基于PKI的阜陽職業(yè)技術(shù)學(xué)院校園網(wǎng)認證模型的研究與設(shè)計

楊 斐

（阜陽職業(yè)技術(shù)學(xué)院工程科技學(xué)院 安徽 阜陽 236031）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了數(shù)字化校園網(wǎng)絡(luò)并投入使用，這對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享都起到了無法估量的作用。在數(shù)字化校園建設(shè)中，網(wǎng)絡(luò)安全體系建設(shè)是最基礎(chǔ)也是最重要的一步。然而，阜陽職業(yè)技術(shù)學(xué)院校園網(wǎng)擁有近萬人的教師和學(xué)生用戶，而且應(yīng)用繁多，主要有DNS、VPN、WWW、FTP、辦公自動化系統(tǒng) 、圖書、教務(wù)、財務(wù)等各種基礎(chǔ)服務(wù)和應(yīng)用系統(tǒng)。校園網(wǎng)環(huán)境開放，用戶活躍，數(shù)據(jù)資源集中，不同的應(yīng)用又有不同的安全需求。

因此，在數(shù)字化校園網(wǎng)絡(luò)安全體系建設(shè)中，對身份識別和安全加密有很高的需求。校園網(wǎng)上大量傳統(tǒng)的C/S應(yīng)用是基于帳號/口令進行身份認證和訪問授權(quán)的[1]。這種方式中每個應(yīng)用一般獨立維護自己的口令數(shù)據(jù)庫，這不但增加了系統(tǒng)管理維護的成本，而且增加了用戶的記憶和輸入負擔，降低了工作效率。更為嚴重的是，由于用戶通常在不同信息價值級別的系統(tǒng)中設(shè)置相同的口令，這樣當?shù)蛢r值級別的系統(tǒng)口令泄漏時，會影響到高價值級別的系統(tǒng)安全性[2]。雖然統(tǒng)一身份認證系統(tǒng)可以解決這一問題，但是隨之而來的數(shù)據(jù)安全和信任問題又需要更好的系統(tǒng)來解決，這就需要引入PKI技術(shù)。

1 PKI公鑰基礎(chǔ)設(shè)施簡介

公鑰基礎(chǔ)設(shè)施，PKI，是Public Key Infrastructure的縮寫，它是國際上解決開放式互聯(lián)網(wǎng)信息安全需求的一套體系。PKI支持身份認證，信息傳輸、存儲的完整性，消息傳輸、存儲的機密性，以及操作的不可否認性。“基礎(chǔ)設(shè)施”的作用，就是不同的實體在遵循必要原則的前提下都可以方便地使用基礎(chǔ)設(shè)施提供的服務(wù)。

PKI的核心是認證中心（Certificate Authority，CA），用于發(fā)放一個叫“數(shù)字證書”的身份證明。這個數(shù)字證書包含了用戶身份的部分信息，以及用戶持有的公鑰CA利用本身的私鑰為數(shù)字證書加上了數(shù)字簽名。因此，PKI的核心技術(shù)基礎(chǔ)是公鑰密碼學(xué)的“加密”和“簽名”。完整的PKI認證系統(tǒng)主要包括以下幾個部分。

1.1 證書中心

證書中心CA：一個或多個用戶信任的權(quán)威，有權(quán)創(chuàng)建和頒發(fā)公鑰證書。在證書的整個生命周期中，CA都要為其負責而不僅僅是起頒發(fā)證書的作用。

CA是很多PKI的關(guān)鍵組成部分。如果將數(shù)字證書看做是身份證的話，那么CA就相當于公安局，起到一個發(fā)證單位的作用。在PKI中，CA負責頒發(fā)、管理和撤銷一組最終用戶的證書。CA執(zhí)行著認證其最終用戶的作用，并在分發(fā)用戶信息之前用自己的私鑰對其進行數(shù)字簽名。CA最終負責其所有最終用戶的真實性。

1.2 注冊中心

注冊中心（Registration Authority，RA）：一個任意實體，負責在為某個主體注冊時履行一些必要的管理任務(wù)。注冊過程即主體第一次被CA了解的過程，優(yōu)先于CA為主體頒發(fā)公鑰證書。注冊要求實體提供如用戶名、域名全稱、IP地址以及其他一些需要放進公鑰證書里的屬性信息，用以證實在證書運行聲明（CPS）中所聲稱的用戶名以及其他屬性的正確性。

1.3 目錄服務(wù)器

目錄是信息資料庫，它以邏輯順序組織來進行快速簡化和簡單查找。系統(tǒng)和應(yīng)用依靠這些目錄中的信息來進行操作。

2 校園網(wǎng)身份認證中心CA模型的設(shè)計

如何建立適用校園網(wǎng)的PKI系統(tǒng)模型必須充分考慮不同學(xué)校校園網(wǎng)絡(luò)的特殊環(huán)境。鑒于阜陽職業(yè)技術(shù)學(xué)院目前已是安徽省示范高職院校且正在進行國家骨干高職院校的建設(shè)等情況，以及未來前景規(guī)劃，建立一個滿足校園網(wǎng)安全的PKI系統(tǒng)，將PKI廣泛而有效的應(yīng)用于校園網(wǎng)的安全認證是接目前數(shù)字化校園網(wǎng)建設(shè)的主要內(nèi)容。

2.1 阜陽職業(yè)技術(shù)學(xué)院數(shù)字化校園建設(shè)框架

阜陽職業(yè)技術(shù)學(xué)院數(shù)字化校園信息平臺是全方位的管理信息平臺與信息服務(wù)平臺，它將學(xué)?，F(xiàn)有的網(wǎng)絡(luò)作為基礎(chǔ)，建立在學(xué)校統(tǒng)一公共數(shù)據(jù)平臺之上，并且作為一種人性化、科技化、透明化手段服務(wù)全校師生的科學(xué)、科研、生活，廣泛納入學(xué)校的信息化標準管理、學(xué)校管理、教學(xué)管理、學(xué)生評教、教職工管理、學(xué)生工作管理、科研管理、財務(wù)管理、資產(chǎn)與設(shè)備管理、行政辦公管理、數(shù)字圖書資料管理等等。阜陽職業(yè)技術(shù)學(xué)院正是以開放的、積極的態(tài)度，實現(xiàn)學(xué)院優(yōu)質(zhì)教學(xué)資源區(qū)域共享，輻射與帶動周邊區(qū)域的職業(yè)教育，有效促進了皖西北地區(qū)職業(yè)教育的健康、快速發(fā)展。

阜陽職業(yè)技術(shù)學(xué)院數(shù)字化校園信息平臺總體框架的設(shè)計遵循可持續(xù)發(fā)展原則，以長遠的觀點進行總體規(guī)劃，既要有利于目前校園網(wǎng)系統(tǒng)的整合，也要保證以后系統(tǒng)的順利擴展，在軟硬件建設(shè)上保持可持續(xù)發(fā)展。學(xué)校數(shù)字化校園要以“三大中心”來進行規(guī)劃建設(shè)，即校園管理中心、校園服務(wù)中心和校園資源中心。與此同時，數(shù)字化校園將完成學(xué)校信息系統(tǒng)的整合（數(shù)據(jù)應(yīng)用的集成、應(yīng)用界面的集成、統(tǒng)一身份認證集成、業(yè)務(wù)流程的集成與重組）。

2.2 認證中心CA模型的設(shè)計

由于校園網(wǎng)本身是一個綜合的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。對于這種復(fù)雜的系統(tǒng)必須進行統(tǒng)一的認證，否則可能會出現(xiàn)以下的問題：

1）一個用戶需要記住多個不同的用戶名和密碼來登錄不同的應(yīng)用系統(tǒng)，這樣給用戶帶來了諸多使用上的不便。

2）校園網(wǎng)中各應(yīng)用系統(tǒng)都采用各自獨立的認證和管理系統(tǒng)，對校園網(wǎng)的維護造成不便。

3）有些用戶在離開學(xué)校后由于缺乏管理，仍然能夠使用校園網(wǎng)內(nèi)的一些業(yè)務(wù)。

認證模型的選擇要充分考慮到不同學(xué)校的具體情況。阜陽職業(yè)技術(shù)學(xué)院目前只有一個校區(qū)占地約400畝，新校區(qū)一千余畝正在實施規(guī)劃中。考慮到體系結(jié)構(gòu)的擴展性，決定采用二層CA結(jié)構(gòu)。整個認證體系有一個根CA，下級CA分布于兩個不同的校區(qū)。這樣可以分布存放教職員工的證書，避免證書在Internet傳輸帶來的不安全性。同時這種結(jié)構(gòu)還具有良好的擴展性，當我院還需增加新校區(qū)時，只需要增加一個二級CA即可，而不需修改整個認證體系的結(jié)構(gòu)。

本系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示，采用兩層CA，多RA結(jié)構(gòu)。其中，根CA采用離線方式，二級CA采用在線方式與RA相連，校園網(wǎng)內(nèi)部在線數(shù)據(jù)通信采用SSL安全套階層協(xié)議。本地數(shù)據(jù)采用加密設(shè)備加密后存放在本地磁盤，一些重要數(shù)據(jù)存放在密碼設(shè)備預(yù)留的空間內(nèi)。

圖1 本系統(tǒng)邏輯結(jié)構(gòu)

本系統(tǒng)主要由根CA、二級CA、RA、LDAP目錄服務(wù)和本地數(shù)據(jù)幾個組成部分。一般情況下CA都有一個內(nèi)部數(shù)據(jù)庫用于存放頒發(fā)的證書。為了避免用戶直接訪問這個數(shù)據(jù)庫造成安全隱患，將CA產(chǎn)生的證書和證書撤銷列表存放在LDAP 目錄中[4]。

對該模型進行說明：

1）該校園網(wǎng)PKI系統(tǒng)只有一個根CA，是本系統(tǒng)最高管理機構(gòu)，它負責生成和維護根CA證書，對密鑰的生成采用最安全的管理方式即只有用戶自己擁有私鑰，CA/RA不會要求得到私鑰。同時根CA還負責二級CA的初始化并簽發(fā)證書，與其他根CA進行交叉認證，擴展證書的使用范圍[3]。

給兩個分校區(qū)都設(shè)立一個下級C A。二級CA負責證書的生成、更新和撤銷，發(fā)布證書撤銷列表到目錄服務(wù)器LDAP，維護證書撤銷列表和證書數(shù)據(jù)庫，保證本地數(shù)據(jù)的安全。注冊功能從CA中分離出來，在一個子CA下，根CA只給二級CA頒發(fā)證書，同時與其他PKI信任域進行交叉認證，從而擴大證書的使用范圍。屬于不同校區(qū)的每個部門都有一個RA與之相連。該部門的學(xué)生和教職工都只能去該RA上申請證書。

2）在整個校園網(wǎng)PKI系統(tǒng)初始化時要產(chǎn)生一系列證書。根CA要簽發(fā)一張自簽名證書。根CA要為每一個下級CA簽發(fā)證書。下級C A要為每個與它相連的RA簽發(fā)證書。當在校園網(wǎng)PKI系統(tǒng)運行中新增加一個下級CA，則根CA要為它簽發(fā)證書，同樣，當一個下級CA增加一個RA，則該下級CA也要為此RA簽發(fā)證書。

3）由于我校共有兩院三系一部，還有各行政單位及教輔機構(gòu)，部門較多，需要搭建多個RA服務(wù)器。他們位于用戶和CA之間，為用戶提供一個接口。通過獲取并驗證用戶的身份，向CA提出證書請求來完成收集用戶信息和確認用戶身份等功能。RA系統(tǒng)既要和CA通信，又要和用戶進行交互，在本系統(tǒng)中相當于一個中間系統(tǒng)，采用B/S結(jié)構(gòu)進行搭建，可以更好的提高程序的穩(wěn)定性。

4）證書庫與證書撤銷列表庫位于不同的LDAP目錄中。其中提供CRL服務(wù)的庫可以由用戶直接訪問，為了保證系統(tǒng)的安全性，證書庫則不能由用戶直接訪問。

5）數(shù)據(jù)傳輸時采用SSL安全套接層協(xié)議，通信數(shù)據(jù)使用加密技術(shù)，保證通信的安全。

3 總結(jié)

本系統(tǒng)是根據(jù)阜陽職業(yè)技術(shù)學(xué)院校園網(wǎng)現(xiàn)階段的特點及未來發(fā)展規(guī)劃，選擇采用了分層的PKI結(jié)構(gòu)?，F(xiàn)將這種結(jié)構(gòu)的優(yōu)缺點做一分析[4]。

3.1 分層結(jié)構(gòu)的PKI升級比較簡單。如果有新的部門加入，根CA只需與此部門的CA建立信任關(guān)系即可。

3.2 分層結(jié)構(gòu)的認證過程是單向的，認證路徑較容易建立，從用戶證書到信任點路徑簡單明確。

3.3 認證路徑相對較短。

3.4 分層結(jié)構(gòu)中的用戶根據(jù)CA的位置就可以確定證書的明確應(yīng)用，因此分層結(jié)構(gòu)中的證書更小、更簡單。

3.5 分層結(jié)構(gòu)只有一個信任點即根CA，如果該信任點失效或泄漏，后果將是災(zāi)難性的。因此本系統(tǒng)根CA采用離線注冊方式，并保持物理上的隔離，給用戶的注冊帶來了不便，但是能夠保證系統(tǒng)良好的安全性[5]。

［1］龍銀香.應(yīng)用PKI構(gòu)建校園網(wǎng)的安全環(huán)境[J].微計算機應(yīng)用,2005(4).

［2］楊波，王常吉，段海新，等.基于PKI/PMI的校園網(wǎng)安全單一登錄方案[J].計算機工程與應(yīng)用，2004.

［3］李志民.PKI交叉認證的研究[J].中國管理信息化，2006（9）.

［4］聶維，梁新月.校園網(wǎng)PKI系統(tǒng)模型研究與設(shè)計[J].咸陽師范學(xué)院院報，2009（2）.

［5］唐潔，張月琳.PKI研究以及在數(shù)字化校園中的應(yīng)用[J].計算機技術(shù)與發(fā)展，2008（8）.