數字校園ＰＫＩ／ＣＡ認證體系的規劃和建設

摘要：文章首先簡單分析了PKI/CA認證技術；接著分析了PKI/CA目前主流的三種建設模式，并結合校園的實際情況，提出了校園PKI/CA采用完全自建的模式，并采用層次信用體系結構，給出了具體的結構模型。最后對校園PKI/CA認證體系建設中會遇到的主要問題進行了簡要分析。

關鍵詞：數字校園；PKI；CA；RA；層次信用模型；交叉認證

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)19-30051-03

Digital Campus PKI/CA Authentication System Plan and Construction

ZHU Xing-rong

(Hunan Railway Professional-Technology College， Zhuzhou 412000， China)

Abstract: The article first was simple has analyzed the PKI/CA authentication technology; Then has analyzed PKI/CA at present the mainstream three construction pattern， And unifies the campus the actual situation， Proposed campus PKI/CA uses completely from the pattern which constructs， And uses the level credit architecture， Has given the concrete structural model. Finally the main question which can meet to the campus PKI/CA authentication system construction in has carried on the brief analysis.

Key words: Digital campus; PKI; CA; RA; Level credit model; Overlapping authentication

1 引言

隨著現在各大學校園網絡的深入建設，以及校園內網絡應用的廣泛普及和應用，數字校園已成為現實。網絡與信息安全的要求和保證己成為數字校園建設的一個核心課題。這些安全問題需要采用先進的安全技術對網上信息的發送方、接收方進行身份確認，以保證各方信息傳遞的安全性、完整性、可靠性。校園PKI/CA系統是建立數字化校園堅實和完善的安全基礎，為適應數字化校園的中各應用系統的安全需求，保證校園認證系統的權威性、統一性和高度安全性，必須從整體上對校園網PKI/CA認證體系進行統一規劃和規范管理建設。

2 PKI/CA系統

PKI/CA體系是采用非對稱密鑰體系，通過一個證書簽發中心（CA）為每個用戶和服務器頒發證書，之后，用戶和服務器、用戶和用戶之間通過證書相互驗證對方的合法性。這個過程對用戶是透明的，與具體應用無關，滿足了用戶管理和具體應用分離的需求。

2.1 PKI/CA體系的組成

PKI由多種功能組成，它的結構組成模型如下圖所示：

■

在PKI的總體架構中，PKI最關鍵的兩個部分為認證中心CA系統和注冊機構RA系統。從應用來看，它是基于證書的應用。

(1)認證機構CA：CA 是整個 PKI 的核心，主要職責是頒發證書、驗證用戶身份的真實性。一般情況下，證書必須由一個可信任的第三方權威機構—CA 認證中心實施數字簽名以后才能發布，而獲得證書的用戶通過對 CA 的簽名進行驗證，從而確定公鑰的有效性。

(2)注冊機構RA：RA 是 CA 的證書發放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發放等工作；同時，對發放的證書完成相應的管理功能。RA 系統是整個 CA 中心得以正常運營不可缺少的一部分。注冊中心是直接面向用戶的。

2.2 PKI 技術與其它身份認證技術的對比

PKI技術具有功能全面、高度安全、成熟可靠的特點，可以滿足應用安全各方面的需求，以下是PKI技術與其它身份認證技術的對比。

■

3 校園PKI/CA建設模式

規劃和建設校園PKI/CA認證體系，需要根據校園網的實際情況，統一進行認證體系結構的設計。縱觀當前國內PKI/CA體系發展的情況來看，校園網CA體系的建設模式主要從以下三種方式中進行選擇：

3.1 采用國內已有的面向公共服務的商業性數字認證機構模式

采用社會上的認證中心，在短期應用、系統需要少量證書的情況下，前期建設成本較低，無需建立維護、培訓和支持團隊，無需自己定義管理和安全策略。但是采用這種方式后，信息化建設在很多方面都比較被動，缺少應用和管理的自主靈活性。證書管理依賴于服務商，業務穩定性、可靠性依賴于外部服務，風險較高。從長期來看，采用社會上的認證系統購買服務投入較大，成本較高。

3.2 完全自行建設的模式

購買一整套PKI軟件，然后建立一整套相關的服務體系。這種模式下，我們要參與建立、維護、培訓和運營整個PKI過程，并對PKI所有事物負全責，其中包括系統、數據庫、通訊以及物理安全、網絡安全配置、高可靠的冗余系統、災難恢復等，對人員管理也要求較高。這種模式下，系統建設初期成本較高，同時需要建立自主維護、培訓和支持的人員，需要信息管理部門設計規范管理和安全策略。但從長期來看，自己建設自己的認證體系，更易于針對內部應用進行定制，從而更好地配合自己內部的業務系統的管理模式。同時完全自主管理，在長期運行，發放大批量的證書情況下更節省費用。

3.3 基于服務的托管自建模式

這是一種介于上述兩種模式之間的一種方式，是指客戶配置一套集成的PKI軟件，在客戶本地建設面向最終用戶的系統前臺——證書注冊中心（RA中心），直接利用第三方PKI服務提供商的CA服務，作為系統的核心后臺——認證中心（CA中心），共同為最終用戶提供安全認證服務。這種模式，雖然關鍵設備托管在外部，但它仍然是自己校園內部建立的自己的PKI/CA體系；而且復雜、專業的PKI核心服務交由托管的數字認證中心完成，校園內部不需要承擔由數字認證中心帶來的任何技術風險。但是，目前提供托管服務的商業中心數目少，選擇余地不大，而且從長期來看費用也較高。

結合大學校園實際情況：應用系統多而雜，發放的證書數量多，技術力量雄厚；校園PKI/CA體系的建設模式應采用完全自建的模式，并按照“統一規劃、逐步實施、全面推廣”的策略實施。通過建立合理的PKI/CA體系，為數字校園建立可行、實用、可靠并且擴展性很強的用戶認證管理機制。

4 校園PKI/CA體系結構

CA的體系結構有多種多樣。根據現今大學校園多校區、院系多以及垂直管理的特點，為保證認證系統安全性、可靠性、高效性和可擴展性；CA體系結構應設計為層次結構，即至少包括一個根CA和多個二級CA。層次體系如下圖所示：

■

4.1 根CA

校園PKI/CA認證體系必須建立一個根CA，它負責簽發和管理整個認證體系的各級CA的證書、制定和審批總體策略。另外，為保證根CA的安全，CA認證體系中的根CA設計為離線操作，該CA無頻繁發證，僅在簽發下級CA證書時開啟，信息和文件的傳遞以離線形式操作。

4.2 二級CA

層次結構中的二級CA根據各學院的具體規模和情況進行設置。學院校區多的可以按照校區來設置，例如：北院CA、南院CA；學院沒有多校區，而二級學院比較大和多的，則可以按照二級學院名稱來設置，例如：信息工程學院CA、機電工程學院CA。這樣既可以達到證書的分布存放，又可以避免申請證書時信息在 Internet網上傳輸而帶來的不安全性。二級CA負責管轄范圍之內的證書的簽發。由于二級CA需要經常發證并且需要迅速響應，所以二級CA必須在線操作。證書和CRL分布于一個支持LDAP協議標準的目錄服務器中。證書和CRL的查詢通過LDAP協議實現。

4.3 RA

RA作為CA的注冊審核機構，完成證書用戶在證書注冊申請、證書申請的審核、證書發放、以及后續的證書更新、作廢管理工作。考慮到安全性和工作量的問題，注冊功能從CA 中分離出來，各二級CA分別設立注冊權威RA。因此，需要為各校區或各學院分別設立注冊權威，進行本轄區的注冊工作。注冊功能從CA中分離出來，讓它運行在一臺單獨的 CA服務器上，這樣用戶可以直接進入RA服務器，而CA則連接在防火墻的后面以確保安全。

4.4 交叉認證

雖然大多數校園網安全應用局限在本校園內，但實際上還有一些跨園區間的應用，如圖書館互借系統，因此我們還要擴展證書的使用范圍。我們采用利用本學校的根以與別學校的CA交叉認證的方法，通過交叉證書與其他PKI系統建立信任關系從而實現互操作。交叉認證是兩個CA間的互相簽發證書，兩個域內的用戶的信任關系可以通過CA間的信任關系建立，這種擴展方法不需要重新改造整個PKI系統。

4.5 層次結構的優點

這種由根CA對下屬CA進行有效控制的層次結構，既保證了整個校園CA信用體系的統一，又可以避免直接進入根CA導致根CA簽名密鑰被暴露和被盜的危險性，提高了整個CA系統的安全性；同時，此認證體系具有很好的靈活性和可擴展性，降低了上級CA的工作壓力，通過靈活的RA體系與不同的應用系統連接，滿足不同種類、不同規模的業務需求。

5 校園PKI/CA規劃和建設面臨的主要問題

5.1 CA系統與應用系統結合的問題

目前在CA系統和應用系統結合的問題上，通常的做法是使用CA系統來進行認證，而權限的分配則由應用系統來確定，這就涉及CA系統與應用系統的二次開發問題，同時為保障證書的有效使用，又要求在證書的使用過程中，認證應緊密嵌入到應用系統中。

5.2 已有業務系統的移植問題

由于校園網已先后建立了很多個業務應用系統，這些系統很有可能工作在不同的平臺、或者使用不同的語言開發，結合CA系統存在一定的復雜性。對這些系統的移植要采取循序漸進的辦法，或者是在應用系統前建立一個統一的安全接入平臺，從而不改變應用系統的原貌。

參考文獻：

[1] 謝冬，冷健. PKI原理與技術[M].清華大學出版社，2004.

[2] 李卓民. 校園網PKI系統中RA的應用研究.中山大學 碩士論文，2006.

[3] 沈士根. 高校校園網PK工的設計[J].計算機應用，2004(7)

[4] 張福民.校園PKI系統的模型研究與分析[J].福建電腦，2004(6)

[5] 龍銀香. 應用PKI構建校園網的安全環境[J].微計算機應用，2005(7).

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文