基于PKI的校園網(wǎng)身份認證系統(tǒng)的設計與實現(xiàn)①

摘 要:將PKI技術引入校園網(wǎng)絡，在加強校園網(wǎng)絡安全的同時也為校園網(wǎng)絡的使用提出了新的發(fā)展方向。這個基于PKI的身份認證系統(tǒng)是一個兩層CA多RA結(jié)合構(gòu)造的校園網(wǎng)認證中心模型，符合學校具有多個不同地域的校區(qū)，多個工作性質(zhì)不同部門的特點。在此設計模型上，利用開源軟件包OpenSSL對身份認證系統(tǒng)進行具體實現(xiàn)。

關鍵詞:PKI身份認證網(wǎng)絡安全

中圖分類號:TP391文獻標識碼:A文章編號:1674-098X(2011)05(a)-0026-03

1 前言

隨著網(wǎng)絡信息化時代的到來，科研需求、教學應用、網(wǎng)絡辦公、網(wǎng)上娛樂等方面的網(wǎng)絡應用逐漸滲透到了校園生活的方方面面。校園網(wǎng)是以網(wǎng)絡為基礎，從環(huán)境(包括設備、教室等)、資源(如圖書、講義、課件等)、到活動(包括教、學、管理、服務、辦公等)全部信息化。我們要建設越來越多的校園網(wǎng)應用，對越來越多的用戶開放這又與校園網(wǎng)的安全和穩(wěn)定是矛盾的，本文正是基于這樣的一對矛盾來研究校園網(wǎng)的安全策略。

基于公鑰基礎設施的PKI技術，采用了先進的安全技術對網(wǎng)上信息的發(fā)送方、接收方進行身份確認，以保證各方信息傳遞的安全性、完整性、可靠性、不可抵賴性等。作為大型網(wǎng)絡上的基本身份認證協(xié)議的基礎設施，PKI能夠為大量的用戶提供身份認證和授權(quán)綁定服務，公鑰方式的身份認證協(xié)議安全強度高，通過證書鏈檢驗和CA之間的交叉認證，還可以支持跨域認證。

2 相關理論與技術

2.1 密碼學

密碼學是信息安全的基礎[1]，很早以前，它就在政治、軍事、外交等領域的信息保密方面發(fā)揮著重要的作用。隨著計算機與互聯(lián)網(wǎng)的發(fā)展，密碼學開始廣泛用于民用信息安全領域。加密通常包含兩個元素:加密算法和密鑰。明文是發(fā)送人、接收人和任何訪問消息的人都能理解的消息。明文消息用某種模式編碼后，就得到了密文消息。

近代加密技術主要有兩種，一種為對稱密碼，另一種是公鑰密碼，也稱非對稱密碼。

2.1.1 對稱密碼學

對稱密碼加密是在加密和解密消息時需要使用相同密鑰，或者雖然不相同，但是由其中任意一個可以很容易的推導出另一個的一種算法體制。這種算法要求信息交互的雙方必須進行安全通信前，協(xié)商一個密鑰，共享同一個密鑰，并且這個密鑰還要防止被他人獲取。其安全性完全依賴于對密鑰的保護，必須有可靠的信道來分發(fā)密鑰。

對稱密碼加密的主要優(yōu)點是運算速度快、效率高、算法簡單、計算開銷小，硬件容易實現(xiàn)；其缺點，也是最突出的缺點之一是密鑰的分發(fā)與管理比較困難，特別是當通信的人數(shù)增加時，密鑰數(shù)目急劇膨脹。另外一個問題就是密鑰交換問題，無論是通過傳統(tǒng)方法還是現(xiàn)代網(wǎng)絡通信手段，密鑰的安全性都不能得到保證。對稱密碼加密技術有很多種，如DES、triple DES、IDEA、RC2、RC4、RC5、RC6、GOST、FEAL、LOKI、AES等。

2.1.2 公鑰密碼學

公鑰密碼加密也稱非對稱密鑰加密，與對稱密碼加密不同的是，它需要使用一對密鑰來分別完成加密和解密的操作。其中一個公開發(fā)布，稱為公開密鑰；另外一個由用戶自己秘密保存，稱為私有密鑰。這兩個密鑰之間存在相互依存關系:即用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。

公鑰密碼加密算法的核心是一種特殊的單向陷門數(shù)字函數(shù)，該函數(shù)從一個方向求值是容易的，但其逆變換卻是極其困難，因此利用公開的加密密鑰只能作正向變換。若以公鑰作為加密密鑰，以私鑰作為解密密鑰則可實現(xiàn)加密的信息只能由一個用戶解讀；反之，以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實現(xiàn)由一個用戶加密的信息而多個用戶解讀。

公鑰密碼體制最大的優(yōu)點就是不需要對密鑰通信進行保密，所需傳輸?shù)闹挥泄_密鑰，通信雙方不需要能過保密信道交換密鑰。而且由于公開性，因而密鑰的管理、分發(fā)等就不存在如對稱密鑰加密技術中的重大問題了。比較著名的公鑰密碼加密算法有:RSA、Diffie-Hellman、DSS、ECC橢圓曲線算法等。

2.2 數(shù)字證書

數(shù)字證書[3]是一段包含用戶信息、用戶公鑰信息和身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。用戶的密鑰對信息進行加密可以保證數(shù)字信息傳輸?shù)臋C密性，身份驗證機構(gòu)的數(shù)字簽名可以確保證書信息的真實性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾裕脩舻臄?shù)字簽名可以保證數(shù)字信息的不可否認性。

數(shù)字證書是一個經(jīng)證書認證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。數(shù)字證書實質(zhì)上就是一系列密鑰，用于簽名和加密數(shù)字信息。證書由具備權(quán)威性、可信任性和公正性的第三方機構(gòu)簽發(fā)。CA的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書，認證中心頒發(fā)的數(shù)字證書均遵循X.509 V3標準，是網(wǎng)上實體身份的證明。

2.3 PKI的基本概念和內(nèi)容

PKI是“Public Key Infrastructure”的縮寫，即公鑰基礎設施。PKI作為最新發(fā)展起來的安全技術和安全服務規(guī)范，引起了極大關注，成為Internet上現(xiàn)代安全機制的中心焦點。它利用非對稱算法原理，以數(shù)據(jù)的機密性、完整性和不可抵賴性為安全目的而構(gòu)建的認證、授權(quán)、加密等硬件、軟件設施。

PKI遵循標準的利用公鑰加密技術為網(wǎng)上電子商務、電子政務等的開展，而提供的一整套安全基礎平臺。它遵循標準的密鑰管理平臺，能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所需要的密鑰和證書管理。PKI包括由PKI策略、軟硬件系統(tǒng)、認證中心(CA)、注冊機構(gòu)(RA)、證書簽發(fā)系統(tǒng)和PKI應用等構(gòu)成的安全體系，組成如圖1所示[4]。

認證機構(gòu)[5](Certificate Authority)是PKI的核心組成部分，簡稱CA，也稱為認證中心，它是可以簽發(fā)數(shù)字證書的信任機構(gòu)。認證機構(gòu)有權(quán)向個人和組織簽發(fā)數(shù)字證書，使其可以在非對稱密鑰加密應用程序中使用這些證書。

2.4 PKI的功能和應用協(xié)議

PKI是一個用公鑰概念與技術來實施并提供一套安全服務的具有一般通用性的安全基礎設施。PKI系統(tǒng)通過公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全并驗證數(shù)字證書持有者身份。它具有節(jié)省費用、互操作性、開放性、一致的解決方案、可驗證性、可選擇性等特點。它提供的安全支持可以概括為:證書與CA；密鑰備份及恢復證書，密鑰對的自動更換；交叉認證；支持多應用；支持多平臺等。

Internet技術非常寵大，涉及諸多領域，它安全方面涉及的各種協(xié)議也非常多，其中最著名的安全協(xié)議就是安全套接層SSL[6]，它也是PKI的應用協(xié)議。SSL現(xiàn)在被廣泛用于Internet上的身份認證與Web服務器和用戶端瀏覽器之間的數(shù)據(jù)安全通信。

3 系統(tǒng)總體設計

校園網(wǎng)身份認證系統(tǒng)采用中心信任模型，在服務器端建立對客戶和服務器雙方都有效的數(shù)字證書認證中心，為客戶端和服務器端頒發(fā)數(shù)字證書。在使用SSL協(xié)議進行校園網(wǎng)絡通信時，通信雙方都應該持有各自的由校園數(shù)字證書認證中心頒發(fā)的數(shù)字證書，并且都信任該證書，然后雙方通過數(shù)字證書來建立SSL安全網(wǎng)絡通信。

4 系統(tǒng)的實現(xiàn)與應用

4.1 系統(tǒng)開發(fā)工具

基于PKI的校園網(wǎng)身份認證系統(tǒng)是一套比較完整的PKI數(shù)字證書身份認證系統(tǒng)，實現(xiàn)的功能主要包括兩大方面:一是建立校園網(wǎng)自己的CA和RA，并實現(xiàn)一個PKI系統(tǒng)的基本功能，包括簽發(fā)證書、生成證書、廢止證書、廢止列表等；另一方面是為兩個擁有該系統(tǒng)證書的實體建立SSL通道。

采用開源代碼的軟件包OpenSSL的SSL庫和密碼算法庫為基礎，通過調(diào)用OpenSSL的函數(shù)就可以實現(xiàn)一個SSL加密的安全數(shù)據(jù)傳輸通道，從而保護客戶端和服務器端之間數(shù)據(jù)的安全。從而實現(xiàn)系統(tǒng)的數(shù)字證書生成、管理、SSL安全網(wǎng)絡通信、加解密操作等功能。

OpenSSL是用于安全通信的最著名的一個自由軟件[7]，包含有SSL接口、對稱加密、非對稱加密及PKCS接口(包括X.509證書、PKCS標準、ASN.1)等功能。OpenSSL工具包可分為三個部分:SSL函數(shù)庫、Crypto函數(shù)庫和命令行工具。表1是OpenSSL中的主要文件。

4.2 系統(tǒng)的實現(xiàn)

校園網(wǎng)身份認證系統(tǒng)在服務器端建立自己的數(shù)字證書認證中心，為客戶端和服務器頒發(fā)符合X.509 V3標準的數(shù)字證書。本文構(gòu)造的系統(tǒng)采用命令行方式生成數(shù)字證書以及對證書進行簽發(fā)等管理。

數(shù)字證書運作流程圖，即數(shù)字證書的整個生命周期圖，如圖2所示。

4.3 應用

構(gòu)建基于PKI的校園網(wǎng)身份認證系統(tǒng)后，我們可以利用其頒發(fā)的數(shù)字證書機制運用到校園網(wǎng)各應用系統(tǒng)中，提供網(wǎng)上的用戶身份認證，并保障信息的安全，以下“開放性數(shù)字圖書館”是身份認證系統(tǒng)的一個應用示例。

現(xiàn)在一般的圖書館網(wǎng)站都將商用信息資源限制在Intranet范圍內(nèi)使用，Internet上[8]的用戶無法訪問各圖書館Intranent上的信息資源，采用的方法是通過IP層加密技術來驗證登錄網(wǎng)站的計算機IP地址是否合法和用防火墻技術將Intranet與Internet隔開的方法。

這種現(xiàn)行的方式優(yōu)點是方便、簡單，系統(tǒng)運行效率高，也有效解決商用信息資源的知識保護問題。但是缺點也非常明顯，它不僅給Intranet以外的用戶利用這些信息資源帶來障礙，即使圖書館Intranet的用戶，一旦離開了Intranet的覆蓋范圍，同樣也不能使用這些通過IP層加密技術來進行用戶驗證管理的信息資源。

根據(jù)校園網(wǎng)身份認證系統(tǒng)，我們在圖書館設立一個二級CA，當然這個二級CA是受校園網(wǎng)根CA所控的[9]。即在圖書館用戶與Web服務器之間建立一個第二層，即CA服務器。由它來完成用戶身份認證、用戶的增刪等管理，并保障數(shù)字資源傳輸過程的安全性。

5 結(jié)語

本文從校園網(wǎng)發(fā)展中存在的需要解決的主要問題入手，提出了一個解決方案。PKI技術具有功能全面、高度安全、成熟可靠的特點，基于PKI的校園網(wǎng)身份認證系統(tǒng)是建立數(shù)字化校園堅實和完善的安全基礎。利用開源軟件OpenSSL工具包，完成了具有使用各種加密算法、數(shù)字簽名、證書生成、證書簽發(fā)等功能，實現(xiàn)校園網(wǎng)身份認證系統(tǒng)。隨著計算機技術的日新月異，PKI技術的不斷完善和發(fā)展，PKI公鑰基礎設施作為一種網(wǎng)絡信息安全的基礎設備，有著巨大的生命力和前途。展望未來，不難看到PKI技術一定能在保障網(wǎng)絡安全方面發(fā)揮更大的作用。

參考文獻

[1]Atul kahate.密碼學與網(wǎng)絡安全[M].北京:清華大學，2006.

[2]曾強.網(wǎng)絡安全協(xié)議SSL原理及應用[D].碩士論文.天津大學，7-10，2005.

[3]Andrew S.Tanenbaum.計算機網(wǎng)絡.第4版[M].北京:清華大學出版社，2004.655.

[4]程徐彬，畢紅軍.基于OpenSSL的用戶證書管理系統(tǒng)研究[J].信息安全與通信保密，2008，09:72-73.

[5]李濤.網(wǎng)絡安全概論[M].北京:電子工業(yè)出版社，2004.91-113，186-194.

[6]肖啟志.基于公鑰基礎設施的電子支付平臺的設計與實現(xiàn)[D].碩士論文.北京交通大學，25-28，2008.

[7]徐勇.基于PKI技術的CA的研究與實現(xiàn)[D].碩士論文.四川師范大學，35-38，2007.

[8]D. Piper.The Internet IP Security Domain of Interpxetation for ISAKMP RFC2407[J]. November 1998.

[9]高繼明.數(shù)字圖書館中的用戶管理問題研究[D].碩士論文.西北師范大學，29-34，2006.

[10]付沙.基于PKI和SSL的校園網(wǎng)絡通信的研究與實現(xiàn)[D].碩士論文.湖南大學軟件學院，29-41，2007.

[11]胡建龍，等．校園網(wǎng)PKI身份認證系統(tǒng)設計[J]．科技創(chuàng)新導報，2011，1:18．