基于证书网关的数字证书跨CA查取技术研究

摘要

数字证书是一种权威性的电子文档。它是由一个权威机构——CA（Certification Authority）发行的，人们可以在互联网交往中用它来识别对方的身份。当一方需要给另一方发送加密信息时，则首先需要获得对方的数字证书。在一个存在多个CA的PKI（Public Key Infrastructure，公开密钥基础设施）体系中，如何跨越不同CA在线查取证书是一个到目前为止还没有很好解决的关键问题。 本文对数字证书的查取技术进行了研究，针对数字证书跨CA查取的需求，设计出一种基于证书网关的跨CA的数字证书查取系统，该系统在不改变CA现有结构、不要求统一命名空间的前提下，实现了数字证书跨CA的查取。证书用户在任意一个CA登陆系统后，向证书网关提交用户名、电子邮件等查询条件，查询到系统中所有CA中符合查询条件的用户的数字证书。证书用户能根据需要，选择下载搜索到的用户的数字证书。 本文研究了数字证书跨CA查取系统的网络结构，分析了证书查询请求的转发方式，通过广度优先生成树的方式优化了网络结构，并通过证书网关的配置文件实现了网络优化。 本文通过超文本传输协议实现了证书用户和证书网关之间的交互，证书用户以浏览器为客户端，通过网页将数字证书查询请求提交给证书网关所在的Web服务器进行处理。证书网关与证书网关之间使用Web Services协议进行交互，通过Web Services服务的接口，能获得其他网关所在CA的数据库的用户的数字证书，实现了证书网关之间的通信。证书网关与数据库之间使用的是JDBC技术，证书网关能快速的查询并获取用户的数字证书。 本文使用的是LDAP（Lightweight Directory Access Protocol）证书库，定义了一条数据库的Schema，增加了一个对象类，此对象类具有证书区别名的属性。在证书库中的每个用户条目都包含用户名、电子邮件、证书区别名、证书等属性，证书用户能通过用户名、电子邮件、证书区别名等查询条件获取对应用户的数字证书。

目录

文摘

英文文摘

声明

第1章绪论

1.1课题背景

1.2国内外研究水平及动态

1.3本论文的主要研究工作

1.4本论文结构

第2章证书跨CA查取系统的原理

2.1系统介绍

2.2证书网关之间的通信方式

2.3系统网络的优化

2.4本章小结

第3章证书跨CA查取系统的设计

3.1证书网关的设计

3.1.1证书网关的结构和功能

3.1.2证书网关之间的工作流程

3.1.3证书网关之间的多线程

3.2 IJDAP数据库中的数据

3.2.1 LDAP信息表达方式

3.2.2 LDAP数据库中的数据

3.3本章小结

第4章证书跨CA查取系统的实现

4.1证书网关的实现

4.1.1证书网关的Web服务

4.1.2证书网关的Web Services服务的实现

4.1.3证书网关的配置文件

4.1.4证书网关与数据库的连接

4.2 LDAP数据库的实现

4.3应用示例

4.4本章小结

第5章总结与展望

5.1研究总结

5.2研究展望

参考文献

致 谢

攻读硕士学位期间发表的论文和参与的项目