2012-2016年中國品牌文胸最新調(diào)研及市場(chǎng)營銷狀況分析與產(chǎn)品設(shè)計(jì)、流行

1、基于Web服務(wù)的信息安全虛擬實(shí)驗(yàn)系統(tǒng)的研究與實(shí)現(xiàn)第27卷第1期2007年1月計(jì)算機(jī)應(yīng)用ComputerApplicationsVo1.27No.1Jan.2oo7文章編號(hào):10019081(2007)010122一o3基于Web服務(wù)的信息安全虛擬實(shí)驗(yàn)系統(tǒng)的研究與實(shí)現(xiàn)李成大(成都電子機(jī)械高等?？茖W(xué)校計(jì)算機(jī)工程系.四川成都610031)(cdlicd)摘要:開發(fā)的信息安全虛擬實(shí)驗(yàn)平臺(tái)采用虛擬主機(jī)技術(shù)在單臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)多臺(tái)虛擬機(jī)網(wǎng)絡(luò)攻擊和防護(hù)的模擬,實(shí)驗(yàn)者可通過協(xié)議分析軟件,實(shí)時(shí)觀看分析攻擊過程.教師和學(xué)生可通過Intemet訪問在線實(shí)驗(yàn)系統(tǒng),進(jìn)行實(shí)驗(yàn)創(chuàng)作和實(shí)驗(yàn)預(yù)習(xí),在線自測(cè).建立了私有UDDI注冊(cè)

2、中心,實(shí)現(xiàn)了WebService的動(dòng)態(tài)查詢,調(diào)用及調(diào)用失敗后的恢復(fù),提高了實(shí)驗(yàn)系統(tǒng)的服務(wù)質(zhì)量,實(shí)際運(yùn)行情況良好.關(guān)鍵詞:Web服務(wù);私有UDDI中心;信息安全;實(shí)驗(yàn)系統(tǒng);虛擬機(jī)中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:AResearchandimplementationofinformationsecurityvirtualexperimentsystembasedonWebServiceLIChengda(Departmento,ComputerEngineering,ChengduElectromecImnicalCollege,Chengdu$1chuan610031,China)Abst

3、ract:Consideringtllerequirementofinformationseenrityexperimentinlocalandthedistanceeducafion.theinformationsecurityvirtualexperimentplatformbasedontheWebServicehasbeendeveloped.Muhi.virtualmachineshavebeeninstalledinahostcomputerandanetworkfortheattackanddefensesimulationhasbeendesigned.Thestudentsm

4、aywatchandanalyzeattackprocessusingtheprotocolanalysissoftwaredevelopedby118.11lestudentsmayvisittheon.1ineexperimentalsystemthroughIntemet.andprepareanexperimentthrou#theCAIsystemandtheon-llneself-testsystem.11leteachersmayeditexperimentprojectusingtheon?llneexperimentcreatingsystem.,n1eprivateUDDI

5、registrationcenterhasbeenestablished.11leWlebServiceregistrationandthedynamicinquiryandthedynamiccallonUDDIhavebeenrealized.11ledesignCanenhancetllequalityofserviceintheexperimentsystem.Keywords:WebService;privateUDDI;informationsecurity;experimentsystem;virtualmachine0引言實(shí)驗(yàn)是高等教育,遠(yuǎn)程教育和科學(xué)普及中不可缺少的一環(huán).高校

6、及社會(huì)上有相當(dāng)數(shù)量的人員希望掌握一定的信息安全方面的技術(shù)和知識(shí),相關(guān)方面的培訓(xùn)需求日益增加,而實(shí)驗(yàn)相關(guān)的一些信息安全產(chǎn)品如防火墻,入侵檢測(cè)產(chǎn)品單臺(tái)價(jià)格多在幾萬元人民幣左右,對(duì)于一些培訓(xùn)機(jī)構(gòu)和教學(xué)機(jī)構(gòu)來說是相當(dāng)昂貴的,他們迫切需要一套實(shí)用而經(jīng)濟(jì)的信息安全技術(shù)實(shí)驗(yàn)產(chǎn)品.目前,國內(nèi)可見的信息安全實(shí)驗(yàn)系統(tǒng)只有上海交大的.信息安全工程實(shí)踐綜合實(shí)驗(yàn)平臺(tái)報(bào)價(jià)在幾十萬元.從節(jié)約成本和保證性能的角度出發(fā)筆者開發(fā)了.信息安全技術(shù)虛擬實(shí)驗(yàn)系統(tǒng)恰好能夠滿足用戶在這一方面的需求.該產(chǎn)品是采用計(jì)算機(jī)軟件技術(shù)建立的可用于信息安全相關(guān)技術(shù)的演示,培訓(xùn)和模擬操作的實(shí)驗(yàn)環(huán)境.該產(chǎn)品能夠進(jìn)行信息安全相關(guān)技術(shù)的演示,并允許學(xué)生實(shí)際動(dòng)

7、手使用和配置模擬的加密軟件,網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)防火墻和入侵檢測(cè)系統(tǒng)等信息安全產(chǎn)品,使學(xué)生可以在此虛擬實(shí)驗(yàn)環(huán)境中獲得相關(guān)的知識(shí)和實(shí)際動(dòng)手操作的經(jīng)驗(yàn).開發(fā)的基于Web服務(wù)的信息安全虛擬實(shí)驗(yàn)平臺(tái),在單臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)多臺(tái)虛擬機(jī)網(wǎng)絡(luò)攻擊和防護(hù)的模擬,實(shí)驗(yàn)者可通過我們自行開發(fā)的協(xié)議分析軟件,觀看分析攻擊過程.該系統(tǒng)能夠?qū)崿F(xiàn)對(duì)實(shí)驗(yàn)的管理,包括系統(tǒng)管理,實(shí)驗(yàn)生成,實(shí)驗(yàn)預(yù)約,實(shí)驗(yàn)預(yù)習(xí),多媒體CAI教學(xué)系統(tǒng),提交實(shí)驗(yàn)(專周)報(bào)告,成績考核,查詢等.為提高教學(xué)效果,開發(fā)了與信息安全實(shí)驗(yàn)相關(guān)的網(wǎng)絡(luò)攻擊,防火墻,電子郵件加密,網(wǎng)絡(luò)監(jiān)控等子系統(tǒng),不但可以由學(xué)生實(shí)際操作,配置進(jìn)行網(wǎng)絡(luò)攻防,還將核心源代碼程序以類,功能模塊或組件

8、的形式提供給學(xué)生,由學(xué)生自己動(dòng)手編程實(shí)現(xiàn).使學(xué)生對(duì)上述系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)技術(shù)有更深入的掌握和理解.系統(tǒng)主要提供網(wǎng)絡(luò)安全類的實(shí)驗(yàn),具體的有:數(shù)據(jù)加密,網(wǎng)絡(luò)攻擊實(shí)驗(yàn),網(wǎng)絡(luò)防御實(shí)驗(yàn),網(wǎng)絡(luò)入侵檢測(cè)實(shí)驗(yàn),網(wǎng)絡(luò)掃描實(shí)驗(yàn),網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn),網(wǎng)絡(luò)病毒實(shí)驗(yàn),網(wǎng)絡(luò)安全通信實(shí)驗(yàn),訪問控制實(shí)驗(yàn),操作系統(tǒng)安全配置實(shí)驗(yàn),身份驗(yàn)證實(shí)驗(yàn)等【2】.1系統(tǒng)的構(gòu)成本系統(tǒng)主要由虛擬實(shí)驗(yàn)環(huán)境和基于webService的實(shí)驗(yàn)平臺(tái)組成,如圖1所示.學(xué)生通過Intemet訪問Web實(shí)驗(yàn)平臺(tái)進(jìn)行實(shí)驗(yàn)預(yù)約和預(yù)習(xí),下載實(shí)驗(yàn)相關(guān)的信息安全軟件在虛擬實(shí)驗(yàn)環(huán)境中安裝,配置進(jìn)行實(shí)驗(yàn)操作,然后通過Intemet提交實(shí)驗(yàn)報(bào)告.教師可利用在線的實(shí)驗(yàn)創(chuàng)作系統(tǒng)生成具體

9、的實(shí)驗(yàn)項(xiàng)目.1.1開發(fā)環(huán)境在本系統(tǒng)中采用MicrosoftVisualStudio.Net2003進(jìn)行系統(tǒng)的實(shí)現(xiàn).微軟的.Net平臺(tái)提供了Web服務(wù)開發(fā)和使用所需的各種工具.如Web服務(wù)和傳統(tǒng)應(yīng)用軟件開發(fā)平臺(tái)MicrosoftVisualStudio.Net2003,.Net框架開發(fā)工具箱Microsoft.Net收稿日期:2006-07-31;修訂日期:20060929基金項(xiàng)目:四川省教育廳青年基金資助項(xiàng)目(200311034)作者簡介:李成大(1969一),男,黑龍江綏化人,副教授,碩七,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò),信息安全,工業(yè)測(cè)控系統(tǒng).第1期李成大:基于Web服務(wù)的信息安全虛擬實(shí)驗(yàn)系統(tǒng)的

10、研究與實(shí)現(xiàn)123FrameworkSDK,SOAP開發(fā)工具M(jìn)icrosoftSOAPToolkit等.服務(wù)器操作系統(tǒng)為WindowsServer2003,其中Web服務(wù)器為IIS6.0+Microsoft.NETFramework,數(shù)據(jù)庫服務(wù)器為SQLServer2000.企業(yè)級(jí)UDDI服務(wù)是web服務(wù)基礎(chǔ)架構(gòu)的關(guān)鍵要素,它可以幫助企業(yè)單位針對(duì)web服務(wù)及其他可編程資源進(jìn)行組織并編制目錄.目前建立私有UDDI注冊(cè)中心有以下方法可供選擇:WindowsServer2003的UDDI服務(wù)組件,WASPUDDI,jUDDI等,在項(xiàng)目中我們選擇了WindowsServer2003中的UDDI服務(wù)組件,

11、這一基于標(biāo)準(zhǔn)的解決方案可以幫助企業(yè)建立自己的UDDI目錄服務(wù).圖1系統(tǒng)的構(gòu)成1.2虛擬實(shí)驗(yàn)環(huán)境在實(shí)驗(yàn)室虛擬實(shí)驗(yàn)環(huán)境操作系統(tǒng)選擇上注意了多樣化,在無法確保所有操作系統(tǒng)都包括的情況下,我們選擇在實(shí)驗(yàn)PC中安裝兩個(gè)主流操作系統(tǒng)Windows2003Server和RedHatLinux,它們分別代表了Windows系列商業(yè)操作系統(tǒng)和開放源代碼系列的類UNIX操作系統(tǒng);配置上采用單主機(jī)雙啟動(dòng)的方式選擇啟動(dòng)Windows2003Server或RedHatLinux;身份認(rèn)證采用網(wǎng)絡(luò)統(tǒng)一認(rèn)證:Windows2003Server采用Windows的活動(dòng)目錄認(rèn)證,RedHatLinux通過pamsmb在Wind

12、ows的活動(dòng)目錄服務(wù)器上進(jìn)行身份認(rèn)證.為了保持實(shí)驗(yàn)室Pc操作系統(tǒng)環(huán)境的穩(wěn)定性,對(duì)于有破壞,有統(tǒng)一操作環(huán)境要求或者需要使用基于網(wǎng)絡(luò)的程序測(cè)試的實(shí)驗(yàn),采用了使用虛擬主機(jī)(VirttlalMachine)的方案.虛擬主機(jī)是在物理計(jì)算機(jī)(稱為宿主機(jī))的操作系統(tǒng)上(稱為宿主操作系統(tǒng))通過軟件模擬出來的計(jì)算機(jī)(稱為客戶機(jī),其上安裝的操作系統(tǒng)稱為客戶操作系統(tǒng)),客戶操作系統(tǒng)僅僅是宿主操作系統(tǒng)上的某個(gè)特定的數(shù)據(jù)文件J.客戶機(jī)上的任何操作只會(huì)影響宿主操作系統(tǒng)上的這個(gè)數(shù)據(jù)文件,提供虛擬主機(jī)的軟件還能在客戶機(jī)上虛擬出計(jì)算機(jī)設(shè)備(如網(wǎng)卡,磁盤等),其中,虛擬的網(wǎng)卡可以與宿主機(jī)通信,或與宿主機(jī)所連接的物理網(wǎng)絡(luò)通信,或者

13、,一個(gè)宿主機(jī)的多個(gè)客戶操作系統(tǒng)還可以通過虛擬的網(wǎng)卡組成網(wǎng)絡(luò),該網(wǎng)絡(luò)可以與物理網(wǎng)絡(luò)連接也可以不連接.如圖2所示.這個(gè)技術(shù)對(duì)于網(wǎng)絡(luò)安全實(shí)驗(yàn)是非常有意義的.例如,可以在客戶操作系統(tǒng)上測(cè)試病毒的特性,在客戶操作系統(tǒng)組成的網(wǎng)絡(luò)中測(cè)試網(wǎng)絡(luò)配置,或者安裝,配置某個(gè)操作系統(tǒng)而不用擔(dān)心會(huì)弄壞宿主操作系統(tǒng)導(dǎo)致重新安裝,也可以通過拷貝客戶操作系統(tǒng)的數(shù)據(jù)文件來統(tǒng)一實(shí)驗(yàn)環(huán)境.虛擬主機(jī)1應(yīng)用軟件操作系統(tǒng)(客戶操作系統(tǒng))主板,磁盤,顯卡,內(nèi)存,網(wǎng)卡虛擬主機(jī)2應(yīng)用軟件操作系統(tǒng)(客戶操作系統(tǒng))主板,磁盤,顯卡,內(nèi)存,網(wǎng)卡虛擬主機(jī)軟件(VirtualPC)操作系統(tǒng)(宿主操作系統(tǒng))主板,磁盤,顯卡,內(nèi)存,網(wǎng)卡圖2虛擬主機(jī)體系結(jié)構(gòu)1

14、.3虛擬實(shí)驗(yàn)系統(tǒng)的web服務(wù)體系架構(gòu)根據(jù)Web服務(wù)的運(yùn)行機(jī)制以及虛擬實(shí)驗(yàn)系統(tǒng)的特殊性,在原有UDDI注冊(cè)中心的基礎(chǔ)上,增加了UDDI授權(quán)訪問模塊,web服務(wù)代理模塊和注冊(cè)信息庫模塊,建立了用于實(shí)驗(yàn)教學(xué)的私有UDDI注冊(cè)中心,其體系架構(gòu)模型如圖3所示.上述web服務(wù)體系架構(gòu)的P.UDDI注冊(cè)中心中各模塊間是基于XML格式進(jìn)行信息交換的,采用SOAP協(xié)議實(shí)現(xiàn)分布環(huán)境下的信息交互.也就是說,用戶,UDDI注冊(cè)中心和實(shí)驗(yàn)教學(xué)Web服務(wù)之間的交互均以統(tǒng)一的XML數(shù)據(jù)格式描述,包裝成SOAP包,實(shí)現(xiàn)信息傳遞.P.UDDI注冊(cè)中心中主要模塊的功能說明如下:I)UDDI授權(quán)訪問模塊UDDI授權(quán)訪問模塊完成對(duì)U

15、DDI注冊(cè)中心的查詢授權(quán)和發(fā)布授權(quán).用戶查詢時(shí),該模塊收到查詢請(qǐng)求后,先到注冊(cè)信息庫中找到授權(quán)信息,然后與UDDI注冊(cè)中心交互,找到所需的實(shí)驗(yàn)服務(wù)并返回給用戶;服務(wù)提供者發(fā)布實(shí)驗(yàn)服務(wù)時(shí),同樣先找到授權(quán)信息,然后通過服務(wù)代理進(jìn)行發(fā)布;如果是相同的服務(wù)發(fā)布時(shí),則在服務(wù)代理模塊中的服務(wù)調(diào)度中建立相應(yīng)的服務(wù)屬性和狀態(tài),服務(wù)狀態(tài)(忙或空閑,可用或不可用)是隨服務(wù)自動(dòng)調(diào)節(jié),相同的服務(wù)進(jìn)行統(tǒng)一發(fā)布.其中的關(guān)鍵問題是擴(kuò)充和增加相應(yīng)的請(qǐng)求類和安全類,解決訪問授權(quán)的技術(shù)問題.圖3虛擬實(shí)驗(yàn)系統(tǒng)的Web服務(wù)體系架構(gòu)124計(jì)算機(jī)應(yīng)用2007車2)Web服務(wù)代理模塊web服務(wù)代理模塊完成Web服務(wù)的調(diào)用授權(quán)分配以及服務(wù)調(diào)

16、用的相關(guān)任務(wù).該模塊接收到實(shí)驗(yàn)服務(wù)調(diào)用請(qǐng)求時(shí),通過授權(quán)查詢?cè)谧?cè)信息庫中確認(rèn)用戶是否具有該web服務(wù)的調(diào)用權(quán)限之后,再通過服務(wù)調(diào)度子模塊進(jìn)行調(diào)用;如果所調(diào)用的實(shí)驗(yàn)服務(wù)有相同的多個(gè)時(shí),則通過服務(wù)調(diào)用根據(jù)服務(wù)狀態(tài)進(jìn)行分配,調(diào)用.3)注冊(cè)信息庫模塊注冊(cè)信息庫模塊完成不同類型的用戶的信息注冊(cè)和確認(rèn),最大限度地保證訪問數(shù)據(jù)的可靠性.2系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)2.1動(dòng)態(tài)調(diào)用遠(yuǎn)程Web服務(wù)一般在程序中需要調(diào)用WebService時(shí),都是通過添加Web引用,讓VS.NET環(huán)境來生成服務(wù)代理,然后調(diào)用對(duì)應(yīng)的Web服務(wù).這樣雖然使工作簡單,但是卻和提供Web服務(wù)的URL,方法名,參數(shù)綁定在了一起,這是VS.NET自動(dòng)為

17、我們生成Web服務(wù)代理的限制.如果哪一天發(fā)布Web服務(wù)的uI也改變了,則需要重新讓VS.NET生成代理,并重新編譯.在某些情況下,這可能是不能忍受的,需要?jiǎng)討B(tài)調(diào)用WebService的能力.獲得分布UDDI注冊(cè)中關(guān)于web服務(wù)的信息的一個(gè)主要目的,是獲得為技術(shù)人員提供的自我服務(wù)功能.這主要體現(xiàn)在災(zāi)難恢復(fù)情況下,存在于OperatorSite中的UDDI注冊(cè)信息所發(fā)揮的作用.下面以遠(yuǎn)程Web服務(wù)調(diào)用失敗后的恢復(fù)為例介紹如何在運(yùn)行時(shí)使用UDDIJ.為了解決上述服務(wù)質(zhì)量問題,UDDI定義了一個(gè)方法:使用緩沖存儲(chǔ)bindingTemplate信息來進(jìn)行具體調(diào)用.當(dāng)發(fā)生調(diào)用失敗的時(shí)候,使用UDDI注冊(cè)中

18、心中的最新信息來刷新緩存信息.具體過程如下:I)在UDDI中查找Web服務(wù).使用此Web服務(wù)(以UDDItModd表示)的WSDL文件以及OperatorSite和其他配置信息的實(shí)現(xiàn)細(xì)節(jié),所有這些信息都包含在UDDIBindingTeraplate中.2)為特定的Web服務(wù)準(zhǔn)備一個(gè)客戶端應(yīng)用程序.在客戶端應(yīng)用程序中,緩存web服務(wù)的唯一BindingKey,以便在首次使用該應(yīng)用程序時(shí),從UDDI檢索所需的所有信息.3)調(diào)用遠(yuǎn)程Web服務(wù)時(shí),使用從UDDIWeb注冊(cè)獲得的,已被緩存的BindingTemplate數(shù)據(jù).4)如果調(diào)用失敗,使用BindingKey的值和getbindingTempl

19、ateAPI從該Web服務(wù)的BindingTemplate取得刷新的數(shù)據(jù).5)把新的數(shù)據(jù)和原來的數(shù)據(jù)進(jìn)行比較:如果不同,重試剛才失敗的調(diào)用.如果重試成功,則用新數(shù)據(jù)代替緩存的數(shù)據(jù)并存儲(chǔ)新數(shù)據(jù)以便以后調(diào)用.不過,如果返回的綁定信息相同,則提供者不進(jìn)行任何更新,且應(yīng)用程序?qū)l(fā)生錯(cuò)誤.同樣,如果有新的綁定信息,但調(diào)用仍然失敗,應(yīng)用程序也會(huì)發(fā)生錯(cuò)誤.此外,當(dāng)Web服務(wù)提供者需要將調(diào)用重定向到新地址或是備份系統(tǒng)時(shí),他們只需要啟動(dòng)備份系統(tǒng)并在bindingTemplate中將服務(wù)地址更新.這種方法稱為失敗重試,它的效率比在每次調(diào)用前刷新bindingTemplate數(shù)據(jù)的方式要高.關(guān)鍵程序段如下:/嘗試調(diào)

20、用Web服務(wù)boolwssue=InvokeWS();/若調(diào)用失敗,則查詢UDDI注冊(cè)中心iffWSSUC=false)Ilabel3.Text=Web服務(wù)調(diào)用失敗.重新查詢UDDI注冊(cè)中心以獲取訪問地址.;booluddisue=RefveshUDDl();/重新查詢UDDI注冊(cè)中心成功if(uddisue=true)/UDDI注冊(cè)中心的信息有更新Iif(accp.Equals(bt.AecessPoint.Text)=false)(acepbt.AeeessPoint.Text;/再次嘗試調(diào)用web服務(wù)WS.UC=InvokeWS();/無法使用UDDI的更新信息調(diào)用Web服務(wù).調(diào)用仍然失

21、敗if(W88UC=false)label3.Text+=Web服務(wù)調(diào)用再次失敗.UDDI更新無效.;/UDDI注冊(cè)中心的信息沒有更新el8elabel3.Text+=UDDI未提供新信息.;/重新查詢UDDI注冊(cè)中心失敗elselabel3.Text+=UDDI刷新失敗.;2.2系統(tǒng)事務(wù)處理實(shí)現(xiàn)一般要對(duì)數(shù)據(jù)庫進(jìn)行操作的應(yīng)用程序都面臨要解決事務(wù)處理的問題,在線虛擬實(shí)驗(yàn)系統(tǒng)同樣如此.要實(shí)現(xiàn)事務(wù)處理的過程,常用的方法是使用存儲(chǔ)過程來控制,但這種做法往往比較費(fèi)時(shí),容易出錯(cuò),且錯(cuò)誤比較難以發(fā)現(xiàn).WebService提供了事務(wù)處理的能力,只需在WebMethod語句中添加TransactionOptio

22、n屬性即可啟動(dòng)自動(dòng)事務(wù)處理支持功能.本系統(tǒng)開發(fā)的時(shí)候,對(duì)數(shù)據(jù)庫的添加,修改,刪除使用如下的公共WebService方法:/該方法啟用了事務(wù)處理,返回【W(wǎng)ebMethod(TransacfionOption=TvensactionOption.RequisNew)】publicintExecutcsql(SqlCommdsqlcom)IstringB仃sql=sqlcom.CommandText;inteffectnumber=0:if(str1.Trim()=)I/errMsg為一個(gè)全局變量.用于記錄錯(cuò)誤提示errMs=沒有可以執(zhí)行的語句;reumI;l/myConn為數(shù)據(jù)庫連接字符串hyIi

23、f(mrConn.State.To,String().ToLower()=dosed)mrConn.Opt.();sqlcom.Connection=myConn;effectnumber=sqleom.ExecuteNonQuery();catch(Sq1Exceptione)IerrMsg=數(shù)據(jù)庫執(zhí)行出錯(cuò).詳細(xì)信息:+e.Message.ToString();dfecmumber=一1;lfinallyImyConn.Close();lvelumeffectnumber;(下轉(zhuǎn)第127頁)第1期劉欣桃等:一種屬性權(quán)威系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)127供的功能包括:用戶申請(qǐng)屬性證書的注冊(cè)受理;用戶真實(shí)身

24、份的審核,主要指用戶公鑰證書的擁有證明;用戶屬性證書的申請(qǐng)和下載;屬性證書的撤銷(可選).:安全web審核系統(tǒng)圖5ABARA服務(wù)器系統(tǒng)結(jié)構(gòu)根據(jù)用戶申請(qǐng)方式的不同,提供兩種類型的ARA系統(tǒng):?FZF(FacetoFace,面對(duì)面)ARA系統(tǒng):要求用戶以離線的方式提交請(qǐng)求;?webABA系統(tǒng):要求用戶以在線的方式提交請(qǐng)求.F2FARA提供的功能包括證書申請(qǐng)服務(wù),身份審核服務(wù),證書下載服務(wù)和證書管理服務(wù).證書申請(qǐng)服務(wù):證書申請(qǐng)采用離線方式進(jìn)行,用戶到F2FARA的管理員處申請(qǐng)屬性證書,ARA管理員利用F2FARA錄A/管理終端錄入并處理用戶的申請(qǐng).身份審核服務(wù):以挑戰(zhàn)一響應(yīng)的方式,對(duì)用戶公鑰證書的擁

25、有權(quán)進(jìn)行審核.證書下載服務(wù):證書下載可采用在線或離線兩種方式,第一種是在線方式用戶通過網(wǎng)絡(luò)登錄到F2FARA的證書發(fā)布系統(tǒng)下載證書,或者證書發(fā)布系統(tǒng)將證書發(fā)到用戶的電子郵件信箱中;離線方式用戶到指定的F2FARA機(jī)構(gòu)的證書發(fā)布系統(tǒng)下載證書,證書的載體可以是軟盤或者其他移動(dòng)介質(zhì).證書管理服務(wù)提供對(duì)自身證書進(jìn)行安全管理;對(duì)內(nèi)部管理員數(shù)字證書,操作員數(shù)字證書進(jìn)行統(tǒng)一管理.WebARA的功能與F2FARA的功能類似,主要不同點(diǎn)在于證書申請(qǐng)服務(wù)方面WebARA系統(tǒng)的用戶通過網(wǎng)絡(luò)登錄到安全Web服務(wù)器申請(qǐng)屬性證書;證書下載服務(wù)方面用戶一般只通過在線的方式下載證書.2.3AB目錄服務(wù)器系統(tǒng)AB目錄服務(wù)器系統(tǒng)

26、提供屬性證書及其撤銷列表(可選)的存儲(chǔ),安全管理和查詢等功能.目錄服務(wù)器系統(tǒng)支持現(xiàn)有的互操作標(biāo)準(zhǔn),如LDAP查詢,基于wW的查詢.目錄服務(wù)器的主要功能有:?接收與管理AB從中心的證書數(shù)據(jù);?接收與管理AB從中心的ACRL更新數(shù)據(jù);?發(fā)布屬性證書和ACRL(可選);?接收與響應(yīng)客戶對(duì)屬性證書查詢,完成客戶按特定目錄查詢的要求;?(可選)接收與響應(yīng)客戶對(duì)ACRL查詢,完成客戶按特定目錄查詢的要求;?對(duì)屬性證書和ACRL的驗(yàn)證;?存儲(chǔ)和查詢各種系統(tǒng)的審計(jì)數(shù)據(jù).3結(jié)語從是PMI的核心組件,目前在國內(nèi)僅有為數(shù)不多的幾家公司開發(fā)出了從系統(tǒng),如:吉大正元公司,上海格爾公司等.但是由于商業(yè)秘密等多方面的原因,

27、無法獲得這些系統(tǒng)的體系架構(gòu),我們?cè)诶矛F(xiàn)有資源的基礎(chǔ)上,獨(dú)立設(shè)計(jì)開發(fā)了AB從系統(tǒng),實(shí)現(xiàn)了農(nóng)行系統(tǒng)中多種應(yīng)用的授權(quán)訪問控制,目前系統(tǒng)運(yùn)轉(zhuǎn)情況良好.在實(shí)踐中,我們感到還需進(jìn)一步深入研究規(guī)范屬性證書擴(kuò)展域和授權(quán)策略,使屬性證書能滿足更多銀行系統(tǒng)的應(yīng)用,從而更好發(fā)揮AB從的作用.參考文獻(xiàn):【l】HOUSLEYR,POLKW.FORDW.口LlntrnetX.509PublicKeyInfrastructureCertificateandCertificateRevocationList(CRL)Pro-file(RFC3280)【S】,2002.【2】CHOKHANIS.FORDW,SABETIR,.1ntemetX.509PublicKeyInfrastructureCertificatePolicyandCertificationPracticesFramework(RFC3647)【S】,2003.【3】FARRELLS,HO