度讲这种信任也是有问题的。如再大一点,信任问题就成了一个大问题。
(2)证书
互联网络的用户群绝不是几个人互相信任的小集体,在这个用户群中,从法律角度讲用户彼此之间都不能轻易信任。所以公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,并加上这个权威机构的签名,这就形成了证书。
由于证书上有权威机构的签字,所以大家都认为证书上的内容是可信任的;又由于证书上有主人的名字等身份信息,别人就很容易地知道公钥的主人是谁。
(3)ca
ca也拥有一个证书(内含公钥),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证ca的签字从而信任ca,任何人都应该可以得到ca的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向ca提出申请。在ca判明申请者的身份后,便为他分配一个公钥,并且ca将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。
如果一个用户想鉴别另一个证书的真伪,他就用ca的公钥对那个证书上的签字进行验证(如前所述,ca签字实际上是经过ca私钥加密的信息,签字验证的过程还伴随使用ca公钥解密的过程),一经验证通过,该证书就被认为是有效的。
ca除了签发证书之外,它的另一个重要作用是证书和密钥的管理。
由此可见,证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用一样。ca相当于网上公安局,专门发放、验证身份证。
4.4.3认证模块的实现
(1)访问控制的设计思想
用户登录系统时,客户端和服务器端利用数字证书进行双向认证,建立ssl连接,然后查询数据库,对用户进行授权,并将权限集合保存在会话中。之后的交互中,用户每次发出请求,系统都先进行权限判定的过滤,以实现对静态资源(静态html页面、图片资源等)与动态资源(jsp页面、servlet和bean等)的细粒度的访问控制,为系统的安全访问提供有效保障。
(2)数字证书签发工具
通过swing技术开发简易的证书制作工具生成根证书、签署证书和导出公钥证书等。
生成根证书的关键代码如下:
//根据所给算法实例化密钥对产生器
certandkeygen keypair=new
certandkeygen(keyalg,sigalg);
//产生长度为keysize的密钥对
keypair.generate(keysize);
privatekey prikey=keypair.getprivatekey();
//根据所填信息,创建x500name实例
x500name x500name:ereatex500name();
//生成自签名证书
x509 certificate eert=keypair.getselfcertifieate
(x500name,validity木24木60术60);
//设置证书链
x509certifleate[]chain={cert};
ks.setkeyentry(alias,prikey,keypass,chain);
4.4.4配置ssl
修改ibmhttpserver/conf/httpd.conf文件,在最下面增加:
loadmodule ibm_ssl_module
modules/ibmmodulessl128.dll
listen 80
listen 443
keyfile f:/new/key.kdb
ssldisable
sslv2timeout 100
sslv3timeout 1000
servername netsoft-4d52657
servername netsoft-4d52657
sslenable
sslclientauth optional
5 结束语
web服务作为一种新兴的技术,将各应用系统平台进行了有效的无缝连接,并结合了单点登录模型,构建了一个统一的用户认证管理平台,使用户在各平台间的转换更为便捷。同时,也更方便了各个应用系统的管理。而ca认证的加入,更提高了系统的安全性和保密性。综上,web服务在校园网络中的应用,无疑对数字化校园的构建起到了巨大的推动作用。
参考文献
[1] 王晓虎,叶荣华.uddi技术及其在校园网中的应用[j].计算机工程与科学,2006,28(6):30-35.
[2] 沈伯青,杨宗凯.web服务的基石:uddi技术[j].计算机工程与应用,2003(3):147-183.
[3] 芮雄健,王忠民. uddi的原理与实现[j].计算机工程与设计,2005,26(6):1602-1605.
[4] 贾宗星,董丽丽.基于web services单点登录系统的设计与实现[j].计算机时代,2006(9):62-64.
[5] 李朝峰,江涛.基于web services技术的单点登录模型的研究与设计[j].民营科技,2009(8):23-23.
[6] 江为强,杨义先,黄正全.基于j2ee体系
上一页 [1] [2] [3] 下一页