论文部分内容阅读
随着网络技术和信息技术的发展,电子商务已逐步被人们所接受,并得到不断普及。如何保证电子交易的安全成为电子商务发展的一个重要的问题,即如何在电子商务中从技术上保证在交易过程中能够实现身份认证实现信息安全传输、实现不可否认性、保证数据完整性。PKI(公钥基础设施)采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,以在Internet网上验证用户的身份,保证网上数据的安全传输。国内外PKI都在快速发展,然而基于PKI的应用却明显缺乏,这阻碍了PKI的发展。在这种情况下,开发PKI的可复用组件具有十分必要的意义。 我们使用COM组件技术来开发证书管理系统,在开发过程中使用基于组件的软件工程方法为指导。基于组件对象的软件工程方法步骤如下:首先按常规的软件工程方法进行系统需求分析;然后根据需求分析的结果划分组件;之后确定每个组件的接口;之后对每个组件和系统的实现做出详细设计;之后进行组件的开发和测试;最后组合组件并进行系统测试。采用基于组件的软件工程方法开发可带来如下好处:组件可独立开发,可缩短开发时间、组件和开发语言无关,实现较灵活、组件可复用,节约投资、系统通过更换组件可获得较大的灵活性。证书管理系统分为三层,最上层为高级应用。第二层是组件管理中心(CMC)。第三层是具体功能的实现。最底层是系统外部的一些实现功能时可能用到的加密库、目录服务API和数据库等。COM库为整个系统的提供组件支持服务。证书管理系统说明如下:上层接口:上层应用程序同系统交互的接口。功能接口:组件管理中心同功能子模块间交互的接口,由系统定义,作为系统子模块的实现必须遵循此接口来实现才能和系统交互。下层接口:指各功能子模块实现时同它所依赖的底层库所交互而使用的接口。这些接口由底层库定义并实现,功能子模块需了解并使用相应的接口。组件管理中心:管理、协调各个子模块,为上层应用提供统一接口。组件管理中心接收上层发来的请求,分析请求并将请求转发至相应的子模块实现。加密解密模块:提供基于证书的加密解密功能,包括对称加密、对称解密、非对称加密、非对称解密、制作数字签名、验证数字签名、制作数字信封和打开数字信封的功能。证书解析模块:提供对证书的ASN.1解码操作,接受Base64编码或二进制形式的ASN.1证书或CRL的输入,解码ASN.1并输出证书或CRL各域的值。证书验证模块:验证证书的有效性,基于单信任域目录服务的证书验证,基于路径构造的跨信任域证书有效性验证。 <WP=56>证书存储与获取模块:通过标准的LDAP(轻量级目录访问协议)从目录服务器获取并存储证书。上层应用:基于证书管理系统接口进行二次开发的高级证书安全应用。COM库:COM库是COM组件和其客户运行的基础。它帮助系统控制组件的生命周期,帮助创建和销毁组件。加密库:提供加密、解密等功能编码库:提供ASN.1的编码解码功能数据库:提供数据库服务,包括数据库建立、查询、删除等操作。目录服务:提供对目录服务器的访问功能,包括新建目录、查询目录、添加目录、删除目录等功能。证书管理系统实现的重点是要解决如下问题:如何设计良好的接口接口是组件和客户的一组互操作约定,接口的设计要充分考虑组件的可复用性,同时要注意对信息的封装以及使用的方便性。本系统的上层接口分为四个部分:ICertSR是和证书存储获取有关的接口。ICertInfo是和证书信息相关的接口。ICertEnc是和加密、解密相关的接口。ICMC是和组件管理相关的接口。下层接口根据模块划分为四个部分:加密解密接口用来加密解密数据。证书存储获取接口用来存储、查找证书。证书解析接口用来解码证书内容。证书验证接口用来验证证书的有效性。如何管理组件系统本身是一个组件,它的安全功能的实现又是由多个功能组件来完成,这些组件可以替换、组合。因此管理和协调这些组件是一个重要的工作。系统通过获取组件、部署组件和组件配置来完成这个工作。获取组件是指系统能够获得并识别新的组件,能够使用新组件的功能。通过组件向系统注册自身来完成这个功能。部署组件是指选用已经注册的组件的过程,系统通过保存用户输入配置来完成这个功能。组件配置是组件获取并保存组件自身运行所需环境信息的方式。系统通过调用组件配置接口来让组件同用户交互并保存自身配置信息。另外系统通过在个功能模块提供配置导入导出接口实现配置信息的导入和导出。如何实现安全功能本系统中安全功能包括:数据加密解密、证书解析、证书存储与获取和证书的有效性验证。本系统的数据加密解密模块采用CryptoAPI2.0作为底层加密库。系统通过解析ASN.1编码实现证书的解析,通过目录服务标准API来实现证书的查询功能,通过CryptoAPI2.0来访问系统存储。系统采用证书路径构造方式实现证书的有效性验证。随着组件的丰富,系统的功能会更加强大,同时会有更多的应用被不断的开发出来,这些不断增长的应用将在一定程度上缓解当前PKI应用缺乏的现状并促进国内的PKI发展。