基于PKI的OA身份認證系統的設計與實現

2012-08-06 12:51:52劉麗娜

網絡安全技術與應用 2012年11期

劉麗娜

濟南職業學院山東 250014

0 引言

OA系統(Office Automation,OA)作為電子政務的重要組成部分，由于其涉及的信息的特殊性，對安全性的要求越來越高。隨著OA系統使用量的增大、存放的數據增多，以及與業務管理更加緊密地結合，安全性就被提升到更加重要的位置。因此，如何做好OA系統的安全控制工作就成了一個非常重要和緊迫的課題。本文以濟南職業學院的OA系統為背景，研究并設計了安全高效的OA身份認證系統。

1 基于PKI的數字認證技術

公鑰基礎設施(Public Key Infrastructure,PKI)是一種遵循標準的密碼技術、提供安全服務的基礎設施。PKI通過數字證書管理通信雙發的公有密鑰，其中國際電信聯盟的X.509定義了提供數字證書認證服務的框架，此框架由第三方向通信雙方簽發證書。數字證書里包括用戶的身份信息，密鑰信息和第三方認證機構的簽名信息，所有信息具有不可抵賴性。

本文設計的PKI身份認證系統為濟南職業學院的OA系統的應用環境提供了一套安全基礎平臺。PKI包括驗證策略、軟硬件、證書認證中心(CA)、證書簽發系統和PKI應用，具體組成如圖1所示。其中，CA一般包括以下幾個部分：證書庫、注冊機構(RA)、應用接口和證書銷毀。

圖1 PKI體系的組成結構

2 身份認證體系架構

本文設計的OA系統的身份認證使用了用戶數字證書，實現了統一身份認證管理。圖2為身份認證方案的基礎框架，整個體系共分為三個層次，第一層為服務層，負責發放數字證書；第二層為中間層，實現數字證書綁定和應用接口；第三層為OA系統應用層，終端用戶使用數字證書進行身份認證，實現應用系統的訪問。

圖2 身份認證的總體框架圖

3 身份認證流程

基于PKI的OA身份認證系統的用戶申請證書流程如圖3。首先，用戶向注冊中心提交證書申請要求，注冊中心通過信息進行審核；注冊中心將審核后的用戶證書申請請求提交給認證機構；認證機構簽署證書并且頒發用戶證書，并將證書存儲到LADP目錄服務器列表中，并將證書存放到證書數據庫中，以供用戶查詢。

圖3 用戶申請證書原理圖

用戶查詢證書原理如圖4所示，當用戶向注冊中心提交查詢證書要求時，注冊中心通過證書庫進行證書查詢，若所查詢的證書合法，將反饋合法證書信息，若所查證書非法，將反饋非法信息。整個認證過程可以簡單分為三個階段。第一，認證環境的初始化階段，建立SSL連接通信，保證客戶端與服務端的通信安全；第二，證書的合法性驗證階段，在基于用戶信任列表模型下，驗證數字證書的合法、有效性；第三，持證人的身份驗證階段，是認證的核心部分，整個認證過程最重要的一步，驗證當前請求服務用戶是不是證書持有者本人。具體流程如下：

(1) 客戶端用戶選自己的數字證書通過WEB服務器窗口將證書信息發送到認證服務器進行認證；

(2) 認證服務器對用戶的證書進行認證；

(3) 若認證通過，返回成功信息，用戶身份驗證完成，登錄應用系統成功；

(4) 若認證不通過，返回失敗信息，登錄應用系統不成功。

圖4 用戶認證原理示意圖

具體認證流程圖如圖5。

圖5 具體身份認證的數據流程圖

用戶注銷證書流程圖如圖6，當用戶向注冊中心提交證書注銷要求，注冊中心通過信息進行審核；注冊中心將審核后的用戶證書注銷請求提交給認證機構；認證機構簽署證書并且注銷用戶證書，同時定期更新證書失效列表。

圖6 用戶撤銷證書原理圖

4 身份認證系統詳細設計

圖7 主要設計代碼

這里主要包含三部分的詳細設計：創建認證機構CA、服務器端的數據庫設計和客戶端設計。其中創建認證機構CA主要包括給CA命名、創建簽發證書的目錄、設置配置文件，創建證書序列號；數據庫系統的設計主要是檢查用戶名是否存在，調用運算控件進行簽名；客戶端主要工作是：當服務器發送數字簽名等待驗證時，客戶端要相應的給服務器發送一個數字信封來表明自己的身份，首先，與服務端一樣要進行網絡連接的初始化，載入用戶公、私鑰證書，建立SSL連接等，因為需要用到自身的私鑰進行解密和簽名，所以還需要從私鑰證書中讀取客戶端的私鑰內容。各部分設計的主要代碼如圖7所示。對于客戶端來說，其主要工作是：當服務器發送數字簽名等待驗證時，客戶端要相應的給服務器發送一個數字信封來表明自己的身份。具體的主要代碼如圖7所示。

5 結語

本文將PKI安全技術和高校OA系統有效地結合，從而實現統一的身份驗7證系統，并輔以具體應用案例。本文研究成果應用到具體電子政務系統后，能實現OA系統的用戶身份安全管理，大大提高的安全性、可控性，促進電子政務建設的健康發展。

[1] 關振勝.公鑰基礎設施PKI及其應用.北京：電子工業出版社.2008.

[2] 崔贏,鞏建平.PKI在電子政務中的應用.電子技術.2003.

[3] 荊繼武,林璨鏘,馮登國.PKI技術(信息安全國家重點實驗室信息安全技術).北京：科學出版社.2008.