using thePK

3、I digital certificate technology. it brings many inconveniences to management.usersinformation should be inputed of Authorization System,and it should be input of Management System too.The Identity Managementand Digital Certificate Synachronization Systemsolvesthe problem. It onl

4、y needs a rootcertificate,and admins can  automatic call interface of applying cert when managing users information.So it can automatically complete digital certificate issuance .Obviously ,it is safety and convenience.In the era with efficiency and security,The Identity Manageme

5、nt and Digital Certificate Information Synchronization System should be produced.Keywords：PKI digital certificateInformation security目 录1 引言11.1 论文的选题背景11.2 论文的研究意义11.4 论文的容安排22 相关技术简介与研究意义22.1 PKI22.1.1 什么是PKI22.1.2 PKI的技术的研究容22.1.3 PKI优点32.1.4 PKI的意义42.1.5 中国商用PKI系统体系42.2 CA 证书认证中心42.2.1 什么是CA42.2

6、.2 CA的工作过程42.3 RA 注册机构52.3.1 什么是RA52.3.2 RA的工作过程62.3.3 RA的意义62.4 KMC62.4.1 什么是KMC62.4.2 KMC的工作过程62.4.3 KMC研究的意义72.5 数字证书72.5.1 什么是数字证书72.5.2 数字证书的描述方法72.6 X.509 标准82.6.1 X.509简介82.6.2 X.509数字证书83 关于身份管理与数字证书同步系统的设计分析133.1 系统用例图133.2 RA证书审核模型133.3 CA数字证书颁发模型153.4 KMC密钥生成模型173.5 接口说明183.5.1 证书申请接口-app

7、lyCert183.5.2 证书制作接口-writeCertToKey193.5.3 自动申请并制作证书接口-autoApplyAndWriteKey203.5.4 证书更新接口-updateCert213.6 重要数据库表的设计224 测试与分析254.1 测试实例说明264.2 环境部署264.3.1 必备的开发工具264.2.2 配置步骤264.3 操作以与代码说314.3.1 证书申请314.3.2 证书制作334.3.3 自主制证364.3.4 证书更新38结 论40参 考 文 献41致 421 引言1.1 论文的选题背景近年来，对着Internet的迅速崛起，互联网已经进入了人们工

8、作学习的各个方便，不仅仅是各个大中小企业对员工的信息管理，还有各个购物，资料还有各种方便人们交流生活的平台的信息管理，如何在不影响用户方便性的同时保证用户信息的安全性是一个重大的挑战，PKI数字证书的设计与实现为信息的安全性带来了生机。但是在管理着用这种方法对庞大的用户信息进行管理的时候出新了一个新的问题，就是操作的复杂性。PKI技术在保证安全的同时也为用户设计了重重的关卡，比如录入用户信息，审核用户信息，证书制作，密钥生成等工作。为了信息安全又不用重复操作，就需要把证书颁发系统与身份管理系统相结合，管理者运用某种权限使得证书可以自动完成复杂的录入、审核、制证等操作。于是身份管理与数字证书信息

9、同步系统应运而生。1.2 论文的研究意义该系统并不是每个用户都可以自动创建证书，而必须是拥有某种权限的人才可以，即拥有足够权限的数字证书登录的时候才可以自动创建证书，并且可以根据数字证书里面的信息判断证书的类型等相关属性，这样便可以有法则的安全的创建并管理用户。目前，这种技术不仅仅运用在各大中小企业、各大等民用的信息管理系统中，在政府军用机关也运用相关技术。在完成身份管理与数字证书信息同步系统后，发现里面的原理知识很严密，PKI这种安全的基础设施有待继承和研究，希望以此论文显示我的研究成果，与各位相关学者们进行讨论，推动该技术的更新与发展。1.3 论文的容安排经过了半个多学期的研究之后，有一定

10、的成果，下面就以论文的形式展示出来，一下详细介绍一下论文的大概容安排。该论文第一章是引言；第二章主要讲述身份管理与数字证书同步系统所遇到的相关技术和算法；第三章会结合身份管理与数字证书同步系统，来更加完美的展示这种同步技术；第四章是对本系统进行测试，用实际总结该系统优缺点；最后总结了一下经验教训，确定自己今后在这个课题上的研究方向。2 相关技术简介与研究意义2.1 PKI2.1.1 什么是PKI PKI是public key Infrastructure 的缩写，广义来讲就是用公开密钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施，也就是说任何以公钥技术为基础的设施都叫PKI，即没

11、有好的非对称算法和好的密钥管理就不可能提供完善的安全服务，也就不是PKI。这个说法也就说明了PKI必须具有密钥管理功能。 综上所述，即PKI是用公钥概念和技术实施的，支持公开密钥的管理并提供真实性、性、完整性以与可追究性安全服务的具有普适性的安全基础设施。2.1.2 PKI的技术的研究容PKI在公开密码学的基础上，主要解决密钥认证的问题。PKI的核心技术就是围绕数字证书的申请、颁发、使用与撤销等整个生命周期展开的。证书撤销是最容易被忽视但也是PKI很重要的一部分，是安全基础设施必须提供的一项服务。PKI的研究对象包括：数字证书、颁发数字证书的证书认证中心、证书持有者、证书使用者、证书注册机构、

12、证书存储和查询服务器、证书状态查询服务器和证书验证服务器等。PKI最基本的组件是证书认证中心（CA）、证书持有者和依赖方。证书持有者是指公钥对应私钥的持有者。依赖方是指使用其他人证书来进行加密通信、身份鉴别、数字签名验证等安全操作的实体。PKI的辅助组件有注册机构（registration authority，RA）、资料库(repository）系统、密钥管理系统(key management system）、OCSP（online certificate status protocol）服务器、CRL Issuer等。辅助组建不是必须的，只是在某种情况下用来更加完善PKI系统，使其更好的完

13、成服务。另外，为了更好的发展PKI基础设施，PKI域之间的互联是建设一个没有漏洞的围大的网络应用的关键。在PKI互联过程中，PKI关键设备之间，PKI末端用户之间，网络应用与PKI系统之间的相互操作与接口技术是PKI发展的重要保证。2.1.3 PKI优点PKI具有强大的生命力，以公钥密码技术为灵魂，以数字证书为核心。凭借自己的优势已经渐渐渗入网络的各个层面。PKI的优势主要表现在一下几个方面。（1）采用公开密钥技术；（2）保护性；（3）采用数字证书的方式进行服务；（4）提供证书撤销机制；（5）具有特别高的互连的能力2.1.4 PKI的意义PKI的意义在于人们日常生活中，最常见的例子，电子商务，

14、现在网购逐渐增多，而PKI提供的任意三方可验证服务提供了一个更加公平的平台，这样的方式使得电子商务变得更加和和谐。另外，PKI支持很多以前无法实现的服务。比如，PKI保证下载文件不被黑客篡改，可以保证护照等证件的真实性。但是PKI技术并没有发展的很迅速，或许正式因为其重大的意义和扎实的基础才才发展的如此缓慢。PKI是无可替代的。2.1.5 中国商用PKI系统体系证书认证系统密码与其相关技术规是由中华人民共各国国家密码管理局颁布的标准，主要是指导公众服务证书认证系统的建设和检测评估。该规的组件有证书管理系统和证书/CRL签发系统（证书的签发、证书撤销和CRL签发，即CA）、用户注册管理系统和远程

15、用户注册管理系统（RA）、证书/CRL存储发布系统和证书/CRL查询系统（资料库）、密钥安全中心（KMC）和安全管理系统（系统审计和安全防护）。2.2 CA 证书认证中心2.2.1 什么是CACA是负责公钥的归属的组件，且其技术手段也是非常可靠的。CA通过数字证书的方式为用户提供公钥证明。因为CA是PKI系统中被通信的双方信任的实体，故被称为可信第三方（trusted third party,TTP），也因此其签名认证是不可否认的。2.2.2 CA的工作过程CA作为可信第三方，就必须让信任实体拥有追究自己责任的能力。用户将自己的身份信息和公钥发送给CA，由CA验证并签名，给该用户颁发数字证书，

16、证书中就绑定了公钥数据和该用户的信息并和CA的签名，并且还有CA的名称，这样便可以方便其他用户找到CA签名的验证公钥。那么依赖方是如何进行验证的呢？每一个CA都有一对自己的公私钥，公钥可以用另一个CA签名后发布，也可以通过广播、电视或者红头文件来公告CA的公钥，其私钥对每一个数字证书进行数字签名，CA实现公钥获取数据起源的鉴别，保证数据完整性和非否认性。当然，如果用户因为信任了证书而导致了损失，证书可作为有效的证据来追究签名CA的责任。中国商用PKI系统结构图如图2-1所示：图2-1 中国商用PKI系统结构图2.3 RA 注册机构2.3.1 什么是RARA是证书注册机构，是CA与用户之间的接口

17、。正如其名，它的作用是在CA证书进行签名前进行审核以确保证书上面容的有效性。从而使得PKI系统更加安全。另外，为了与用户更好的交互，完善PKI系统的功能，RA注册机构也会对用户身份信息进行管理，以与安全的数字证书的下载、发放等功能。2.3.2 RA的工作过程验证者提交公钥和自己的身份信息后，RA首先要检测申请者拥有相应的私钥，另外还要对密钥的安全强度（密钥长度、密钥的使用期密钥种子）、密钥托管和恢复、算法等进行审核；然后，RA系统要进行对申请着身份的验证，确定申请者就是证书所标识的试题，或者申请者有足够的权限来代替其他的申请者，还要检查申请者身份信息中的各个方面的容（等）进行检查。然后，RA检

18、查申请者希望证书可能希望在证书上面附加的其他容，另外还要检测用户的缴费情况、合同签订、犯罪记录等；最后还要获取申请者的联系、 地址等信息，以方便PKI系统可以回访用户。在上述一系列的审核中有大量的人工参与，不仅仅是RA系统自动完成，所以RA系统必须提供一个友好的交互页面。2.3.3 RA的意义为了使PKI系统的建设保证网络信息以与网络通讯的安全，保证网络数据以与用户信息的性、完整性和不可抵赖性，RA是不可或缺的一部分。RA不仅仅可以直接与用户进行交互，管理用户信息以与证书等相关业务，在后期的维护以与其对用户信息的审核都有着重要的作用。2.4 KMC2.4.1 什么是KMCKMC是密钥管理中心（

19、也称密钥托管中心），有生成管理密钥的功能，它可以通过加密机或者加密卡来生成密钥，另外支持安全网络通道传输数据。它是第三方可信任机构，一个KMC可以为多个CA进行服务。2.4.2 KMC的工作过程KMC负责密钥的管理和存储，其部的加密机（加密卡）可生成密钥对，并且把备用密钥对存在数据库中。KMC中主要包括三个数据库、加密卡和通讯密钥对。三个数据库分别是备用密钥数据库、在用密钥数据库和历史密钥数据库。备用密钥数据库是存储加密机新生成密钥（暂时没有被分配），在用密钥数据库存储的是正在使用中的密钥，历史数据库存储的是因过期等其他原因现在不再使用的密钥。加密卡用来生成新的密钥，通讯密钥对用来与CA进行安

20、全通信。KMC的大概工作过程就是：解析CA发来的申请密钥信息，然后从备用数据库中取出密钥，并且将申请人信息与密钥保存在在用数据库中，然后构成返回信息，最后通过网络安全通道传送给CA。此外，KMC还涉与密钥恢复、密钥撤销等功能，其过程与申请密钥类似。2.4.3 KMC研究的意义KMC的出现似的PKI系统更加完整和安全，为保护用户的隐私和保证相关政府部门的监听权做出了突出贡献。2.5 数字证书2.5.1 什么是数字证书数字证书由证书容、签名算法和签名结果组成，数字证书为了证明公钥的所属而存在。数字证书的容一般包括版本号、证书主体、主体公钥信息、签发者、序列号、有效期等合理性信息。2.5.2 数字证

21、书的描述方法大多数数字证书的描述使用ASN.1语法标记标准，它是一种既简单，有没有歧义的容描述语言。在PKI系统中关于目录、名字、证书和通信的诸多方面使用到了ASN.1语言。2.6 X.509 标准2.6.1 X.509简介X.509 标准是ITU-T设计的PKI标准，踏实为了解决X.500目录中的身份鉴别和访问控制问题而设置的。X.509最基本的组件有 CA、证书持有者、依赖方和资料库。X.509标准也只是为X.509目录来服务的。其定义了证书和CRL的数据格式。2.6.2 X.509数字证书X509是用ASN.1来描述证书信息的。PKI中广泛使用X.509证书格式。那么下面就用ASN.1来

22、描述X.509证书的整体结构。证书分为三大部分：证书容（tbsCertificate）、签名算法 （sinnatureAlgorithm）和签名结构（signatureValue）。证书容的描述：fCertificate := SEQUENCEftbsCertificate fTBSCertificatefsinnatureAlgorithmfAlgorithmIdentifierfsignatureValue BIT STRING签名算法为CA对证书签名时的算法，其类型为AlgorithmIdentifier。fAlgorithmIdentifier := SEQUENCEfAlgorith

23、m OBJECT IDENTIFIER,fParameters ANY DEFINED BY algorithm OPTIONALfTBSCertificate := SEQUENCEfVersion 0 EXPLICIT Version DEFAULT v1,fserialNumber fCertificateSerialNumber,fsignature fAlgorithmIdentifier,fissuer fName,fvalidity fValidity,fsubject fName,fsubjectPublicKeyInfo fSubjectPublicKeyInfo,fissu

24、erUniqueID 1 IMPLICIT UniqueIdentifier OPTIONALfsubjectUniqueID 2 IMPLICIT UniqueIdentifier OPTIONALfextensions 3 EXPLICIT Ectensions OPTIONAL issuerUniqueID 为签发者唯一标识，subjectUniqueID为主体唯一标识。版本号、序列号用整数方式给出。签发者与证书序列号配合，唯一标识一数字证书。fVersion := INTEGERv1(0),v2(1),v3(2)fCertificateSerialNumber := INTEGER签发

25、者和主体fName := CHOICEfRDNSequencefRDNSequence := SEQUENCE OF fRelativeDistinguishedNamefRelativeDistinguishedName := SET OF AttributeTypeAndValuefAttributeTypeAndValue := SEQUENCEftype AttributeTypefvalueAttributeValue证书的有效期fValidity := SEQUENCEfnotBefore fTime,fnotAfterfTimefTime := CHOICEfutcTime UT

26、CTime,fgeneralTime GeneralizedTime主体公钥信息fSubjectPublicKeyInfo := SEQUENCEfalgorithm fAlgorithmIdentifier,fsubjectPublicKey BIT STRING签发者和主体唯一标识符fSubjectPublicKeyInfo := BIT STRING下面是本系统证书属性的图片（图2-2、图2-3）图2-2 证书格式（1）图2-3 证书格式（2）3 关于身份管理与数字证书同步系统的设计分析3.1 系统用例图图3-1 系统用例图3.2 RA证书审核模型RA的证书审核包括了申请人信息的录入以与

27、身份的核实，这是认为参与最多的一个过程，并且从录入到审核这个时间是没有办法估量。此外RA系统对于用户资料和维护等作用，下图主要说明一下RA参数证书制作过程中的作用，即用户信息的注册申请以与用户身份的审核。RA服务是可以录入产生系统证书的申请信息且产出证书的申请文件的一项比较面向用户的服务。管理员A录入证书的申请信息，然后经过核实申请人身份后，如果申请人符合证书申请的条件则审核通过，否则审核不通过；未通过审核的申请人依然处于待审核状态，如果审核通过后将允许制作证书，RA将申请信息发送给CA进行制证，CA将制作好的证书以与其他相关信息发送给RA；最后RA将反馈证书的制作情况（成功或者失败），显示成

28、功即证明已经把证书制作好并且将证书保存在了对应的Key里。3.3 CA数字证书颁发模型在RA审核完申请人的身份后会向CA发送请求，那么CA是如何处理这些请求的呢？如图3-2在申请人通过RA的审核后，RA准备证书的申请信息，RA根据证书的申请信息构造XML文件，XML文件还要包括证书的类型，其中签名证书（包括双证证书）的申请信息包括PXCS10信息。然后RA用自己的加密卡将XML申请信息加密后，将申请文件通过安全通道发送给CA，下面CA系统才真正的开始工作。CA系统开始解析包含申请信息的XML文件，解析完成后，把申请信息保存到数据库中；然后判断申请信息中是否有加密信息。如果有则证明申请者需要的证

29、书为是加密证书或者双证，CA构造密钥申请信息，并且将密钥申请信息通过安全通道传送到KMC中，KMC接收到申请后对信息进行处理，获得密钥对后构造返回信息，然后完成对返回信息的加密，最后将信息通过安全通道发送会CA中，CA对返回信息进行解析，并且根据返回信息中的密钥重构申请信息，然后CA对证书进行签名，即制作证书；如果为签名证书则不用向KMC中发送密钥申请，直接制作证书；最后将证书通过安全通道发送给RA，然后RA对证书进行管理和颁发。图3-3 为CA数字证书颁发模型图3-2 RA证书审核模型3.4 KMC密钥生成模型对与KMC，与其说是密钥生成，不如说是密钥管理，其主要的功能便是管理密钥，下面介绍

30、一下KMC的工作过程（如图3-4）。图3-3 CA数字证书颁发模型当RA申请信息有加密信息时，CA解析发现后就会向KMC发送信息以申请密钥，然后通过网络安全通道进行送申请密钥的信息，KMC获得并解析完申请信息后，访问数据库（KMC中的加密卡事先生成的密钥对存储在数据库中），获得密钥对，然后用密钥对和获得的申请信息重构返回信息，KMC将返回信息通过网络安全通道发送给CA，交给CA进行处理。图3-4 KMC密钥生成模型3.5 接口说明3.5.1 证书申请接口-applyCert本接口提供从PKI注册服务中申请证书（自动审核）。1）访问方式WebServiceIP/RAServiceProject/

31、ws/applyCert2）参数说明commonName=用户名domainName=域名usbKeyProvider=usbkey驱动名3）返回结果说明如表3-1表3-1 证书申请接口参数说明参数说明Root 根节点Result root子节点返回标志，ture表示成功，false表示失败Info root子节点，返回的提示信息，例如返回错误时的提示信息Cert root子节点，证书申请对象certApplicationId cert子节点，证书申请对象编号，具有唯一性rsaEncry cert子节点，key中的容器名3.5.2 证书制作接口-writeCertToKey本接口提供证书的制作

32、服务。1)访问方式WebServiceIP/RAServiceProject/ws/writeCertToKey2）参数说明certApplicationId=证书申请对象编号3）返回结果说明如表3-2表3-2 证书制作接口参数说明参数说明root根节点resultroot子节点，返回结果标识，true表示成功，false表示失败inforoot子节点，返回的提示信息，例如返回错误时的提示信息certroot子节点，证书对象certApplicationIdcert子节点，证书申请对象编号，具有唯一性p12CertPasswordcert子节点，证书密码p12EncryCertcert子节点，

33、证书信息rsaEncrycert子节点，key中的容器名serialNumbercert子节点，证书序列号，具有唯一性usbKeyProvidercert子节点，usbkey驱动名3.5.3 自动申请并制作证书接口-autoApplyAndWriteKey本接口提供自动申请并制作证书的综合接口。1)访问方式WebServiceIP/RAServiceProject/ws/autoApplyAndWriteKey2)参数说明commonName=用户名domainName=域名usbKeyProvider=usbkey驱动名3)返回结果表3-3 自动申请并制作接口参数说明参数说明root根节点r

34、esultroot子节点，返回结果标识，true表示成功，false表示失败inforoot子节点，返回的提示信息，例如返回错误时的提示信息certroot子节点，证书对象certApplicationIdcert子节点，证书申请对象编号，具有唯一性p12CertPasswordcert子节点，证书密码p12EncryCertcert子节点，证书信息rsaEncrycert子节点，key中的容器名serialNumbercert子节点，证书序列号，具有唯一性usbKeyProvidercert子节点，usbkey驱动名3.5.4 证书更新接口-updateCert本接口提供证书更新服务。1）访

35、问方式WebServiceIP/RAServiceProject/ws/updateCert2）参数说明servialNumber=证书序列号3）返回结果表4-4 证书更新接口参数说明参数说明root根节点resultroot子节点，返回结果标识，true表示成功，false表示失败inforoot子节点，返回的提示信息，例如返回错误时的提示信息certroot子节点，证书对象certApplicationIdcert子节点，证书申请对象编号，具有唯一性p12CertPasswordcert子节点，证书密码p12EncryCertcert子节点，证书信息rsaEncrycert子节点，key中

36、的容器名serialNumbercert子节点，证书序列号，具有唯一性usbKeyProvidercert子节点，usbkey驱动名3.6 重要数据库表的设计因为本系统是一个庞大的PKI系统的一部分，所以下面只涉与与本系统有关的数据库表。表3-5 cert数据库表序号字段说明数据类型允许为空主键外键备注1idIDbigint否是2application_id证书申请对象IDbigint是3startTime开始时间datetime4endTime结束时间datetime5signCert签名证书mediumblob6serialNumber序列号varchar7encryptP12Cert加密

37、算法mediumblob8certState证书状态char9p12CertPassword证书密码varchar10caServer_idCA服务器IDbigint是11registerServer_idRA服务器IDbigint是12approve审核状态bit13AuditingState审计状态char14certRevokeCause_name证书撤销原因varchar是表3-6 Cert数据库表的外键表标号字段说明参考数据库引用表引用表字段名删除时刷新时1certRevokeCause_name证书撤销原因radbcertrevokecausenamerestrictrestric

38、t2application_id申请对象IDradbapplicationidrestrictrestrict3registerServer_idRA服务器IDradbregisterserveridrestrictrestrict4caServer_idCA服务器IDradbcaserveridrestrictrestrict表3-7 cert数据库表的索引表编号字段索引类型1registerServer_idNormal2Systemuser_idNormal3caServer_idNormalSystemuser表登录的时候调用并判断用户类型，在自动制证的时候自动填写其权限的可申请证书类

39、型、CA服务器等值。registerServer是注册服务器表，它存放的是系统的后台管理部分的默认服务器对象，在本系统中没有涉与任何操作，只是在证书申请的时候用到了默认的注册服务器，所以不具体说明该表。caServer也是默认的CA服务器，不具体说明该表。表3-8 application数据库表标号属性名说明数据类型为空主键外键备注1idIDbigint否是2publicKey公钥text3type类型char4certSelectchar5certType证书类型char6backupKeybit7auditingState审计结果char8caServer_idCA服务IDbigint是9

40、keySource源keychar10keyPurpose目标keychar11keyLengthKey长度int12usbKeyProviderKey提供者varchar13registerServer_id注册服务器idbigint是14approve审核状态bit15SystemUser_idbigint是16createTime创建时间timestamp否17city城市varchar18commonName通用名varchar19communicationAddress通信地址varchar4 测试与分析RAServiceClient是基于eclipse创建的javaweb工程，其结

41、构如下图4-1：图4-1 RAServiceClient工程结构图.ncs.pki.remote.webservice.service包下是使用apache-cxf-2.6.16/bin下的wsdl2java命令生成的webservice客户端代码；.ncs.pki.web.action包下是struts2处理请求action；struts.xml是struts2的配置文件，主要完成请求路径配置与结果映射。4.1 测试实例说明本系统最主要的功能就是证书申请、证书制作、自主制证和证书更新。下面说明证书申请（自动审核）、制证、自主制证与证书更新进行测试，首先是为了可以测试系统功能是否完善，其次是为

42、了便于大家理解该系统。4.2 环境部署4.3.1 必备的开发工具工具：Eclipse3.4 、jdk1.5、tomcat6数据库：mysql操作系统：window XP其他：key专用的工具另外还有证书申请、证书制作、自主制证和证书更新的接口4.2.2 配置步骤1、 JDK安装安装JDK的版本为JDK1.5.0.17，安装JDK1.5.0.17时采取默认安装即可。安装后需要配置环境变量，建议配置完全的java环境。新建用户变量，变量名为：JAVA_HOME；变量值为JDK的安装目录，如图4-2所示。图4-2 JAVA_HOME的配置修改Path变量，添加%JAVA_HOME%bin，如图4-3

43、所示。图4-3 Path的配置添加CLASSPATH变量，具体为图4-4所示，其中的变量值为：.;%JAVA_HOME%libdt.jar; %JAVA_HOME%libtools.jar;图4-4 CLASSPATH的配置2、 MySql的安装选择默认安装即可，一直到选择编码格式的配置界面，如图4-5：图4-5 mysql安装编码格式的配置选择Manual Selected Default Character Set /Collation，在Character Set选择gbk，然后点击“Next”。在New root password输入口令，例如“111111”在Confirm再次输入口

44、令。如图4-6点击“Next”最后点击“Finish”安装结束。如图4-7图4-6 Mysql安装创建用户名和密码图4-7 mysql安装结束打开C:Program FilesMySQLMySQL Server 5.0my.ini，检查2处.clientport=3306mysqldefault-character-set=gbk.和# The default character set that will be used when a new schema or table is# created and no character set is defineddefault-characte

45、r-set=gbk确保这两处default-character-set后面的值都为gbk，如若不是修改gbk，修改为gbk后重新启动mysql服务。3、 Tomcat配置启动Eclipse，应该会提示工作空间不存在，重新选择修改为，NCS CA工作组成步骤中下载workspace到本地目录。接下来就配置Tomcat环境。操作如图4-8所示：图4-8 配置Tomcat环境然后选择Tomcat安装目录，如图4-9：图4-9 选择Tomcat安装目录这样环境就配置完毕。4.3 操作以与代码说4.3.1 证书申请打开ie访问ip:port/RAServiceClient/index.jsp点击申请证书

46、，连接到ip:port/RAServiceClient/applyCert.jsp输入用户名与域名，点击“申请并制证”按钮即可。代码说明：1、applyCert.jsp页面使用<object>标签导入浏览器token控件。在js方法setUsbKeyProvider中调用token.AutoSuper()进行初始化并获取key中的信息，返回值格式为“username” :”zs”， “cspname”:” HaiTai Cryptographic Service Provider 20076”的JSON串。form表单提交到certApplication.action，在com.n

47、cs.pki.web.action.CertApplicationAction的certApplication()方法中进入处理代码如下：在方法调用webservice的applyCert(String, String, String)方法，三个参数为form表单提交的参数。如果失败则进入error.jsp，展示错误信息；成功则请求将转发到writeKey.jsp。4.3.2 证书制作writeKey.jsp代码如下：writeKey.jsp将请求转发发到makeCert.action，在com.ncs.pki.web.action.CertApplicationAction的makeCert

48、 ()方法进行请求处理。调用webservice的writeCertToKey(String)方法进行证书签发，失败则进入error.jsp；成功则进入certDown.jsp。此页面中调用js方法downCerts()，调用token.AutoSuper()初始化，然后调用token.InputPKCS12Base64CertBuff(usbKeyProvider,containerName,p12Base64,keypass)，将证书写入到key中。InputPKCS12Base64CertBuffy方法的参数说明：usbKeyProvider用户key的驱动名，即writeCertToK

49、ey接口返回值中的usbKeyProvider；containerName存放证书的容器名，即writeCertToKey接口返回值中的rsaEncry；p12Base64用户的证书信息，即writeCertToKey接口返回值中的p12EncryCert；keypass用户证书密码，即writeCertToKey接口返回值中的p12CertPasswrod。4.3.3 自主制证打开ie访问ip:port/RAServiceClient/index.jsp点击自动申请证书，打开页面ip:port/RAServiceClient/auto.jsp点击“申请”按钮，进入如下页面：用户核对信息，然后

50、点击“确认”按钮，进行自主制证。代码说明：Auto.jsp用户确认信息后，form表单提交到auot.action中。在com.ncs.pki.web.action.CertApplicationAction的autoApplyAndWriteKey ()方法中进入处理。代码如下：调用webservice的auotApplyAndWriteKey(String, String, String)方法进行证书自动申请与签发，失败则进入error.jsp；成功则进入certDown.jsp。在certDown.jsp页面的处理与之前处理一样。4.3.4 证书更新打开ie浏览器，输入localhost

51、/RAServiceClient/index.jsp点击更新证书，打开页面localhost/RAServiceClient/updateCert.jsp输入证书序列号，点击“提交按钮”，进行证书更新操作。代码说明：updateCert.jsp表单提交到com.ncs.pki.web.action.UpdateCertAction的updateCert方法调用证书更新接口updateCert(String)方法，得到webservice处理结果，然后返回到certDown.jsp页面。结 论通过对PKI技术的研究与应用，让我明确的了解到，网络上各种财务贸易、信息通讯等各种活动想要安全进行，就必须依赖于PKI技术。PKI技术用严谨复杂的安全手段，保障了网络的安全，但是在PKI技术的发展仍需要继续努力，其安全措施实施的