趙 可

濟(jì)南奧林匹克體育中心，山東濟(jì)南 250102

1 PKI/CA 技術(shù)淺析

1.1 密碼技術(shù)

密碼技術(shù)是用來保證信息安全的一種必要手段，是信息安全的核心。從數(shù)學(xué)角度講，加密是一種從“明文”定義域到“密文”值域的函數(shù)，解密是加密的反函數(shù)。

1.2 公開密鑰基礎(chǔ)架構(gòu)體系（PKI）

PKI 是“Public Key Infrastructure”的縮寫，PKI 是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。PKI 由數(shù)字證書、證書頒發(fā)機(jī)構(gòu) (CA) 以及核實(shí)和驗(yàn)證通過公鑰加密方法進(jìn)行電子政務(wù)的每一方的合法性的其他注冊頒發(fā)機(jī)構(gòu)所構(gòu)成。迄今為止的所有公鑰密碼體系中，RSA 算法是最著名、使用最廣泛的一種。

1.3 數(shù)字證書

數(shù)字證書又稱為數(shù)字標(biāo)識（Digital Certificate，Digital ID）。它提供了一種在Internet 上身份驗(yàn)證的方式，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機(jī)駕照或日常生活中的身份證相似。

1.4 電子簽名法

《中華人民共和國電子簽名法》于2005 年4 月1 日正式施行。法律規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力?！峨娮雍灻ā返氖┬?，標(biāo)志著我國首部“真正意義上的信息化法律”正式誕生，它將對我國電子政務(wù)的發(fā)展起到至關(guān)重要的促進(jìn)作用。

2 電子政務(wù)安全支撐平臺

2.1 作用和意義

構(gòu)建以公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)和授權(quán)管理基礎(chǔ)設(shè)施（PMI）技術(shù)為核心的電子政務(wù)安全支撐平臺，旨在滿足電子政務(wù)業(yè)務(wù)信息系統(tǒng)運(yùn)作流程中遇到的身份識別、權(quán)限控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、抗抵賴等多種安全需求。電子政務(wù)安全支撐平臺主要負(fù)責(zé)數(shù)字安全證書的申請受理、認(rèn)證、制作、簽發(fā)和管理，為開展電子政務(wù)提供身份認(rèn)證、數(shù)字簽名、證書目錄查詢、電子公證、安全電子郵件等服務(wù)，為城市信息化建設(shè)提供安全保障。

2.2 各子系統(tǒng)工作原理

2.2.1 認(rèn)證系統(tǒng)

證書認(rèn)證（CA）中心負(fù)責(zé)用戶注冊、證書/注銷列表生成與簽發(fā)、證書/注銷列表存儲與發(fā)布、證書狀態(tài)查詢、證書管理控制和策略配置、安全審計(jì)管理等。密鑰管理（KM）中心提供加密證書密鑰對的管理功能，作為獨(dú)立運(yùn)行的系統(tǒng)，可為一個(gè)或多個(gè)認(rèn)證系統(tǒng)提供密鑰管理服務(wù)，實(shí)現(xiàn)密鑰的產(chǎn)生、存儲、分發(fā)、更新、撤銷、歸檔、恢復(fù)等密鑰管理服務(wù)。

2.2.2 授權(quán)系統(tǒng)

授權(quán)系統(tǒng)對用戶主體進(jìn)行權(quán)限管理，實(shí)現(xiàn)對計(jì)算機(jī)系統(tǒng)中的受控資源進(jìn)行訪問許可，受控資源表示系統(tǒng)中需要進(jìn)行訪問控制的資源，訪問類型是指對于相應(yīng)的受控對象的訪問控制，如：讀取、修改、刪除等等。

2.2.3 數(shù)字時(shí)間戳

數(shù)字時(shí)間戳（DTS：digital time stamp）是信息安全服務(wù)項(xiàng)目之一，提供電子文件日期和時(shí)間信息的安全保護(hù)。DTS是一個(gè)經(jīng)加密形成的憑證文檔，包括需加DTS 的文件摘要、DTS 收到文件的日期和時(shí)間、DTS 的數(shù)字簽名。

2.2.4 PKI 中間件

PKI 中間件是以PKI 為基礎(chǔ)，遵循國際、國內(nèi)安全標(biāo)準(zhǔn)，面向信息安全應(yīng)用，提供數(shù)字證書安全服務(wù)的開放式中間件。通過PKI 中間件與信息系統(tǒng)的集成，可以實(shí)現(xiàn)不同層面的系統(tǒng)安全。諸如Java Applet、WWW 服務(wù)器插件和應(yīng)用服務(wù)器端Java Servlets 等都需要數(shù)據(jù)加解密、密鑰生成、數(shù)字簽名等密碼運(yùn)算和證書管理，應(yīng)根據(jù)具體應(yīng)用環(huán)境選用不同的加密設(shè)備。

2.2.5 PMI 中間件

身份驗(yàn)證組件用于鑒別用戶身份，應(yīng)用系統(tǒng)根據(jù)自身安全需要選擇使用強(qiáng)/弱身份認(rèn)證。權(quán)限驗(yàn)證組件用于審查合法用戶的訪問權(quán)限，對于合法用戶，該組件將從LDAP 服務(wù)器上獲得用戶屬性證書，根據(jù)授權(quán)管理訪問策略，判斷是否授權(quán)用戶訪問。

3 PKI/CA 技術(shù)應(yīng)用

3.1 開機(jī)登錄

將加密硬件設(shè)備安裝于電腦主機(jī)上，當(dāng)打開主機(jī)時(shí)，系統(tǒng)會驗(yàn)證使用者的身份。這時(shí)只有證書的合法持有人將載有證書TTL 電平信號中的一些可能存在的毛刺波形，同時(shí)增加信號的驅(qū)動能力，提高了信號在傳輸過程中的抗干擾性。將去擾整形后的TTL 電平信號送至單片機(jī)89C2051 的INT0 端。

IRIG-B 時(shí)間碼經(jīng)過單片機(jī)的處理后，解碼出各種時(shí)間信息，通過TXD 引腳送入MAX232 芯片，轉(zhuǎn)為RS232 電平信號后送到串口輸出端子，供給需進(jìn)行時(shí)間同步的各類裝置設(shè)備對時(shí)使用。另外，根據(jù)IRIG-B 時(shí)間碼的參考幀標(biāo)志信息，由單片機(jī)P1.5 引腳輸入一路秒脈沖對時(shí)信息。為提高輸出秒脈沖信息的抗干擾性及增加驅(qū)動能力，將其經(jīng)光耦TLP521 隔離后送至輸出端口。秒脈沖采用靜態(tài)空接點(diǎn)的方式輸出，可通過短接塊完成有源輸出和無源輸出兩種方式之間的切換。

4 軟件程序設(shè)計(jì)

幀參考標(biāo)志、“秒”、“分”、“時(shí)”、“天”、“年”的BCD 碼、計(jì)日的二進(jìn)制秒等信息可分別存放在單片機(jī)內(nèi)部RAM 中可位尋址的20H～29H 單元中，根據(jù)代表“1”、“0”的碼元寬度對相應(yīng)的位置1 或清0。

關(guān)于脈寬的判斷，本設(shè)計(jì)采用單片機(jī)內(nèi)部時(shí)鐘，為定時(shí)器T0 賦計(jì)時(shí)0.5ms 的初值。當(dāng)INT0 引腳接收的信號的電平由低變高的時(shí)候，打開T0 定時(shí)器，則T0 定時(shí)器開始計(jì)時(shí)，當(dāng)計(jì)滿0.5ms 時(shí)，進(jìn)入T0 中斷，T0 中斷程序即對發(fā)生0.5ms 的次數(shù)進(jìn)行計(jì)數(shù)，計(jì)數(shù)器加1；當(dāng)INT0 引腳電平由高變低時(shí)，關(guān)閉T0 定時(shí)器停止計(jì)時(shí)，通過讀取T0 中斷中計(jì)數(shù)器的值來計(jì)算來自INT0 引腳的脈沖寬度，脈沖寬度即等于計(jì)數(shù)值乘以0.5ms。當(dāng)脈沖寬度在1.5-3.5ms 范圍內(nèi)時(shí)，認(rèn)為脈寬為2ms，即為二進(jìn)制0 碼元；當(dāng)脈沖寬度在3.5-6.5ms 范圍內(nèi)時(shí)，認(rèn)為脈寬為5ms，即為二進(jìn)制1 碼元；當(dāng)脈沖寬度＞6.5ms 時(shí)，認(rèn)為脈寬為8ms，即為位置識別標(biāo)志碼元。根據(jù)脈沖寬度解碼出IRIG-B 碼中所包含的各種時(shí)間信息，并存入單片機(jī)的內(nèi)部RAM 單元中。根據(jù)年份，將天數(shù)換算成月份和日期。

除了送出絕對時(shí)標(biāo)信息外，在幀參考標(biāo)志上升沿出現(xiàn)時(shí)，可同時(shí)送出另外一種對時(shí)方式，即脈寬約為100ms 的秒脈沖信息。在幀參考標(biāo)志上升沿出現(xiàn)時(shí)，將P1.5 置1，由于每個(gè)碼元寬度為10ms，因此當(dāng)計(jì)數(shù)到十個(gè)碼元時(shí)清零P1.5，即形成脈寬為100ms 的秒脈沖。

本程序最終通過串行口中斷程序輸出解碼后的時(shí)間信息，并同時(shí)自P1.5 腳輸出脈寬為100ms 的秒脈沖信息。為了獲得準(zhǔn)確完整的時(shí)間信息后再進(jìn)行輸出，本設(shè)計(jì)在主程序開始前先進(jìn)行通過一個(gè)子程序進(jìn)行一次預(yù)對時(shí)，以確保時(shí)間信息的準(zhǔn)確性。而串口中斷程序是用一個(gè)循環(huán)語句將連續(xù)單元存放的處理過的時(shí)間信息陸續(xù)送出。

本設(shè)計(jì)程序的關(guān)鍵在于如何處理當(dāng)前接收的信息與輸出的信息之間的時(shí)間差問題。由于在接收到當(dāng)前一秒的時(shí)間信息時(shí)，解出的時(shí)間信息已經(jīng)滯后，若不經(jīng)過加一秒處理即送出，則此時(shí)間信息剛好比B 碼標(biāo)準(zhǔn)時(shí)間滯后一秒。因此，需要將此時(shí)的時(shí)間信息進(jìn)行加一秒處理，在下一秒的幀參考標(biāo)志上升沿出現(xiàn)時(shí)將經(jīng)過加一秒處理過的時(shí)間信息送出去，這時(shí)送出去的時(shí)間信息與B 碼標(biāo)準(zhǔn)時(shí)間才是同步吻合的。時(shí)間信息在經(jīng)過加1 秒處理后除了秒信息發(fā)生變化外，可能還會產(chǎn)生年月日時(shí)分及一年中天數(shù)的變化，由于月份又有大月、小月、閏月之分，閏月可通過年除以4 取余的方法判斷是否為閏年，再進(jìn)行相應(yīng)月份、日期的處理。因此，時(shí)間每加一秒，都要考慮到這些信息的變化；又因?yàn)闀r(shí)間的不可重復(fù)性，因此在編程時(shí)要充分考慮到各種可能引起時(shí)間信息變化的因素。

4 結(jié)論

本IRIG-B 解碼裝置有電路設(shè)計(jì)簡捷、性能穩(wěn)定、抗干擾能力強(qiáng)、體積小等優(yōu)點(diǎn)，而且所用CPU 芯片采用市場上通用ATMEL 公司的89C2051 單片機(jī)，具有很高的性價(jià)比。近年來，中國、西歐、美國等許多國家生產(chǎn)的電力系統(tǒng)配電設(shè)備、遙測設(shè)備等，與時(shí)間系統(tǒng)的接口大都采用IRIG-B 碼格式，因此IRIG-B 格式時(shí)間碼的應(yīng)用日趨廣泛。從本IRIG-B 時(shí)間解碼裝置中解調(diào)出來的1pps 標(biāo)準(zhǔn)秒脈沖信號，亦可為一些時(shí)統(tǒng)設(shè)備提供對時(shí)之用，因此本裝置具有較高的應(yīng)用價(jià)值。

[1]馬紅皎，胡永輝.GPS&IRIG-B 碼時(shí)間系統(tǒng)分析.電子科技，2005(7):21-25.

[2]劉浩，蘇理，丁敏.IRIG-B 碼對時(shí)在保護(hù)測控裝置中的實(shí)現(xiàn).江蘇電機(jī)工程，2007(1):48-50.

[3]雷震，魏豐.IRIG-B格式時(shí)間碼在GPS同步時(shí)鐘卡中的應(yīng)用.現(xiàn)代電子技術(shù)，2004(5):75-79.

[4]朱祖揚(yáng)，薛兵.基于IRIG-A 碼輸出的超小型GPS時(shí)鐘設(shè)計(jì).單片機(jī)與嵌入式系統(tǒng)應(yīng)用，2006(12):22-24.

[5]何立民.單片機(jī)高級教程-應(yīng)用與設(shè)計(jì)（第2版）.北京：北京航空航天大學(xué)出版社，2007.