李文剛

（湖南省經濟研究信息中心，湖南長沙 410005）

基于CA數字認證的文件存儲和共享研究

李文剛

（湖南省經濟研究信息中心，湖南長沙 410005）

數字證書是一組數據集合，用來在網絡通訊中鑒定雙方的身份真實性，同時也對數據在傳輸過程中進行高強度加密。文中以CA數字證書為基礎，設計了一個高安全、高保密的文件存儲和共享架構，保證了文件的集中存儲和共享過程中的私密性、身份認證性、不可否認性和完整性。

CA數字認證；PKI公鑰基礎設施；加密技術

1.引言

21世紀中國進入了互聯(lián)網飛速發(fā)展時期，從過去的WEB1.0時代（被動獲取信息）發(fā)展到了WEB2.0時代（創(chuàng)造信息和共享資源），計算機網絡已經深入到我們的工作、學習和生活當中。根據CNNIC的最新互聯(lián)網統(tǒng)計報告，截至2010年12月底，我國網民規(guī)模達到4.57億，較2009年底增加7330萬人；最引人注目的是，網絡購物用戶年增長48.6%，是用戶增長最快的應用，預示著更多的經濟活動步入互聯(lián)網時代［1］，在這個時代人們需要分享各種信息資源，但是計算機病毒、木馬、黑客和人為的誤操作，都會給互聯(lián)網數據帶來非常大的安全風險。在國內就曾發(fā)生過多起電子信息被盜取事件，如個人銀行帳號、隱私信息、E-Mail信件等被他人竊取和高價轉賣，政府機關、企事業(yè)單位業(yè)務系統(tǒng)中的核心機密遭到非法獲取和破解，造成了無法挽回的損失。所以，為了保證互聯(lián)網上的信息資源安全，我們要充分利用PKI/CA數字證書這一先進安全技術來保證信息的安全共享和存儲。

2.PKI/CA數字認證

數字證書（Digital Certificate）解決了“誰是誰”的問題，是用來在開放、互聯(lián)互通的因特網通訊中鑒定雙方身份真實性的一組數據，也就是“電子身份證”，如同現實生活中每個公民都擁有一張由國家公安部門權威簽發(fā)的身份證一樣，以證明每個人的合法身份，只要你擁有這個數字證書，就能確定是你本人，任何其他人都不可能冒名頂替。

PKI（Public Key Infrastructure公鑰基礎設施）是通過使用公開密鑰技術和數字證書來確?；ヂ?lián)網信息安全并負責驗證數字證書持有者身份的一種密鑰和證書管理機制，可以把它形象地比喻為現實生活中的公安部門，這個部門保持了中立地位，客觀公正地對任何用戶和信息進行權威審核和監(jiān)督。

PKI作為一種安全機構，它的技術原理來自于計算機加密算法。目前加密算法有對稱加密算法和非對稱加密算法兩種，PKI在具體加密過程中靈活融合了這兩種方法。對稱加密算法的加密和解密使用相同的密鑰，速度快，適合對大容量數據進行加密，缺點是雙方使用同樣的密鑰，無法保證密鑰的安全性。非對稱加密算法使用不同的一對密鑰即公開密鑰和私有密鑰，公鑰是對互聯(lián)網完全公開的，任何人在任何時候都可以獲取，而私鑰只在接收者個人手中，其他人都無權擁有，這種算法具有非常高的安全性，它采用了RSA算法、橢圓曲線算法，這些算法加密強度很高，但在加密時需要進行大量數學運算，耗時耗力，所以只適合對較小的數據進行加密。

3.基于CA數字認證的文件存儲和共享應用構架

在互聯(lián)網上對信息資源進行集中存儲和共享，采用基于PKI/CA數字認證技術，將提高受保護信息的安全性和保密性，實現文件讀寫加密、傳輸加密、用戶身份核實等功能。

圖1是基于CA的文件存儲和共享構架圖，其中的CA（證書認證中心）、RA（證書注冊中心）、LDAP數據庫（證書查詢目錄數據庫）、KMC（密鑰管理中心）是屬于PKI（公鑰基礎設施）的重要基礎部件。

圖1 基于CA數字認證技術的文件存儲共享框架圖

KMC密鑰管理中心集中存儲所有數字證書密鑰，負責證書密鑰的生成和管理，它是一個獨立中心，與CA中心分離開來，做到了“兩中心兩獨立”，這進一步保證了所有證書密鑰的安全性。CA認證中心是PKI的核心組成部分，主要負責發(fā)放、管理數字證書，這些證書有效地確保了個人、企業(yè)和服務器的身份真實性。CA中心對每張數字證書進行權威的電子簽名，相當于給證書加蓋了公章，以防止證書被非法篡改和偽造，確保了證書的真實性。同時CA中心還負責廢除數字證書，將那些過期的證書放入黑名單中，使之不再有效。RA證書注冊中心就如公安部門的簽證中心，主要負責申請者的身份信息錄入、審核有關信息、制作數字證書和進行證書的安全審計等一系列流水線工作。LDAP（Lightweight Directory Access Protocol輕量目錄訪問協(xié)議）目錄數據庫服務器就是一個開放的海量數據庫，里面存放所有經CA中心鑒定的數字證書和黑名單信息，主要負責對外提供查詢服務，查詢方可以獲得某個用戶對外公開的公鑰，從而向該用戶發(fā)送加密信息。SSL安全認證網關（SSL CA Gateway）則是在客戶端與服務器端之間建立一條128位的加密安全通道，實現信息的加密傳輸，防止黑客去監(jiān)聽、截取傳輸過程中的網絡信息。

此種基于數字證書的文件存儲和共享構架的具體流程是：用戶首先在RA中心進行用戶注冊，CA中心根據有關流程進行證書申請審核，通過審核后頒發(fā)由CA中心簽發(fā)的數字證書，這個證書包含證書擁有者的個人信息、證書擁有者的公鑰、公鑰的有效期、頒發(fā)數字證書的CA中心名稱、CA的數字簽名等。用戶使用數字證書KEY通過互聯(lián)網去訪問共享文件服務器群，這一過程由文件訪問中間件FAM（File Access Middleware）來進行訪問權限控制，文件訪問中間件首先在LDAP目錄服務器中查詢數字證書用戶信息，如屬于合法用戶，那該用戶就可根據授予的權限去訪問共享文件，如該用戶在黑名單中，則將被鎖住并禁止訪問服務器，整個過程不僅進行用戶身份認證，還對傳輸過程進行全程加密。通過授權的用戶會在一個安全、私密的互聯(lián)網環(huán)境中便利地查閱、編輯各種信息，通過這樣一個數字證書安全平臺不但能夠便利共享信息，還能保證信息的安全。

4.結束語

在互聯(lián)網這個不安全、不可信的網絡環(huán)境下，為了保證各種信息能安全地共享和使用，需要使用基于PKI/CA數字認證技術來實現文件的存儲和共享，文件集中共享存儲既為用戶提供安全的文件集中存儲空間，又為用戶提供安全信息共享平臺，實現了數據的私密性、信息交換的完整性、發(fā)送信息方的不可抵賴性、交換雙方身份的確定性，真正做到了五個安全（安全存儲、安全共享、安全身份、安全交換、安全讀寫），這種方法對于互聯(lián)網上信息的安全存儲和共享具有十分重要的意義。

［1］ 第27次中國互聯(lián)網絡發(fā)展統(tǒng)計報告［R］.北京：中國互聯(lián)網絡中心（CNNIC），2011.

TP309

B

1671-5136（2011）02-0112-02

2011-05-18

李文剛（1978-），男，湖南省經濟研究信息中心助理工程師。研究方向：電子政務、管理信息系統(tǒng)、信息工程。