基于PKI的阜陽職業技術學院校園網認證模型的研究與設計

楊 斐

（阜陽職業技術學院工程科技學院 安徽 阜陽 236031）

0 引言

隨著網絡技術的不斷發展和Internet的日益普及，許多學校都建立了數字化校園網絡并投入使用，這對加快信息處理，提高工作效率，減輕勞動強度，實現資源共享都起到了無法估量的作用。在數字化校園建設中，網絡安全體系建設是最基礎也是最重要的一步。然而，阜陽職業技術學院校園網擁有近萬人的教師和學生用戶，而且應用繁多，主要有DNS、VPN、WWW、FTP、辦公自動化系統 、圖書、教務、財務等各種基礎服務和應用系統。校園網環境開放，用戶活躍，數據資源集中，不同的應用又有不同的安全需求。

因此，在數字化校園網絡安全體系建設中，對身份識別和安全加密有很高的需求。校園網上大量傳統的C/S應用是基于帳號/口令進行身份認證和訪問授權的[1]。這種方式中每個應用一般獨立維護自己的口令數據庫，這不但增加了系統管理維護的成本，而且增加了用戶的記憶和輸入負擔，降低了工作效率。更為嚴重的是，由于用戶通常在不同信息價值級別的系統中設置相同的口令，這樣當低價值級別的系統口令泄漏時，會影響到高價值級別的系統安全性[2]。雖然統一身份認證系統可以解決這一問題，但是隨之而來的數據安全和信任問題又需要更好的系統來解決，這就需要引入PKI技術。

1 PKI公鑰基礎設施簡介

公鑰基礎設施，PKI，是Public Key Infrastructure的縮寫，它是國際上解決開放式互聯網信息安全需求的一套體系。PKI支持身份認證，信息傳輸、存儲的完整性，消息傳輸、存儲的機密性，以及操作的不可否認性。“基礎設施”的作用，就是不同的實體在遵循必要原則的前提下都可以方便地使用基礎設施提供的服務。

PKI的核心是認證中心（Certificate Authority，CA），用于發放一個叫“數字證書”的身份證明。這個數字證書包含了用戶身份的部分信息，以及用戶持有的公鑰CA利用本身的私鑰為數字證書加上了數字簽名。因此，PKI的核心技術基礎是公鑰密碼學的“加密”和“簽名”。完整的PKI認證系統主要包括以下幾個部分。

1.1 證書中心

證書中心CA：一個或多個用戶信任的權威，有權創建和頒發公鑰證書。在證書的整個生命周期中，CA都要為其負責而不僅僅是起頒發證書的作用。

CA是很多PKI的關鍵組成部分。如果將數字證書看做是身份證的話，那么CA就相當于公安局，起到一個發證單位的作用。在PKI中，CA負責頒發、管理和撤銷一組最終用戶的證書。CA執行著認證其最終用戶的作用，并在分發用戶信息之前用自己的私鑰對其進行數字簽名。CA最終負責其所有最終用戶的真實性。

1.2 注冊中心

注冊中心（Registration Authority，RA）：一個任意實體，負責在為某個主體注冊時履行一些必要的管理任務。注冊過程即主體第一次被CA了解的過程，優先于CA為主體頒發公鑰證書。注冊要求實體提供如用戶名、域名全稱、IP地址以及其他一些需要放進公鑰證書里的屬性信息，用以證實在證書運行聲明（CPS）中所聲稱的用戶名以及其他屬性的正確性。

1.3 目錄服務器

目錄是信息資料庫，它以邏輯順序組織來進行快速簡化和簡單查找。系統和應用依靠這些目錄中的信息來進行操作。

2 校園網身份認證中心CA模型的設計

如何建立適用校園網的PKI系統模型必須充分考慮不同學校校園網絡的特殊環境。鑒于阜陽職業技術學院目前已是安徽省示范高職院校且正在進行國家骨干高職院校的建設等情況，以及未來前景規劃，建立一個滿足校園網安全的PKI系統，將PKI廣泛而有效的應用于校園網的安全認證是接目前數字化校園網建設的主要內容。

2.1 阜陽職業技術學院數字化校園建設框架

阜陽職業技術學院數字化校園信息平臺是全方位的管理信息平臺與信息服務平臺，它將學?，F有的網絡作為基礎，建立在學校統一公共數據平臺之上，并且作為一種人性化、科技化、透明化手段服務全校師生的科學、科研、生活，廣泛納入學校的信息化標準管理、學校管理、教學管理、學生評教、教職工管理、學生工作管理、科研管理、財務管理、資產與設備管理、行政辦公管理、數字圖書資料管理等等。阜陽職業技術學院正是以開放的、積極的態度，實現學院優質教學資源區域共享，輻射與帶動周邊區域的職業教育，有效促進了皖西北地區職業教育的健康、快速發展。

阜陽職業技術學院數字化校園信息平臺總體框架的設計遵循可持續發展原則，以長遠的觀點進行總體規劃，既要有利于目前校園網系統的整合，也要保證以后系統的順利擴展，在軟硬件建設上保持可持續發展。學校數字化校園要以“三大中心”來進行規劃建設，即校園管理中心、校園服務中心和校園資源中心。與此同時，數字化校園將完成學校信息系統的整合（數據應用的集成、應用界面的集成、統一身份認證集成、業務流程的集成與重組）。

2.2 認證中心CA模型的設計

由于校園網本身是一個綜合的網絡應用系統。對于這種復雜的系統必須進行統一的認證，否則可能會出現以下的問題：

1）一個用戶需要記住多個不同的用戶名和密碼來登錄不同的應用系統，這樣給用戶帶來了諸多使用上的不便。

2）校園網中各應用系統都采用各自獨立的認證和管理系統，對校園網的維護造成不便。

3）有些用戶在離開學校后由于缺乏管理，仍然能夠使用校園網內的一些業務。

認證模型的選擇要充分考慮到不同學校的具體情況。阜陽職業技術學院目前只有一個校區占地約400畝，新校區一千余畝正在實施規劃中?？紤]到體系結構的擴展性，決定采用二層CA結構。整個認證體系有一個根CA，下級CA分布于兩個不同的校區。這樣可以分布存放教職員工的證書，避免證書在Internet傳輸帶來的不安全性。同時這種結構還具有良好的擴展性，當我院還需增加新校區時，只需要增加一個二級CA即可，而不需修改整個認證體系的結構。

本系統的邏輯結構如圖1所示，采用兩層CA，多RA結構。其中，根CA采用離線方式，二級CA采用在線方式與RA相連，校園網內部在線數據通信采用SSL安全套階層協議。本地數據采用加密設備加密后存放在本地磁盤，一些重要數據存放在密碼設備預留的空間內。

圖1 本系統邏輯結構

本系統主要由根CA、二級CA、RA、LDAP目錄服務和本地數據幾個組成部分。一般情況下CA都有一個內部數據庫用于存放頒發的證書。為了避免用戶直接訪問這個數據庫造成安全隱患，將CA產生的證書和證書撤銷列表存放在LDAP 目錄中[4]。

對該模型進行說明：

1）該校園網PKI系統只有一個根CA，是本系統最高管理機構，它負責生成和維護根CA證書，對密鑰的生成采用最安全的管理方式即只有用戶自己擁有私鑰，CA/RA不會要求得到私鑰。同時根CA還負責二級CA的初始化并簽發證書，與其他根CA進行交叉認證，擴展證書的使用范圍[3]。

給兩個分校區都設立一個下級C A。二級CA負責證書的生成、更新和撤銷，發布證書撤銷列表到目錄服務器LDAP，維護證書撤銷列表和證書數據庫，保證本地數據的安全。注冊功能從CA中分離出來，在一個子CA下，根CA只給二級CA頒發證書，同時與其他PKI信任域進行交叉認證，從而擴大證書的使用范圍。屬于不同校區的每個部門都有一個RA與之相連。該部門的學生和教職工都只能去該RA上申請證書。

2）在整個校園網PKI系統初始化時要產生一系列證書。根CA要簽發一張自簽名證書。根CA要為每一個下級CA簽發證書。下級C A要為每個與它相連的RA簽發證書。當在校園網PKI系統運行中新增加一個下級CA，則根CA要為它簽發證書，同樣，當一個下級CA增加一個RA，則該下級CA也要為此RA簽發證書。

3）由于我校共有兩院三系一部，還有各行政單位及教輔機構，部門較多，需要搭建多個RA服務器。他們位于用戶和CA之間，為用戶提供一個接口。通過獲取并驗證用戶的身份，向CA提出證書請求來完成收集用戶信息和確認用戶身份等功能。RA系統既要和CA通信，又要和用戶進行交互，在本系統中相當于一個中間系統，采用B/S結構進行搭建，可以更好的提高程序的穩定性。

4）證書庫與證書撤銷列表庫位于不同的LDAP目錄中。其中提供CRL服務的庫可以由用戶直接訪問，為了保證系統的安全性，證書庫則不能由用戶直接訪問。

5）數據傳輸時采用SSL安全套接層協議，通信數據使用加密技術，保證通信的安全。

3 總結

本系統是根據阜陽職業技術學院校園網現階段的特點及未來發展規劃，選擇采用了分層的PKI結構?，F將這種結構的優缺點做一分析[4]。

3.1 分層結構的PKI升級比較簡單。如果有新的部門加入，根CA只需與此部門的CA建立信任關系即可。

3.2 分層結構的認證過程是單向的，認證路徑較容易建立，從用戶證書到信任點路徑簡單明確。

3.3 認證路徑相對較短。

3.4 分層結構中的用戶根據CA的位置就可以確定證書的明確應用，因此分層結構中的證書更小、更簡單。

3.5 分層結構只有一個信任點即根CA，如果該信任點失效或泄漏，后果將是災難性的。因此本系統根CA采用離線注冊方式，并保持物理上的隔離，給用戶的注冊帶來了不便，但是能夠保證系統良好的安全性[5]。

［1］龍銀香.應用PKI構建校園網的安全環境[J].微計算機應用,2005(4).

［2］楊波，王常吉，段海新，等.基于PKI/PMI的校園網安全單一登錄方案[J].計算機工程與應用，2004.

［3］李志民.PKI交叉認證的研究[J].中國管理信息化，2006（9）.

［4］聶維，梁新月.校園網PKI系統模型研究與設計[J].咸陽師范學院院報，2009（2）.

［5］唐潔，張月琳.PKI研究以及在數字化校園中的應用[J].計算機技術與發展，2008（8）.