PKI技術(shù)在數(shù)字校園中的研究與應(yīng)用

王娟

(北京師范大學(xué)珠海分校 圖書館，廣東 珠海 519085)

PKI技術(shù)在數(shù)字校園中的研究與應(yīng)用

王娟

(北京師范大學(xué)珠海分校 圖書館，廣東 珠海 519085)

隨著數(shù)字校園網(wǎng)絡(luò)建設(shè)的快速發(fā)展，數(shù)字校園的安全管理成為了亟待解決的問題。本文介紹的PKI技術(shù)可以為此提供完整的解決方案。

PKI；CA；數(shù)字校園

隨著數(shù)字校園網(wǎng)絡(luò)建設(shè)的快速發(fā)展，教務(wù)系統(tǒng)、人事系統(tǒng)、財務(wù)系統(tǒng)、科研系統(tǒng)、數(shù)字圖書館系統(tǒng)等應(yīng)用系統(tǒng)也隨之增加，同時這些應(yīng)用系統(tǒng)各有一套不同的用戶身份認(rèn)證方式。大量的網(wǎng)絡(luò)服務(wù)、開放的網(wǎng)絡(luò)環(huán)境、活躍的用戶群體，以及有限的資金投入，決定了校園網(wǎng)安全管理是一個極其復(fù)雜的問題。要有效地解決目前校園網(wǎng)在安全和管理方面存在的問題，必須尋求校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)在技術(shù)上的綜合方案。本文介紹的PKI技術(shù)可以為數(shù)字校園提供堅實(shí)的安全基礎(chǔ)。

一、PKI介紹

1.PKI的概念

PKI是Public Key Infrastructure的縮寫，即“公鑰基礎(chǔ)設(shè)施”，是指用公鑰概念和技術(shù)來實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰概念和技術(shù)實(shí)施的，支持公開密鑰的管理并提供真實(shí)性、保密性、完整性以及可追究性安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重數(shù)字簽名等。

2.PKI身份認(rèn)證過程

PKI身份認(rèn)證的過程如圖1所示，PKI身份認(rèn)證系統(tǒng)主要包括證書認(rèn)證機(jī)構(gòu)CA（包含注冊機(jī)構(gòu)RA）和相應(yīng)的PKI存儲庫（包括證書庫）。步驟描述如下：

（1）發(fā)送方首先向證書認(rèn)證機(jī)構(gòu)CA提出數(shù)字證書申請；

（2）證書認(rèn)證機(jī)構(gòu)CA驗(yàn)明發(fā)送方身份，并簽發(fā)數(shù)字證書；

（3）證書認(rèn)證機(jī)構(gòu)CA將證書公布到證書庫中；

（4）發(fā)送方以電子信件數(shù)字簽名作為發(fā)送認(rèn)證，確保信件完整性、不可否認(rèn)性并送給接受方；

（5）接收方接受信件，用發(fā)送方的公鑰驗(yàn)證數(shù)字簽名并到證書庫查明發(fā)送方證書的狀態(tài)和有效性；

（6）證書庫返回證書檢查結(jié)果，從而最終實(shí)現(xiàn)身份認(rèn)證。

3.相關(guān)概念解釋

（1）CA（Certificate Authority）

CA即認(rèn)證中心，它是采用PKI公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，它的作用就像我們現(xiàn)實(shí)生活中頒發(fā)證件的公司，如護(hù)照辦理機(jī)構(gòu)。

（2）RA（Registration Authority）

RA即數(shù)字證書注冊審批機(jī)構(gòu)，RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負(fù)責(zé)證書申請者的信息錄入、審核以及證書發(fā)放等工作（安全審計）。同時，對發(fā)放的證書完成相應(yīng)的管理功能（安全管理）。RA系統(tǒng)是整個CA中心得以正常運(yùn)營不可缺少的一部分。

二、校園網(wǎng)PKI系統(tǒng)的模型構(gòu)建

1.常見的幾種PKI模型

根據(jù)RFC2510標(biāo)準(zhǔn)中的規(guī)定，典型的PKI系統(tǒng)包含的 PKI組件有認(rèn)證機(jī)構(gòu)（CA）、注冊機(jī)構(gòu)（RA）、證書庫、密鑰恢復(fù)服務(wù)器和終端實(shí)體。其中CA是PKI的核心，根據(jù)CA間的關(guān)系，PKI的體系結(jié)構(gòu)可以分為三種類型：單個CA，分層（層次）結(jié)構(gòu)和網(wǎng)狀結(jié)構(gòu)的CA。

（1）單個 CA 結(jié)構(gòu)

單個CA的結(jié)構(gòu)是最基本的PKI結(jié)構(gòu)，PKI中的所有用戶對此單個CA給予信任，它是PKI系統(tǒng)內(nèi)單一的用戶信任點(diǎn)，它為PKI中的所有用戶提供PKI服務(wù)。這種結(jié)構(gòu)只需建立一個根CA，所有的用戶都能通過該CA實(shí)現(xiàn)相互認(rèn)證，但單個CA的結(jié)構(gòu)不易擴(kuò)展到支持大量的或者不同的群體用戶。

（2）分級（層次）結(jié)構(gòu)

一個以主從CA關(guān)系建立的PKI稱作分級（層次）結(jié)構(gòu)的PKI。在這種結(jié)構(gòu)下，所有的用戶都信任最高層的根CA，上一層CA向下一層CA發(fā)放公鑰證書。若一個持有由特定CA發(fā)證的公鑰用戶要與由另一個CA發(fā)放公鑰證書的用戶進(jìn)行安全通信，需要解決跨域的認(rèn)證，這一認(rèn)證過程在于建立一個從根出發(fā)的可信賴的證書鏈。

分級結(jié)構(gòu)的PKI系統(tǒng)易于升級和增加新的認(rèn)證域用戶，因?yàn)橹恍枰鵆A與該認(rèn)證域的CA建立信任關(guān)系。證書路徑由于其單向性，可生成從用戶證書到可信任點(diǎn)的簡單的、路徑相對較短的路徑。用戶基于分級結(jié)構(gòu)中的CA的位置可隱含地知道一個證書用于哪種應(yīng)用。

（3）網(wǎng)狀（交叉）結(jié)構(gòu)

以對等CA關(guān)系建立的交叉認(rèn)證擴(kuò)展了CA域之間的第三方信任關(guān)系，這樣的PKI系統(tǒng)稱為網(wǎng)狀結(jié)構(gòu)的PKI。交叉認(rèn)證包含兩個操作。第一個操作是兩個域之間信任關(guān)系的建立，這通常是一個一次性操作。在雙邊交叉認(rèn)證的情況下，每個CA簽發(fā)一張“交叉證書”。第二個操作由客戶端軟件來做。這個操作包含了驗(yàn)證由已經(jīng)交叉認(rèn)證的CA簽發(fā)的用戶證書的可信賴性，這個操作需要經(jīng)常執(zhí)行。

2.本校校園網(wǎng)PKI模型的選擇

在構(gòu)建校園網(wǎng)PKI系統(tǒng)之前，必須先根據(jù)高校的實(shí)際情況，確定合適的PKI信任模型。

以筆者所在的北師大珠海分校為例，首先本校是北京師范大學(xué)的分校，地域與本部分離，管理和教學(xué)上還有密切聯(lián)系；其次學(xué)校內(nèi)部職能部門實(shí)行大部制設(shè)置，全校設(shè)立四部，即行政部、教學(xué)部、發(fā)展部、總務(wù)部，各部不僅有各自不同的辦公或者教務(wù)系統(tǒng)，同時有業(yè)務(wù)工作上的交叉訪問；再者，我校的教學(xué)特色是合作辦學(xué)，各個學(xué)院還與國內(nèi)外的其他院校有著許多合作與交流。

因此綜合考慮，本設(shè)計模型在校園網(wǎng)內(nèi)的身份認(rèn)證采用兩層CA結(jié)構(gòu)，校際之間的身份認(rèn)證采用網(wǎng)狀結(jié)構(gòu)。

3.PKI系統(tǒng)模型說明

整體而言，校際之間不同系統(tǒng)采用網(wǎng)狀結(jié)構(gòu)交叉認(rèn)證，校園網(wǎng)內(nèi)采用層次結(jié)構(gòu)，整個學(xué)校作為一個根CA，校內(nèi)不同學(xué)院或者職能部門作為二級CA。

（1）圖2中的根CA1為校園網(wǎng)根CA，CA2為其他學(xué)校或者校外單位根CA，CA1、CA2通過相互頒發(fā)證書，來實(shí)現(xiàn)兩個信任域內(nèi)網(wǎng)絡(luò)用戶的相互信任。網(wǎng)狀PKI中的所有CA都可能是可信任點(diǎn)，證書對描述了它們雙向的信任關(guān)系。

（2）本校校園網(wǎng)的根 CA1只向其二級CA頒發(fā)證書，即在根CA下面設(shè)立子CA，子CA負(fù)責(zé)簽發(fā)各所屬部門的證書。因此，根CA可以是離線的，從而可以最大限度保障根CA的安全。此外，這種模式還將風(fēng)險從一個根CA分散到了多個子CA，同時所需的費(fèi)用也會增加。

（3）校園網(wǎng)內(nèi)的注冊功能從根CA中分離出來，各二級CA分別設(shè)立RA，該部門的學(xué)生和教職工都只能去該RA上申請證書，由各部門進(jìn)行本部門用戶的審核工作，最后由校園網(wǎng)CA統(tǒng)一簽發(fā)和管理證書。同樣，當(dāng)一個下級CA增加一個RA，則該下級CA也要為此RA簽發(fā)證書。這樣，一方面可以保障根CA的安全，一方面也減輕了根CA的負(fù)擔(dān)。

（4）大部分CA產(chǎn)品都擁有一個用于存放最終發(fā)布證書的內(nèi)部數(shù)據(jù)庫，而且允許用戶直接訪問該數(shù)據(jù)庫，這是一個很大的安全隱患。因此引入RA和LDAP服務(wù)器，將CA所頒發(fā)的證書和證書撤銷列表存放在不同的LDAP目錄中，以分擔(dān)風(fēng)險和責(zé)任。

（5）在通訊方面，采用了SSL安全套接層協(xié)議，并用軟件加密，通信數(shù)據(jù)也使用加密技術(shù)，且每次通信使用新的會話密碼，這使通信的安全性從本質(zhì)上得到了提升。系統(tǒng)采用分級的物理隔離和防火墻等技術(shù)，更增加了系統(tǒng)整體的安全性。

4.系統(tǒng)工作流程

從最終用戶角色出發(fā)，該系統(tǒng)下完整的訪問流程如圖3所示。

四、小結(jié)

PKI/CA體系作為一種網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)備，有著巨大的生命力和前途。本文結(jié)合實(shí)際提出了一個適合于數(shù)字校園的PKI系統(tǒng)結(jié)構(gòu)模型，該模型校際之間不同系統(tǒng)采用網(wǎng)狀結(jié)構(gòu)交叉認(rèn)證，校園網(wǎng)內(nèi)采用兩層CA多RA結(jié)構(gòu)，整個學(xué)校作為一個根CA，校內(nèi)不同學(xué)院或者職能部門作為二級CA。從而保證在網(wǎng)絡(luò)運(yùn)行環(huán)境下系統(tǒng)中的數(shù)據(jù)更加準(zhǔn)確、安全、可信。若要為特定高校建立數(shù)字校園PKI系統(tǒng)，還需要根據(jù)各校實(shí)際情況對文中提出的系統(tǒng)架構(gòu)進(jìn)行相應(yīng)的補(bǔ)充或者修改。

[1]王金偉，孫德兵.基于PKI/PMI的Web應(yīng)用單點(diǎn)登錄的研究與實(shí)現(xiàn)[J].信息系統(tǒng)工程，2010（9）：73-75.

[2]吳向東.校園網(wǎng)認(rèn)證中心CA的設(shè)計[J].中南林業(yè)科技大學(xué)學(xué)報，2010（3）：152-154.

[3]彭軍，王忠，彭建超.基于PKI的CA認(rèn)證系統(tǒng)信任模型的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（3）：6-9.

[4]高杰.CPK認(rèn)證研究及在高校數(shù)字化校園系統(tǒng)中的應(yīng)用[J].信息安全與通信保密，2009（3）：56-61.

[5]吳向東.構(gòu)建基于PKI高校校園網(wǎng)身份認(rèn)證系統(tǒng)[J].通信技術(shù)，2009（6）：203-207.

[6]曹錦梅，曹錦福，王明輝.基于PKI/PMI的數(shù)字化校園網(wǎng)安全認(rèn)證系統(tǒng)的應(yīng)用研究[J].計算機(jī)時代，2010（1）：16-18.

[7]朱徐飛.基于PKI技術(shù)的校園網(wǎng)CA系統(tǒng)設(shè)計[J].中國電力教育，2009（7）：181-187.

（編輯：楊馥紅）

TP393

B

1673-8454（2011）03-0026-03