劉麗娜

濟南職業(yè)學(xué)院 山東 250014

0 引言

OA系統(tǒng)(Office Automation,OA)作為電子政務(wù)的重要組成部分，由于其涉及的信息的特殊性，對安全性的要求越來越高。隨著OA系統(tǒng)使用量的增大、存放的數(shù)據(jù)增多，以及與業(yè)務(wù)管理更加緊密地結(jié)合，安全性就被提升到更加重要的位置。因此，如何做好OA系統(tǒng)的安全控制工作就成了一個非常重要和緊迫的課題。本文以濟南職業(yè)學(xué)院的OA系統(tǒng)為背景，研究并設(shè)計了安全高效的OA身份認(rèn)證系統(tǒng)。

1 基于PKI的數(shù)字認(rèn)證技術(shù)

公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)是一種遵循標(biāo)準(zhǔn)的密碼技術(shù)、提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI通過數(shù)字證書管理通信雙發(fā)的公有密鑰，其中國際電信聯(lián)盟的X.509定義了提供數(shù)字證書認(rèn)證服務(wù)的框架，此框架由第三方向通信雙方簽發(fā)證書。數(shù)字證書里包括用戶的身份信息，密鑰信息和第三方認(rèn)證機構(gòu)的簽名信息，所有信息具有不可抵賴性。

本文設(shè)計的PKI身份認(rèn)證系統(tǒng)為濟南職業(yè)學(xué)院的OA系統(tǒng)的應(yīng)用環(huán)境提供了一套安全基礎(chǔ)平臺。PKI包括驗證策略、軟硬件、證書認(rèn)證中心(CA)、證書簽發(fā)系統(tǒng)和PKI應(yīng)用，具體組成如圖1所示。其中，CA一般包括以下幾個部分：證書庫、注冊機構(gòu)(RA)、應(yīng)用接口和證書銷毀。

圖1 PKI體系的組成結(jié)構(gòu)

2 身份認(rèn)證體系架構(gòu)

本文設(shè)計的OA系統(tǒng)的身份認(rèn)證使用了用戶數(shù)字證書，實現(xiàn)了統(tǒng)一身份認(rèn)證管理。圖2為身份認(rèn)證方案的基礎(chǔ)框架，整個體系共分為三個層次，第一層為服務(wù)層，負(fù)責(zé)發(fā)放數(shù)字證書；第二層為中間層，實現(xiàn)數(shù)字證書綁定和應(yīng)用接口；第三層為OA系統(tǒng)應(yīng)用層，終端用戶使用數(shù)字證書進行身份認(rèn)證，實現(xiàn)應(yīng)用系統(tǒng)的訪問。

圖2 身份認(rèn)證的總體框架圖

3 身份認(rèn)證流程

基于PKI的OA身份認(rèn)證系統(tǒng)的用戶申請證書流程如圖3。首先，用戶向注冊中心提交證書申請要求，注冊中心通過信息進行審核；注冊中心將審核后的用戶證書申請請求提交給認(rèn)證機構(gòu)；認(rèn)證機構(gòu)簽署證書并且頒發(fā)用戶證書，并將證書存儲到LADP目錄服務(wù)器列表中，并將證書存放到證書數(shù)據(jù)庫中，以供用戶查詢。

圖3 用戶申請證書原理圖

用戶查詢證書原理如圖4所示，當(dāng)用戶向注冊中心提交查詢證書要求時，注冊中心通過證書庫進行證書查詢，若所查詢的證書合法，將反饋合法證書信息，若所查證書非法，將反饋非法信息。整個認(rèn)證過程可以簡單分為三個階段。第一，認(rèn)證環(huán)境的初始化階段，建立SSL連接通信，保證客戶端與服務(wù)端的通信安全；第二，證書的合法性驗證階段，在基于用戶信任列表模型下，驗證數(shù)字證書的合法、有效性；第三，持證人的身份驗證階段，是認(rèn)證的核心部分，整個認(rèn)證過程最重要的一步，驗證當(dāng)前請求服務(wù)用戶是不是證書持有者本人。具體流程如下：

(1) 客戶端用戶選自己的數(shù)字證書通過WEB服務(wù)器窗口將證書信息發(fā)送到認(rèn)證服務(wù)器進行認(rèn)證；

(2) 認(rèn)證服務(wù)器對用戶的證書進行認(rèn)證；

(3) 若認(rèn)證通過，返回成功信息，用戶身份驗證完成，登錄應(yīng)用系統(tǒng)成功；

(4) 若認(rèn)證不通過，返回失敗信息，登錄應(yīng)用系統(tǒng)不成功。

圖4 用戶認(rèn)證原理示意圖

具體認(rèn)證流程圖如圖5。

圖5 具體身份認(rèn)證的數(shù)據(jù)流程圖

用戶注銷證書流程圖如圖6，當(dāng)用戶向注冊中心提交證書注銷要求，注冊中心通過信息進行審核；注冊中心將審核后的用戶證書注銷請求提交給認(rèn)證機構(gòu)；認(rèn)證機構(gòu)簽署證書并且注銷用戶證書，同時定期更新證書失效列表。

圖6 用戶撤銷證書原理圖

4 身份認(rèn)證系統(tǒng)詳細(xì)設(shè)計

圖7 主要設(shè)計代碼

這里主要包含三部分的詳細(xì)設(shè)計：創(chuàng)建認(rèn)證機構(gòu)CA、服務(wù)器端的數(shù)據(jù)庫設(shè)計和客戶端設(shè)計。其中創(chuàng)建認(rèn)證機構(gòu)CA主要包括給CA命名、創(chuàng)建簽發(fā)證書的目錄、設(shè)置配置文件，創(chuàng)建證書序列號；數(shù)據(jù)庫系統(tǒng)的設(shè)計主要是檢查用戶名是否存在，調(diào)用運算控件進行簽名；客戶端主要工作是：當(dāng)服務(wù)器發(fā)送數(shù)字簽名等待驗證時，客戶端要相應(yīng)的給服務(wù)器發(fā)送一個數(shù)字信封來表明自己的身份，首先，與服務(wù)端一樣要進行網(wǎng)絡(luò)連接的初始化，載入用戶公、私鑰證書，建立SSL連接等，因為需要用到自身的私鑰進行解密和簽名，所以還需要從私鑰證書中讀取客戶端的私鑰內(nèi)容。各部分設(shè)計的主要代碼如圖7所示。對于客戶端來說，其主要工作是：當(dāng)服務(wù)器發(fā)送數(shù)字簽名等待驗證時，客戶端要相應(yīng)的給服務(wù)器發(fā)送一個數(shù)字信封來表明自己的身份。具體的主要代碼如圖7所示。

5 結(jié)語

本文將PKI安全技術(shù)和高校OA系統(tǒng)有效地結(jié)合，從而實現(xiàn)統(tǒng)一的身份驗7證系統(tǒng)，并輔以具體應(yīng)用案例。本文研究成果應(yīng)用到具體電子政務(wù)系統(tǒng)后，能實現(xiàn)OA系統(tǒng)的用戶身份安全管理，大大提高的安全性、可控性，促進電子政務(wù)建設(shè)的健康發(fā)展。

[1] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用.北京：電子工業(yè)出版社.2008.

[2] 崔贏,鞏建平.PKI在電子政務(wù)中的應(yīng)用.電子技術(shù).2003.

[3] 荊繼武,林璨鏘,馮登國.PKI技術(shù)(信息安全國家重點實驗室信息安全技術(shù)).北京：科學(xué)出版社.2008.