本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種基于XKMS的電子商務(wù)密鑰管理方法和系統(tǒng)。
背景技術(shù):
目前,隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,信息技術(shù)安全問(wèn)題成為了人們高度關(guān)注的社會(huì)問(wèn)題,PKI(Public Key Infrastructure)公鑰基礎(chǔ)設(shè)施作為信息技術(shù)安全的核心它是解決電子商務(wù)和電子政務(wù)信息安全的基礎(chǔ)設(shè)施和關(guān)鍵技術(shù),它能夠提供公開(kāi)密鑰和對(duì)稱(chēng)密鑰技術(shù)進(jìn)行相結(jié)合的技術(shù)方案確保在網(wǎng)上傳輸?shù)男畔?shù)據(jù)不被竊取和破壞。雖然從安全性的角度來(lái)說(shuō)PKI可以很好的解決網(wǎng)絡(luò)安全性問(wèn)題,但是在PKI仍存在很多不足之處如:(1)在PKI大框架下面存在著很多不同的格式技術(shù)標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)的差異性導(dǎo)致PKI在實(shí)際執(zhí)行中存在很多障礙;(2)PKI是基于ASN.1描述、采用BER/DER進(jìn)行編碼的,因此在部署方面存在著難度大、成本高、交互性差等問(wèn)題;(3)客戶(hù)端工具多種多樣,計(jì)算量龐大復(fù)雜,用戶(hù)需要跟PKI多種產(chǎn)品進(jìn)行交互,需要安裝很多不同的程序安裝包這就造成了用戶(hù)部署困難,增加了應(yīng)用程序的復(fù)雜度。這些不足增大了PKI技術(shù)推廣的難度和企業(yè)的相關(guān)成本,為了解決上述問(wèn)題,W3C發(fā)布了XML密鑰管理規(guī)范XKMS(XML Key Management Specification),利用它可以建立輕量級(jí)PKI安全系統(tǒng),降低PKI安全部署和相關(guān)應(yīng)用程序獲取PKI服務(wù)的難度和復(fù)雜度。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的實(shí)施例提供了一種基于XKMS的電子商務(wù)密鑰管理方法和系統(tǒng),本發(fā)提供如下方案:
接收根據(jù)采購(gòu)方客戶(hù)端確定的采購(gòu)訂單中綁定的公鑰向XKMS密鑰信息服務(wù)器所發(fā)送訪問(wèn)請(qǐng)求;
由所述XKMS密鑰信息服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求在本地密鑰庫(kù)中查詢(xún)所述采購(gòu)訂單所綁定的公鑰并驗(yàn)證所述公鑰的有效性;
若所述公鑰未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單后,對(duì)采購(gòu)方簽發(fā)證書(shū),使所述采購(gòu)方公鑰通過(guò)驗(yàn)證,其中,所述LDAP目錄服務(wù)用于存儲(chǔ)可公開(kāi)的采購(gòu)方注冊(cè)信息、數(shù)字證書(shū)和證書(shū)吊銷(xiāo)狀態(tài)記錄。
根據(jù)本發(fā)明的上述方法,預(yù)先接收電子商務(wù)平臺(tái)的各采購(gòu)方客戶(hù)端發(fā)送的密鑰注冊(cè)請(qǐng)求;其中,所述密鑰注冊(cè)請(qǐng)求使用XKMS密鑰信息服務(wù)器所提供的共享的公鑰PassPhrase進(jìn)行加密后再經(jīng)過(guò)SOAP發(fā)送至XKMS密鑰信息服務(wù)器;
由所述XKMS密鑰信息服務(wù)器產(chǎn)生密鑰對(duì),并向所述采購(gòu)方客戶(hù)端返回私鑰。
根據(jù)本發(fā)明的上述方法,若所述公鑰通過(guò)驗(yàn)證,則由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器驗(yàn)證所述采購(gòu)方客戶(hù)端的用戶(hù)注冊(cè)信息,其中,所述LDAP目錄服務(wù)還用于存儲(chǔ)采購(gòu)方客戶(hù)端用戶(hù)的注冊(cè)信息。
根據(jù)本發(fā)明的上述方法,若未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述XKMS密鑰信息服務(wù)器與CA認(rèn)證中心證書(shū)吊銷(xiāo)狀態(tài)獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單。
根據(jù)本發(fā)明的上述方法,預(yù)先在LDAP目錄服務(wù)器中建立多個(gè)LDAP連接,放置在連接池中,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器時(shí),從連接池中取出空閑狀態(tài)的LDAP連接,當(dāng)訪問(wèn)結(jié)束時(shí),再將LDAP連接放回連接池。
根據(jù)本發(fā)明的另一方面,還提供一種基于XKMS的電子商務(wù)密鑰管理系統(tǒng),包括:
接收模塊,其用于接收根據(jù)采購(gòu)方客戶(hù)端確定的采購(gòu)訂單中綁定的公鑰向XKMS密鑰信息服務(wù)器所發(fā)送訪問(wèn)請(qǐng)求;
驗(yàn)證模塊:其用于由所述XKMS密鑰信息服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求在本地密鑰庫(kù)中查詢(xún)所述采購(gòu)訂單所綁定的公鑰并驗(yàn)證所述公鑰的有效性;
執(zhí)行模塊:其用于若所述公鑰未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單后,對(duì)采購(gòu)方簽發(fā)證書(shū),使所述采購(gòu)方公鑰通過(guò)驗(yàn)證,其中,所述LDAP目錄服務(wù)用于存儲(chǔ)可公開(kāi)的采購(gòu)方注冊(cè)信息、數(shù)字證書(shū)和證書(shū)吊銷(xiāo)狀態(tài)記錄。
根據(jù)本發(fā)明的另一方面,包括:
注冊(cè)模塊:其用于預(yù)先接收電子商務(wù)平臺(tái)的各采購(gòu)方客戶(hù)端發(fā)送的密鑰注冊(cè)請(qǐng)求;其中,所述密鑰注冊(cè)請(qǐng)求使用XKMS密鑰信息服務(wù)器所提供的共享的公鑰PassPhrase進(jìn)行加密后再經(jīng)過(guò)SOAP發(fā)送至XKMS密鑰信息服務(wù)器;
由所述XKMS密鑰信息服務(wù)器產(chǎn)生密鑰對(duì),并向所述采購(gòu)方客戶(hù)端返回私鑰。
根據(jù)本發(fā)明的另一方面,所述執(zhí)行模塊還用于:
若所述公鑰通過(guò)驗(yàn)證,則由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器驗(yàn)證所述采購(gòu)方客戶(hù)端的用戶(hù)注冊(cè)信息,其中,所述LDAP目錄服務(wù)還用于存儲(chǔ)采購(gòu)方客戶(hù)端用戶(hù)的注冊(cè)信息。
根據(jù)本發(fā)明的另一方面,所述執(zhí)行模塊具體用于:
若未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述XKMS密鑰信息服務(wù)器與CA認(rèn)證中心證書(shū)吊銷(xiāo)狀態(tài)獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單。
根據(jù)本發(fā)明的另一方面,包括:
建立模塊:其用于預(yù)先在LDAP目錄服務(wù)器中建立多個(gè)LDAP連接,放置在連接池中,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器時(shí),從連接池中取出空閑狀態(tài)的LDAP連接,當(dāng)訪問(wèn)結(jié)束時(shí),再將LDAP連接放回連接池。由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出,本發(fā)明實(shí)施例接收根據(jù)采購(gòu)方客戶(hù)端確定的采購(gòu)訂單中綁定的公鑰向XKMS密鑰信息服務(wù)器所發(fā)送訪問(wèn)請(qǐng)求;由所述XKMS密鑰信息服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求在本地密鑰庫(kù)中查詢(xún)所述采購(gòu)訂單所綁定的公鑰并驗(yàn)證所述公鑰的有效性;若所述公鑰未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單后,對(duì)采購(gòu)方簽發(fā)證書(shū),使所述采購(gòu)方公鑰通過(guò)驗(yàn)證,其中,所述LDAP目錄服務(wù)用于存儲(chǔ)可公開(kāi)的采購(gòu)方注冊(cè)信息、數(shù)字證書(shū)和證書(shū)吊銷(xiāo)狀態(tài)記錄。。XKMS密鑰信息服務(wù)器采用將傳統(tǒng)PKI生成的證書(shū)備份到獨(dú)立的安全數(shù)據(jù)庫(kù)中的策略,因此只要在客戶(hù)端安裝相應(yīng)的軟件程序即可,客戶(hù)不需要多次與PKI進(jìn)行交互。保證業(yè)務(wù)數(shù)據(jù)在XKMS服務(wù)存儲(chǔ)、處理及傳輸過(guò)程中的一致性,防止信息被非授權(quán)修改。
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為現(xiàn)有技術(shù)中應(yīng)用場(chǎng)景圖;
圖2為本發(fā)明實(shí)施例一提供的一種基于XKMS的電子商務(wù)密鑰管理方法的處理流程圖;
圖3為L(zhǎng)DAP中存儲(chǔ)用戶(hù)證書(shū)信息的條目結(jié)構(gòu)類(lèi)XKMStore;
圖4為本發(fā)明實(shí)施例二提供的一種基于XKMS的電子商務(wù)密鑰管理系統(tǒng)的系統(tǒng)模塊圖。
具體實(shí)施方式
為便于對(duì)本發(fā)明實(shí)施例的理解,下面將結(jié)合附圖以幾個(gè)具體實(shí)施例為例做進(jìn)一步的解釋說(shuō)明,且各個(gè)實(shí)施例并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。
實(shí)施例一
該實(shí)施例提供了一種基于XKMS的電子商務(wù)密鑰管理方法的處理流程如圖1所示,本實(shí)施例中,包括XKMS密鑰信息服務(wù)器、LDAP目錄服務(wù)器,以及XKMS的客戶(hù)端,
預(yù)先接收電子商務(wù)平臺(tái)的各采購(gòu)方客戶(hù)端發(fā)送的密鑰注冊(cè)請(qǐng)求;
其中,所述密鑰注冊(cè)請(qǐng)求使用XKMS密鑰信息服務(wù)器所提供的共享的公鑰PassPhrase進(jìn)行加密后再經(jīng)過(guò)SOAP發(fā)送至XKMS密鑰信息服務(wù)器;
注冊(cè)密鑰之前,首先要產(chǎn)生密鑰對(duì),這項(xiàng)工作可以由客戶(hù)產(chǎn)生,也可以由服務(wù)器產(chǎn)生。本實(shí)施例中,由所述XKMS密鑰信息服務(wù)器產(chǎn)生密鑰對(duì),并向所述采購(gòu)方客戶(hù)端返回私鑰。
對(duì)于服務(wù)器產(chǎn)生的密鑰對(duì),注冊(cè)請(qǐng)求和響應(yīng)格式保持不變,但所交換的數(shù)據(jù)卻有所不同。盡管請(qǐng)求者可以為KeyID和KeyName元素指定值,但請(qǐng)求并不包括任何形式的公鑰值。此外,所有權(quán)證據(jù)也不再需要。通常情況下,響應(yīng)包括一個(gè)私鑰的一個(gè)加密形式。客戶(hù)也可以利用<Respond>Private<Respond元素專(zhuān)門(mén)請(qǐng)求私鑰信息。為安全起見(jiàn),服務(wù)將以加密的形式返回私鑰。
在本系統(tǒng)中使用myWebService.XkrssAdd(XkrssAddprocedure,Xtest)在客戶(hù)端向服務(wù)器端發(fā)送一個(gè)密鑰注冊(cè)請(qǐng)求。此密鑰注冊(cè)請(qǐng)求使用了信任服務(wù)所提供的共享的公鑰對(duì)PassPhrase進(jìn)行加密后再經(jīng)過(guò)SOAP傳送至信任服務(wù)。
信任服務(wù)接受到客戶(hù)端傳送來(lái)的請(qǐng)求后首先使用信任服務(wù)的私鑰對(duì)PassPhrase進(jìn)行解密。由于是XKMS密鑰信息服務(wù)器端所產(chǎn)生的密鑰所以在信任服務(wù)使用.RSAKey(out m_strKeyPrivate,out m_strKeyPublic)函數(shù)產(chǎn)生私鑰和公鑰,本系統(tǒng)采用的是混合的XKMS形式,所以將數(shù)據(jù)存儲(chǔ)在XKMS密鑰信息后臺(tái)數(shù)據(jù)/證書(shū)庫(kù)中
db.ExecSPwithParaRetInt(XkrssAddprocedure1,ParaName,ParaType,Pa raLength,ParaValue);然后信任服務(wù)需要將客戶(hù)端的私鑰傳送回客戶(hù)端,在傳送回客戶(hù)端之前先要使用信任服務(wù)的私鑰進(jìn)行加密然后再傳送。
如附圖2所示,在XKMS密鑰信息服務(wù)器執(zhí)行如下操作:其處理步驟如下:
步驟11、接收根據(jù)采購(gòu)方確定的采購(gòu)訂單中綁定的公鑰向XKMS密鑰信息服務(wù)器所發(fā)送訪問(wèn)請(qǐng)求;
步驟12、由所述XKMS密鑰信息服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求在密鑰庫(kù)中查詢(xún)所述采購(gòu)訂單所綁定的公鑰并驗(yàn)證所述公鑰的有效性;
步驟13、若所述公鑰未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單后,對(duì)采購(gòu)方簽發(fā)證書(shū),使所述采購(gòu)方公鑰通過(guò)驗(yàn)證,其中,所述LDAP目錄服務(wù)用于存儲(chǔ)可公開(kāi)的采購(gòu)方注冊(cè)信息、數(shù)字證書(shū)和證書(shū)吊銷(xiāo)狀態(tài)。
本實(shí)施例中,對(duì)于采用LDAP目錄服務(wù)器僅用于存儲(chǔ)證書(shū)吊銷(xiāo)狀態(tài)而在LDAP目錄服務(wù)中取消了證書(shū)撤銷(xiāo)列表CRL的存儲(chǔ),在LDAP目錄服務(wù)的每個(gè)存儲(chǔ)證書(shū)信息的條目中都設(shè)置一個(gè)Boolean屬性用于記錄證書(shū)撤銷(xiāo)狀態(tài)。在CA簽發(fā)證書(shū)后,向LDAP目錄服務(wù)發(fā)布證書(shū),并將此狀態(tài)屬性值設(shè)置為T(mén)rue;
當(dāng)用戶(hù)提出撤銷(xiāo)申請(qǐng)經(jīng)RA審核后,CA將此證書(shū)所在條目的狀態(tài)屬性值改為False。在證書(shū)狀態(tài)驗(yàn)證中驗(yàn)證證書(shū)撤銷(xiāo)狀態(tài)時(shí),XKMS服務(wù)器無(wú)需檢索CRL,只需讀取該證書(shū)所對(duì)應(yīng)的狀態(tài)屬性值,這樣就能大大提高證書(shū)驗(yàn)證的速度。并且通過(guò)嚴(yán)格的訪問(wèn)控制及SSL連接來(lái)保護(hù)LDAP目錄的安全:CA對(duì)LDAP目錄服務(wù)有讀寫(xiě)權(quán)限,XKMS服務(wù)器對(duì)LDAP目錄只有讀權(quán)限,CA和XKMS服務(wù)與LDAP目錄的連接都基于SSL協(xié)議。
由于取消了CRL,原有的LDAP目錄結(jié)構(gòu)將不適用于新的應(yīng)用,LDAP預(yù)定義了一些可供PKI系統(tǒng)使用的標(biāo)準(zhǔn)數(shù)據(jù)結(jié)構(gòu),但是這些對(duì)象類(lèi)和相關(guān)屬性都是按照面向組織的結(jié)構(gòu)進(jìn)行設(shè)計(jì)的,以inetOrgPerson對(duì)象類(lèi)為例,它以通用名(cn)為命名屬性來(lái)保存用戶(hù)信息,數(shù)字證書(shū)屬性設(shè)置為多值,允許一個(gè)條目可以放置多個(gè)證書(shū),對(duì)于原有的基于CRL的證書(shū)撤銷(xiāo)驗(yàn)證機(jī)制而言,這樣并不會(huì)帶來(lái)問(wèn)題。然而在新設(shè)計(jì)的證書(shū)撤銷(xiāo)狀態(tài)驗(yàn)證方法中,證書(shū)撤銷(xiāo)狀態(tài)是通過(guò)條目中的一個(gè)狀態(tài)屬性值來(lái)判斷的,如果仍允許一個(gè)條目放置多個(gè)證書(shū),就無(wú)法判斷該屬性代表哪個(gè)證書(shū)狀態(tài)。因此在LDAP結(jié)構(gòu)設(shè)計(jì)上,通過(guò)新定義若干LDAP屬性和一個(gè)對(duì)象類(lèi),用于存儲(chǔ)用戶(hù)證書(shū)及相關(guān)信息,以支持XKMS服務(wù)。定義了一個(gè)結(jié)構(gòu)類(lèi)XKMStore和支持這個(gè)類(lèi)的若干屬性,用于實(shí)例化存儲(chǔ)用戶(hù)證書(shū)信息的條目,如附圖3所示。其中所有屬性都是單值,以保證每一個(gè)條目只存儲(chǔ)一個(gè)證書(shū),所有屬性都是必須存在的,以保證用戶(hù)信息的完整,方便查詢(xún)。所有的String類(lèi)型的屬性都是大小寫(xiě)不敏感的。其中XKeyName為命名屬性。
公鑰是密鑰對(duì)中公開(kāi)的部分,本實(shí)施例中公鑰包含:如數(shù)字證書(shū)的頒發(fā)機(jī)構(gòu),過(guò)期時(shí)間等等。本實(shí)施例的公鑰是通過(guò)XKMS密鑰信息服務(wù)器用私鑰解密后,首先會(huì)驗(yàn)證公鑰是否有效,比如頒發(fā)機(jī)構(gòu),過(guò)期時(shí)間等等,如果發(fā)現(xiàn)異常,則會(huì)彈出一個(gè)警告框,提示證書(shū)存在問(wèn)題;若未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述XKMS密鑰信息服務(wù)器與CA認(rèn)證中心證書(shū)吊銷(xiāo)狀態(tài)記錄獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單。
步驟14、若所述公鑰通過(guò)驗(yàn)證,則由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器驗(yàn)證所述采購(gòu)方客戶(hù)端的用戶(hù)注冊(cè)信息,其中,所述LDAP目錄服務(wù)還用于存儲(chǔ)采購(gòu)方客戶(hù)端用戶(hù)的注冊(cè)信息。如果證書(shū)沒(méi)有問(wèn)題,那么就生成一個(gè)隨即值;然后用證書(shū)對(duì)該隨機(jī)值進(jìn)行加密,再由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器驗(yàn)證所述采購(gòu)方客戶(hù)端的用戶(hù)注冊(cè)信息。用戶(hù)的注冊(cè)信息本實(shí)施例中指用戶(hù)的登錄名和密碼。
XKMS密鑰信息服務(wù)器與LDAP目錄服務(wù)器交互時(shí),每次操作都要建立一個(gè)連接,綁定DN名,查詢(xún)完畢后需要釋放綁定和連接,這樣大量的時(shí)間都浪費(fèi)在建立連接上,使LDAP目錄服務(wù)器消耗了大量的資源;為了加快XKMS服務(wù)器訪問(wèn)LDAP目錄服務(wù)器的速度,優(yōu)選地,
本實(shí)施例中,預(yù)先在LDAP目錄服務(wù)器中建立多個(gè)LDAP連接,放置在連接池中,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器時(shí),從連接池中取出空閑狀態(tài)的LDAP連接,當(dāng)訪問(wèn)結(jié)束時(shí),再將LDAP連接放回連接池。
實(shí)施例二
該實(shí)施例提供了一種基于XKMS的電子商務(wù)密鑰管理系統(tǒng),其具體實(shí)現(xiàn)結(jié)構(gòu)如圖4所示,具體可以包括如下的模塊:
接收模塊41,其用于接收根據(jù)采購(gòu)方客戶(hù)端確定的采購(gòu)訂單中綁定的公鑰向XKMS密鑰信息服務(wù)器所發(fā)送訪問(wèn)請(qǐng)求;
驗(yàn)證模塊42:其用于由所述XKMS密鑰信息服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求在本地密鑰庫(kù)中查詢(xún)所述采購(gòu)訂單所綁定的公鑰并驗(yàn)證所述公鑰的有效性;
執(zhí)行模塊43:其用于若所述公鑰未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單后,對(duì)采購(gòu)方簽發(fā)證書(shū),使所述采購(gòu)方公鑰通過(guò)驗(yàn)證,其中,所述LDAP目錄服務(wù)用于存儲(chǔ)可公開(kāi)的采購(gòu)方注冊(cè)信息、數(shù)字證書(shū)和證書(shū)吊銷(xiāo)狀態(tài)記錄。
本實(shí)施例的一種基于XKMS的電子商務(wù)密鑰管理系統(tǒng),還包括:
注冊(cè)模塊40:其用于預(yù)先接收電子商務(wù)平臺(tái)的各采購(gòu)方客戶(hù)端發(fā)送的密鑰注冊(cè)請(qǐng)求;其中,所述密鑰注冊(cè)請(qǐng)求使用XKMS密鑰信息服務(wù)器所提供的共享的公鑰PassPhrase進(jìn)行加密后再經(jīng)過(guò)SOAP發(fā)送至XKMS密鑰信息服務(wù)器;
由所述XKMS密鑰信息服務(wù)器產(chǎn)生密鑰對(duì),并向所述采購(gòu)方客戶(hù)端返回私鑰。
所述執(zhí)行模塊43還用于:
若所述公鑰通過(guò)驗(yàn)證,則由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器驗(yàn)證所述采購(gòu)方客戶(hù)端的用戶(hù)注冊(cè)信息,其中,所述LDAP目錄服務(wù)還用于存儲(chǔ)采購(gòu)方客戶(hù)端用戶(hù)的注冊(cè)信息。
所述執(zhí)行模塊43具體用于:
若未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述XKMS密鑰信息服務(wù)器與CA認(rèn)證中心證書(shū)吊銷(xiāo)狀態(tài)獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單。
本實(shí)施例的一種基于XKMS的電子商務(wù)密鑰管理系統(tǒng),還包括:
建立模塊44:其用于預(yù)先在LDAP目錄服務(wù)器中建立多個(gè)LDAP連接,放置在連接池中,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器時(shí),從連接池中取出空閑狀態(tài)的LDAP連接,當(dāng)訪問(wèn)結(jié)束時(shí),再將LDAP連接放回連接池。
用本發(fā)明實(shí)施例的系統(tǒng)進(jìn)行基于XKMS的電子商務(wù)密鑰管理的具體過(guò)程與前述方法實(shí)施例類(lèi)似,此處不再贅述。
綜上所述,本發(fā)明實(shí)施例通過(guò)接收根據(jù)采購(gòu)方客戶(hù)端確定的采購(gòu)訂單中綁定的公鑰向XKMS密鑰信息服務(wù)器所發(fā)送訪問(wèn)請(qǐng)求;由所述XKMS密鑰信息服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求在本地密鑰庫(kù)中查詢(xún)所述采購(gòu)訂單所綁定的公鑰并驗(yàn)證所述公鑰的有效性;若所述公鑰未通過(guò)驗(yàn)證,由所述XKMS密鑰信息服務(wù)器訪問(wèn)LDAP目錄服務(wù)器獲取所述訂單的有效密鑰信息并用所述訂單的有效密鑰信息綁定所述訂單后,對(duì)采購(gòu)方簽發(fā)證書(shū),使所述采購(gòu)方公鑰通過(guò)驗(yàn)證,其中,所述LDAP目錄服務(wù)用于存儲(chǔ)可公開(kāi)的采購(gòu)方注冊(cè)信息、數(shù)字證書(shū)和證書(shū)吊銷(xiāo)狀態(tài)記錄。。XKMS密鑰信息服務(wù)器采用將傳統(tǒng)PKI生成的證書(shū)備份到獨(dú)立的安全數(shù)據(jù)庫(kù)中的策略,因此只要在客戶(hù)端安裝相應(yīng)的軟件程序即可,客戶(hù)不需要多次與PKI進(jìn)行交互。保證業(yè)務(wù)數(shù)據(jù)在XKMS服務(wù)存儲(chǔ)、處理及傳輸過(guò)程中的一致性,防止信息被非授權(quán)修改。
本領(lǐng)域普通技術(shù)人員可以理解:附圖只是一個(gè)實(shí)施例的示意圖,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。
通過(guò)以上的實(shí)施方式的描述可知,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如ROM/RAM、磁碟、光盤(pán)等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。
本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其,對(duì)于裝置或系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述得比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。