摘要：目前，寧夏電力公司大部分業(yè)務(wù)系統(tǒng)都已經(jīng)實(shí)現(xiàn)了與一體化平臺的單點(diǎn)登錄集成，而傳統(tǒng)的用戶名加口令的身份認(rèn)證方式雖然簡單、方便、易操作，但它不能抵御口令猜測攻擊與重放攻擊，因此面臨著網(wǎng)絡(luò)信息安全問題。本文提出了一種基于 usb-key的統(tǒng)一數(shù)字證書系統(tǒng)，結(jié)合現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和usb技術(shù)，它可以存儲用戶的私鑰和數(shù)字證書，是目前唯一能夠同時解決身份認(rèn)證、訪問控制、信息保密和抗抵賴的安全技術(shù)。

關(guān)鍵詞：usb-key；身份認(rèn)證；統(tǒng)一數(shù)字證書；安全接入平臺

中圖分類號：TP311.52 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 17-0000-02

1 引言

身份認(rèn)證技術(shù)是實(shí)現(xiàn)身份信息保密的重要技術(shù)，傳統(tǒng)身份認(rèn)證技術(shù)由于用戶名和口令都容易被猜解，致使用戶的合法身份被盜用。而統(tǒng)一數(shù)字證書系統(tǒng)作為一種建立在密碼技術(shù)基礎(chǔ)上的信息安全技術(shù)和安全體系架構(gòu)，利用一種形如U盤的小巧的硬件設(shè)備——usb-key，不僅可以存儲用戶私鑰和數(shù)字證書，還可以防止密鑰信息被導(dǎo)出，同時又能進(jìn)行加解密運(yùn)算，是目前唯一能夠同時解決身份認(rèn)證、訪問控制、信息保密和抗抵賴的安全技術(shù)，是保證智能電網(wǎng)及SG-ERP工程核心業(yè)務(wù)的權(quán)威性、可信任性的關(guān)鍵技術(shù)。

2 專業(yè)術(shù)語解釋

2.1 安全接入平臺

安全接入平臺介于終端用戶與業(yè)務(wù)應(yīng)用系統(tǒng)之間，是一個集中的用戶認(rèn)證管理和集成環(huán)境，可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù)，并且還可提供安全數(shù)據(jù)通訊以及安全隔離等相關(guān)服務(wù)。用戶在訪問各業(yè)務(wù)系統(tǒng)之前，并不直接與業(yè)務(wù)系統(tǒng)發(fā)生聯(lián)系，只有通過安全接入平臺的認(rèn)證和授權(quán)之后才可以訪問相應(yīng)的業(yè)務(wù)系統(tǒng)，從而有效的保證各業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

2.2 數(shù)字證書

所謂數(shù)字證書是一個由使用數(shù)字證書的用戶群所公認(rèn)和信任的權(quán)威機(jī)構(gòu)（即CA）簽署了其數(shù)字簽名的信息集合。對于用戶來說，如果他己經(jīng)安全地獲得了某一認(rèn)證機(jī)構(gòu)的數(shù)字證書，且該用戶是信任該認(rèn)證機(jī)構(gòu)的，那么該用戶就可以信任此認(rèn)證機(jī)構(gòu)頒發(fā)給其他實(shí)體的數(shù)字證書，通過目錄服務(wù)器就可以獲得此認(rèn)證機(jī)構(gòu)的任一用戶的公鑰。

我們依托PKI系統(tǒng)平臺，對所有訪問內(nèi)網(wǎng)應(yīng)用系統(tǒng)的用戶實(shí)施基于數(shù)字證書的身份認(rèn)證。為客戶端配備電子鑰匙（為服務(wù)器端配備密鑰卡），只有擁有合法證書和電子鑰匙的用戶，在成功完成認(rèn)證協(xié)議后才能實(shí)現(xiàn)訪問。

2.3 LDAP目錄服務(wù)

統(tǒng)一數(shù)字證書系統(tǒng)在信息內(nèi)外網(wǎng)分別建設(shè)了獨(dú)立的LDAP目錄服務(wù)系統(tǒng)，主要功能是維護(hù)和發(fā)布其內(nèi)部數(shù)據(jù)庫中由CA簽發(fā)的證書和證書撤銷列表CRL。目前已建的統(tǒng)一門戶目錄系統(tǒng)（即Novell ED目錄服務(wù)系統(tǒng)）保存了用戶的身份信息，是統(tǒng)一認(rèn)證系統(tǒng)對用戶身份進(jìn)行驗(yàn)證的權(quán)威源。門戶系統(tǒng)在使用數(shù)字證書作為認(rèn)證方式時，其中門戶目錄系統(tǒng)進(jìn)行用戶身份的驗(yàn)證，而數(shù)字證書目錄系統(tǒng)進(jìn)行數(shù)字證書有效性的驗(yàn)證，兩者結(jié)合起來完成用戶登錄門戶系統(tǒng)的驗(yàn)證過程。

3 身份認(rèn)證的工作流程

用戶首先在CA認(rèn)證中心申請確認(rèn)后獲得合法用戶usb-key，在usb-key中存儲著唯一的pin碼，也即每個key唯一標(biāo)示一個用戶，用戶的個人身份、密鑰以文件的形式保存在usb-key中。基于usb-key的統(tǒng)一身份認(rèn)證的操作流程是：

3.1 申請證書：通過采用基于usb-key的身份認(rèn)證技術(shù)進(jìn)行身份認(rèn)證，數(shù)字證書事先通過離線申請或在線申請，并將其預(yù)置到usb-key中，當(dāng)證書申請時，用戶使用瀏覽器通過Internet訪問安全服務(wù)器，下載CA的數(shù)字證書（又叫根證書），然后注冊機(jī)構(gòu)服務(wù)器對用戶進(jìn)行身份審核，認(rèn)可后便批準(zhǔn)用戶的證書申請，操作員對證書申請表進(jìn)行數(shù)字簽名，并將申請及其簽名一起提交給CA服務(wù)器。CA操作員獲得注冊機(jī)構(gòu)服務(wù)器操作員簽發(fā)的證書申請，發(fā)行或拒絕發(fā)行證書，并將證書通過硬拷貝的方式傳輸給注冊機(jī)構(gòu)服務(wù)器。注冊機(jī)構(gòu)服務(wù)器得到用戶的證書以后將用戶的一些信息和證書放到LDAP服務(wù)器上提供目錄瀏覽服務(wù)。

3.2 當(dāng)用戶想通過安全接入平臺訪問應(yīng)用資源或登錄業(yè)務(wù)系統(tǒng)時，首先要證明自己的合法身份，接入認(rèn)證模塊提供用戶身份認(rèn)證功能，為用戶登錄安全接入平臺提供接口，采用基于usb-key的數(shù)字證書認(rèn)證方法負(fù)責(zé)對用戶進(jìn)行統(tǒng)一的身份認(rèn)證。由安全接入平臺提供需要使用數(shù)字證書的設(shè)備與人員的證書申請信息，CA系統(tǒng)完成數(shù)字證書的簽發(fā)，安全接入平臺將數(shù)字證書導(dǎo)入到終端設(shè)備或者交給證書用戶。