论文部分内容阅读
摘要:PKI系统核心CA认证中心的建立为校园网信息系统的各种网络设备、操作人员、用户等提供标准的数字证书,为系统的安全通讯、身份识别以及用户密钥的管理提供强有力的支持。建设一个高效、安全、可靠的校园网PKI/CA子系统至关重要。文章通过PKI技术设计出符合实际情况的统一身份认证的认证中心CA(certificate authority)系统,从而保障校园网系统的安全性和可靠性。
关键词:校园网;PKI技术;认证中心CA
作者简介:张瑞(1977-),男,福建永定人,贵阳学院计算机科学系,讲师;舒虹(1980-),女,湖北黄冈人,贵阳学院计算机科学系,讲师。(贵州 贵阳 550003)
中图分类号:TP309.2 文献标识码:A 文章编号:1007-0079(2011)05-0031-01
PKI(Public Key Infras-tructure)是解决信任和加密问题的基本解决方案,为了保证在数字化校园网络应用中数据的真实性、保密性、完整性和不可否认性,引入PKI技术是行之有效的方法,而建设一个高效、安全、可靠的校园网PKI/CA子系统至关重要,因为CA是证书的签发机构,CA的建设是重点,是PKI的核心,其安全性直接影响到整个校园网PKI系统,一旦身份认证的认证中心密钥泄露,其签发的所有证书都将作废,PKI系统需要重新初始化,由此可见身份认证的认证中心的研究和设计在整个PKI平台的建设中非常重要。一般说来,校园身份认证的认证中心工作主要由CA管理系统完成,具体包括:制定证书策略,指导整个PKI系统的建立和管理维护;接收并验证RA提交的要求,如CA签发、撤销和更新数字证书;集中产生用户密钥对和数字证书。通过制定严格的保密措施,确保密钥的保密性。校内用户开发PKI/CA认证系统,目的是要在校园网上提供身份认证、访问控制、机密性和不可否认等服务,在服务中采用混合式PKI信任模型,着眼于Web方式自动管理、双重密钥对的提供、证书管理的数据库化和证书状态的实时查询等关键技术。本文拟基于X. 509证书格式的PKI认证技术设计一个认证中心CA,构建数字证书的颁发和管理的完整平台。
一、确定PKI的信任模型
在设计校园网认证中心CA之前,有必要首先确定PKI的信任模型。CA认证中心是一个负责发放和管理数字证书的权威机构,根据现今大学校园多校区、院系多以及垂直管理的特点,为保证认证系统安全、高效和可扩展性,认证中心采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级认证中心直接面向最终用户。考虑到身份认证的认证中心系统面向学校,加之系统实施的复杂度与成本的关系,CA体系结构应设计为层次结构,即至少包括一个根CA和多个二级CA,本设计模型采用两层CA结构。校园网认证中心只有一个根CA,而下级CA根据地理位置分布,不同部门或不同地区的校园都有一个二级CA。
二、认证中心CA系统的结构设计
(1)根CA是本系统的安全核心,主要负责制定和审批总体政策,管理制度和运作规范及证书撤消列表,整个系统只有一个根CA,它是该PKI域颁发的所有证书的最终信任点。出于安全性的考虑,从CA中分离出注册功能,各部门分设注册权威,上级CA为下级CA签发证书。为了适用于校外一些相互应用,根CA采用离线方式,无需频繁发证,通过交叉证书与其他PKI系统交叉认证,从而建立信任关系,从而实现互操作,同一PKI域不同CA签发的证书可以相互认证,它们的最终信任点是根CA。以U盘/光盘的形式按PKCS#7/10标准协议传递信息和文件,根CA只给二级CA统一签发和管理证书,其密钥保护是关键,可以避免证书申请者直接同根CA交互,一方面阻止非法闯入的可能,另一方面也减轻了根CA的负担。因此,需要为各部门分别设立二级身份认证的认证中心。
(2)二级CA需要经常地发证并且需要迅速响应,可在子CA下签发下级子CA;或针对别的应用再签发子CA,这样使得用户CA认证体系具有很好的可扩展性,所以二级CA必须在线操作,为保证本地数据的安全,采用密码设备对本地数据加密保护后存放在本地,部分重要的数据可以存储到密码设备预留的硬件空间里,用户从二级CA在线下载证书。根据实际应用需求,将CA发放的数字证书和证书注销列表(CRL)分布于一个基于X·509的目录服务器中。最终用户向证书注册机构申请登记,通过审核后,注册机构RA向其发放由二级CA提供的参考号和授权码,RA与CA之间在线通信采用SSL安全套接层协议,其算法采用专用算法替换,CRL亦可通过WEB界面直接对外发布,通过LDAP协议实现证书和CRL的查询。
(3)通过CA认证系统可申请、产生和分发数字证书,还具有证书签发功能。系统中用户证书都是由二级CA来发放的,而每级CA的RA(注册机构)的证书是由本级CA签发。RA作为CA和用户之间的中间件,其要处理的业务量很大,尤其是在用户数量很大时,因此如何保证RA的稳定性就成为一个非常关键的问题。在该过程中,用户访问CA认证系统并申请证书,申请数字证书;RA管理员进入管理员站点,审查和批准证书申请请求;CA认证中心根据管理员的批准签发用户证书,并将其发布到目录服务器中。为了使注册过程更加便捷,每个RA都有一个专门用于存放只能去该RA注册的合法用户的信息库。由上所述,采用B/S结构来实现系统,建立校园网认证中心CA层次结构图,如图1所示。
本文设计的校园网认证中心CA,主要由两级CA和多个RA组成,二级CA采用在线方式与RA连接,使不同地区的校园学生与教职工的证书分别存放,而且避免了申请证书时信息在网络上传输而造成的安全隐患。系统采用三层结构,为体系的扩展预留了空间(因为大多数应用都只支持四层以下),根据用户实际应用需求,将来可以在子CA下签发下级子CA;或者针对别的应用再签发子CA,这样使得用户CA认证体系具有很好的可扩展性,当需要增加一个其他地方的CA时,只需由根CA签发一个新的下级CA证书,不需改变PKI的体系结构,扩展性好。
三、认证中心CA系统安全性分析
认证中心CA的安全和稳定运行关系到整个校园网体系的正常运转,因此采用三层体系结构,相对比较简单,在CA的创建和管理上也比较容易,系统扩展方便,运行效率较高。它能满足一个校园网CA内部的需求,也满足日后与其他校园网CA之间交叉认证的需求,使得CA认证体系具有很好的可操作性。
(1)用户CA具有自己的统一的根CA,由用户进行统一管理,负责整个用户的认证体系、CA策略和证书策略的定制与管理,这样充分体现了用户的权威性。系统中根CA是安全核心,它主要用来签发下级CA证书,采用离线方式设计,进行物理隔离,安全性有保障。
(2)引入RA和LDAP服务器,证书库与证书撤销列表库各自处于不同的LDAP目录中,终端实体可直接访问提供CRL服务的库,保证了系统的安全性,证书库则不能由终端实体直接访问。二级CA证书的申请、获取都在RA和LDAP服务器上,外界用户看不到。用户需要查询证书时必须先向根CA申请,然后由二级CA从证书库中提取证书信息。二级CA的输入包只来源于内部站和外部有限数目的RA,输出包也只供应给内部站、外部RA和LDAP服务器,既提高了系统的安全性,又提高了系统的运行速率。
(3)系统采用SSL安全套接层协议,对于敏感数据实现密钥管理,在数据传输方面采用数字证书机制,每次通信使用新的会话密钥,可防止敏感数据外泄,使系统的安全性从本质上得到了提升。
四、结语
本文结合高校的组织机构特点和校园网特点,设计了一个基于PKI技术的校园网认证中心CA结构模型,该模型采用了三层体系结构,在设计中遵循了相应的国际和工业标准,能够提供各种证书的签发功能,通过使用SSL协议确保了信息传输安全,使得在网络运行环境下的系统数据更加安全、可信,很好的开放性使得系统能够与各种应用相结合,成为真正的安全基础设施。随着时间的推移,PKI/CA技术一定能在保障校园网络安全方面发挥重大作用。
参考文献 :
[1]Carlisle Adams Steve Lloyd.公开密钥基础设施概念、标准和实施[M].冯登国,译.北京:人民邮电出版社,2001.
[2]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002.
[3]关振胜.公钥基础设施PKI及其应用[M].北京:电子工业出版社,2008.
[4]张巍,等.认证中心CA的功能及其实现技术[J].计算机工程与设计,2003,(9):38-39.
[5]李冬梅.CA系统中RA中心的设计及实现[J].计算机科学,2004,(4):198-200.
(责任编辑:张中)
关键词:校园网;PKI技术;认证中心CA
作者简介:张瑞(1977-),男,福建永定人,贵阳学院计算机科学系,讲师;舒虹(1980-),女,湖北黄冈人,贵阳学院计算机科学系,讲师。(贵州 贵阳 550003)
中图分类号:TP309.2 文献标识码:A 文章编号:1007-0079(2011)05-0031-01
PKI(Public Key Infras-tructure)是解决信任和加密问题的基本解决方案,为了保证在数字化校园网络应用中数据的真实性、保密性、完整性和不可否认性,引入PKI技术是行之有效的方法,而建设一个高效、安全、可靠的校园网PKI/CA子系统至关重要,因为CA是证书的签发机构,CA的建设是重点,是PKI的核心,其安全性直接影响到整个校园网PKI系统,一旦身份认证的认证中心密钥泄露,其签发的所有证书都将作废,PKI系统需要重新初始化,由此可见身份认证的认证中心的研究和设计在整个PKI平台的建设中非常重要。一般说来,校园身份认证的认证中心工作主要由CA管理系统完成,具体包括:制定证书策略,指导整个PKI系统的建立和管理维护;接收并验证RA提交的要求,如CA签发、撤销和更新数字证书;集中产生用户密钥对和数字证书。通过制定严格的保密措施,确保密钥的保密性。校内用户开发PKI/CA认证系统,目的是要在校园网上提供身份认证、访问控制、机密性和不可否认等服务,在服务中采用混合式PKI信任模型,着眼于Web方式自动管理、双重密钥对的提供、证书管理的数据库化和证书状态的实时查询等关键技术。本文拟基于X. 509证书格式的PKI认证技术设计一个认证中心CA,构建数字证书的颁发和管理的完整平台。
一、确定PKI的信任模型
在设计校园网认证中心CA之前,有必要首先确定PKI的信任模型。CA认证中心是一个负责发放和管理数字证书的权威机构,根据现今大学校园多校区、院系多以及垂直管理的特点,为保证认证系统安全、高效和可扩展性,认证中心采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级认证中心直接面向最终用户。考虑到身份认证的认证中心系统面向学校,加之系统实施的复杂度与成本的关系,CA体系结构应设计为层次结构,即至少包括一个根CA和多个二级CA,本设计模型采用两层CA结构。校园网认证中心只有一个根CA,而下级CA根据地理位置分布,不同部门或不同地区的校园都有一个二级CA。
二、认证中心CA系统的结构设计
(1)根CA是本系统的安全核心,主要负责制定和审批总体政策,管理制度和运作规范及证书撤消列表,整个系统只有一个根CA,它是该PKI域颁发的所有证书的最终信任点。出于安全性的考虑,从CA中分离出注册功能,各部门分设注册权威,上级CA为下级CA签发证书。为了适用于校外一些相互应用,根CA采用离线方式,无需频繁发证,通过交叉证书与其他PKI系统交叉认证,从而建立信任关系,从而实现互操作,同一PKI域不同CA签发的证书可以相互认证,它们的最终信任点是根CA。以U盘/光盘的形式按PKCS#7/10标准协议传递信息和文件,根CA只给二级CA统一签发和管理证书,其密钥保护是关键,可以避免证书申请者直接同根CA交互,一方面阻止非法闯入的可能,另一方面也减轻了根CA的负担。因此,需要为各部门分别设立二级身份认证的认证中心。
(2)二级CA需要经常地发证并且需要迅速响应,可在子CA下签发下级子CA;或针对别的应用再签发子CA,这样使得用户CA认证体系具有很好的可扩展性,所以二级CA必须在线操作,为保证本地数据的安全,采用密码设备对本地数据加密保护后存放在本地,部分重要的数据可以存储到密码设备预留的硬件空间里,用户从二级CA在线下载证书。根据实际应用需求,将CA发放的数字证书和证书注销列表(CRL)分布于一个基于X·509的目录服务器中。最终用户向证书注册机构申请登记,通过审核后,注册机构RA向其发放由二级CA提供的参考号和授权码,RA与CA之间在线通信采用SSL安全套接层协议,其算法采用专用算法替换,CRL亦可通过WEB界面直接对外发布,通过LDAP协议实现证书和CRL的查询。
(3)通过CA认证系统可申请、产生和分发数字证书,还具有证书签发功能。系统中用户证书都是由二级CA来发放的,而每级CA的RA(注册机构)的证书是由本级CA签发。RA作为CA和用户之间的中间件,其要处理的业务量很大,尤其是在用户数量很大时,因此如何保证RA的稳定性就成为一个非常关键的问题。在该过程中,用户访问CA认证系统并申请证书,申请数字证书;RA管理员进入管理员站点,审查和批准证书申请请求;CA认证中心根据管理员的批准签发用户证书,并将其发布到目录服务器中。为了使注册过程更加便捷,每个RA都有一个专门用于存放只能去该RA注册的合法用户的信息库。由上所述,采用B/S结构来实现系统,建立校园网认证中心CA层次结构图,如图1所示。
本文设计的校园网认证中心CA,主要由两级CA和多个RA组成,二级CA采用在线方式与RA连接,使不同地区的校园学生与教职工的证书分别存放,而且避免了申请证书时信息在网络上传输而造成的安全隐患。系统采用三层结构,为体系的扩展预留了空间(因为大多数应用都只支持四层以下),根据用户实际应用需求,将来可以在子CA下签发下级子CA;或者针对别的应用再签发子CA,这样使得用户CA认证体系具有很好的可扩展性,当需要增加一个其他地方的CA时,只需由根CA签发一个新的下级CA证书,不需改变PKI的体系结构,扩展性好。
三、认证中心CA系统安全性分析
认证中心CA的安全和稳定运行关系到整个校园网体系的正常运转,因此采用三层体系结构,相对比较简单,在CA的创建和管理上也比较容易,系统扩展方便,运行效率较高。它能满足一个校园网CA内部的需求,也满足日后与其他校园网CA之间交叉认证的需求,使得CA认证体系具有很好的可操作性。
(1)用户CA具有自己的统一的根CA,由用户进行统一管理,负责整个用户的认证体系、CA策略和证书策略的定制与管理,这样充分体现了用户的权威性。系统中根CA是安全核心,它主要用来签发下级CA证书,采用离线方式设计,进行物理隔离,安全性有保障。
(2)引入RA和LDAP服务器,证书库与证书撤销列表库各自处于不同的LDAP目录中,终端实体可直接访问提供CRL服务的库,保证了系统的安全性,证书库则不能由终端实体直接访问。二级CA证书的申请、获取都在RA和LDAP服务器上,外界用户看不到。用户需要查询证书时必须先向根CA申请,然后由二级CA从证书库中提取证书信息。二级CA的输入包只来源于内部站和外部有限数目的RA,输出包也只供应给内部站、外部RA和LDAP服务器,既提高了系统的安全性,又提高了系统的运行速率。
(3)系统采用SSL安全套接层协议,对于敏感数据实现密钥管理,在数据传输方面采用数字证书机制,每次通信使用新的会话密钥,可防止敏感数据外泄,使系统的安全性从本质上得到了提升。
四、结语
本文结合高校的组织机构特点和校园网特点,设计了一个基于PKI技术的校园网认证中心CA结构模型,该模型采用了三层体系结构,在设计中遵循了相应的国际和工业标准,能够提供各种证书的签发功能,通过使用SSL协议确保了信息传输安全,使得在网络运行环境下的系统数据更加安全、可信,很好的开放性使得系统能够与各种应用相结合,成为真正的安全基础设施。随着时间的推移,PKI/CA技术一定能在保障校园网络安全方面发挥重大作用。
参考文献 :
[1]Carlisle Adams Steve Lloyd.公开密钥基础设施概念、标准和实施[M].冯登国,译.北京:人民邮电出版社,2001.
[2]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002.
[3]关振胜.公钥基础设施PKI及其应用[M].北京:电子工业出版社,2008.
[4]张巍,等.认证中心CA的功能及其实现技术[J].计算机工程与设计,2003,(9):38-39.
[5]李冬梅.CA系统中RA中心的设计及实现[J].计算机科学,2004,(4):198-200.
(责任编辑:张中)