摘要：文章首先簡單分析了PKI/CA認(rèn)證技術(shù)；接著分析了PKI/CA目前主流的三種建設(shè)模式，并結(jié)合校園的實(shí)際情況，提出了校園PKI/CA采用完全自建的模式，并采用層次信用體系結(jié)構(gòu)，給出了具體的結(jié)構(gòu)模型。最后對(duì)校園PKI/CA認(rèn)證體系建設(shè)中會(huì)遇到的主要問題進(jìn)行了簡要分析。

關(guān)鍵詞：數(shù)字校園；PKI；CA；RA；層次信用模型；交叉認(rèn)證

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)19-30051-03

Digital Campus PKI/CA Authentication System Plan and Construction

ZHU Xing-rong

(Hunan Railway Professional-Technology College， Zhuzhou 412000， China)

Abstract: The article first was simple has analyzed the PKI/CA authentication technology; Then has analyzed PKI/CA at present the mainstream three construction pattern， And unifies the campus the actual situation， Proposed campus PKI/CA uses completely from the pattern which constructs， And uses the level credit architecture， Has given the concrete structural model. Finally the main question which can meet to the campus PKI/CA authentication system construction in has carried on the brief analysis.

Key words: Digital campus; PKI; CA; RA; Level credit model; Overlapping authentication

1 引言

隨著現(xiàn)在各大學(xué)校園網(wǎng)絡(luò)的深入建設(shè)，以及校園內(nèi)網(wǎng)絡(luò)應(yīng)用的廣泛普及和應(yīng)用，數(shù)字校園已成為現(xiàn)實(shí)。網(wǎng)絡(luò)與信息安全的要求和保證己成為數(shù)字校園建設(shè)的一個(gè)核心課題。這些安全問題需要采用先進(jìn)的安全技術(shù)對(duì)網(wǎng)上信息的發(fā)送方、接收方進(jìn)行身份確認(rèn)，以保證各方信息傳遞的安全性、完整性、可靠性。校園PKI/CA系統(tǒng)是建立數(shù)字化校園堅(jiān)實(shí)和完善的安全基礎(chǔ)，為適應(yīng)數(shù)字化校園的中各應(yīng)用系統(tǒng)的安全需求，保證校園認(rèn)證系統(tǒng)的權(quán)威性、統(tǒng)一性和高度安全性，必須從整體上對(duì)校園網(wǎng)PKI/CA認(rèn)證體系進(jìn)行統(tǒng)一規(guī)劃和規(guī)范管理建設(shè)。

2 PKI/CA系統(tǒng)

PKI/CA體系是采用非對(duì)稱密鑰體系，通過一個(gè)證書簽發(fā)中心（CA）為每個(gè)用戶和服務(wù)器頒發(fā)證書，之后，用戶和服務(wù)器、用戶和用戶之間通過證書相互驗(yàn)證對(duì)方的合法性。這個(gè)過程對(duì)用戶是透明的，與具體應(yīng)用無關(guān)，滿足了用戶管理和具體應(yīng)用分離的需求。

2.1 PKI/CA體系的組成

PKI由多種功能組成，它的結(jié)構(gòu)組成模型如下圖所示：

■

在PKI的總體架構(gòu)中，PKI最關(guān)鍵的兩個(gè)部分為認(rèn)證中心CA系統(tǒng)和注冊(cè)機(jī)構(gòu)RA系統(tǒng)。從應(yīng)用來看，它是基于證書的應(yīng)用。

(1)認(rèn)證機(jī)構(gòu)CA：CA 是整個(gè) PKI 的核心，主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。一般情況下，證書必須由一個(gè)可信任的第三方權(quán)威機(jī)構(gòu)—CA 認(rèn)證中心實(shí)施數(shù)字簽名以后才能發(fā)布，而獲得證書的用戶通過對(duì) CA 的簽名進(jìn)行驗(yàn)證，從而確定公鑰的有效性。

(2)注冊(cè)機(jī)構(gòu)RA：RA 是 CA 的證書發(fā)放、管理的延伸。它負(fù)責(zé)證書申請(qǐng)者的信息錄入、審核以及證書發(fā)放等工作；同時(shí)，對(duì)發(fā)放的證書完成相應(yīng)的管理功能。RA 系統(tǒng)是整個(gè) CA 中心得以正常運(yùn)營不可缺少的一部分。注冊(cè)中心是直接面向用戶的。

2.2 PKI 技術(shù)與其它身份認(rèn)證技術(shù)的對(duì)比

PKI技術(shù)具有功能全面、高度安全、成熟可靠的特點(diǎn)，可以滿足應(yīng)用安全各方面的需求，以下是PKI技術(shù)與其它身份認(rèn)證技術(shù)的對(duì)比。

■

3 校園PKI/CA建設(shè)模式

規(guī)劃和建設(shè)校園PKI/CA認(rèn)證體系，需要根據(jù)校園網(wǎng)的實(shí)際情況，統(tǒng)一進(jìn)行認(rèn)證體系結(jié)構(gòu)的設(shè)計(jì)?？v觀當(dāng)前國內(nèi)PKI/CA體系發(fā)展的情況來看，校園網(wǎng)CA體系的建設(shè)模式主要從以下三種方式中進(jìn)行選擇：

3.1 采用國內(nèi)已有的面向公共服務(wù)的商業(yè)性數(shù)字認(rèn)證機(jī)構(gòu)模式

采用社會(huì)上的認(rèn)證中心，在短期應(yīng)用、系統(tǒng)需要少量證書的情況下，前期建設(shè)成本較低，無需建立維護(hù)、培訓(xùn)和支持團(tuán)隊(duì)，無需自己定義管理和安全策略。但是采用這種方式后，信息化建設(shè)在很多方面都比較被動(dòng)，缺少應(yīng)用和管理的自主靈活性。證書管理依賴于服務(wù)商，業(yè)務(wù)穩(wěn)定性、可靠性依賴于外部服務(wù)，風(fēng)險(xiǎn)較高。從長期來看，采用社會(huì)上的認(rèn)證系統(tǒng)購買服務(wù)投入較大，成本較高。

3.2 完全自行建設(shè)的模式

購買一整套PKI軟件，然后建立一整套相關(guān)的服務(wù)體系。這種模式下，我們要參與建立、維護(hù)、培訓(xùn)和運(yùn)營整個(gè)PKI過程，并對(duì)PKI所有事物負(fù)全責(zé)，其中包括系統(tǒng)、數(shù)據(jù)庫、通訊以及物理安全、網(wǎng)絡(luò)安全配置、高可靠的冗余系統(tǒng)、災(zāi)難恢復(fù)等，對(duì)人員管理也要求較高。這種模式下，系統(tǒng)建設(shè)初期成本較高，同時(shí)需要建立自主維護(hù)、培訓(xùn)和支持的人員，需要信息管理部門設(shè)計(jì)規(guī)范管理和安全策略。但從長期來看，自己建設(shè)自己的認(rèn)證體系，更易于針對(duì)內(nèi)部應(yīng)用進(jìn)行定制，從而更好地配合自己內(nèi)部的業(yè)務(wù)系統(tǒng)的管理模式。同時(shí)完全自主管理，在長期運(yùn)行，發(fā)放大批量的證書情況下更節(jié)省費(fèi)用。

3.3 基于服務(wù)的托管自建模式

這是一種介于上述兩種模式之間的一種方式，是指客戶配置一套集成的PKI軟件，在客戶本地建設(shè)面向最終用戶的系統(tǒng)前臺(tái)——證書注冊(cè)中心（RA中心），直接利用第三方PKI服務(wù)提供商的CA服務(wù)，作為系統(tǒng)的核心后臺(tái)——認(rèn)證中心（CA中心），共同為最終用戶提供安全認(rèn)證服務(wù)。這種模式，雖然關(guān)鍵設(shè)備托管在外部，但它仍然是自己校園內(nèi)部建立的自己的PKI/CA體系；而且復(fù)雜、專業(yè)的PKI核心服務(wù)交由托管的數(shù)字認(rèn)證中心完成，校園內(nèi)部不需要承擔(dān)由數(shù)字認(rèn)證中心帶來的任何技術(shù)風(fēng)險(xiǎn)。但是，目前提供托管服務(wù)的商業(yè)中心數(shù)目少，選擇余地不大，而且從長期來看費(fèi)用也較高。

結(jié)合大學(xué)校園實(shí)際情況：應(yīng)用系統(tǒng)多而雜，發(fā)放的證書數(shù)量多，技術(shù)力量雄厚；校園PKI/CA體系的建設(shè)模式應(yīng)采用完全自建的模式，并按照“統(tǒng)一規(guī)劃、逐步實(shí)施、全面推廣”的策略實(shí)施。通過建立合理的PKI/CA體系，為數(shù)字校園建立可行、實(shí)用、可靠并且擴(kuò)展性很強(qiáng)的用戶認(rèn)證管理機(jī)制。

4 校園PKI/CA體系結(jié)構(gòu)

CA的體系結(jié)構(gòu)有多種多樣。根據(jù)現(xiàn)今大學(xué)校園多校區(qū)、院系多以及垂直管理的特點(diǎn)，為保證認(rèn)證系統(tǒng)安全性、可靠性、高效性和可擴(kuò)展性；CA體系結(jié)構(gòu)應(yīng)設(shè)計(jì)為層次結(jié)構(gòu)，即至少包括一個(gè)根CA和多個(gè)二級(jí)CA。層次體系如下圖所示：

■

4.1 根CA

校園PKI/CA認(rèn)證體系必須建立一個(gè)根CA，它負(fù)責(zé)簽發(fā)和管理整個(gè)認(rèn)證體系的各級(jí)CA的證書、制定和審批總體策略。另外，為保證根CA的安全，CA認(rèn)證體系中的根CA設(shè)計(jì)為離線操作，該CA無頻繁發(fā)證，僅在簽發(fā)下級(jí)CA證書時(shí)開啟，信息和文件的傳遞以離線形式操作。

4.2 二級(jí)CA

層次結(jié)構(gòu)中的二級(jí)CA根據(jù)各學(xué)院的具體規(guī)模和情況進(jìn)行設(shè)置。學(xué)院校區(qū)多的可以按照校區(qū)來設(shè)置，例如：北院CA、南院CA；學(xué)院沒有多校區(qū)，而二級(jí)學(xué)院比較大和多的，則可以按照二級(jí)學(xué)院名稱來設(shè)置，例如：信息工程學(xué)院CA、機(jī)電工程學(xué)院CA。這樣既可以達(dá)到證書的分布存放，又可以避免申請(qǐng)證書時(shí)信息在 Internet網(wǎng)上傳輸而帶來的不安全性。二級(jí)CA負(fù)責(zé)管轄范圍之內(nèi)的證書的簽發(fā)。由于二級(jí)CA需要經(jīng)常發(fā)證并且需要迅速響應(yīng)，所以二級(jí)CA必須在線操作。證書和CRL分布于一個(gè)支持LDAP協(xié)議標(biāo)準(zhǔn)的目錄服務(wù)器中。證書和CRL的查詢通過LDAP協(xié)議實(shí)現(xiàn)。

4.3 RA

RA作為CA的注冊(cè)審核機(jī)構(gòu)，完成證書用戶在證書注冊(cè)申請(qǐng)、證書申請(qǐng)的審核、證書發(fā)放、以及后續(xù)的證書更新、作廢管理工作。考慮到安全性和工作量的問題，注冊(cè)功能從CA 中分離出來，各二級(jí)CA分別設(shè)立注冊(cè)權(quán)威RA。因此，需要為各校區(qū)或各學(xué)院分別設(shè)立注冊(cè)權(quán)威，進(jìn)行本轄區(qū)的注冊(cè)工作。注冊(cè)功能從CA中分離出來，讓它運(yùn)行在一臺(tái)單獨(dú)的 CA服務(wù)器上，這樣用戶可以直接進(jìn)入RA服務(wù)器，而CA則連接在防火墻的后面以確保安全。

4.4 交叉認(rèn)證

雖然大多數(shù)校園網(wǎng)安全應(yīng)用局限在本校園內(nèi)，但實(shí)際上還有一些跨園區(qū)間的應(yīng)用，如圖書館互借系統(tǒng)，因此我們還要擴(kuò)展證書的使用范圍。我們采用利用本學(xué)校的根以與別學(xué)校的CA交叉認(rèn)證的方法，通過交叉證書與其他PKI系統(tǒng)建立信任關(guān)系從而實(shí)現(xiàn)互操作。交叉認(rèn)證是兩個(gè)CA間的互相簽發(fā)證書，兩個(gè)域內(nèi)的用戶的信任關(guān)系可以通過CA間的信任關(guān)系建立，這種擴(kuò)展方法不需要重新改造整個(gè)PKI系統(tǒng)。

4.5 層次結(jié)構(gòu)的優(yōu)點(diǎn)

這種由根CA對(duì)下屬CA進(jìn)行有效控制的層次結(jié)構(gòu)，既保證了整個(gè)校園CA信用體系的統(tǒng)一，又可以避免直接進(jìn)入根CA導(dǎo)致根CA簽名密鑰被暴露和被盜的危險(xiǎn)性，提高了整個(gè)CA系統(tǒng)的安全性；同時(shí)，此認(rèn)證體系具有很好的靈活性和可擴(kuò)展性，降低了上級(jí)CA的工作壓力，通過靈活的RA體系與不同的應(yīng)用系統(tǒng)連接，滿足不同種類、不同規(guī)模的業(yè)務(wù)需求。

5 校園PKI/CA規(guī)劃和建設(shè)面臨的主要問題

5.1 CA系統(tǒng)與應(yīng)用系統(tǒng)結(jié)合的問題

目前在CA系統(tǒng)和應(yīng)用系統(tǒng)結(jié)合的問題上，通常的做法是使用CA系統(tǒng)來進(jìn)行認(rèn)證，而權(quán)限的分配則由應(yīng)用系統(tǒng)來確定，這就涉及CA系統(tǒng)與應(yīng)用系統(tǒng)的二次開發(fā)問題，同時(shí)為保障證書的有效使用，又要求在證書的使用過程中，認(rèn)證應(yīng)緊密嵌入到應(yīng)用系統(tǒng)中。

5.2 已有業(yè)務(wù)系統(tǒng)的移植問題

由于校園網(wǎng)已先后建立了很多個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)，這些系統(tǒng)很有可能工作在不同的平臺(tái)、或者使用不同的語言開發(fā)，結(jié)合CA系統(tǒng)存在一定的復(fù)雜性。對(duì)這些系統(tǒng)的移植要采取循序漸進(jìn)的辦法，或者是在應(yīng)用系統(tǒng)前建立一個(gè)統(tǒng)一的安全接入平臺(tái)，從而不改變應(yīng)用系統(tǒng)的原貌。

參考文獻(xiàn)：

[1] 謝冬，冷健. PKI原理與技術(shù)[M].清華大學(xué)出版社，2004.

[2] 李卓民. 校園網(wǎng)PKI系統(tǒng)中RA的應(yīng)用研究.中山大學(xué) 碩士論文，2006.

[3] 沈士根. 高校校園網(wǎng)PK工的設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用，2004(7)

[4] 張福民.校園PKI系統(tǒng)的模型研究與分析[J].福建電腦，2004(6)

[5] 龍銀香. 應(yīng)用PKI構(gòu)建校園網(wǎng)的安全環(huán)境[J].微計(jì)算機(jī)應(yīng)用，2005(7).

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文