楊 斐

（阜陽(yáng)職業(yè)技術(shù)學(xué)院工程科技學(xué)院 安徽 阜陽(yáng) 236031）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了數(shù)字化校園網(wǎng)絡(luò)并投入使用，這對(duì)加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享都起到了無(wú)法估量的作用。在數(shù)字化校園建設(shè)中，網(wǎng)絡(luò)安全體系建設(shè)是最基礎(chǔ)也是最重要的一步。然而，阜陽(yáng)職業(yè)技術(shù)學(xué)院校園網(wǎng)擁有近萬(wàn)人的教師和學(xué)生用戶，而且應(yīng)用繁多，主要有DNS、VPN、WWW、FTP、辦公自動(dòng)化系統(tǒng) 、圖書、教務(wù)、財(cái)務(wù)等各種基礎(chǔ)服務(wù)和應(yīng)用系統(tǒng)。校園網(wǎng)環(huán)境開(kāi)放，用戶活躍，數(shù)據(jù)資源集中，不同的應(yīng)用又有不同的安全需求。

因此，在數(shù)字化校園網(wǎng)絡(luò)安全體系建設(shè)中，對(duì)身份識(shí)別和安全加密有很高的需求。校園網(wǎng)上大量傳統(tǒng)的C/S應(yīng)用是基于帳號(hào)/口令進(jìn)行身份認(rèn)證和訪問(wèn)授權(quán)的[1]。這種方式中每個(gè)應(yīng)用一般獨(dú)立維護(hù)自己的口令數(shù)據(jù)庫(kù)，這不但增加了系統(tǒng)管理維護(hù)的成本，而且增加了用戶的記憶和輸入負(fù)擔(dān)，降低了工作效率。更為嚴(yán)重的是，由于用戶通常在不同信息價(jià)值級(jí)別的系統(tǒng)中設(shè)置相同的口令，這樣當(dāng)?shù)蛢r(jià)值級(jí)別的系統(tǒng)口令泄漏時(shí)，會(huì)影響到高價(jià)值級(jí)別的系統(tǒng)安全性[2]。雖然統(tǒng)一身份認(rèn)證系統(tǒng)可以解決這一問(wèn)題，但是隨之而來(lái)的數(shù)據(jù)安全和信任問(wèn)題又需要更好的系統(tǒng)來(lái)解決，這就需要引入PKI技術(shù)。

1 PKI公鑰基礎(chǔ)設(shè)施簡(jiǎn)介

公鑰基礎(chǔ)設(shè)施，PKI，是Public Key Infrastructure的縮寫，它是國(guó)際上解決開(kāi)放式互聯(lián)網(wǎng)信息安全需求的一套體系。PKI支持身份認(rèn)證，信息傳輸、存儲(chǔ)的完整性，消息傳輸、存儲(chǔ)的機(jī)密性，以及操作的不可否認(rèn)性。“基礎(chǔ)設(shè)施”的作用，就是不同的實(shí)體在遵循必要原則的前提下都可以方便地使用基礎(chǔ)設(shè)施提供的服務(wù)。

PKI的核心是認(rèn)證中心（Certificate Authority，CA），用于發(fā)放一個(gè)叫“數(shù)字證書”的身份證明。這個(gè)數(shù)字證書包含了用戶身份的部分信息，以及用戶持有的公鑰CA利用本身的私鑰為數(shù)字證書加上了數(shù)字簽名。因此，PKI的核心技術(shù)基礎(chǔ)是公鑰密碼學(xué)的“加密”和“簽名”。完整的PKI認(rèn)證系統(tǒng)主要包括以下幾個(gè)部分。

1.1 證書中心

證書中心CA：一個(gè)或多個(gè)用戶信任的權(quán)威，有權(quán)創(chuàng)建和頒發(fā)公鑰證書。在證書的整個(gè)生命周期中，CA都要為其負(fù)責(zé)而不僅僅是起頒發(fā)證書的作用。

CA是很多PKI的關(guān)鍵組成部分。如果將數(shù)字證書看做是身份證的話，那么CA就相當(dāng)于公安局，起到一個(gè)發(fā)證單位的作用。在PKI中，CA負(fù)責(zé)頒發(fā)、管理和撤銷一組最終用戶的證書。CA執(zhí)行著認(rèn)證其最終用戶的作用，并在分發(fā)用戶信息之前用自己的私鑰對(duì)其進(jìn)行數(shù)字簽名。CA最終負(fù)責(zé)其所有最終用戶的真實(shí)性。

1.2 注冊(cè)中心

注冊(cè)中心（Registration Authority，RA）：一個(gè)任意實(shí)體，負(fù)責(zé)在為某個(gè)主體注冊(cè)時(shí)履行一些必要的管理任務(wù)。注冊(cè)過(guò)程即主體第一次被CA了解的過(guò)程，優(yōu)先于CA為主體頒發(fā)公鑰證書。注冊(cè)要求實(shí)體提供如用戶名、域名全稱、IP地址以及其他一些需要放進(jìn)公鑰證書里的屬性信息，用以證實(shí)在證書運(yùn)行聲明（CPS）中所聲稱的用戶名以及其他屬性的正確性。

1.3 目錄服務(wù)器

目錄是信息資料庫(kù)，它以邏輯順序組織來(lái)進(jìn)行快速簡(jiǎn)化和簡(jiǎn)單查找。系統(tǒng)和應(yīng)用依靠這些目錄中的信息來(lái)進(jìn)行操作。

2 校園網(wǎng)身份認(rèn)證中心CA模型的設(shè)計(jì)

如何建立適用校園網(wǎng)的PKI系統(tǒng)模型必須充分考慮不同學(xué)校校園網(wǎng)絡(luò)的特殊環(huán)境。鑒于阜陽(yáng)職業(yè)技術(shù)學(xué)院目前已是安徽省示范高職院校且正在進(jìn)行國(guó)家骨干高職院校的建設(shè)等情況，以及未來(lái)前景規(guī)劃，建立一個(gè)滿足校園網(wǎng)安全的PKI系統(tǒng)，將PKI廣泛而有效的應(yīng)用于校園網(wǎng)的安全認(rèn)證是接目前數(shù)字化校園網(wǎng)建設(shè)的主要內(nèi)容。

2.1 阜陽(yáng)職業(yè)技術(shù)學(xué)院數(shù)字化校園建設(shè)框架

阜陽(yáng)職業(yè)技術(shù)學(xué)院數(shù)字化校園信息平臺(tái)是全方位的管理信息平臺(tái)與信息服務(wù)平臺(tái)，它將學(xué)?，F(xiàn)有的網(wǎng)絡(luò)作為基礎(chǔ)，建立在學(xué)校統(tǒng)一公共數(shù)據(jù)平臺(tái)之上，并且作為一種人性化、科技化、透明化手段服務(wù)全校師生的科學(xué)、科研、生活，廣泛納入學(xué)校的信息化標(biāo)準(zhǔn)管理、學(xué)校管理、教學(xué)管理、學(xué)生評(píng)教、教職工管理、學(xué)生工作管理、科研管理、財(cái)務(wù)管理、資產(chǎn)與設(shè)備管理、行政辦公管理、數(shù)字圖書資料管理等等。阜陽(yáng)職業(yè)技術(shù)學(xué)院正是以開(kāi)放的、積極的態(tài)度，實(shí)現(xiàn)學(xué)院優(yōu)質(zhì)教學(xué)資源區(qū)域共享，輻射與帶動(dòng)周邊區(qū)域的職業(yè)教育，有效促進(jìn)了皖西北地區(qū)職業(yè)教育的健康、快速發(fā)展。

阜陽(yáng)職業(yè)技術(shù)學(xué)院數(shù)字化校園信息平臺(tái)總體框架的設(shè)計(jì)遵循可持續(xù)發(fā)展原則，以長(zhǎng)遠(yuǎn)的觀點(diǎn)進(jìn)行總體規(guī)劃，既要有利于目前校園網(wǎng)系統(tǒng)的整合，也要保證以后系統(tǒng)的順利擴(kuò)展，在軟硬件建設(shè)上保持可持續(xù)發(fā)展。學(xué)校數(shù)字化校園要以“三大中心”來(lái)進(jìn)行規(guī)劃建設(shè)，即校園管理中心、校園服務(wù)中心和校園資源中心。與此同時(shí)，數(shù)字化校園將完成學(xué)校信息系統(tǒng)的整合（數(shù)據(jù)應(yīng)用的集成、應(yīng)用界面的集成、統(tǒng)一身份認(rèn)證集成、業(yè)務(wù)流程的集成與重組）。

2.2 認(rèn)證中心CA模型的設(shè)計(jì)

由于校園網(wǎng)本身是一個(gè)綜合的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。對(duì)于這種復(fù)雜的系統(tǒng)必須進(jìn)行統(tǒng)一的認(rèn)證，否則可能會(huì)出現(xiàn)以下的問(wèn)題：

1）一個(gè)用戶需要記住多個(gè)不同的用戶名和密碼來(lái)登錄不同的應(yīng)用系統(tǒng)，這樣給用戶帶來(lái)了諸多使用上的不便。

2）校園網(wǎng)中各應(yīng)用系統(tǒng)都采用各自獨(dú)立的認(rèn)證和管理系統(tǒng)，對(duì)校園網(wǎng)的維護(hù)造成不便。

3）有些用戶在離開(kāi)學(xué)校后由于缺乏管理，仍然能夠使用校園網(wǎng)內(nèi)的一些業(yè)務(wù)。

認(rèn)證模型的選擇要充分考慮到不同學(xué)校的具體情況。阜陽(yáng)職業(yè)技術(shù)學(xué)院目前只有一個(gè)校區(qū)占地約400畝，新校區(qū)一千余畝正在實(shí)施規(guī)劃中?？紤]到體系結(jié)構(gòu)的擴(kuò)展性，決定采用二層CA結(jié)構(gòu)。整個(gè)認(rèn)證體系有一個(gè)根CA，下級(jí)CA分布于兩個(gè)不同的校區(qū)。這樣可以分布存放教職員工的證書，避免證書在Internet傳輸帶來(lái)的不安全性。同時(shí)這種結(jié)構(gòu)還具有良好的擴(kuò)展性，當(dāng)我院還需增加新校區(qū)時(shí)，只需要增加一個(gè)二級(jí)CA即可，而不需修改整個(gè)認(rèn)證體系的結(jié)構(gòu)。

本系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示，采用兩層CA，多RA結(jié)構(gòu)。其中，根CA采用離線方式，二級(jí)CA采用在線方式與RA相連，校園網(wǎng)內(nèi)部在線數(shù)據(jù)通信采用SSL安全套階層協(xié)議。本地?cái)?shù)據(jù)采用加密設(shè)備加密后存放在本地磁盤，一些重要數(shù)據(jù)存放在密碼設(shè)備預(yù)留的空間內(nèi)。

圖1 本系統(tǒng)邏輯結(jié)構(gòu)

本系統(tǒng)主要由根CA、二級(jí)CA、RA、LDAP目錄服務(wù)和本地?cái)?shù)據(jù)幾個(gè)組成部分。一般情況下CA都有一個(gè)內(nèi)部數(shù)據(jù)庫(kù)用于存放頒發(fā)的證書。為了避免用戶直接訪問(wèn)這個(gè)數(shù)據(jù)庫(kù)造成安全隱患，將CA產(chǎn)生的證書和證書撤銷列表存放在LDAP 目錄中[4]。

對(duì)該模型進(jìn)行說(shuō)明：

1）該校園網(wǎng)PKI系統(tǒng)只有一個(gè)根CA，是本系統(tǒng)最高管理機(jī)構(gòu)，它負(fù)責(zé)生成和維護(hù)根CA證書，對(duì)密鑰的生成采用最安全的管理方式即只有用戶自己擁有私鑰，CA/RA不會(huì)要求得到私鑰。同時(shí)根CA還負(fù)責(zé)二級(jí)CA的初始化并簽發(fā)證書，與其他根CA進(jìn)行交叉認(rèn)證，擴(kuò)展證書的使用范圍[3]。

給兩個(gè)分校區(qū)都設(shè)立一個(gè)下級(jí)C A。二級(jí)CA負(fù)責(zé)證書的生成、更新和撤銷，發(fā)布證書撤銷列表到目錄服務(wù)器LDAP，維護(hù)證書撤銷列表和證書數(shù)據(jù)庫(kù)，保證本地?cái)?shù)據(jù)的安全。注冊(cè)功能從CA中分離出來(lái)，在一個(gè)子CA下，根CA只給二級(jí)CA頒發(fā)證書，同時(shí)與其他PKI信任域進(jìn)行交叉認(rèn)證，從而擴(kuò)大證書的使用范圍。屬于不同校區(qū)的每個(gè)部門都有一個(gè)RA與之相連。該部門的學(xué)生和教職工都只能去該RA上申請(qǐng)證書。

2）在整個(gè)校園網(wǎng)PKI系統(tǒng)初始化時(shí)要產(chǎn)生一系列證書。根CA要簽發(fā)一張自簽名證書。根CA要為每一個(gè)下級(jí)CA簽發(fā)證書。下級(jí)C A要為每個(gè)與它相連的RA簽發(fā)證書。當(dāng)在校園網(wǎng)PKI系統(tǒng)運(yùn)行中新增加一個(gè)下級(jí)CA，則根CA要為它簽發(fā)證書，同樣，當(dāng)一個(gè)下級(jí)CA增加一個(gè)RA，則該下級(jí)CA也要為此RA簽發(fā)證書。

3）由于我校共有兩院三系一部，還有各行政單位及教輔機(jī)構(gòu)，部門較多，需要搭建多個(gè)RA服務(wù)器。他們位于用戶和CA之間，為用戶提供一個(gè)接口。通過(guò)獲取并驗(yàn)證用戶的身份，向CA提出證書請(qǐng)求來(lái)完成收集用戶信息和確認(rèn)用戶身份等功能。RA系統(tǒng)既要和CA通信，又要和用戶進(jìn)行交互，在本系統(tǒng)中相當(dāng)于一個(gè)中間系統(tǒng)，采用B/S結(jié)構(gòu)進(jìn)行搭建，可以更好的提高程序的穩(wěn)定性。

4）證書庫(kù)與證書撤銷列表庫(kù)位于不同的LDAP目錄中。其中提供CRL服務(wù)的庫(kù)可以由用戶直接訪問(wèn)，為了保證系統(tǒng)的安全性，證書庫(kù)則不能由用戶直接訪問(wèn)。

5）數(shù)據(jù)傳輸時(shí)采用SSL安全套接層協(xié)議，通信數(shù)據(jù)使用加密技術(shù)，保證通信的安全。

3 總結(jié)

本系統(tǒng)是根據(jù)阜陽(yáng)職業(yè)技術(shù)學(xué)院校園網(wǎng)現(xiàn)階段的特點(diǎn)及未來(lái)發(fā)展規(guī)劃，選擇采用了分層的PKI結(jié)構(gòu)?，F(xiàn)將這種結(jié)構(gòu)的優(yōu)缺點(diǎn)做一分析[4]。

3.1 分層結(jié)構(gòu)的PKI升級(jí)比較簡(jiǎn)單。如果有新的部門加入，根CA只需與此部門的CA建立信任關(guān)系即可。

3.2 分層結(jié)構(gòu)的認(rèn)證過(guò)程是單向的，認(rèn)證路徑較容易建立，從用戶證書到信任點(diǎn)路徑簡(jiǎn)單明確。

3.3 認(rèn)證路徑相對(duì)較短。

3.4 分層結(jié)構(gòu)中的用戶根據(jù)CA的位置就可以確定證書的明確應(yīng)用，因此分層結(jié)構(gòu)中的證書更小、更簡(jiǎn)單。

3.5 分層結(jié)構(gòu)只有一個(gè)信任點(diǎn)即根CA，如果該信任點(diǎn)失效或泄漏，后果將是災(zāi)難性的。因此本系統(tǒng)根CA采用離線注冊(cè)方式，并保持物理上的隔離，給用戶的注冊(cè)帶來(lái)了不便，但是能夠保證系統(tǒng)良好的安全性[5]。

［1］龍銀香.應(yīng)用PKI構(gòu)建校園網(wǎng)的安全環(huán)境[J].微計(jì)算機(jī)應(yīng)用,2005(4).

［2］楊波，王常吉，段海新，等.基于PKI/PMI的校園網(wǎng)安全單一登錄方案[J].計(jì)算機(jī)工程與應(yīng)用，2004.

［3］李志民.PKI交叉認(rèn)證的研究[J].中國(guó)管理信息化，2006（9）.

［4］聶維，梁新月.校園網(wǎng)PKI系統(tǒng)模型研究與設(shè)計(jì)[J].咸陽(yáng)師范學(xué)院院報(bào)，2009（2）.

［5］唐潔，張?jiān)铝?PKI研究以及在數(shù)字化校園中的應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展，2008（8）.