基于Ｗｅｂ服務的證書發放系統的設計與實現

摘 要：為了改善PKI數字證書發放易用性差、集成度低和運營成本高的缺陷，在認證中心與應用系統之間引入注冊代理，統一了用戶數字證書發放和應用系統用戶權限設置流程。給出了數字證書申請流程，基于Web 服務實現了證書發放系統，系統具有系統無關性和平臺無關性。實際應用表明證書發放系統提高了PKI數字證書發放的易用性、集成度，降低了運營成本。

關鍵詞：公鑰構架；證書發放；Web服務

中圖分類號：TP309 文獻標志碼：A 文章編號：1001-3695(2008)08-2438-03

Design and implementation of certificate issuance system based on Web services

HU Xiao-qina，LI Taoa，ZHAO Kuia，LU Zheng-tiana，ZHAO Qing-huab

(a. College of Computer Science，b. College of Distance Education， Sichuan University， Chengdu 610065， China)

Abstract: To improve simplicity，integration and cost of certificate issuance， this paper introduced the registry agent placed registry agent between CA and applications.Integrated certificate issuance andapplications user-right assignment. It gave the certificate application proccess. It implemented the certificate issuance system based on Web services with system and platform independence. In practice， it is showed that the system impoves the simplicity， integration and cost of certificate issuance.

Key words:public key infrustracture(PKI)； certificates issuance;Web services

2005年4月正式實施的《中華人民共和國電子簽名法》^[1]促進了PKI（public key infrastructure）^[2，3]在中國的發展。在PKI體系中，注冊中心RA（registration authority）作為認證中心CA（certificate authority）的證書發放、管理的延伸，是整個CA中心正常運營必不可少的一部分。目前，越來越多的應用、服務趨向采用基于PKI的安全體系架構，如電子銀行、電子商務、電子政務、電子采購、電子投票等。如何使PKI提供的身份認證服務與這些應用系統的訪問控制系統無縫集成起來，提高應用系統安全性而不降低應用系統方便性，降低引入PKI帶來的高成本，是一個有應用價值的問題^[4]。

本文在認證中心和應用系統之間引入了注冊代理，將注冊代理和應用系統集成到一起。在給用戶發放證書的同時，應用系統完成用戶數字證書和訪問權限的綁定。在實現方面，基于Web服務實現注冊代理和認證中心部分功能，實現了系統無關性和平臺無關性。提高了證書發放系統的易用性和集成度，降低了運營成本。

1 PKI體系結構

圖 1左邊部分為經典的PKI體系結構^[2，5]，多個RA提供注冊、審核、證書發放、證書吊銷服務，RA通常提供Web界面和現場辦公地點，直接面對最終用戶。證書申請處理流程參見文獻[2]。在該運行模式下，認證中心與應用系統分離，用戶需要直接面對RA，這種模式有以下不足：a）易用性差，用戶必須了解PKI的相關知識和熟悉運行模式；b）集成性差，數字證書服務與應用系統分離，造成PKI獨立于應用系統的局面；c）運營成本高，RA必須處理證書策略和認證慣例陳述，審核注冊信息，在大用戶數量情形下，RA工作負荷過大、網點分布多、管理不便、成本高。

圖 1右邊部分是引入了注冊代理的PKI體系結構。注冊代理主要提供確認用戶身份信息、制作數字證書、確認用戶撤銷申請、應用程序權限綁定等功能。引入了注冊代理的PKI體系結構具有以下優點：a）易用性好，用戶無須了解PKI的相關知識和運營模式，只需要熟悉應用系統；b）集成方便，注冊代理使用標準的Web服務，應用系統可在各自現有平臺上實現，無平臺的限制，提供了權限綁定接口，發放數字證書的同時授予應用系統訪問權限；c）運營成本低，RA將用戶信息審核等需要人工介入的工作交給應用系統擁有者負責，RA的網點數目顯著降低，減少運營成本。

2 Web服務

Web服務使用XML、SOAP、WSDL和UDDI的Internet標準，通過程序自動啟動和處理網上事務，動態描述、發布、發現和調用跨平臺、跨系統的分布式計算環境中的各種應用^[5]。傳統Web技術解決的問題是如何讓人們來使用Web應用所提供的服務，而Web服務則要解決如何讓計算機系統通過網絡（Internet / Intranet）來使用Web應用所提供的服務。Web服務具有開放、簡單、跨平臺、低代價集成等優點。基于Web服務的應用程序具備完好的封裝性、松散耦合、面向組件和跨技術實現等特點。

2.1 Web服務相關標準

Web服務基于XML^[6]技術，服務提供者和請求者使用XML傳遞消息和數據。

a)XML：可擴展標記語言(extensible markup language)是整個Web服務技術架構的基石，定義可移植的結構化數據。

b)SOAP^[7~9]：簡單對象訪問協議(simple object access protocol)是Web服務技術的核心之一，獨立于任何廠商。用于應用程序之間以對象的形式對等地、方便地交換數據。Web服務調用以XML消息表示。

c)WSDL^[10]：Web服務描述語言 (Web services description language)是Web 服務技術的核心之—。WSDL提供一個組件抽象語言，利用參數和數據類型定義被發布的服務的URL和綁定的細節。

d)UDDI^[11]：通用描述、發現和集成(universal description，discovery and integration)是Web服務架構下分布式服務描述、發現和集成機制。

2.2 Web服務體系結構

圖 2為Web服務體系結構。在Web 服務提供者向用戶提供服務之前，先使用WSDL描述其服務，然后向UDDI注冊。UDDI注冊中心保存指向Web服務和WSDL的指針，整個過程與DNS類似。如果用戶進程需要某種服務，其先向UDDI查詢，UDDI返回符合條件的WSDL和相應Web 服務的指針。用戶進程根據WSDL生成SOAP消息，按照SOAP/XML格式調用Web服務。Web服務返回執行結果給用戶進程。

3 系統設計

3.1 系統結構

圖 3為系統結構，總共分為CA、RA、企業環境三個部分。

其中，CA和RA處于同一局域網內的不同網段，采用不同的安全策略，用戶通過Internet連接到RA和CA。用戶可以申請數字證書、查詢數字證書狀態和CRL。處于DMZ中的RA網站使用WSDL描述數字證書申請服務、數字證書撤銷等服務，然后注冊到UDDI 服務器，UDDI服務器提供注冊中心Web服務的查詢。在應用系統與RA之間是注冊代理。注冊代理實現為Web服務客戶端，而RA的數字證書服務實現為Web服務服務器。應用系統與注冊代理集成，這樣，應用系統可以綁定用戶數字證書和訪問權限，注冊代理也能收集用戶身份信息、確認身份、發放數字證書。

3.2 證書發放流程

個人用戶直接向RA申請數字證書的流程詳見文獻[2]。在企業環境中，用戶數字證書申請流程如圖 4所示。用戶只與應用系統交互，而完全屏蔽了數字證書申請細節。用戶數字證書發放過程可描述如下：

a）符號定義。設企業C為一家電子政務服務提供商，擁有電子招標、電子采購、電子投票等業務，用戶B 為C的客戶，注冊代理管理員A為C的雇員。Cert表示數字證書，Info表示身份信息，A的數字證書為CertA，A的公鑰為PubA，私鑰為PrvA，B的身份信息為InfoB，證書類型為T，Sign表示簽名，Verify表示驗證簽名，H為單向散列函數，注冊中心為RA，認證中心為CA。

b）確認身份信息。用戶B在申請應用系統服務時錄入個人身份信息InfoB，身份信息真實性通過A的審核，如成為電子招標供應商或招標評審專家。

c）提交身份信息。A使用PrvA對B的身份信息、證書申請類型簽名，得到S=Sign（H(InfoB，T），PrvA）。A存儲〈InfoB， T ， S〉，然后向RA發送〈InfoB，T，S 〉。

d）審核身份信息。RA接收到〈InfoB，T，S〉，使用A的公鑰PubA驗證H（InfoB，T）≡Verify（S，PubA），通過驗證后，驗證A的權限和與A相關的認證慣例陳述，通過審核后，RA保存〈InfoB，T，S〉，將〈InfoB，T〉發給CA。

e）發放證書。CA為用戶生成數字證書CertB（包括x509和PKCS12類型證書）和數字證書保護密鑰PIN，然后發送給RA。CA將B的公鑰證書發布到證書發布服務器供下載。

f） 制作證書。注冊代理A從RA得到B的數字證書和保護密鑰PIN，制作數字證書，使用封裝打印機打印密鑰PIN，交給用戶B，注冊代理調用權限綁定接口，綁定用戶身份和在應用系統中的權限。

用戶數字證書撤銷流程與發放流程相同。

3.3 模塊設計

圖 5為RA、注冊代理模塊結構。各模塊詳細功能如下：

a）證書申請模塊。處理用戶身份信息、提交用戶身份信息、制作數字證書，調用權限綁定接口，接收用戶業務申請等。

b）申請撤銷模塊。處理用戶撤銷數字證書申請、提交撤銷申請，調用權限綁定接口，注銷用戶的業務申請等。

c） 權限綁定接口。注冊代理和應用系統訪問控制交互接口。

d）注冊代理日志審計模塊。審計注冊代理的日志記錄。

RA包括證書發放模塊、證書撤銷模塊、訪問控制模塊和日志審計模塊。各模塊詳細功能如下：

a）證書發放模塊。審核注冊代理提交的用戶身份信息，驗證注冊代理的數字簽名，通過CA產生數字證書，向注冊代理傳遞數字證書。

b）訪問控制模塊。控制注冊代理的訪問，拒絕注冊代理的非法訪問。

c）證書撤銷模塊。審核注冊代理提交的撤銷申請，通過CA完成證書撤銷。

d） RA日志審計模塊。審計RA的日志記錄。

4 系統實現和應用

4.1 系統實現

系統實現主要在于實現注冊代理（Web services客戶端）和RA （Web services服務器端）。注冊代理可使用不同平臺、不同編程語言實現。在本系統中，選擇了PHP 4.3.9及第三方SOAP實現nusoap作為實現Web services客戶端的基礎平臺，在Linux環境下實現了注冊代理。在Web services服務器端，選擇Linux、Aapche 1.3.26（加入mod_ssl模塊）、PHP 4.3.9及nusoap、MySQL 4.0.22作為實現平臺。應用HTTPS協議實現身份認證和傳輸安全。在注冊代理調用Web服務時驗證注冊代理權限實現訪問控制。

CA發放數字證書后，RA需要向注冊代理發送數字證書，由于SOAP協議使用XML來傳輸消息和數據，二進制文件必須作為SOAP附件或者改變編碼方式。RA將數字證書編碼為Base 64格式再傳送給注冊代理，注冊代理接收后解碼為二進制格式，保存到文件中，生成數字證書文件。

注冊代理初始化時，應采用傳統數字證書發放方式，離線申請數字證書。注冊代理A通過RA的身份確認后，獲得數字證書和一定的代理權限。

4.2 應用

基于Web 服務的證書發放系統已經在四川三公認證中心（3GCA）和四川政府采購管理系統應用。四川政府采購是四川政府采購門戶，服務對象包括政府采購的全部用戶，如采購監管機構、采購代理機構、供應商、評審專家、采購人等。供應商、評審專家和采購人由不同的管理部門管理、采用不同的管理系統，如供應商庫管理系統、評審專家庫管理系統和采購入庫管理系統。目前，證書發放系統的注冊代理已經集成到這些管理系統中，數字證書的發放和用戶的業務流程融合，方便實用，運營成本低，體現了Web 服務的證書發放系統良好的應用價值。

5 結束語

針對目前PKI應用中證書發放過程中的不足，易用性差、集成性差、運營成本高的缺點，本文應用Web 服務技術在PKI與應用系統之間加入注冊代理，將RA的部分功能前置到應用系統中，提高了PKI的集成能力，在四川三公認證中心、四川政府采購系統的實施表明，集成方便、集成快捷和運營成本低，實現了系統無關性和平臺無關性。

參考文獻:

[1]第十屆全國人民代表大會常務委員會. 中華人民共和國電子簽名法[S]. 北京：中國法制出版社，2004.

［2］謝冬青，冷健. PKI原理與技術[M].北京：清華大學出版社，2004.

［3］李濤. 網絡安全概論[M].北京：電子工業出版社，2004.

［4］ WILLIAMS C K. Configuring enterprise public key infrastructures to permit integrated：deployment of signature， encryption and access control systems[C]//Proc of Military Communications Conference.McLean， Virgina: IEEE Press， 2005:2172- 2175.

［5］張巍，李濤，徐春林，等. 認證中心FSCA的設計與實現[J].計算機工程，2003，29(12):105-107.

［6］YERGEAU F， COWAN J， BRAY T， et al. Extensible markup language (XML) 1.1(2nd ed)[EB/OL]. [2006-08-16]. http://www.w3.org/TR/xml11.

［7］MITRA N. SOAP version 1.2 part 0: primer[EB/OL]. [2003-06-24]. http://www.w3.org/TR/soap12-part0/.

［8］MENDELSOHN N， GUDGIN M， MOREAU J J， et al. SOAPversion 1.2 part 1: messaging framework[EB/OL]. [2003-06-24]. http://www.w3.org/TR/soap12-part1/.

［9］HADLEY M，NIELSEN H F，MOREAU J J，et al.SOAP version 1.2 part 2: adjuncts. [EB/OL]. [2003-06-24].http://www.w3.org/TR/soap12-part2/.

［10］MOREAU J J， CHINNICI R， WEERAWARANA S， et al. Web ser-vices description language (WSDL) version 2.0 Part 1: core language(Work Draft)[EB/OL]. [2007-03-26]. http://www.w3.org/TR/wsdl20.

［11］UDDI Spec Technical Committee. Universal description， discovery and integration (UDDI) version 3.0.2[EB/OL]. [2004-10-19]. http://uddi.org/pubs/uddi_v3.htm.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文