基于PKI的校園網(wǎng)身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)①

摘 要:將PKI技術(shù)引入校園網(wǎng)絡(luò)，在加強(qiáng)校園網(wǎng)絡(luò)安全的同時(shí)也為校園網(wǎng)絡(luò)的使用提出了新的發(fā)展方向。這個(gè)基于PKI的身份認(rèn)證系統(tǒng)是一個(gè)兩層CA多RA結(jié)合構(gòu)造的校園網(wǎng)認(rèn)證中心模型，符合學(xué)校具有多個(gè)不同地域的校區(qū)，多個(gè)工作性質(zhì)不同部門的特點(diǎn)。在此設(shè)計(jì)模型上，利用開源軟件包OpenSSL對(duì)身份認(rèn)證系統(tǒng)進(jìn)行具體實(shí)現(xiàn)。

關(guān)鍵詞:PKI身份認(rèn)證網(wǎng)絡(luò)安全

中圖分類號(hào):TP391文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2011)05(a)-0026-03

1 前言

隨著網(wǎng)絡(luò)信息化時(shí)代的到來，科研需求、教學(xué)應(yīng)用、網(wǎng)絡(luò)辦公、網(wǎng)上娛樂等方面的網(wǎng)絡(luò)應(yīng)用逐漸滲透到了校園生活的方方面面。校園網(wǎng)是以網(wǎng)絡(luò)為基礎(chǔ)，從環(huán)境(包括設(shè)備、教室等)、資源(如圖書、講義、課件等)、到活動(dòng)(包括教、學(xué)、管理、服務(wù)、辦公等)全部信息化。我們要建設(shè)越來越多的校園網(wǎng)應(yīng)用，對(duì)越來越多的用戶開放這又與校園網(wǎng)的安全和穩(wěn)定是矛盾的，本文正是基于這樣的一對(duì)矛盾來研究校園網(wǎng)的安全策略。

基于公鑰基礎(chǔ)設(shè)施的PKI技術(shù)，采用了先進(jìn)的安全技術(shù)對(duì)網(wǎng)上信息的發(fā)送方、接收方進(jìn)行身份確認(rèn)，以保證各方信息傳遞的安全性、完整性、可靠性、不可抵賴性等。作為大型網(wǎng)絡(luò)上的基本身份認(rèn)證協(xié)議的基礎(chǔ)設(shè)施，PKI能夠?yàn)榇罅康挠脩籼峁┥矸菡J(rèn)證和授權(quán)綁定服務(wù)，公鑰方式的身份認(rèn)證協(xié)議安全強(qiáng)度高，通過證書鏈檢驗(yàn)和CA之間的交叉認(rèn)證，還可以支持跨域認(rèn)證。

2 相關(guān)理論與技術(shù)

2.1 密碼學(xué)

密碼學(xué)是信息安全的基礎(chǔ)[1]，很早以前，它就在政治、軍事、外交等領(lǐng)域的信息保密方面發(fā)揮著重要的作用。隨著計(jì)算機(jī)與互聯(lián)網(wǎng)的發(fā)展，密碼學(xué)開始廣泛用于民用信息安全領(lǐng)域。加密通常包含兩個(gè)元素:加密算法和密鑰。明文是發(fā)送人、接收人和任何訪問消息的人都能理解的消息。明文消息用某種模式編碼后，就得到了密文消息。

近代加密技術(shù)主要有兩種，一種為對(duì)稱密碼，另一種是公鑰密碼，也稱非對(duì)稱密碼。

2.1.1 對(duì)稱密碼學(xué)

對(duì)稱密碼加密是在加密和解密消息時(shí)需要使用相同密鑰，或者雖然不相同，但是由其中任意一個(gè)可以很容易的推導(dǎo)出另一個(gè)的一種算法體制。這種算法要求信息交互的雙方必須進(jìn)行安全通信前，協(xié)商一個(gè)密鑰，共享同一個(gè)密鑰，并且這個(gè)密鑰還要防止被他人獲取。其安全性完全依賴于對(duì)密鑰的保護(hù)，必須有可靠的信道來分發(fā)密鑰。

對(duì)稱密碼加密的主要優(yōu)點(diǎn)是運(yùn)算速度快、效率高、算法簡(jiǎn)單、計(jì)算開銷小，硬件容易實(shí)現(xiàn)；其缺點(diǎn)，也是最突出的缺點(diǎn)之一是密鑰的分發(fā)與管理比較困難，特別是當(dāng)通信的人數(shù)增加時(shí)，密鑰數(shù)目急劇膨脹。另外一個(gè)問題就是密鑰交換問題，無論是通過傳統(tǒng)方法還是現(xiàn)代網(wǎng)絡(luò)通信手段，密鑰的安全性都不能得到保證。對(duì)稱密碼加密技術(shù)有很多種，如DES、triple DES、IDEA、RC2、RC4、RC5、RC6、GOST、FEAL、LOKI、AES等。

2.1.2 公鑰密碼學(xué)

公鑰密碼加密也稱非對(duì)稱密鑰加密，與對(duì)稱密碼加密不同的是，它需要使用一對(duì)密鑰來分別完成加密和解密的操作。其中一個(gè)公開發(fā)布，稱為公開密鑰；另外一個(gè)由用戶自己秘密保存，稱為私有密鑰。這兩個(gè)密鑰之間存在相互依存關(guān)系:即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。

公鑰密碼加密算法的核心是一種特殊的單向陷門數(shù)字函數(shù)，該函數(shù)從一個(gè)方向求值是容易的，但其逆變換卻是極其困難，因此利用公開的加密密鑰只能作正向變換。若以公鑰作為加密密鑰，以私鑰作為解密密鑰則可實(shí)現(xiàn)加密的信息只能由一個(gè)用戶解讀；反之，以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實(shí)現(xiàn)由一個(gè)用戶加密的信息而多個(gè)用戶解讀。

公鑰密碼體制最大的優(yōu)點(diǎn)就是不需要對(duì)密鑰通信進(jìn)行保密，所需傳輸?shù)闹挥泄_密鑰，通信雙方不需要能過保密信道交換密鑰。而且由于公開性，因而密鑰的管理、分發(fā)等就不存在如對(duì)稱密鑰加密技術(shù)中的重大問題了。比較著名的公鑰密碼加密算法有:RSA、Diffie-Hellman、DSS、ECC橢圓曲線算法等。

2.2 數(shù)字證書

數(shù)字證書[3]是一段包含用戶信息、用戶公鑰信息和身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。用戶的密鑰對(duì)信息進(jìn)行加密可以保證數(shù)字信息傳輸?shù)臋C(jī)密性，身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書信息的真實(shí)性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾?，用戶的?shù)字簽名可以保證數(shù)字信息的不可否認(rèn)性。

數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。數(shù)字證書實(shí)質(zhì)上就是一系列密鑰，用于簽名和加密數(shù)字信息。證書由具備權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)簽發(fā)。CA的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書，認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.509 V3標(biāo)準(zhǔn)，是網(wǎng)上實(shí)體身份的證明。

2.3 PKI的基本概念和內(nèi)容

PKI是“Public Key Infrastructure”的縮寫，即公鑰基礎(chǔ)設(shè)施。PKI作為最新發(fā)展起來的安全技術(shù)和安全服務(wù)規(guī)范，引起了極大關(guān)注，成為Internet上現(xiàn)代安全機(jī)制的中心焦點(diǎn)。它利用非對(duì)稱算法原理，以數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性為安全目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件設(shè)施。

PKI遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為網(wǎng)上電子商務(wù)、電子政務(wù)等的開展，而提供的一整套安全基礎(chǔ)平臺(tái)。它遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理。PKI包括由PKI策略、軟硬件系統(tǒng)、認(rèn)證中心(CA)、注冊(cè)機(jī)構(gòu)(RA)、證書簽發(fā)系統(tǒng)和PKI應(yīng)用等構(gòu)成的安全體系，組成如圖1所示[4]。

認(rèn)證機(jī)構(gòu)[5](Certificate Authority)是PKI的核心組成部分，簡(jiǎn)稱CA，也稱為認(rèn)證中心，它是可以簽發(fā)數(shù)字證書的信任機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)有權(quán)向個(gè)人和組織簽發(fā)數(shù)字證書，使其可以在非對(duì)稱密鑰加密應(yīng)用程序中使用這些證書。

2.4 PKI的功能和應(yīng)用協(xié)議

PKI是一個(gè)用公鑰概念與技術(shù)來實(shí)施并提供一套安全服務(wù)的具有一般通用性的安全基礎(chǔ)設(shè)施。PKI系統(tǒng)通過公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并驗(yàn)證數(shù)字證書持有者身份。它具有節(jié)省費(fèi)用、互操作性、開放性、一致的解決方案、可驗(yàn)證性、可選擇性等特點(diǎn)。它提供的安全支持可以概括為:證書與CA；密鑰備份及恢復(fù)證書，密鑰對(duì)的自動(dòng)更換；交叉認(rèn)證；支持多應(yīng)用；支持多平臺(tái)等。

Internet技術(shù)非常寵大，涉及諸多領(lǐng)域，它安全方面涉及的各種協(xié)議也非常多，其中最著名的安全協(xié)議就是安全套接層SSL[6]，它也是PKI的應(yīng)用協(xié)議。SSL現(xiàn)在被廣泛用于Internet上的身份認(rèn)證與Web服務(wù)器和用戶端瀏覽器之間的數(shù)據(jù)安全通信。

3 系統(tǒng)總體設(shè)計(jì)

校園網(wǎng)身份認(rèn)證系統(tǒng)采用中心信任模型，在服務(wù)器端建立對(duì)客戶和服務(wù)器雙方都有效的數(shù)字證書認(rèn)證中心，為客戶端和服務(wù)器端頒發(fā)數(shù)字證書。在使用SSL協(xié)議進(jìn)行校園網(wǎng)絡(luò)通信時(shí)，通信雙方都應(yīng)該持有各自的由校園數(shù)字證書認(rèn)證中心頒發(fā)的數(shù)字證書，并且都信任該證書，然后雙方通過數(shù)字證書來建立SSL安全網(wǎng)絡(luò)通信。

4 系統(tǒng)的實(shí)現(xiàn)與應(yīng)用

4.1 系統(tǒng)開發(fā)工具

基于PKI的校園網(wǎng)身份認(rèn)證系統(tǒng)是一套比較完整的PKI數(shù)字證書身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)的功能主要包括兩大方面:一是建立校園網(wǎng)自己的CA和RA，并實(shí)現(xiàn)一個(gè)PKI系統(tǒng)的基本功能，包括簽發(fā)證書、生成證書、廢止證書、廢止列表等；另一方面是為兩個(gè)擁有該系統(tǒng)證書的實(shí)體建立SSL通道。

采用開源代碼的軟件包OpenSSL的SSL庫和密碼算法庫為基礎(chǔ)，通過調(diào)用OpenSSL的函數(shù)就可以實(shí)現(xiàn)一個(gè)SSL加密的安全數(shù)據(jù)傳輸通道，從而保護(hù)客戶端和服務(wù)器端之間數(shù)據(jù)的安全。從而實(shí)現(xiàn)系統(tǒng)的數(shù)字證書生成、管理、SSL安全網(wǎng)絡(luò)通信、加解密操作等功能。

OpenSSL是用于安全通信的最著名的一個(gè)自由軟件[7]，包含有SSL接口、對(duì)稱加密、非對(duì)稱加密及PKCS接口(包括X.509證書、PKCS標(biāo)準(zhǔn)、ASN.1)等功能。OpenSSL工具包可分為三個(gè)部分:SSL函數(shù)庫、Crypto函數(shù)庫和命令行工具。表1是OpenSSL中的主要文件。

4.2 系統(tǒng)的實(shí)現(xiàn)

校園網(wǎng)身份認(rèn)證系統(tǒng)在服務(wù)器端建立自己的數(shù)字證書認(rèn)證中心，為客戶端和服務(wù)器頒發(fā)符合X.509 V3標(biāo)準(zhǔn)的數(shù)字證書。本文構(gòu)造的系統(tǒng)采用命令行方式生成數(shù)字證書以及對(duì)證書進(jìn)行簽發(fā)等管理。

數(shù)字證書運(yùn)作流程圖，即數(shù)字證書的整個(gè)生命周期圖，如圖2所示。

4.3 應(yīng)用

構(gòu)建基于PKI的校園網(wǎng)身份認(rèn)證系統(tǒng)后，我們可以利用其頒發(fā)的數(shù)字證書機(jī)制運(yùn)用到校園網(wǎng)各應(yīng)用系統(tǒng)中，提供網(wǎng)上的用戶身份認(rèn)證，并保障信息的安全，以下“開放性數(shù)字圖書館”是身份認(rèn)證系統(tǒng)的一個(gè)應(yīng)用示例。

現(xiàn)在一般的圖書館網(wǎng)站都將商用信息資源限制在Intranet范圍內(nèi)使用，Internet上[8]的用戶無法訪問各圖書館Intranent上的信息資源，采用的方法是通過IP層加密技術(shù)來驗(yàn)證登錄網(wǎng)站的計(jì)算機(jī)IP地址是否合法和用防火墻技術(shù)將Intranet與Internet隔開的方法。

這種現(xiàn)行的方式優(yōu)點(diǎn)是方便、簡(jiǎn)單，系統(tǒng)運(yùn)行效率高，也有效解決商用信息資源的知識(shí)保護(hù)問題。但是缺點(diǎn)也非常明顯，它不僅給Intranet以外的用戶利用這些信息資源帶來障礙，即使圖書館Intranet的用戶，一旦離開了Intranet的覆蓋范圍，同樣也不能使用這些通過IP層加密技術(shù)來進(jìn)行用戶驗(yàn)證管理的信息資源。

根據(jù)校園網(wǎng)身份認(rèn)證系統(tǒng)，我們?cè)趫D書館設(shè)立一個(gè)二級(jí)CA，當(dāng)然這個(gè)二級(jí)CA是受校園網(wǎng)根CA所控的[9]。即在圖書館用戶與Web服務(wù)器之間建立一個(gè)第二層，即CA服務(wù)器。由它來完成用戶身份認(rèn)證、用戶的增刪等管理，并保障數(shù)字資源傳輸過程的安全性。

5 結(jié)語

本文從校園網(wǎng)發(fā)展中存在的需要解決的主要問題入手，提出了一個(gè)解決方案。PKI技術(shù)具有功能全面、高度安全、成熟可靠的特點(diǎn)，基于PKI的校園網(wǎng)身份認(rèn)證系統(tǒng)是建立數(shù)字化校園堅(jiān)實(shí)和完善的安全基礎(chǔ)。利用開源軟件OpenSSL工具包，完成了具有使用各種加密算法、數(shù)字簽名、證書生成、證書簽發(fā)等功能，實(shí)現(xiàn)校園網(wǎng)身份認(rèn)證系統(tǒng)。隨著計(jì)算機(jī)技術(shù)的日新月異，PKI技術(shù)的不斷完善和發(fā)展，PKI公鑰基礎(chǔ)設(shè)施作為一種網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)備，有著巨大的生命力和前途。展望未來，不難看到PKI技術(shù)一定能在保障網(wǎng)絡(luò)安全方面發(fā)揮更大的作用。

參考文獻(xiàn)

[1]Atul kahate.密碼學(xué)與網(wǎng)絡(luò)安全[M].北京:清華大學(xué)，2006.

[2]曾強(qiáng).網(wǎng)絡(luò)安全協(xié)議SSL原理及應(yīng)用[D].碩士論文.天津大學(xué)，7-10，2005.

[3]Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò).第4版[M].北京:清華大學(xué)出版社，2004.655.

[4]程徐彬，畢紅軍.基于OpenSSL的用戶證書管理系統(tǒng)研究[J].信息安全與通信保密，2008，09:72-73.

[5]李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社，2004.91-113，186-194.

[6]肖啟志.基于公鑰基礎(chǔ)設(shè)施的電子支付平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].碩士論文.北京交通大學(xué)，25-28，2008.

[7]徐勇.基于PKI技術(shù)的CA的研究與實(shí)現(xiàn)[D].碩士論文.四川師范大學(xué)，35-38，2007.

[8]D. Piper.The Internet IP Security Domain of Interpxetation for ISAKMP RFC2407[J]. November 1998.

[9]高繼明.數(shù)字圖書館中的用戶管理問題研究[D].碩士論文.西北師范大學(xué)，29-34，2006.

[10]付沙.基于PKI和SSL的校園網(wǎng)絡(luò)通信的研究與實(shí)現(xiàn)[D].碩士論文.湖南大學(xué)軟件學(xué)院，29-41，2007.

[11]胡建龍，等．校園網(wǎng)PKI身份認(rèn)證系統(tǒng)設(shè)計(jì)[J]．科技創(chuàng)新導(dǎo)報(bào)，2011，1:18．