2009年l2月第12期(总第133期)广西轻工业GUANGXIJOU‘RNALOFLIGHTINDUSTRY计算机与信息技术基于EJBCA的CA系统的研究与实现周诚,刘电霆(桂林理工大学信息科学与工程学院,广西桂林541004)【摘要】随着计算机和网络技术的发展,对于网络信息安全的需求越来越广。通过介绍EJBCA这个开源的的企业级CA。具体对EJBCA各模块功能进行了分析及研究,对EJBCA的安装、管理、配置做了说明。【关键词】EJBcA;cA;PKI;数字证书【中图分类号】TP393.18【文献标识码】A【文章编号】1003—2673(2009)12—70—021引言随着计算机和网络技术的发展,网络作为信息存储和交换册中心)、数据库、CRL(CertificationRemoveList,证书撤销列表),LDAP(Lightweight访问协议)等。(1)CA认证中心:EJBCA的CA认证中心是整个PKI的核心,它负责证书的签发。它支持多级CA,可以根据需要生成指定的ROOTCA的SUBCA。再通过ROOTCA或SUBCA签发各个终端的数字证书。(2)RA注册中心:在EJBCA中,管理员可通过浏览器方便地管理注册用户的添加、修改、删除以及其证书的显示、更新、吊销等操作。用户可以通过RA注册中心自动获取申请的数字证书以及证书撤消列表。(3)数据库服务器:数据库服务器是认证中心中的核心部分,用于认证中心中数据(如用户信息,CA信息,用户证书信息以及作废证书信息)、EJBCA13志和统计信息的存储和管理。(4)LDAP目录服务器:LDAP服务器提供目录浏览服务,负责将RA注册中心传输过来的数字证书加入到服务器上。用户可以通过访问LDAP服务器获得数字证书以及CRL。其优化的数据读取操作适合大量读取数据。(5)CRL证书废除列表:提供了一种检验证书有效性的方式。它记录了作废证书的序列号,应用程序可以通过更新CRLDirectoryAccessProtoeol,轻鼍目录的媒介得到了极大的应用。其信息传输的安全也得到了越来越多的重视。目前应对网络信息传输安全主要是使用SSL(seeu—ritysocketlayer,安全套接字层)方式传输信息,它是一种在传输层实现的安全性技术。它允许Web浏览器和Web服务器之间在一条安伞的连接上进行通行。而在运行使用SSL的HTTPS协议时,数字证书是必要的,在大多数的Web服务器的HTTPS服务只有在安装了数字证书后才能运行。也就是说,SSL是基于PKI(publiekeyInfrastructure.公钥基础设施)的,通过使用公钥证书来验证客户和服务提供者的身份,实现在Internet上信息传递的保密性和可靠性的一种技术。PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。它通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等个人标识信息,以在Internet网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保汪网上数据的安全传输。2EJBCA介绍EJBCA(EnterpriseJavaBeanCertificateAuthority)是一文件来检验证书的有效性。吾户端孵}圮EIl呈敬嘿暖个建立在J2EE技术—卜的企业级PKI公钥基础设施。它是一个健壮.高性能,平立,灵活,并基于组件的CA,可使用或集成到其他J2EE应用程序中。2.1口}‘·.一,一、EJBCA的安装和配置EJBCA需要EJB支持,因此服务器必须完全支持J2EE的所有标准,默认的是用JBOSS。因此,配置EJBCA之前需安装JDK,JBOSS,ANT以及它们相对应的环境变世,默认使用MySQL作为证书储存库。根据EJBCA艟缩包中的安装文档的步骤,可以很快配置好EJBCA。2.2卫圳习。薄图1EJBCA的框架结构EJBCA拥有完整的PKI系统具有的模块,包括CA(Cer—EJBCA的框架结构tifieationAutohrity。认证中心)、RA(RegistrationAuthority,注3基于EJBCA的应用系统设计【作者简介】周诚(1986一).男,江西南昌人,硕士生,研究方向:制造业信息化。【基金项目】广西科技攻关项目“面向中小企业的虚拟企业网络化服务平台技术研究与建设”(桂抖攻0719001—17)70万方数据 如网2所示的是一个包括CA的完整系统的结构模型。它主要有CA和Web碰用程序组成。其中CA是使用EJBCA和开源LDAP服务器OpenLDAP实现,它负责生成及发布数字证书。而包括安伞连接通道的建讧以及基于数字证书的用户身份识别以及权限管卿等具体功能,主要是在Web服务器端设计实现的。茹据辜L亡.丘PC^(1)SSI。安伞传输通道的实现’_用户获取了数字证书.他便l叮以将其用于实现.’jWeb服务器之削的安伞连接。为了实现安伞连接.Web应用程序所在的服务器必须实现设置好服务器的配置文件,以支持基于数字证书的SSL安伞通道。以Tomcat6.0为例,需要对其server.xml文件进行配置。其中用到两个文件。keystoreFile和trust—storeFile,它们是与根证书对应的两个文件,其中keystoreFileCAj柏.;证等信孽俘丐用户证书傈弓用户证书对应于私有密钥存储库,trustsloreFile对应于信任存储库。它们从EJBCA的公共页面获得,用于服务器与浏览器链接时验证证书是否为相同CA所颁发。当用户通过浏览器提出HTTPS访问请求后,应用服务器Ir^征书jc_工≯.匹组斗:札组仁置CP.L.芏戚1=韦月|,芦证书甩【CP.L?;皇表职目尸信邑’茬占钽嶂}用户仔思l存l{嘲啤‘I.1十J士。1l通过本地储存的CA信任存储库确定与用户所使用的证书是相同CA签发的,之后实现双向数据的加密传输。l三暑信息l●鼽吐书I芬敢CP工(2)基于数字证书的身份认证在通常的J2EE应用中,用户大多足使用用户名和密码方式进行用户登录验证.这种方式最大的缺点便是用户名和密码易被破解或截取.而是用数字证书认证方式,则不需要担心证书被破解或者截取。当用户选择使用数字证书登录应用程序,Web应用程序端会对浏览器发出一个请求,要求提供数字汪w三B容器娃悔再用户信皇.l用产;圭墨.角,=管理l▲{证等:芝款压务l}匹:;请孝曩务l用于觚身份I审修隼尸值息一管理员▲I●书,随后,浏览器会将其hF书库中与Web应用服务器相同CA的证书列出,随后用户选取相应的证书,发送给服务器端,应用服务器获取证书后对其解析,首先是与颁发证书的CA所提供的最新CRL列表文件进行比对,如果该用户证书的序列号存在于CRL文件中,则说明给证书已作废,则该用户不能通过认证。之后再比对证书的颁发日期与有效期,如果在有效期内,则解析陔证书的DNtDistinguished数7、^证丰申请习尸Lr#茹蒂书.wEP应用f登囊眶P卫慝身?e磕正,HTTF!《美Name.识别名)中的Common图2一个基于EJBcA+openLDAP的PKI应用模型Name属性,并将其作为当前用户的用户名予以认证并授权。3.1证书的申请与作废(1)用户证书的申请4基于E,IBCA的应用系统实现4.1应用开发验证实际应用中,数字证书的身份认证与基于用户名,密码的表单身份认证是互补的。通过权限控制,给予表单认汪用户一般操作权限而给予数字证书用户更大的操作权限。当用户提出证书申请时,他需要提交相应的个人信息给CA管理员。CA管理员在市核用户所提交资料的真实性,完整性以及用户名的唯一性后通过RA将用户资料保存到数据库中。同时通知用户申请已核准。之后用户通过提交申请时的用户名和密码登录EJBCA的页面,发出安装证书请求。EJBCA在接到用户安装证书的申请后会调用CA模块,而CA模块通过获取保存在数据库中的用户信息以及个人证书。该证书分别保存在EJBCA的数据库,发布到所关联的LDAP服务器以及通过页面安装到用户的浏览器的证书库中。(2)用户证书的作废如果用户由于证书丢失或者被他人获取而需要重新申请证书时,需要向管理员提出作废申请。当管理员验证了用户身份的真实性后,通过RA申请将数字证书作废,EJBCA在获得证书作废申请后,将数据库中的相应用户证书的状态标识改为作废.同时删除LDAP中发缸的数字证书,并将用户'证书的序列号存入CA签发的CRL列表文件中。该CRL文件分别保存在数据库中和发布至LDAP目录服务器中以便Web应用程序获取并用于检验已作废证书。3.2基于证书的应用图3基于数字证书的用户身份认证4.2系统性能测试证书申请功能由于涉及管理员对用户资料审核,数据录入,以及用户接到市核通过的时间等。无法得出整个流程的具体时间,但足涉及CA性能部分的证书生成部分,却町以通过查看分析应用服务器的日.。i2获得。(下转第89页)万方数据 3.2发展前景及思考叮以预见,燃料乙醇,加业将成为广I!!f未来的重要的支+tJ托业。发展广西燃料乙醇产业.町以作如下考虑:3.2.1优化原料生产基地.提高技术水平,整合中小企业,提高产品的国际竞争力(.1)发展原料生产基地.采用新品种甘蔗是糖料作物,过多利用甘蔗生产燃料乙醇必定影响糖业生产。而木薯耐干旱、易生长且成本低廉,广西有1000多万亩荒坡旱地均可种植,可为燃料乙醇生产提供最佳原料。可在木薯种植较多的地区建立燃料乙醇的木薯生产基地,采用“研究所加公司加农户”或“公司加基地加农户”的一体化J怃业模式,推动木薯生产。应积极向农户推广木薯良种。提高木薯的总体产量和质世。同时,还应向农民推广木薯种植新技术,利用荒山、荒坡,扩大木薯的种植面积。(2)积极改进燃料乙醇的生产工艺,降低成本,提高产品的技术含帚针对我区企业生产燃料乙醇的工艺比较落后的情况,应采取相应措施。一是自主创新,企业可通过加强与科研院所及高校的合作,研究开发生产燃料乙醇的新上艺和新方法,以降低成本,提高产品技术含量。二是引进国内外先进、成熟的生广二技术。其它燃料乙醇生产省份多采用清华大学的加盐萃取蒸馏法对燃料乙醇进行脱水处理。这种技术比较成熟,切实可行,可以采用。(3)整合区内中小型燃料乙醇生产企业,引进大企业,争取规模效应燃料乙醇产业足资本密集型产业,只有规模化生产才有规模效应和竞争力。燃料乙醇虽然是环保燃料,但如果生产技术落后,也会对环境造成破坏。应出台相应,提高燃料乙醇产业的准入门槛.鼓励大型企业兼并中小企业或者中小型企业重组为大型企业。此外。还-·,以洒过各种h‘式扶持燃料乙醇企业,提高困际竞争力,带动出【J贸易还一叮以引进区外或者因外的大型燃料乙醇生产企业进驻,带动广Fq燃料乙醇J。’:业发展。3.2.2加强与东盟国家及燃料乙醇生产大国的国际合作东盟各围处于亚热带、热带地区,有利于木薯生,6:。我区‘j东盟国家有较为便利的陆E、海|:运输通道,町以通过各种方式加强合作,扩大燃料乙醇的原料来源。日f以在东南业国家投资建木薯生产基地,借助其上地和廉价的劳动力资源,输入新品种和先进技术,争取更好效益。也n,以在东南业国家投资设厂进行生产,直接出口。美国、巴西是F1前燃料乙醇生产技术最为成熟的国家,也是世界卜燃料乙醇产业发展最为成熟的围家,且拥有雄厚资金。可以积极从这些周家引进先进技术或大型生产企业,强化我区燃料乙醇生产和贸易。i,I以通过向这些国家推介我区燃料乙醇项目,介绍我区的资源优势,以吸引这些国家的投资。在技术引进方式方面。Hr以通过技术人股方式。获得国外的技术专利的使用权。应积极引入巴四甘蔗乙醇生产技术,以提高广西甘蔗燃料乙醇生产水平。3.2.3大力开拓国际市场在国际市场对燃料乙醇的需求与日俱增的情况下,广西的燃料乙醇企业应紧紧抓住有利的机遇。大力开拓固际燃料乙醇市场。可由牵头,组建广西燃料乙醇贸易协会,向国外特别是燃料乙醇消耗大国推销我区生产的燃料乙醇.与国外同类协会加强沟通,使国外消费者充分了解我区燃料乙醇产业的发展和我区燃料乙醇的优势。参考文献…钟炯城.陆国忠.广西生物能源发展.Z-考U1.广西大学学报,2008,(9)(上接第71页)通过分析日志,可以得到以下数据:接到证书获取申请到浏览器端安装完成证书总共耗时1469ms,其中证书制作耗时31ms,LDAP发布耗时1047ms,将证书传给浏览器并安装耗时282ms。其中。LDAP由于是与EJBCA处于局域网中不同主机,受网络传输及延时影响较大,所以耗时较多。但是从中可以看出,CA性能丰要的指标即CA证书签发时间只有3lms,足够应付大批由}证书生成。参考文献【11ChristopherSteeLRameshNagappan.RayLai.安全模式-j2EE、EJBCA有着具有广阔的发展前景。Web服务和身份管理最佳实践和策略IM】.机械工业出版社.2006.【2ILlGong.GaryEllison.WaryDageforde.深A.Java2平台安全一体系架构、APl设计和实现IMl.电子工业出版社,2004.【31,岳1必水.张磊.EJBCA在WPKI体系中的应用研究Ul计算机工程与5结论EJBCA是一个基于J2EE的,构建在组建结构上的企业级PKI公钥基础设施,它有着灵活.易用的优点。即便是中小企业,也能够通过修改,扩展,整合EJBCA,从而拥有一个适合自身企业的高效的企业级CA,从而保证企业内部Intranet或者对外信息的安全。在中小企业的信息安伞急斋保护的现在,89设计.2005.141陈.勤法青生等.安全CA实例一EJBCA的研究U1.计算机工程与设计.2005.15l李新.企业CA系统的分析研究【11.计算机应用与软件.2008.[61{-g震.王凤英.企业级CA的设计与实现UJ计算机应用与软件,2008.171黄海,白树仁.遵循X.509标准的CA认证中心设计与实现U1.计算技术与自动化.2008.万方数据 基于EJBCA的CA系统的研究与实现
作者:作者单位:刊名:英文刊名:年,卷(期):
周诚, 刘电霆
桂林理工大学信息科学与工程学院,广西,桂林,1004广西轻工业
GUANGXI JOURNAL OF LIGHT INDUSTRY2009,25(12)
1.程震;王凤英 企业级CA的设计与实现[期刊论文]-计算机应用与软件 2008(3)2.黄海;白树仁 遵循 X.509标准的CA认证中心设计与实现 20083.李新 企业CA系统的分析研究[期刊论文]-计算机应用与软件 2008(1)
4.陈勤;法青生 安全CA实例-EJBCA的研究[期刊论文]-计算机工程与设计 2005(12)5.周必水;张磊 EJBCA在WPKI体系中的应用研究[期刊论文]-计算机工程与设计 2005(8)
6.Li Gong;Gary Ellison;Wary Dageforde 深入Java2平台安全-体系架构、API设计和实现 2004
7.Christopher Steel;Ramesh Nagappan;Ray Lai 安全模式-J2EE、Web服务和身份管理最佳实践和策略 2006
本文链接:http://d.g.wanfangdata.com.cn/Periodical_gxqgy200912035.aspx