基于XML的密钥管理规范研究.pdfVIP

高 新 技 术 基于XML的密钥管理规范研究 赵香会 (常州信息职业技术学院 江苏常州 213164) 摘 要：本文研究了XKMS的具体实现，通过对XKMS服务器端(即XML密钥信息服务规范X--KISS和XML密钥注册服务规范X--KRSS)和 客户端的设计，实现密钥注册，验证、签名等功能。 关键词：Web服务 XML安全 公钥基础设施 密钥管理规范 中图分类号：TP319．3 文献标识码 ：A 文章编号：1672—3791(2009)12(a)一0008—01 1 基于XML的密钥管理规范的实现 证者 的证书状态返 回给客户端应用程序作 有些发给xKMs服务器的请求是必须 1。1服务器端实现 为应答 。在验证过程中，xKMs服务器需要 签名的。例如某个密钥在私有 的和未公开 在面向XML的密钥管理子层的服务器 做很 多的验证步骤 ，像访问不同的LDAP， 的权限空 间中进行注册的，要检索这样的 端的设计实现中，最为关键 的是对XKMS 检查CRL等。对于客户端程序而言，它所需 密钥 ，就必须对检索请求进行签名 ，而该签 服务(up密钥信息服务X-KISS~N密钥注册 要做的工作仅仅是请求xKMS服务器去验 名密钥也 以同样的权 限方式进行注册 。所 服务X—KRSS)的设计实现 。至于密钥基础 证而矣 。所有 困难 的、繁琐 的工作都 由 有来 自XKMSI]bi务器的响应都经过签名。因 支撑层面 ，我们在此不作详细 的实现论述 ， XKMS1]g务器去完成 。如果是在传统的(非 此 ，收到xKMs服务器应答后 ，需要对该消 因为它是基于成熟的技术和C语言实现的， XKMS)的PKI应用模式中，客户端需要 自己 息的签名进行验证(使用XML签名API)。 是XKMS服务的基础支撑 ，不是本论文 的 直接去完成那一系列的验证任务 。因此 ， 1．2．4验证 研究重点。XKMSJig．务器包括X—KISS服务 XKMSJ]~务模式充分减少了客户端 的工作 验证密钥和检索密钥很相似 。区别在 器和X—KRss服务器等 。它们的实现基本 量 ，提高 了XKMS服务 的易用性 。检 索 于验证响应包含 了被确认的密钥的状态信 上都遵循同样 的操作步骤 ：第一步就是用 (Locate)过程和验证过程基本一致 。xKMS 息。在请求 中还可以声 明需要验证哪些数 XKMS web服务的URLg1]建一条传输通 客户端先发送一条 “XKMS Locate”请求给 据项 。例如 ：String responses[]={K‘‘ey- 道 ，如支持SOAP的传输 。第二步就是创建 XKMs服务器 。xKMS服务器从收到 的 Name”，“KeyValue”，“ValidityInterval”， 一 条请求信息 ，然后通过传输通道发送给 “XKMSLocate”请求中取 出客户的Email地 “KeyUsage”，S“tatus”}。 XKMs服务器 。请求信 息主要有 ：XKM— 址 ，接着通过对不 同的LDAP目录搜索，找 通过上面的语句可以要求验证密钥名 SLocate、XKM SValidate、XKM SRegister、 到 与 该特 定Email地 址 相 关联 的证 书 。 称 、密钥值、有效期 、密钥使用和状态等信 XKMSRevokeSNXKMSRecovery。 XKMS)]~务器找到证书后 ，就返回 “XKMS 息。验证请求必须是签名的。如果还没有签 1．1．1X—KRSSN务器工作过程 Locate”应答消息给客户端应用程序。这样 名私钥 ，需要生成一个密钥对 ，在XKMS上 密钥对可以在客户端产生 ，XKMS也支 检索者就可以使用该商业客户的公钥来加 注册公钥 ，再使用私钥对验证消息签名 。 持在服务器端生成密钥对 。由于密钥恢复、 密在交易事务 中需要保密的信息 内容，然 密钥废除和密钥注册 的工作过程几乎是一