校園網(wǎng)PKI身份認證系統(tǒng)設(shè)計

摘 要:隨著校園網(wǎng)規(guī)模的不斷發(fā)展，校園網(wǎng)絡(luò)安全問題顯得越來越重要，PKI技術(shù)在網(wǎng)絡(luò)安全方面深受用戶的認可。基于PKI技術(shù)的身份認證系統(tǒng)，符合校園網(wǎng)絡(luò)對網(wǎng)絡(luò)安全的需要，既解決了校園網(wǎng)絡(luò)用戶身份認證的問題，又保證了校園網(wǎng)絡(luò)的安全性和穩(wěn)定性。

關(guān)鍵詞:校園網(wǎng)PKI身份認證

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1674-098X(2011)01(a)-0025-02

隨著校園網(wǎng)絡(luò)的進一步建設(shè)，校內(nèi)各種應(yīng)用服務(wù)也逐漸發(fā)展起來，校內(nèi)廣大師生對校園網(wǎng)絡(luò)的依賴性也越來越強。隨著網(wǎng)絡(luò)應(yīng)用的增多，在給校園網(wǎng)用戶帶來方便的同時，也同樣帶來很多安全問題。如何保證網(wǎng)絡(luò)的安全性，已經(jīng)成為網(wǎng)絡(luò)管理人員越來越關(guān)注的問題。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，其含義可以定義為在信息的安全期內(nèi)，通過各種計算機、網(wǎng)絡(luò)和信息安全技術(shù)，保護在網(wǎng)絡(luò)中信息的保密性、完整性、可認證性和不可否認性。本文介紹了一種基于PKI技術(shù)的身份認證系統(tǒng)模型，可以很好的解決網(wǎng)絡(luò)信息中的安全問題，從而保證校園網(wǎng)絡(luò)信息的安全性。

1 PKI技術(shù)介紹

PKI技術(shù)是20世紀(jì)80年代有美國學(xué)者提出的的概念，是一種遵循標(biāo)準(zhǔn)的利用公鑰密碼理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，是一種在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)據(jù)簽名等服務(wù)的統(tǒng)一的技術(shù)框架。公鑰基礎(chǔ)設(shè)施PKI采用了證書管理公鑰，通過第三方的可信任機構(gòu)認證中心，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在Intemet上驗證用戶的身份，保證網(wǎng)上數(shù)據(jù)的安全傳輸。

PKI的最基本元素是數(shù)字證書，所有安全操作都是主要通過數(shù)字證書來實現(xiàn)。數(shù)字證書是一個防篡改的數(shù)據(jù)集合，它包含有用戶名、公開密鑰以及用戶的其他身份信息，可以證實一個公鑰與某一用戶身份之間的關(guān)系。而核心的實施者是認證中心CA，是PKI中不可缺少的一部分，具有權(quán)威性，是一個普遍可信的第三方，主要向用戶頒發(fā)數(shù)字證書。PKI體制的基本原理是利用“數(shù)字證書”這一靜態(tài)的電子文件來實施公鑰認證。

2 PKI認證模型

PKI身份認證系統(tǒng)組成主要有:

(1)證書權(quán)威機構(gòu)CA。它是PKI的信任基礎(chǔ)，發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布證書廢除列表(CRL)確保廢除證書。CA共分兩層，包括根CA和二級CA，二級CA是根據(jù)學(xué)校不同的校區(qū)，可以每個校區(qū)設(shè)一個，這樣可以避免申請證書時信息在網(wǎng)上傳輸帶來的不安全性，同時如果增加校區(qū)的話，不需要改變根CA的結(jié)構(gòu)，只需要由根CA簽發(fā)一個新的二級CA的證書，設(shè)立一個新的二級CA就可以了。

(2)注冊機構(gòu)RA。它是申請用戶和CA之間的一個接口，負責(zé)校內(nèi)師生的證書申請，驗證證書請求的正確性。主要完成收集用戶信息和確認用戶身份的功能。由于校園網(wǎng)用戶都采用離線申請，現(xiàn)場驗證填寫資料，所以建設(shè)相對簡單。CA和RA是系統(tǒng)的核心部分，出于安全性的考慮，與外網(wǎng)隔離。

(3)目錄服務(wù)器LDAP。保存用戶的CRL，用戶可通過查詢目錄服務(wù)器得到自己和別人的證書撤消列表。

(4)證書數(shù)據(jù)庫。主要用于存儲用戶證書。證書數(shù)據(jù)庫庫不能由端直接訪問，由CA從證書庫中提取證書信息。

(5)用戶端實體。采用SSL、HTTPS和LDAP／LDPS協(xié)議與RA和目錄服務(wù)器進行交互，并通過Web以及一些后臺程序?qū)崿F(xiàn)RA和CA的基本功能和服務(wù)。

PKI身份認證過程如圖1:

(1)發(fā)送方先向證書認證機構(gòu)CA提出數(shù)字證書申請。

(2)證書認證機構(gòu)CA驗證發(fā)送方的身份是否合法，并且簽發(fā)數(shù)字證書。

(3)CA將所簽發(fā)的數(shù)字證書公布到證書庫中。

(4)發(fā)送方將發(fā)送信息數(shù)字簽名，確保信息的完整性、不可否認性，發(fā)送給接收方。

(5)接收方接收消息，用發(fā)送發(fā)的公鑰驗證數(shù)字簽名，證書庫查明發(fā)送方證書的狀態(tài)和有效性。

(6)證書庫返回檢查結(jié)果，從而最終實現(xiàn)身份認證。

3 PKI認證在高校中具體實現(xiàn)

3.1 校園網(wǎng)PKI身份認證系統(tǒng)簡介

校園網(wǎng)作為一個有代表性的局域網(wǎng)，有確定可信任區(qū)域邊界，通過行政管理方式，可以明確一個權(quán)威的數(shù)字證書認證中心。這樣，一方面節(jié)省了成本，另一方面可以滿足校園網(wǎng)內(nèi)教務(wù)管理、學(xué)生選課管理、辦公自動化和財務(wù)管理等服務(wù)中對通信雙方的身份認證和信息保密。近幾年國內(nèi)教育界在這一領(lǐng)域的發(fā)展非常迅速，從CERNET2000年年會提出的一、兩所大學(xué)開始研究認證中心，到現(xiàn)在已經(jīng)有很多高校都開始設(shè)計，并建立了自己的數(shù)字證書認證中心，使得該技術(shù)逐漸走向成熟。在構(gòu)建適合校園的數(shù)字證書認證系統(tǒng)時，系統(tǒng)的體系結(jié)構(gòu)是要重點考慮的。校園網(wǎng)是獨立的主體，其客戶和服務(wù)群體基本上都信任學(xué)校權(quán)威中心，身份及授權(quán)均可最終由權(quán)威中心仲裁。因此在校園網(wǎng)建立數(shù)字證書認證中心的信任關(guān)系比較容易解決，可以保證校園內(nèi)部信息交流的安全性、真實性和完整性。數(shù)字證書認證中心是所構(gòu)建數(shù)字證書認證系統(tǒng)的核心組成部分，承擔(dān)著整個數(shù)字證書的生命周期的管理，包括證書策略的制定，以實現(xiàn)對數(shù)字證書有效安全的管理。

3.2 校園網(wǎng)PKI身份認證系統(tǒng)的實現(xiàn)

在校園網(wǎng)PKI身份認證系統(tǒng)中，根CA簽發(fā)證書給二級CA，并且根系統(tǒng)只給二級CA簽發(fā)證書，其用戶證書都是有二級CA所簽發(fā)的。每級CA的RA證書都是由本級CA簽發(fā)的。

具體實現(xiàn)步驟如下:(1)用戶向RA提交申請，可以采用在線或者離線注冊的方法，由RA驗證用戶身份。(2)RA向CA申請證書。把該用戶相關(guān)的信息傳給CA。包括要申請的證書類型，是簽名證書還是加密證書。由于在本CA系統(tǒng)運行前初始化的時候，根CA就向下面的二級CA簽發(fā)了一份證書，從RA傳送到CA的信息都可以安全的傳送給CA。(3)二級CA向密鑰管理數(shù)據(jù)庫提取密鑰對。(4)密鑰管理數(shù)據(jù)庫把密鑰對返回到二級CA，這是二級CA就可以根據(jù)RA送來的信息以及密鑰管理軟件提供的密鑰對產(chǎn)生一張證書。(5)二級CA把證書和用戶的私鑰傳回給RA。同樣，由于在本CA系統(tǒng)運行初始化是，CA就為它下層的每個RA辦法的證書，所以證書和撕咬的傳送都可以安全傳輸。(6)用戶在RA上得到證書與私鑰。(7)二級CA向證書庫(CA數(shù)據(jù)庫)中所發(fā)布新生成的證書。

4 系統(tǒng)分析

校園網(wǎng)身份認證系統(tǒng)是建立數(shù)字化校園的堅實基礎(chǔ)，建立適用于校園網(wǎng)的身份認證系統(tǒng)模型，必須充分考慮校園網(wǎng)的特殊環(huán)境。本文根據(jù)學(xué)校組織結(jié)構(gòu)和校園網(wǎng)特點提出的基于PKI的校園網(wǎng)身份認證系統(tǒng)，總結(jié)分析有如下特點:

(1)使用SSL安全信道。通信的雙方無論何時都建立SSL安全網(wǎng)絡(luò)通信。

(2)用層次CA體系結(jié)構(gòu)。CA共分兩層，一個學(xué)校一個根CA，而下級CA根據(jù)地理位置分布，每一個不同地方的分校或二級學(xué)院都有一個CA。證書的分布存放和避免申請證書時信息在Intemet網(wǎng)上傳輸而帶來的不安全性。

(3)注冊功能從CA中分離出來。確保更好的安全性和給各級用戶帶來更多的便利，同樣，花費會增多。

(4)交叉認證。與其他單位、企業(yè)有更好的互操作，實現(xiàn)一些資源的共享，這種擴展方法不需要重新改造整個PKI系統(tǒng)。這帶來了多I的認證路徑。

(5)成立CA管理中心和密鑰管理中心，明確CA操作員、RA操作員等人員職責(zé)，確保管理和操作安全。

(6)每個CA都有一個內(nèi)部的數(shù)據(jù)庫，用來存放最終的證書和相關(guān)的信息。它的優(yōu)點是安全性好，缺點是CA的結(jié)構(gòu)更復(fù)雜。

(7)離線申請注冊用戶。給用戶帶來了不便利，但是能給系統(tǒng)帶來極好的安全性。

5 結(jié)語

校園網(wǎng)身份認證是網(wǎng)絡(luò)安全體系的基礎(chǔ)，無論是數(shù)據(jù)加密、訪問控制或其它網(wǎng)絡(luò)安全技術(shù)，都必須基于有效的身份認證系統(tǒng)。利用公鑰理論的PKI技術(shù)是提供信息安全服務(wù)的基礎(chǔ)設(shè)施，它不但可以保證信息的機密性，還能保證信息具有不可否認性。采用PKI技術(shù)構(gòu)建校園身份認證系統(tǒng)，在解決校園網(wǎng)絡(luò)身份認證問題的同時也加強了校園網(wǎng)的信息安全性。

參考文獻

[1]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社，2003.

[2]吳向東.校園網(wǎng)認證中心CA的設(shè)計[J].中南林業(yè)科技大學(xué)學(xué)報，2010(3):153～154.

[3]陳旭光.校園網(wǎng)PKI身份認證系統(tǒng)的構(gòu)建[D].碩士論文.東北財經(jīng)大學(xué)，2006，2，6.

[4]關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認證機構(gòu)CA[M].北京:電子工業(yè)出版社，2002．

[5]關(guān)志峰.基于PKI的CA相關(guān)技術(shù)研究[D].碩士論文.揚州大學(xué)，2008(25)：27.

[6]劉冰，等．基于目錄服務(wù)的數(shù)字化校園統(tǒng)一身份認證[J]．科技創(chuàng)新導(dǎo)報，2007，36:23．