隨著因特網的普及，人們可以越來越多地使用網絡服務，網絡服務在給人們帶來便利的同時，也帶來了一些麻煩。用戶收發電子郵件需要憑證(用戶名/密碼或相關信息)；登錄網上銀行需要相應的憑證；訪問特定的信息也需要輸入憑證，類似的例子舉不勝舉。不同的系統平臺對信息認證有不同的要求。而且用戶對各種各樣的憑證信息很容易遺忘或記錯。毫無疑問，憑證對保護個人信息是至關重要的。憑證信息的可靠保存應具備如下特征：
　　(1)憑證保存必須保證安全性。這表現在能正確保存各種用戶名、密碼等信息；防止黑客竊取憑證信息；保證憑證數據的私有性；需要對信息加密并安全存儲。
　　(2)用戶在需要時能方便地獲取憑證。這主要表現在憑證信息的可移動性；用戶可以在任何需要的地方(如辦公室、家里等)獲取相應的憑證訪問相應的服務；保存憑證的設備是可隨身攜帶的，甚至可放在錢包里(如智能卡)。
　　(3)保存憑證的技術需具有可移植性。JAVA語言編寫的軟件具有較強的可移植性，適用于不同的操作系統平臺。
　　基于上述三點，明確了用戶憑證管理的解決方案：使用JavaCard技術和JAVA平臺設計，一個用戶使用一張智能卡，用戶經身份認證" title="身份認證">身份認證后可對保存在智能卡中的憑證操作，該方案必須包含上述三點要求及安全性要求。
1 Java Card技術概述
　　Java Card最初由Schlumberger 提出，目前已被JavaSoft制定為一項標準，作為一項極有潛力占踞主導地位的智能卡標準。Java Card技術使得Java語言編寫的程序能夠運行在智能卡上或其他內存受限的設備中。Java Card技術可被部署在許多產業部門，如手機、社會保障卡及金融服務等。Java Card技術包含三個部分：
　　(1)Java Card虛擬機(JCVM)規范，定義了用于智能卡的Java程序語言的一個子集和虛擬機規范。
　　(2)Java Card運行時環境(JCRE)規范，定義了Java Card運行時環境的行為：內存管理、應用管理、安全執行，以及其他運行時特性。
　　(3)Java Card應用編程接口(API)規范，描述了專門為智能卡程序進行程序設計所用的Java Card包和類核心及擴展的集合。
　　以上三個部分為智能卡提供了一個安全的平臺。Java Card平臺依據智能卡廠商的特定技術，將應用程序" title="應用程序">應用程序拆分成小應用程序，并且為這些小應用程序提供標準系統和API接口。
　　Java Card規范使得Java技術能夠在智能卡和其他內存受限的設備上運行。Java Card技術具有獨特的優勢：
　　(1)互操作性。用Java Card技術開發的小應用程序可以運行在任何基于Java Card技術的智能卡上，而獨立于卡的生產商和底層的硬件。
　　(2)安全性。Java Card技術依賴于Java編程語言的內在安全性，從而提供了一個安全可靠的執行環境。
　　(3)多應用并存。Java Card使得多個應用程序可以在單個智能卡上并存。一張卡發放后，新的應用程序可以安全地安裝。
　　(4)和現有標準的兼容性。Java Card API和現有的智能卡國際標準兼容，如ISO7816標準。
　　在Java Card技術中，即使卡被斷電以后，卡上存儲的幾乎全部信息都還保留著。持續內存技術使得在掉電時智能卡仍然能保存信息。由于虛擬機和卡上創建的對象用來表示持續化信息，JCVM看起來一直在運行。斷電時，VM只是暫時停止。當下次卡重新啟動時，VM重新啟動并且從持續化存儲器中恢復前面的對象堆。除了其持續化特性，Java Card虛擬機和Java虛擬機是基本一樣的^[4]。
2 基于Java Card的用戶憑證管理模型設計
　　根據Java智能卡的特點及用戶憑證管理的目的，可設計如下管理模型，如圖1所示。

　　該模型采用C/S結構，每一臺客戶應用計算機作為Client，而java智能卡充當Server角色，兩者通過與計算機相連的卡接收設備(CAD)連接?？ń邮赵O備又可稱作終端、讀卡器和IFD(接口設備)，它們都具有相同的基本功能，即向智能卡提供電源和建立數據傳輸連接。當Client端某個服務需要輸入憑證(如用戶名/密碼)時，讀卡器激活插入的java智能卡，經驗證java智能卡用戶身份后返回卡中相應的憑證信息到Client端，這時候用憑證信息可以訪問相應的服務資源。該方案利用二道關卡保護系統的安全，即雙因素認證(two-factor authentication)，通過安全裝置(用戶自己保管智能卡)和智能卡的個人辨識密碼(PIN)雙重保護，避免對服務資源非授權存取。
2.1 Java智能卡的身份認證
　　本文中的模型完全基于Java技術，Java技術廣泛應用于多用戶環境中。合法使用java智能卡是以用戶為中心(user-centric)的訪問控制，因此必須基于用戶的身份授予其不同的許可。用戶必須經身份認證后才有權使用保存在java智能卡中的憑證信息，這是保證用戶信息安全的第一道關卡。本文通過Java認證和權限服務JAAS(Java technology Authentication and Authorization Service Software)來完成。JAAS已完全集成在J2SE1.4平臺中，它是Java平臺的擴展security API，是可插拔鑒定模塊(Pluggable Authentication Module，PAM)的java實現。JAAS分為認證(authentication)和授權(authorization)兩部分。
　　認證就是對一個用戶身份鑒定權限的處理過程。JAAS認證機制是基于PAM的，所以它支持允許系統管理員插入適當的鑒別機制以滿足安全要求的體系結構，這種體系結構也允許應用程序獨立于底層鑒別技術。因此，當有新的鑒別服務出現或當前服務需要更新時，系統管理員無需調整或重新編譯現有的應用程序就能輕松進行部署?？蛻魬?Clinet Application)總是通過登錄上下文(LoginContext)對象和JAAS交互，如圖2所示。

　　典型的認證處理過程要經過下面的步驟：(1)生成一個LoginContext對象。這個LoginContext尋找登錄配置文件以決定使用那個LoginModule。(2)通過調用LoginContext的login方法執行認證，它會加載預定義的LoginModule去檢驗是否用戶可以被認證。(3)如果用戶被認證，則用規則(Principal)和標識和其所屬項(subject)進行關聯。(4)或者在登錄失敗的情況下拋出一個LoginException。(5)使用LoginContext的logout方法進行注銷登錄。
　　在JAAS中，登錄是一個二階段(two-phase)的處理過程。第一階段是“登錄(login)”階段如上面步驟2所描述的。這個階段惟一的任務是認證。只要處理過程成功通過這個階段，認證處理過程就進入了“提交(commit)”階段如上步驟3，這一階段LoginModule的commit方法被調用去關聯所屬子項(subject)相關的規則(Principal)和標識。在JAAS中一個所屬子項表示一個認證實體，例如一個人或者一臺設備。
　　鑒別是授權的基礎，特別是在知道subject的身份時，應用程序要指定subject可以執行的動作行為。Subject只是表示無名的容器，用來為subject容納相關信息，而Principal表示subject的鑒別身份。授予subject的許可集取決于與subject相關聯的Principal，而不是取決于subject本身，這就是說，根據subject包含的鑒別Principal來賦予subject的權限。授予的權限許可集可以通過外部訪問控制策略來配置，策略配置文件包含了可以進行安全敏感操作的入口，如訪問一個具體的Web頁面或者本地的文件。
2.2 模型架構及實現
　　根據圖1，可設計C/S結構的用戶憑證管理模型架構，如圖3所示。客戶端" title="客戶端">客戶端的任何應用都必須經過JAAS對Java智能卡的認證與授權，只有被授權后，客戶端的應用程序才能訪問Java智能卡中的特定信息。這時通過Java Card的RMI(Remote Object Invocation)接口JCRMI(RMI for Java Card Platform，Java Card遠程方法調用" title="方法調用">方法調用)與Java智能卡上通信，從而得到Java智能卡中的相應信息。當然，這中間需要通過讀卡設備連接智能卡，信息傳輸通過Card Service API支持。當二臺計算機彼此進行通信時，它們交換根據一系列協議構造的數據包。同樣Java智能卡也使用自己的數據包——稱作APDU(應用協議數據單元)與外部世界對話。APDU包含一條指令或響應信息。在智能卡里采用的是主從模式，而智能卡扮演從動的角色。換句話說，智能卡總是在等待來自終端的命令APDU。隨后，它執行APDU規定的動作，并以一個應答APDU向終端作出回答。JCRMI包含了智能卡與終端之間互相交換命令APDU和應答APDU的方法exchangeAPDU()。