基于CA數(shù)字認證的文件存儲和共享研究

李文剛

（湖南省經(jīng)濟研究信息中心，湖南長沙 410005）

基于CA數(shù)字認證的文件存儲和共享研究

李文剛

（湖南省經(jīng)濟研究信息中心，湖南長沙 410005）

數(shù)字證書是一組數(shù)據(jù)集合，用來在網(wǎng)絡通訊中鑒定雙方的身份真實性，同時也對數(shù)據(jù)在傳輸過程中進行高強度加密。文中以CA數(shù)字證書為基礎，設計了一個高安全、高保密的文件存儲和共享架構(gòu)，保證了文件的集中存儲和共享過程中的私密性、身份認證性、不可否認性和完整性。

CA數(shù)字認證；PKI公鑰基礎設施；加密技術(shù)

1.引言

21世紀中國進入了互聯(lián)網(wǎng)飛速發(fā)展時期，從過去的WEB1.0時代（被動獲取信息）發(fā)展到了WEB2.0時代（創(chuàng)造信息和共享資源），計算機網(wǎng)絡已經(jīng)深入到我們的工作、學習和生活當中。根據(jù)CNNIC的最新互聯(lián)網(wǎng)統(tǒng)計報告，截至2010年12月底，我國網(wǎng)民規(guī)模達到4.57億，較2009年底增加7330萬人；最引人注目的是，網(wǎng)絡購物用戶年增長48.6%，是用戶增長最快的應用，預示著更多的經(jīng)濟活動步入互聯(lián)網(wǎng)時代［1］，在這個時代人們需要分享各種信息資源，但是計算機病毒、木馬、黑客和人為的誤操作，都會給互聯(lián)網(wǎng)數(shù)據(jù)帶來非常大的安全風險。在國內(nèi)就曾發(fā)生過多起電子信息被盜取事件，如個人銀行帳號、隱私信息、E-Mail信件等被他人竊取和高價轉(zhuǎn)賣，政府機關、企事業(yè)單位業(yè)務系統(tǒng)中的核心機密遭到非法獲取和破解，造成了無法挽回的損失。所以，為了保證互聯(lián)網(wǎng)上的信息資源安全，我們要充分利用PKI/CA數(shù)字證書這一先進安全技術(shù)來保證信息的安全共享和存儲。

2.PKI/CA數(shù)字認證

數(shù)字證書（Digital Certificate）解決了“誰是誰”的問題，是用來在開放、互聯(lián)互通的因特網(wǎng)通訊中鑒定雙方身份真實性的一組數(shù)據(jù)，也就是“電子身份證”，如同現(xiàn)實生活中每個公民都擁有一張由國家公安部門權(quán)威簽發(fā)的身份證一樣，以證明每個人的合法身份，只要你擁有這個數(shù)字證書，就能確定是你本人，任何其他人都不可能冒名頂替。

PKI（Public Key Infrastructure公鑰基礎設施）是通過使用公開密鑰技術(shù)和數(shù)字證書來確保互聯(lián)網(wǎng)信息安全并負責驗證數(shù)字證書持有者身份的一種密鑰和證書管理機制，可以把它形象地比喻為現(xiàn)實生活中的公安部門，這個部門保持了中立地位，客觀公正地對任何用戶和信息進行權(quán)威審核和監(jiān)督。

PKI作為一種安全機構(gòu)，它的技術(shù)原理來自于計算機加密算法。目前加密算法有對稱加密算法和非對稱加密算法兩種，PKI在具體加密過程中靈活融合了這兩種方法。對稱加密算法的加密和解密使用相同的密鑰，速度快，適合對大容量數(shù)據(jù)進行加密，缺點是雙方使用同樣的密鑰，無法保證密鑰的安全性。非對稱加密算法使用不同的一對密鑰即公開密鑰和私有密鑰，公鑰是對互聯(lián)網(wǎng)完全公開的，任何人在任何時候都可以獲取，而私鑰只在接收者個人手中，其他人都無權(quán)擁有，這種算法具有非常高的安全性，它采用了RSA算法、橢圓曲線算法，這些算法加密強度很高，但在加密時需要進行大量數(shù)學運算，耗時耗力，所以只適合對較小的數(shù)據(jù)進行加密。

3.基于CA數(shù)字認證的文件存儲和共享應用構(gòu)架

在互聯(lián)網(wǎng)上對信息資源進行集中存儲和共享，采用基于PKI/CA數(shù)字認證技術(shù)，將提高受保護信息的安全性和保密性，實現(xiàn)文件讀寫加密、傳輸加密、用戶身份核實等功能。

圖1是基于CA的文件存儲和共享構(gòu)架圖，其中的CA（證書認證中心）、RA（證書注冊中心）、LDAP數(shù)據(jù)庫（證書查詢目錄數(shù)據(jù)庫）、KMC（密鑰管理中心）是屬于PKI（公鑰基礎設施）的重要基礎部件。

圖1 基于CA數(shù)字認證技術(shù)的文件存儲共享框架圖

KMC密鑰管理中心集中存儲所有數(shù)字證書密鑰，負責證書密鑰的生成和管理，它是一個獨立中心，與CA中心分離開來，做到了“兩中心兩獨立”，這進一步保證了所有證書密鑰的安全性。CA認證中心是PKI的核心組成部分，主要負責發(fā)放、管理數(shù)字證書，這些證書有效地確保了個人、企業(yè)和服務器的身份真實性。CA中心對每張數(shù)字證書進行權(quán)威的電子簽名，相當于給證書加蓋了公章，以防止證書被非法篡改和偽造，確保了證書的真實性。同時CA中心還負責廢除數(shù)字證書，將那些過期的證書放入黑名單中，使之不再有效。RA證書注冊中心就如公安部門的簽證中心，主要負責申請者的身份信息錄入、審核有關信息、制作數(shù)字證書和進行證書的安全審計等一系列流水線工作。LDAP（Lightweight Directory Access Protocol輕量目錄訪問協(xié)議）目錄數(shù)據(jù)庫服務器就是一個開放的海量數(shù)據(jù)庫，里面存放所有經(jīng)CA中心鑒定的數(shù)字證書和黑名單信息，主要負責對外提供查詢服務，查詢方可以獲得某個用戶對外公開的公鑰，從而向該用戶發(fā)送加密信息。SSL安全認證網(wǎng)關（SSL CA Gateway）則是在客戶端與服務器端之間建立一條128位的加密安全通道，實現(xiàn)信息的加密傳輸，防止黑客去監(jiān)聽、截取傳輸過程中的網(wǎng)絡信息。

此種基于數(shù)字證書的文件存儲和共享構(gòu)架的具體流程是：用戶首先在RA中心進行用戶注冊，CA中心根據(jù)有關流程進行證書申請審核，通過審核后頒發(fā)由CA中心簽發(fā)的數(shù)字證書，這個證書包含證書擁有者的個人信息、證書擁有者的公鑰、公鑰的有效期、頒發(fā)數(shù)字證書的CA中心名稱、CA的數(shù)字簽名等。用戶使用數(shù)字證書KEY通過互聯(lián)網(wǎng)去訪問共享文件服務器群，這一過程由文件訪問中間件FAM（File Access Middleware）來進行訪問權(quán)限控制，文件訪問中間件首先在LDAP目錄服務器中查詢數(shù)字證書用戶信息，如屬于合法用戶，那該用戶就可根據(jù)授予的權(quán)限去訪問共享文件，如該用戶在黑名單中，則將被鎖住并禁止訪問服務器，整個過程不僅進行用戶身份認證，還對傳輸過程進行全程加密。通過授權(quán)的用戶會在一個安全、私密的互聯(lián)網(wǎng)環(huán)境中便利地查閱、編輯各種信息，通過這樣一個數(shù)字證書安全平臺不但能夠便利共享信息，還能保證信息的安全。

4.結(jié)束語

在互聯(lián)網(wǎng)這個不安全、不可信的網(wǎng)絡環(huán)境下，為了保證各種信息能安全地共享和使用，需要使用基于PKI/CA數(shù)字認證技術(shù)來實現(xiàn)文件的存儲和共享，文件集中共享存儲既為用戶提供安全的文件集中存儲空間，又為用戶提供安全信息共享平臺，實現(xiàn)了數(shù)據(jù)的私密性、信息交換的完整性、發(fā)送信息方的不可抵賴性、交換雙方身份的確定性，真正做到了五個安全（安全存儲、安全共享、安全身份、安全交換、安全讀寫），這種方法對于互聯(lián)網(wǎng)上信息的安全存儲和共享具有十分重要的意義。

［1］ 第27次中國互聯(lián)網(wǎng)絡發(fā)展統(tǒng)計報告［R］.北京：中國互聯(lián)網(wǎng)絡中心（CNNIC），2011.

TP309

B

1671-5136（2011）02-0112-02

2011-05-18

李文剛（1978-），男，湖南省經(jīng)濟研究信息中心助理工程師。研究方向：電子政務、管理信息系統(tǒng)、信息工程。