通过KeyStore对象获得服务器证书的私钥caprk,通过证书的签名方法对新证书进行签名。
⑤把证书保存在证书库中
在密钥库中生成新实体,并将新实体与新签发的证书对应。
⑥将证书压缩发送给用户
设计中使用BASE64Encoder类转换为证书标准格式--BASE64编码,编码后的证书字符就可以在屏幕上显示、复制或打印。为了作为Email附件进行发送,必须将生成的证书编码进行压缩,设计中使用ZipOutputStream类进行处理,处理后生成zip格式的压缩文件,然后通过编写的发送邮件类MailandFile给用户发送Email,申请证书过程完成。
(2)签发匿名数字证书
签发匿名证书的过程是由BI服务器和AI服务器共同来完成。该过程主要包括:构造匿名证书、生成摘要并盲化、由BI服务器签名和由AI服务器签名。
①构造匿名证书
匿名证书的构造是通过应用程序生成的匿名证书的主体名、匿名密钥和匿名证书的序列号与取来的实名证书的其它字段的值共同构造成匿名证书。通过调用KeyPairGenerator方法来生成匿名密钥对,采用RSA算法,生成匿名证书序列号,通过使用SecureRandom类生成一个128位的随机数r1,再使用MessageDigest对匿名公钥及随机数生成摘要形成匿名证书序列号sn,然后,通过调用X500Name类重新设置通用名,公钥及序列号来构造匿名证书。
②生成摘要及盲化
通过MD5算法对匿名证书生成摘要,并取随机数进行盲化,并调用定义的签名类对证书进行签名以便BI对用户身份验证,为BI验证用户身份,用户需要对证书进行签名。
③BI签名
BI通过调用自定义的验证签名类验证证书上的签名来确认用户的身份,验证通过后记录其身份标识,然后BI调用签名类对其进行盲签名。
④AI签名
AI通过调用Verify Signature类验证用户对匿名证书的签名是否正确,验证通过后,再调用Signature类对BI签名后的值进行签名。AI和BI联合签名后即为PCA对匿名证书的签名。
2.追踪匿名数字证书
匿名数字证书的追踪是由站点提出追踪匿名数字证书的申请请求,由AI服务器和BI服务器通过所存储的值通过调用加密类PublicEncryption与解密类PrivateDecryption共同恢复出用户的真实身份。
3.撤销匿名数字证书
证书撤销是在证书还未到期,提前停止证书的使用。撤销证书的原因可能有许多,包括用户密钥泄露、身份改变、证书的使用用途终止、CA私钥泄露等。
最常用的证书吊销机制是经常发布证书撤销列表(CRL)。CRL是由CA签发的包括己经撤销的未过期证书的证书序列号及撤销日期和撤销原因的数据结构。根据CRL列表更新方法不同CRL可分为:传统CRL证书撤销机制,重复发布CRL证书撤销机制,增量CRL证书撤销机制。本设计中使用的是CRL证书撤销机制,它是一种有效的并具有较好伸缩性的方法。
由于匿名证书的匿名性,所以在撤销时必须先由匿名证书追踪到实名证书,由实名证书对用户真实身份的进行证实的基础上才能对匿名证书进行撤销,此过程可以完成只撤销匿名证书或者同时撤销实名证书和匿名证书两种功能。
①撤销申请:用户需要填写撤销匿名证书的申请表,其中证书别名只能为用户名,系统自动生成,用户不能进行修改,公共名称为申请匿名证书的公共名称。
②撤销实名证书:通过系统提供的匿名证书的追踪功能可以由匿名证书的序列号追踪到用户的真实身份,从而可以确定用户的实名证书,若需要对实名证书进行撤销,此时,可以由CA把实名证书的的序列号签发到CRL中。
③撤销匿名证书:在由追踪到的实名证书对申请人的身份进行核实后,可以对匿名证书进行撤销,由PCA对匿名证书的序列号签发到CRL中,用户可以通过访问LDAP目录等方式进行查询。
四、结束语
本文提出了一个匿名数字证书发布方案并依此构建了一个匿名数字证书管理系统,它的实现还要受到很技术因素的影响,但随着人们对隐私与安全问题的日益关注,基于PKI的匿名数字证书发布方案的研究也会逐步成熟,可以预测伴随着网络和信息安全技术的不断发展,关于匿名数字证书的研究将会取得实质性的突破,匿名数字证书将会得到更广泛的应用。
本文关键字:证书 网络技术,电子知识资料 - 网络技术
上一篇:光纤光缆技术之微管气吹技术
