一種將認(rèn)證中心與業(yè)務(wù)系統(tǒng)整合方案

吳潔明，史建宜，李碩征

(北方工業(yè)大學(xué)信息工程學(xué)院，北京100144)

0 引言

公鑰基礎(chǔ)設(shè)施(PKI)是國(guó)際上解決開放式互聯(lián)網(wǎng)絡(luò)信息安全要求的一套體系。PKI體系支持身份認(rèn)證，信息傳輸、存儲(chǔ)的完整性，消息傳輸、存儲(chǔ)的機(jī)密性，以及操作的不抵賴性。PKI的核心就是CA(認(rèn)證中心)。

CA認(rèn)證技術(shù)是保障通信網(wǎng)絡(luò)安全性的重要手段，它是以PKI為基礎(chǔ)?，F(xiàn)階段，PKI/CA技術(shù)被廣泛應(yīng)用到各種應(yīng)用系統(tǒng)中。它是唯一能同時(shí)解決身份認(rèn)證、訪問(wèn)控制、信息保密和不可抵賴性的安全技術(shù)。其中，身份認(rèn)證功能是整個(gè)PKI/CA的核心［1-2］。

身份認(rèn)證是安全技術(shù)的一個(gè)十分重要的方面，它也是保障業(yè)務(wù)系統(tǒng)安全性的第一道關(guān)卡，只有實(shí)現(xiàn)了合法有效的身份認(rèn)證，才能對(duì)用戶進(jìn)行訪問(wèn)控制，一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)的安全性設(shè)置就形同虛設(shè)［3-4］。

目前，很多業(yè)務(wù)系統(tǒng)都希望實(shí)現(xiàn)更加堅(jiān)固有效的身份認(rèn)證?，F(xiàn)階段，大部分業(yè)務(wù)系統(tǒng)使用簡(jiǎn)單相等身份驗(yàn)證的方式，對(duì)用戶進(jìn)行訪問(wèn)控制，但是這種方式存在安全漏洞。如果將CA與業(yè)務(wù)系統(tǒng)進(jìn)行整合，可以大大提高用戶身份認(rèn)證的安全性。目前，國(guó)內(nèi)出現(xiàn)了很多CA認(rèn)證中心，比如:北京數(shù)字認(rèn)證股份有限公司?，F(xiàn)在越來(lái)越多的業(yè)務(wù)系統(tǒng)使用這種第三方的CA認(rèn)證中心，來(lái)提高業(yè)務(wù)系統(tǒng)的安全性。但是，如果在業(yè)務(wù)系統(tǒng)中使用這類CA認(rèn)證中心，需要占用很大份額的開發(fā)經(jīng)費(fèi)。并且，隨著市場(chǎng)競(jìng)爭(zhēng)越來(lái)越激烈，在整個(gè)業(yè)務(wù)系統(tǒng)開發(fā)過(guò)程中，都在盡量降低開發(fā)成本。因此，中小型企業(yè)對(duì)于在業(yè)務(wù)系統(tǒng)中使用第三方收費(fèi)的CA身份認(rèn)證中心，變得望而卻步。

針對(duì)以上這種情況，本文提出了一種用開源的、免費(fèi)的CA認(rèn)證中心，代替收費(fèi)的第三方CA認(rèn)證中心，與中小型企業(yè)開發(fā)的業(yè)務(wù)系統(tǒng)進(jìn)行整合實(shí)現(xiàn)有效的身份認(rèn)證的方案，這種方案經(jīng)濟(jì)實(shí)惠、可行性強(qiáng)，同時(shí)可以增強(qiáng)業(yè)務(wù)系統(tǒng)的安全性。

1 背景知識(shí)

1.1 EJBCA

EJBCA是本方案實(shí)施的理論研究基礎(chǔ)。EJBCA是一個(gè)基于J2EE技術(shù)的企業(yè)級(jí)的PKI證書頒發(fā)機(jī)構(gòu)。EJBCA由CA、RA(注冊(cè)中心)、數(shù)據(jù)庫(kù)、CRL(證書撤銷列表)和LDAP(輕量級(jí)目錄服務(wù)器)組成，其中CA是EJBCA的核心組成部分。EJBCA是一個(gè)功能齊全的、免費(fèi)的、開源的CA認(rèn)證中心［5］。

1.2 EJBCA Web Service配置

EJBCA自從3.4版本之后，提供Web Service服務(wù)，在安裝EJBCA時(shí)，需要通過(guò)配置來(lái)使EJBCA發(fā)布Web Service服務(wù)。成功發(fā)布Web Service服務(wù)之后，就可以很方便地訪問(wèn)EJBCA Web Service提供的各種服務(wù)，這有利于將EJBCA與業(yè)務(wù)系統(tǒng)更好地、更方便地整合到一起。

在搭建EJBCA環(huán)境時(shí)，使用的操作系統(tǒng)是 Windows，EJBCA版本是3.9，此版本可以提供Web Service服務(wù)。MySQL作為保存CA信息的數(shù)據(jù)庫(kù)，證書發(fā)布服務(wù)器使用的是開源的OpenLDAP，運(yùn)行EJBCA的應(yīng)用服務(wù)器是JBOSS，版本為5.0.1。

此處簡(jiǎn)述EJBCA中配置和發(fā)布Web Service的過(guò)程:

(1)啟用 EJBCA Web Service:在%EJBCA_HOME%confjaxws.properties文件中，配置 jbcaws.enabled項(xiàng)，將其設(shè)置為true。此設(shè)置表示將EJBCA部署到JBOSS時(shí)，發(fā)布EJBCA Web Sercvice服務(wù)。其中，%EJBCA_HOME%代表的是EJBCA的安裝路徑。

(2)部署EJBCA:在%EJBCA_HOME%in下，執(zhí)行ant deploy。執(zhí)行完畢后，EJBCA將成功部署到JBOSS應(yīng)用服務(wù)器上。

(3)啟用JBOSS:在%JBOSS_HOME%in下，執(zhí)行run.bat，即啟動(dòng)JBOSS的服務(wù)。啟動(dòng)成功后，用戶可以通過(guò)瀏覽器訪問(wèn)EJBCA的服務(wù)。其中，%JBOSS_HOME%代表的是JBOSS的安裝路徑。

(4)配置域名:在hosts文件中，為EJBCA服務(wù)配置域名，添加一項(xiàng):localhost ca.ejbca.com。此項(xiàng)表示當(dāng)訪問(wèn)域名ca.ejbca.com時(shí)，其對(duì)應(yīng)的實(shí)際IP地址就是本地IP。

(5)修改WSDL文件:在%JBOSS_HOME%serverdefaultdatawsdlejbca.earejbca-ws-ejb.jar目錄下，存放的是EJBCA Web Service所對(duì)應(yīng)的WSDL文件，每次啟動(dòng)JBOSS，都會(huì)重新發(fā)布一個(gè)新的WSDL文件。本文修改最新生成的WSDL文件，配置其中的soap:address項(xiàng)，配置如下:＜soap:address location="https://ca.ejbca.com:8443/ejbca/ejbcaws/ejbcaws"/＞。

經(jīng)過(guò)以上步驟，就完成了EJBCA的搭建和配置工作，EJBCA所能提供的主要功能結(jié)構(gòu)如圖1所示，主要功能結(jié)構(gòu)及描述如下。

圖1 EJBCA功能結(jié)構(gòu)圖

(1)MySQL數(shù)據(jù)庫(kù):數(shù)據(jù)庫(kù)是整個(gè)EJBCA的基礎(chǔ)。CA認(rèn)證中心的各種數(shù)據(jù)，CA信息、證書信息、CRL信息、用戶信息、各種操作的日志信息都將存儲(chǔ)到MySQL數(shù)據(jù)庫(kù)中。

(2)RA注冊(cè)中心:RA注冊(cè)中心相當(dāng)于整個(gè)EJBCA的門戶。普通用戶通過(guò)瀏覽器可方便地進(jìn)行用戶證書申請(qǐng)、證書文件下載、證書信息查看、證書狀態(tài)查詢等操作。管理員通過(guò)瀏覽器可以對(duì)用戶和用戶證書進(jìn)行管理，主要包括添加、刪除、查看、修改、撤銷等。

(3)CA認(rèn)證中心:CA認(rèn)證中心是整個(gè)EJBCA的核心和精髓之處。它的主要工作就是負(fù)責(zé)證書的簽發(fā)和認(rèn)證。EJBCA能夠很好地支持多級(jí)CA，可以根據(jù)實(shí)際的需要在ROOTCA下面生成多級(jí)SUBCA。從而，實(shí)現(xiàn)更好的CA認(rèn)證中心服務(wù)。

(4)JBOSS應(yīng)用服務(wù)器:JBOSS應(yīng)用服務(wù)器為整個(gè)EJBCA提供了運(yùn)行空間。EJBCA所能提供的所有服務(wù)都將在JBOSS上運(yùn)行，用戶通過(guò)JBOSS對(duì)服務(wù)進(jìn)行訪問(wèn)。

(5)OpenLDAP:LDAP是一個(gè)目錄服務(wù)器，也被稱為證書發(fā)布服務(wù)器，主要功能是提供目錄瀏覽服務(wù)，負(fù)責(zé)將RA注冊(cè)中心傳送過(guò)來(lái)的證書信息加入到此服務(wù)器上。用戶可以通過(guò)訪問(wèn)LDAP服務(wù)獲得數(shù)字證書信息和CRL證書撤銷列表信息。EJBCA是開源的、免費(fèi)的。所以，此處與EJBCA配合使用的LDAP，選擇使用了免費(fèi)的OpenLDAP服務(wù)器。

(6)業(yè)務(wù)系統(tǒng):此業(yè)務(wù)系統(tǒng)主要是需要整合CA認(rèn)證功能的業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)可以通過(guò)JBOSS來(lái)訪問(wèn)EJBCA所提供的各種服務(wù)，實(shí)現(xiàn)與EJBCA的交互，實(shí)現(xiàn)CA的身份認(rèn)證，從而提高業(yè)務(wù)系統(tǒng)安全性［6-8］。

2 EJBCA與業(yè)務(wù)系統(tǒng)整合方案

2.1 編碼申領(lǐng)業(yè)務(wù)系統(tǒng)

本文通過(guò)編碼申領(lǐng)業(yè)務(wù)系統(tǒng)介紹EJBCA同業(yè)務(wù)系統(tǒng)整合的方案。

編碼申領(lǐng)業(yè)務(wù)系統(tǒng)主要是基于B/S架構(gòu)，實(shí)現(xiàn)音像制品的申報(bào)、審核、發(fā)碼。每個(gè)編碼將唯一標(biāo)志一個(gè)音像制品，為了確保編碼能夠?qū)崿F(xiàn)其本身代表的意義，需要提高業(yè)務(wù)系統(tǒng)的安全性，確保只有真實(shí)有效的用戶才可以正常地登錄到系統(tǒng)，進(jìn)行音像制品編碼的申領(lǐng)工作。只有這樣，針對(duì)此音像制品發(fā)放的編碼，才具有實(shí)際的意義。

此編碼申領(lǐng)系統(tǒng)在安全性方面有一定的要求，但是客戶又希望盡量降低開發(fā)成本。為了同時(shí)滿足客戶在這兩方面的要求，使用EJBCA來(lái)實(shí)現(xiàn)CA身份認(rèn)證功能。在使用基本的權(quán)限訪問(wèn)控制保障業(yè)務(wù)系統(tǒng)安全性的基礎(chǔ)之上，將EJBCA的功能與此業(yè)務(wù)系統(tǒng)進(jìn)行整合。為此編碼申領(lǐng)系統(tǒng)定制了一個(gè)符合它需求的、功能齊全的CA認(rèn)證中心。

使用這套整合方案，既能提高業(yè)務(wù)系統(tǒng)的安全性，又能大大地降低系統(tǒng)開發(fā)成本，可行性和實(shí)施性好，經(jīng)濟(jì)實(shí)用。

2.2 EJBCA與編碼申領(lǐng)業(yè)務(wù)系統(tǒng)整合

EJBCA與業(yè)務(wù)系統(tǒng)整合方案的整合過(guò)程中，主要活動(dòng)分為如下3部分:

(1)用戶申請(qǐng)數(shù)字證書:每個(gè)在編碼申領(lǐng)業(yè)務(wù)系統(tǒng)中的用戶，需要到EJBCA中的RA用戶注冊(cè)中心，申領(lǐng)自己的數(shù)字證書。

(2)制作數(shù)字證書:用戶申請(qǐng)證書的信息，經(jīng)過(guò)CA中心的RA審核人員的審核，將把數(shù)字證書對(duì)應(yīng)的證書密碼，以郵件的形式返還給申請(qǐng)用戶。用戶以用戶名和證書密碼，到EJBCA網(wǎng)站進(jìn)行證書文件下載。此時(shí)，可以購(gòu)買USB-KEY，本文使用的是飛天誠(chéng)信的USB-KEY，通過(guò)它提供的證書導(dǎo)入工具，將證書文件導(dǎo)入到USB-KEY中。

(3)用戶登錄:為了提高編碼申領(lǐng)系統(tǒng)的安全性，在用戶登錄的時(shí)候，首先對(duì)用戶名和密碼進(jìn)行判斷，判斷通過(guò);隨后，對(duì)用戶的USB-KEY的有效性進(jìn)行驗(yàn)證，驗(yàn)證通過(guò);最后，通過(guò)使用用戶輸入的USBKEY密碼讀取用戶證書信息，通過(guò)EJBCA Web Service在線判斷當(dāng)前數(shù)字證書的有效性。從而可以實(shí)現(xiàn)用戶身份認(rèn)證，大大提高系統(tǒng)的安全性。

EJBCA與業(yè)務(wù)系統(tǒng)整合方案的整體流程圖，如圖2所示。

具體流程分析及描述如下:

第(1)步:用戶申請(qǐng)證書。編碼申領(lǐng)業(yè)務(wù)系統(tǒng)中的用戶，需要到EJBCA申領(lǐng)自己的數(shù)字證書。用戶訪問(wèn)EJBCA網(wǎng)站，在RA注冊(cè)中心填寫并提交用戶證書申請(qǐng)信息，等待審核。

圖2 整合流程的整體流程圖

第(2)步:審核用戶證書申請(qǐng)。EJBCA中有RA審核角色的用戶，此RA用戶將對(duì)用戶的證書申請(qǐng)進(jìn)行審核。審核通過(guò)，此用戶證書文件對(duì)應(yīng)的密碼將以郵件的形式發(fā)給用戶，此密碼是隨機(jī)的4位數(shù)字，密碼的長(zhǎng)度可以通過(guò)在EJBCA的用戶注冊(cè)模板中進(jìn)行配置，比如:可以是長(zhǎng)度為6或8的隨機(jī)數(shù)字等;審核不通過(guò)，用戶將變成失敗狀態(tài)。

第(3)步:下載用戶證書。用戶收到郵件后，訪問(wèn)EJBCA網(wǎng)站，可以進(jìn)行用戶證書文件下載，下載時(shí)可以選擇生成證書密鑰的長(zhǎng)度，主要有1 024和2 048兩種長(zhǎng)度。證書有pfx、pem、cer等格式，可以根據(jù)具體需要進(jìn)行配置。

第(4)步:用戶證書導(dǎo)入U(xiǎn)SB KEY。每個(gè)生產(chǎn)USB KEY的公司，一般都會(huì)提供相應(yīng)的證書導(dǎo)入工具。使用所購(gòu)買的USB KEY公司提供的導(dǎo)入工具，將下載的用戶證書文件導(dǎo)入到USB KEY中。

第(5)步:用戶名、密碼判斷。用戶登錄編碼申請(qǐng)業(yè)務(wù)系統(tǒng)時(shí)，需要輸入用戶名、密碼、USB KEY密碼。首先需要對(duì)用戶輸入的用戶名和密碼進(jìn)行判斷，判斷數(shù)據(jù)庫(kù)中是否存在對(duì)應(yīng)用戶。

第(6)步:USB KEY驗(yàn)證。根據(jù)用戶輸入的USB KEY密碼，讀取證書信息，需要對(duì)證書的有效性、時(shí)間是否在有效期內(nèi)等信息進(jìn)行簡(jiǎn)單的判斷。

第(7)步:證書是否撤銷。調(diào)用EJBCA Web Service中的證書撤銷狀態(tài)查詢服務(wù)，判斷證書當(dāng)前的撤銷狀態(tài)，從而能檢測(cè)出用戶證書當(dāng)前處在什么狀態(tài)，是有效狀態(tài)還是撤銷狀態(tài)。

2.3 具體實(shí)現(xiàn)過(guò)程

在將EJBCA整合到編碼申領(lǐng)業(yè)務(wù)系統(tǒng)的過(guò)程中，主要包括3步:用戶申請(qǐng)數(shù)字證書、制作數(shù)字證書、登錄系統(tǒng)。其中，前兩步主要體現(xiàn)了如何使用EJBCA;第3步主要體現(xiàn)了業(yè)務(wù)系統(tǒng)如何與EJBCA Web Service服務(wù)進(jìn)行信息交互。因此，此處詳細(xì)介紹用戶登錄部分。

用戶登錄具體可以分為3步:

(1)用戶名和密碼判斷，主要是查找對(duì)應(yīng)的用戶名和密碼的用戶在數(shù)據(jù)庫(kù)中是否存在。

(2)使用用戶輸入的USB-KEY的密碼，讀取USB-KEY中的證書信息，對(duì)證書進(jìn)行簡(jiǎn)單的有效性判斷，主要包括判斷證書是否有效、是否在證書有效期內(nèi)。主要代碼如下:

(Ⅰ)Certificate［］certs=keyStore.getCertificateChain(keyAlias);

(Ⅱ)X509Certificate x509Certificate=(X509Certificate)certs［0］;

(Ⅲ)x509Certificate.checkValidity();

(Ⅳ)x509Certificate.checkValidity(date)。

第(Ⅰ)行:查看與給定別名關(guān)聯(lián)的證書鏈。

第(Ⅱ)行:取出第一個(gè)證書。

第(Ⅲ)行:驗(yàn)證證書目前是否有效。

第(Ⅳ)行:檢查證書目前是否處于有效期內(nèi)。

(3)證書撤銷判斷，使用EJBCA Web Service所提供的證書撤銷狀態(tài)服務(wù)，查詢此證書是否已經(jīng)被撤銷。主要代碼［8-9］如下:

(Ⅰ)ejbcaraws=getEjbcaWS();

(Ⅱ)RevokeStatus revokeStatus=ejbcaraws.checkRevokationStatus(

x509Certificate.getIssuerX500Principal().toString()，

x509Certificate.getSerialNumber().toString(16));

(Ⅲ)XMLGregorianCalendar xmlGregorianCalendar=

revokeStatus.getRevocationDate();

(Ⅳ)GregorianCalendar gregorianCalendar=

xmlGregorianCalendar.toGregorianCalendar();

(Ⅴ)SimpleDateFormat simpleDateFormat=

new SimpleDateFormat("yyyy-MM-dd");

(Ⅵ)String dateTimeString=simpleDateFormat.

format(gregorianCalendar.getTime());

(Ⅶ)if(!"1970-01-01".equals(dateTimeString))flag=false;

(Ⅷ)Integer reason=revokeStatus.getReason();

(Ⅸ)if(!reason.equals(-1))flag=false。

第(Ⅰ)行:初始化EJBCA Web Service服務(wù)，得到EjbcaWS對(duì)象ejbcaraws。

第(Ⅱ)行:調(diào)用EJBCA Web Service中的checkRevokationStatus()服務(wù)，得到此證書的當(dāng)前撤銷狀態(tài)。

第(Ⅲ)行:從RevokeStatus(證書撤銷狀態(tài))對(duì)象中，取出證書撤銷時(shí)間。

第(Ⅳ)～(Ⅵ)行:時(shí)間格式轉(zhuǎn)換。將XMLGregorianCalendar格式的證書撤銷時(shí)間，最終轉(zhuǎn)換成“yyyy-MM-dd”格式的、字符串類型的證書撤銷時(shí)間。

第(Ⅶ)行:每個(gè)證書默認(rèn)的證書撤銷時(shí)間為格林威治標(biāo)準(zhǔn)時(shí)間(世界時(shí))。如果撤銷時(shí)間與格林威治標(biāo)準(zhǔn)時(shí)間(1970-01-01)不相同，說(shuō)明證書被撤銷，現(xiàn)在處于撤銷狀態(tài)，把flag設(shè)置為false。

第(Ⅷ)行:取出證書撤銷原因的狀態(tài)。

第(Ⅸ)行:每個(gè)證書默認(rèn)的證書撤銷原因的狀態(tài)為“-1”，此狀態(tài)代表證書沒(méi)有撤銷。如果證書被撤銷，此屬性將被設(shè)置為相應(yīng)的撤銷原因。如果撤銷原因狀態(tài)與“-1”不相等，說(shuō)明證書被撤銷，現(xiàn)在處于撤銷狀態(tài)，把flag設(shè)置為false。

當(dāng)所有驗(yàn)證過(guò)程執(zhí)行完畢，flag仍然為true。此時(shí)，說(shuō)明此用戶為真實(shí)有效的合法用戶，用戶身份認(rèn)證成功，用戶可以成功登錄到編碼申領(lǐng)系統(tǒng)，進(jìn)行制品申報(bào)等業(yè)務(wù)操作了［9-11］。

2.4 結(jié)果分析

現(xiàn)階段，普通的業(yè)務(wù)系統(tǒng)進(jìn)行的都是簡(jiǎn)單相等驗(yàn)證，即實(shí)際用戶名和密碼哈希值的簡(jiǎn)單相等驗(yàn)證。此驗(yàn)證方法實(shí)質(zhì)上就是判斷用戶和密碼哈希值是否匹配。針對(duì)每一個(gè)用戶，每次驗(yàn)證時(shí)在網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a都是一樣的，這是一個(gè)安全漏洞。

將EJBCA的CA身份認(rèn)證功能添加到編碼申領(lǐng)業(yè)務(wù)系統(tǒng)中，在簡(jiǎn)單相等身份驗(yàn)證的基礎(chǔ)之上，添加了一層CA的身份認(rèn)證。CA認(rèn)證是十分安全可靠的，從而大大提高了業(yè)務(wù)系統(tǒng)的身份認(rèn)證安全。

在經(jīng)濟(jì)效益方面，一個(gè)業(yè)務(wù)系統(tǒng)想要使用第三方CA認(rèn)證中心，需要增加很多費(fèi)用，包括CA認(rèn)證服務(wù)器購(gòu)置的費(fèi)用;制作CA證書的費(fèi)用;CA證書維護(hù)費(fèi)用等，僅僅是以上幾項(xiàng)，大致需要幾十萬(wàn)元，這使得很多業(yè)務(wù)系統(tǒng)對(duì)于CA認(rèn)證都望而卻步。

本方案中，使用免費(fèi)的、企業(yè)級(jí)的、功能齊全的EJBCA實(shí)現(xiàn)CA認(rèn)證中心?？蛻糁恍枰ㄙM(fèi)一定量的費(fèi)用購(gòu)買USB KEY即可，此部分費(fèi)用大致幾百元到幾千元。本方案為業(yè)務(wù)系統(tǒng)提供相同級(jí)別的安全，卻大大降低了費(fèi)用。

3 結(jié)束語(yǔ)

互聯(lián)網(wǎng)的飛速發(fā)展，給人們生活帶來(lái)方便的同時(shí)，也帶來(lái)很多安全方面的隱患。越來(lái)越多的業(yè)務(wù)系統(tǒng)希望提高安全性，但是，又很顧忌使用第三方CA認(rèn)證中心帶來(lái)的巨大開銷。所以，本文提出使用開源的、免費(fèi)的CA認(rèn)證中心——EJBCA。針對(duì)業(yè)務(wù)系統(tǒng)的具體需求，搭建自己的CA認(rèn)證中心。這種方式靈活性非常強(qiáng)，比如:用戶不需要通過(guò)LDAP查看證書信息和證書撤銷列表，在整個(gè)EJBCA中就可以不搭建LDAP部分。通過(guò)配置EJBCA Web Service服務(wù)，使得業(yè)務(wù)系統(tǒng)可以十分方便地與EJBCA進(jìn)行信息交互，實(shí)現(xiàn)用戶的身份認(rèn)證，從而得以保障業(yè)務(wù)系統(tǒng)的身份認(rèn)證的安全性。而且，使用EJBCA所產(chǎn)生的費(fèi)用，相對(duì)來(lái)說(shuō)是十分低廉的。

下一步主要有兩項(xiàng)工作:第一，實(shí)現(xiàn)EJBCA的多級(jí)CA，這樣更加有利于實(shí)現(xiàn)對(duì)用戶證書權(quán)限的控制;第二，業(yè)務(wù)系統(tǒng)結(jié)合CA實(shí)現(xiàn)更加安全可靠的用戶身份認(rèn)證。在此基礎(chǔ)之上，希望可以結(jié)合其他信息安全方面的技術(shù)，對(duì)業(yè)務(wù)系統(tǒng)中需要在網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)進(jìn)行安全操作。比如，實(shí)現(xiàn)制品申報(bào)數(shù)據(jù)的數(shù)字簽名、多人數(shù)字簽名、數(shù)字信封等功能。從而，進(jìn)一步提高業(yè)務(wù)系統(tǒng)的安全性。

［1］顏海龍，喻建平，胡強(qiáng)，等.基于PKI/CA的分布式跨域信任平臺(tái)研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2013，34(2):686-690.

［2］錢曉捷，趙亞濤，宋兵.容忍入侵的CA方案設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32(10):3262-3265.

［3］顏海龍，閆巧，馮級(jí)強(qiáng)，等.基于PKI/CA互信互認(rèn)體系的電子商務(wù)［J］.深圳大學(xué)學(xué)報(bào):理工版，2012，29(3):113-117.

［4］張虎強(qiáng)，洪佩林，李津生，等.用戶名密碼認(rèn)證方案的安全性分析及解決方案［J］.計(jì)算機(jī)工程與應(yīng)用，2006(33):102-106.

［5］陳勤，凌青山，丁宏.安全CA實(shí)例—EJBCA的研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2005，26(12):3222-3224.

［6］王代，陳長(zhǎng)海，熊允發(fā).公安大學(xué)PKI/PMI身份認(rèn)證與授權(quán)訪問(wèn)系統(tǒng)分析［J］.中國(guó)人民公安大學(xué)學(xué)報(bào):自然科學(xué)版，2012(1):49-52.

［7］劉博，劉知貴，任立學(xué).PKI認(rèn)證技術(shù)在閱卷系統(tǒng)中的應(yīng)用與實(shí)現(xiàn)［J］.計(jì)算機(jī)安全，2010(5):83-85.

［8］吳鵬，王曉峻，蘇新寧.基于PKI/PMI的Web應(yīng)用安全解決方案［J］.計(jì)算機(jī)工程與應(yīng)用，2006(6):1-3.

［9］徐歆愷，梁軍.巧用CAPICOM進(jìn)行安全通信［J］.計(jì)算機(jī)與網(wǎng)絡(luò)，2009(18):53-55.

［10］周志剛，徐芳，肖曉華，等.在Java中進(jìn)行數(shù)字簽名的一種實(shí)現(xiàn)方法［J］.科學(xué)技術(shù)與工程，2006，6(17):2752-2754.

［11］張青鳳，張鳳琴.CryptoAPI在基于數(shù)字證書身份認(rèn)證系統(tǒng)中的應(yīng)用［J］.現(xiàn)代計(jì)算機(jī)，2011(10):28-31.