郭改文,丁 穎

(1.河南教育學(xué)院信息技術(shù)系,河南鄭州 450046;2.中州大學(xué)實驗管理中心,河南鄭州 450044)

高校網(wǎng)上辦公系統(tǒng) PKI方案設(shè)計與實現(xiàn)

郭改文1,丁 穎2

(1.河南教育學(xué)院信息技術(shù)系,河南鄭州 450046;2.中州大學(xué)實驗管理中心,河南鄭州 450044)

針對高校網(wǎng)上辦公系統(tǒng)存在的安全需求,將 PKI技術(shù)應(yīng)用于高校網(wǎng)上辦公系統(tǒng),設(shè)計了河南教育學(xué)院網(wǎng)上辦公系統(tǒng) PKI混合信任模型,并利用OpenSSL實現(xiàn)簡易數(shù)字證書系統(tǒng).

高校;網(wǎng)上辦公系統(tǒng);PKI;混合信任模型;OpenSSL

近幾年,隨著高校網(wǎng)絡(luò)化建設(shè)的快速發(fā)展,方便快捷的網(wǎng)上辦公系統(tǒng)在功能上已基本完善,為高校在新的形勢下進一步轉(zhuǎn)變工作職能,提高工作效率提供了重要手段.然而,高校網(wǎng)上辦公系統(tǒng)處理的敏感信息不是通過校園網(wǎng)就是通過 Internet傳送,使得黑客及惡意入侵者竊取、篡改、干擾一些重要信息成為可能,從而引發(fā)網(wǎng)絡(luò)傳輸信息的安全性問題[1].如何保證高校網(wǎng)上辦公系統(tǒng)的順利暢通,對外樹立良好的窗口形象,對內(nèi)提高工作效率,保證敏感信息不被他人侵犯、破壞及干擾,已經(jīng)成為信息安全領(lǐng)域所面臨的一個棘手問題.本文以河南教育學(xué)院網(wǎng)上辦公系統(tǒng)為例,分析河南教育學(xué)院網(wǎng)上辦公系統(tǒng)的安全需求,設(shè)計了一種基于混合信任模型的高校網(wǎng)上辦公系統(tǒng) PKI方案,并利用OpenSSL工具實現(xiàn)簡易數(shù)字證書系統(tǒng)[2].

1 河南教育學(xué)院網(wǎng)上辦公系統(tǒng)的安全需求

(1)保證辦公系統(tǒng)的穩(wěn)定運行辦公系統(tǒng)的穩(wěn)定運行關(guān)系到學(xué)院整個行政管理秩序、教學(xué)科研秩序、學(xué)生生活秩序的穩(wěn)定運轉(zhuǎn),而系統(tǒng)的安全運行是辦公系統(tǒng)穩(wěn)定的基礎(chǔ).

(2)樹立高校良好的形象發(fā)展網(wǎng)上辦公系統(tǒng)的一項主要任務(wù)就是樹立高等院校良好的形象.如果辦公系統(tǒng)經(jīng)常遭到攻擊和破壞,基本的安全都得不到保障,又何從談起形象問題.

(3)保護公文信息的秘密內(nèi)容學(xué)院在服務(wù)和管理過程中產(chǎn)生的文件信息大部分需要保密.未經(jīng)授權(quán)的用戶或惡意入侵者,即使采用非法手段獲得了數(shù)據(jù)的訪問權(quán),也無法理解真實的信息內(nèi)容.

(4)認證辦公活動中的身份為保證身份的真實性,需要為辦公業(yè)務(wù)的用戶實體定義身份標志——數(shù)字證書,并通過該標志進行身份認證.

(5)控制辦公系統(tǒng)中的權(quán)限辦公系統(tǒng)需要根據(jù)用戶對信息資源訪問級別的不同,劃分為不同級別的信息訪問控制策略.因此,需要將辦公系統(tǒng)劃分為若干個安全域,不同的安全域中,安全的要求、級別是不一樣的.

(6)確保公文信息傳輸安全不僅保密信息在傳輸中需要安全保障,系統(tǒng)涉及的各種敏感信息的傳輸,如學(xué)籍信息、財務(wù)報表等,也要求傳輸過程中安全可靠而不被竊取、篡改或破壞.

河南教育學(xué)院現(xiàn)行網(wǎng)上辦公系統(tǒng)的安全性涉及物理級、網(wǎng)絡(luò)級、系統(tǒng)級和應(yīng)用級,本文從網(wǎng)上辦公安全體系的應(yīng)用層出發(fā),從信息安全的角度研究 PKI技術(shù)在高校網(wǎng)上辦公系統(tǒng)中的安全解決方案.

2 基于 PKI技術(shù)的高校網(wǎng)上辦公系統(tǒng)

公鑰基礎(chǔ)設(shè)施 (Public Key Infrastructure,PKI)[3]是指用公鑰概念和技術(shù)來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施,是一種把公鑰密碼和對稱密碼結(jié)合起來實現(xiàn)密鑰自動管理的平臺.PKI技術(shù)包括數(shù)據(jù)加密、數(shù)字簽名、數(shù)字信封、數(shù)據(jù)完整性機制等,目的是保證網(wǎng)上數(shù)據(jù)的機密性、完整性和不可否認性,從而保證信息的安全傳輸.一個典型、完整、有效的 PKI系統(tǒng)必須有認證機構(gòu) CA(Certificate Authority)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用程序接口API(Application Programming Interface)等基本部分.

將 PKI技術(shù)應(yīng)用到高校校園網(wǎng)中,可以滿足網(wǎng)上辦公系統(tǒng)的安全需求.網(wǎng)上辦公系統(tǒng)一般由客戶端和服務(wù)器端兩部分組成,其基于 PKI技術(shù)的以 CA為中心的模式結(jié)構(gòu)如圖 1所示.客戶端的實現(xiàn)形式可以是ActiveX或Applet控件;服務(wù)器端的實現(xiàn)形式可以是服務(wù)程序.客戶端和服務(wù)器端分別與瀏覽器和Web服務(wù)器協(xié)同工作,通過 CA認證中心互相驗證數(shù)字證書建立安全數(shù)據(jù)通道,實現(xiàn)對敏感信息進行加密、解密及完整性檢驗處理.

3 河南教育學(xué)院網(wǎng)上辦公系統(tǒng) PKI方案設(shè)計

河南教育學(xué)院 PKI建設(shè)是網(wǎng)上辦公系統(tǒng)安全服務(wù)的基礎(chǔ).PKI的建設(shè)主要包括 PKI信任模型的選取、CA的建設(shè)、密鑰的管理、安全策略的制定等.

3.1 PKI信任模型的選取

使用數(shù)字證書的客戶端必須首先信任 PKI,證書上的數(shù)字簽名才有意義.因此,信任關(guān)系的建立和管理,是 PKI的核心功能之一.PKI管理的信任關(guān)系模型一般分為層次信任和交叉信任兩種.雖然河南教育學(xué)院的管理機制比較適合層次信任模型,但由于學(xué)院的教務(wù)管理、學(xué)籍管理、人事管理、機關(guān)日常事務(wù)、后勤保障等不同部門可能也需要建立各自的 PKI體系結(jié)構(gòu),而這些不同的 PKI在實際工作中又是相互聯(lián)系的.因此,辦公系統(tǒng)CA信任模型選取綜合了層次信任和交叉信任兩種方式的混合信任模型,如圖 2所示.

圖1 辦公系統(tǒng)CA模式

圖2 辦公系統(tǒng)的 PKI信任模型

從圖 2可以看出,在此信任模型中,整個學(xué)院以黨政中心為根CA信任中心建立層次信任模型,增加信息的安全性;學(xué)院管理機構(gòu)之間經(jīng)常有公文需要傳遞,為減少學(xué)院根 CA(院級)的負載,在學(xué)院各主要管理部門建立一級 CA(管理級),它們之間實行交叉信任(大交叉);在學(xué)院各系部建立二級 CA,從安全的角度考慮,只有存在信任需求的部門再建立信任關(guān)系,二級 CA之間實行小范圍的交叉(小交叉).

3.2 CA的建設(shè)

CA應(yīng)該在學(xué)院的統(tǒng)一規(guī)劃和領(lǐng)導(dǎo)下采取自上而下的原則進行設(shè)計和建設(shè).學(xué)院可以成立 PKI協(xié)調(diào)管理辦公室,統(tǒng)管學(xué)院 CA的建設(shè),審批 CA機構(gòu)的成立和撤消.其主要任務(wù)是制定學(xué)院 CA建設(shè)的發(fā)展規(guī)劃、管理政策、技術(shù)標準、安全策略并監(jiān)督指導(dǎo)學(xué)院 CA的建設(shè)、運行和應(yīng)用.

CA認證中心是公鑰基礎(chǔ)設(shè)施的核心組織,一方面它會遭受來自各方面的人為攻擊和威脅,另一方面它也可能遇到自然災(zāi)害的襲擊.CA的安全建設(shè)應(yīng)該與CA的建設(shè)同步規(guī)劃、同步設(shè)計、同步建設(shè).為防止來自 CA系統(tǒng)內(nèi)外的威脅,防止信息被竊取,CA系統(tǒng)要采用安全性較高的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及網(wǎng)絡(luò)安全產(chǎn)品,CA數(shù)據(jù)庫的敏感信息要嚴格加以保護.

4 基于OpenSSL數(shù)字證書系統(tǒng)的實現(xiàn)

學(xué)院辦公系統(tǒng)可以將 CA中心、Web服務(wù)及用戶認證中心整合在一臺系統(tǒng)服務(wù)器上,使用 OpenSSL工具產(chǎn)生 CA認證中心,實現(xiàn)簡易數(shù)字證書系統(tǒng).

OpenSSL[4]是一個功能豐富且自包含的開源安全工具箱.它提供的主要功能有:SSL(Secure SocketsLayer)協(xié)議實現(xiàn)、大量軟算法 (對稱 /非對稱/摘要)、大數(shù)運算、非對稱算法密鑰生成、證書請求編解碼、數(shù)字證書編解碼、CRL(Certificate Revocation List)編解碼、OCSP(Online Certificate Status Protocol)協(xié)議、數(shù)字證書驗證、PKCS7標準實現(xiàn)和 PKCS12個人數(shù)字證書格式實現(xiàn)等功能.它具有優(yōu)秀的跨平臺性能,支持Linux、UN IX、W indows、Mac等平臺.

系統(tǒng)實現(xiàn)的軟件配置過程為:首先在系統(tǒng)服務(wù)器安裝 TOMCAT和 JRE,TOMCAT用作Web Server,當設(shè)置 TOMCAT時,用符號“%TCAT_HOME%”表示TOMCAT的安裝位置;JRE用來產(chǎn)生TOMCAT使用的秘鑰對,使用符號“%JDK_HOME%”來表示 JDK的安裝位置.然后安裝OpenSSL,用來產(chǎn)生 CA證書、簽名并生成 IE可導(dǎo)入的 PKCS#12格式私鑰.在 C:OPENSSL目錄下解壓 OpenSSL-0.9.8e-W in32壓縮包,再將OpenSSL-0.9.8.tar文檔文件中的 OpenSSL.cnf文件復(fù)制到 C:userlocalssl目錄下,然后設(shè)置系統(tǒng)環(huán)境變量使OpenSSL命令可以在其他路徑下執(zhí)行.

4.1 認證中心 CA的產(chǎn)生過程

(1)創(chuàng)建根 CA的工作目錄 mkdir ca_gen.

(2)產(chǎn)生 CA私鑰及自簽名根證書:

4.2 申請服務(wù)器端數(shù)字證書的過程

(1)創(chuàng)建工作目錄 mkdir server_cert.

(2)產(chǎn)生服務(wù)器端證書:

(2)產(chǎn)生客戶端私鑰并用 CA私鑰簽名:

4.3 申請客戶端個人數(shù)字證書的過程

(1)創(chuàng)建工作目錄 mkdir client_cert.

5 小結(jié)

本文分析了河南教育學(xué)院網(wǎng)上辦公系統(tǒng)存在的安全需求,將 PKI技術(shù)應(yīng)用于高校網(wǎng)上辦公系統(tǒng),設(shè)計了河南教育學(xué)院網(wǎng)上辦公系統(tǒng) PKI混合信任模型,并利用OpenSSL工具實現(xiàn)了簡易數(shù)字證書系統(tǒng).

[1] 孫飛顯,郭改文,徐明潔,等.一種基于數(shù)字簽名的網(wǎng)頁原始性鑒別方法[J].計算機應(yīng)用研究,2007,24(3):112-114.

[2] 常新華,毛炎新,趙秀海.實現(xiàn)基于Web方式的數(shù)字簽名[J].計算機工程與科學(xué),2007,29(12):16-19.

[3] Andrew N,DuaneW,Joseph C,et al.公鑰基礎(chǔ)設(shè)施(PKI)實現(xiàn)和管理電子安全[M].張玉清,陳建奇,楊波,等譯.北京:清華大學(xué)出版社,2002.

[4] 趙春平.OpenSSL編程[EB/OL].[2010-11-10].http://download.csdn.net/source/2817796/openssl編程.pdf.

Design and I mplementation of PKI in Network-Based Office System for Colleges and Universities

GUO Gai-wen1,D ING Ying2

(1.Depar tm ent of Infor m ation Technology,Henan Institute of Education,Zhengzhou450046,China;2.Center of Experim entM anagem ent,Zhongzhou University,Zhengzhou450044,China)

A iming at the security requirements ofNetwork-Based Office System(NOS)of institution of higher education,the technology of public key infrastructure is applied in NOS.The trustmodelof PKI is designed inNOS for Henan Institute of Education.And a simple digital certificate system is realized by OpenSSL.

colleges and universities;Network-based Office System;PKI;mixed trustmodel;OpenSSL

TP309.2

A

1007-0834(2010)04-0041-03

10.3969/j.issn.1007-0834.2010.04.014

2010-09-20

河南省科技廳重點攻關(guān)項目(082102210059);河南省教育廳自然科學(xué)課題(2009A520009);河南省高等學(xué)校青年骨干教師資助計劃(2009GGJS-139);河南教育學(xué)院計算機應(yīng)用技術(shù)重點實驗室資助項目

郭改文(1971—),女,河南鄧州人,河南教育學(xué)院信息技術(shù)系副教授,研究方向:智能計算、計算機網(wǎng)絡(luò)及信息安全.