摘 要：隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和信息技術(shù)的不斷發(fā)展，電子服務(wù)應(yīng)用于辦公系統(tǒng)變得越來越普遍，但隨之帶來的安全問題也不斷出現(xiàn)。由于在辦公系統(tǒng)中文件的上傳下達(dá)具有私密性，因此網(wǎng)站在對用戶提供文件服務(wù)時(shí)必須對其身份進(jìn)行確認(rèn)。本文介紹了一種常被用于金融證券等行業(yè)的數(shù)字證書身份認(rèn)證技術(shù)，并應(yīng)用于辦公系統(tǒng)，使之更安全、便捷和高效。

關(guān)鍵詞：數(shù)字證書；身份認(rèn)證；安全性

中圖分類號(hào)：TP393.08

互聯(lián)網(wǎng)的發(fā)展與普及使許多企事業(yè)單位借助于電腦來提高辦公效率。許多重要文件和機(jī)密資料都會(huì)存放在網(wǎng)絡(luò)上，所以企業(yè)在利用網(wǎng)絡(luò)進(jìn)行文件的上傳、共享和下達(dá)時(shí)必須要保證系統(tǒng)訪問的安全性。這樣就對辦公系統(tǒng)提出了更高的要求，必須具有一定的身份驗(yàn)證功能，實(shí)現(xiàn)系統(tǒng)的用戶身份安全認(rèn)證。

1 常見身份認(rèn)證方式的問題分析

目前，辦公系統(tǒng)中常用的身份認(rèn)證方式有基于用戶名+密碼式認(rèn)證、固定IP地址認(rèn)證、指紋類生物特征認(rèn)證等，但是這些方式都有比較大的局限性或不安全性。

1.1 基于“用戶名+密碼”式認(rèn)證

這種認(rèn)證方式通常采用設(shè)置用戶名和密碼的方式進(jìn)行身份認(rèn)證。該認(rèn)證方式操作較為簡單，容易實(shí)現(xiàn)，并且成本很低，受到用戶的青睞。但是，這一認(rèn)證方式的設(shè)計(jì)使用戶名在網(wǎng)絡(luò)中常以不加密的方式直接傳送，或者除用戶名外即使是最為私密的密碼大多也只是較為簡單的加密。這種方式在日趨復(fù)雜的Internet環(huán)境中容易被盜取，安全性極差。

1.2 基于固定IP地址認(rèn)證

固定IP地址認(rèn)證需要有固定IP地址的計(jì)算機(jī)才能認(rèn)證登陸，雖然使用此認(rèn)證方式在管理上可以較為便捷，但它的弊端也很明顯。當(dāng)用戶無固定的IP地址時(shí)，便無法提供身份驗(yàn)證，如用戶下班后便無法繼續(xù)使用。同時(shí)，基于IP地址的認(rèn)證方式很容易受到ARP欺騙等各種攻擊，也存在很大的安全隱患。

1.3 基于指紋等人體特征認(rèn)證

基于人體部位的認(rèn)證方式是為了進(jìn)行身份識(shí)別采樣人的某些特有的生物特性并錄入數(shù)據(jù)庫，從而完成身份識(shí)別的認(rèn)證方式。比較常見的有指紋識(shí)別認(rèn)證、聲音識(shí)別認(rèn)證、眼睛虹膜識(shí)別認(rèn)證、簽名筆跡識(shí)別認(rèn)證等。生物特征識(shí)別方式是最可靠的身份識(shí)別方式，但這種認(rèn)證方式成本較高且技術(shù)還不夠成熟穩(wěn)定，所以在識(shí)別的過程中經(jīng)常出錯(cuò)，容易給用戶帶來使用困擾和造成財(cái)務(wù)上的損失。

2 數(shù)字證書技術(shù)的概述

如今，越來越多的應(yīng)用系統(tǒng)被放置于網(wǎng)絡(luò)中，涉及涉密信息而造成企業(yè)巨大財(cái)產(chǎn)損失的案件也層出不窮。企業(yè)辦公系統(tǒng)的安全性受到很大沖擊，而將數(shù)字證書技術(shù)應(yīng)用于辦公系統(tǒng)，便能很好的解決這一問題。

2.1 數(shù)字證書的定義

數(shù)字證書是一種應(yīng)用較為普遍的維護(hù)信息安全的認(rèn)證技術(shù)。它一般由權(quán)威的第三方認(rèn)證機(jī)構(gòu)CA中心簽發(fā)。CA是PKI的核心，主要負(fù)責(zé)數(shù)字證書的簽發(fā)、辨識(shí)、管控和頒布。CA要采取一定的措施和一些具體步驟來對用戶的身份進(jìn)行識(shí)別，并對用戶證書進(jìn)行簽名，用來保證用戶對公鑰的擁有權(quán)。通俗地講，數(shù)字證書就如同現(xiàn)實(shí)中的身份證，就是用戶在網(wǎng)絡(luò)上的身份驗(yàn)證工具。數(shù)字證書建立在密碼學(xué)的基礎(chǔ)上，采用數(shù)字簽名等各種技術(shù)，在網(wǎng)絡(luò)上保證用戶信息的安全性和有效性。

CA必須行使以下功能：（1）能夠維護(hù)和管理用戶的證書和CRL；（2）可以使自身的安全得到保證；（3）完全擁有用來審核安全的憑據(jù)。

2.2 數(shù)字證書的應(yīng)用

數(shù)字證書技術(shù)的用途很廣，可用于企業(yè)辦公系統(tǒng)的政務(wù)活動(dòng)，也適用于公共網(wǎng)絡(luò)的交易活動(dòng)。它的加密手段主要是一對互相匹配的密鑰，對信息進(jìn)行加工達(dá)到加密和解密的過程。每位用戶設(shè)定擁有一把私密的密鑰，用它來對信息進(jìn)行解密和讀取。在辦公系統(tǒng)中，可以用眾所周知的公開密鑰對發(fā)送的文件等信息進(jìn)行加密處理后安全的傳送給用戶，然后用戶可以用自己特有的私鑰對信息進(jìn)行接收、解密和處理。

2.3 技術(shù)操作的流程分析

用戶使用計(jì)算機(jī)做信息采集，或通過發(fā)布軟件讓用戶自己設(shè)定數(shù)字證書，然后用戶安裝完數(shù)字證書后還需要進(jìn)一步訪問網(wǎng)站讀取信息；網(wǎng)站獲取用戶使用的數(shù)字證書信息后，完成身份認(rèn)證工作。

3 數(shù)字證書技術(shù)的操作實(shí)現(xiàn)

我們介紹的數(shù)字證書認(rèn)證技術(shù)應(yīng)用于辦公系統(tǒng)，使用的是J2EE網(wǎng)絡(luò)編程設(shè)計(jì)，力求建立一個(gè)便捷、安全、高效的身份認(rèn)證系統(tǒng)。設(shè)置使用OpenSSL開源軟件包用來對數(shù)字證書進(jìn)行生成和管理，下面以版本：openssl一1.0.0c為例來說明。

3.1 數(shù)字證書的構(gòu)建

（1）完成CA的創(chuàng)建。在CA建立之前需生成根目錄gx—ca，根目錄生成后再生成數(shù)字證書的數(shù)據(jù)庫文件。在根目錄下創(chuàng)建index.Txt文件，這主要是用于以后信息的存儲(chǔ)，創(chuàng)建完成后再生成證書的序列號(hào)文件。這些完成后修改CA的配置文件（如圖2所示）

在配置文件修改完成后便可開始生成CA證書：先建立一個(gè)CA的根私鑰文件：RSA格式，2048位openssl genrsa-des3-out gx-ca.key 2048；再用私鑰為CA建立一個(gè)自簽名的根證書文件（圖3）：

（2）用戶證書的安裝。第一步要生成用戶證書的私鑰文件：openssl genrsa-des3-out client.key 2048，OpenSSL只能通過證書來請求文件生成，而不是直接生成證書，所以需要建立用戶的證書使文件生成openssl req-new -key client.Key-out client\"req.pem-ouform PEM；然后可用CA的根證書、根私鑰對其進(jìn)行簽名并建立客戶端證書client.Pem：opensslca-in client-req.csr-out client.pem-out-fonll PEM-days 365-CAserial serial，簽發(fā)完成后，還要將密鑰文件client.Key與證書文件client.Pem進(jìn)行合并，并用openssl的pkcsl2轉(zhuǎn)換成普通瀏覽器能夠識(shí)別的數(shù)字證書格式：openssl pkcsl2-export-in client.Pem-inkey cli-ent.Key-out client.pl12；最后，根CA為客戶端簽發(fā)證書client.pl12結(jié)束后，用戶就可以把該證書安裝到瀏覽器中，并能利用數(shù)字證書技術(shù)進(jìn)行安全的辦公網(wǎng)絡(luò)信息處理。

（3）數(shù)字證書的移除。當(dāng)用戶由于離職等原因，要解除他對辦公系統(tǒng)的訪問權(quán)限，或者該用戶的數(shù)字證書出現(xiàn)故障不能繼續(xù)使用，需要對安裝的數(shù)字證書進(jìn)行移除和銷毀。證書被移除后還要重新發(fā)布數(shù)字證書注銷列表文件：openssl ca-gencrl-out gx-ca.crl。最后可以驗(yàn)證列表中的CA簽名信息：openssl crl-ingx-ca.crl—no0ut—CA6le gx-ca.pem。如果注銷后需要重新創(chuàng)建數(shù)字證書，只需再進(jìn)行一遍安裝操作即可。

3.2 數(shù)字證書的認(rèn)證

數(shù)字證書認(rèn)證服務(wù)是數(shù)字證書在CA證書中心生成并頒發(fā)給用戶后，由用戶將其安裝到計(jì)算機(jī)所使用的瀏覽器中。當(dāng)用戶登錄訪問辦公系統(tǒng)進(jìn)行信息讀取或發(fā)布時(shí)，數(shù)字認(rèn)證系統(tǒng)就會(huì)讀取安裝在用戶瀏覽器上的數(shù)字證書文件，并對用戶的身份進(jìn)行驗(yàn)證和審核。

4 數(shù)字證書技術(shù)的應(yīng)用改進(jìn)

4.1 數(shù)字證書認(rèn)證與其他認(rèn)證方式的結(jié)合

對大型企業(yè)的辦公系統(tǒng)或機(jī)密性較高的使用者，對不同人群不同文件的訪問權(quán)限又有著不同的要求。不防將其粗分為初級(jí)權(quán)限、中級(jí)權(quán)限和高級(jí)權(quán)限三個(gè)層次。這三個(gè)層次的用戶對辦公系統(tǒng)的訪問權(quán)限有著較為明顯的不同的安全需求和區(qū)分。我們可以結(jié)合其他的認(rèn)證方式，如基于數(shù)字證書的認(rèn)證方式、基于公鑰的Kerberos認(rèn)證方式和基于對稱密碼的動(dòng)態(tài)口令認(rèn)證方式，對三種用戶分別授權(quán)認(rèn)證，從而實(shí)現(xiàn)經(jīng)濟(jì)性、安全性和高效性的合理建構(gòu)。

4.2 數(shù)字證書技術(shù)應(yīng)用于辦公系統(tǒng)的改進(jìn)

數(shù)字證書技術(shù)應(yīng)用于辦公系統(tǒng)彌補(bǔ)了無固定IP地址用戶的身份認(rèn)證、用戶名+密碼等認(rèn)證方式的不足。但是數(shù)字證書技術(shù)安全認(rèn)證需要在設(shè)定的計(jì)算機(jī)上才能實(shí)現(xiàn)，這就造成了用戶使用系統(tǒng)中信息的地點(diǎn)具有局限性，無法在未安裝證書的計(jì)算機(jī)上進(jìn)行信息的發(fā)布和讀取。為此，可以對技術(shù)進(jìn)一步升級(jí)處理，將證書與eKey進(jìn)行結(jié)合就解決了訪問地點(diǎn)受限的問題。俗稱密碼鎖，即電子密碼鑰匙，類似于一個(gè)U盤方便攜帶。如果用戶丟失，撿到的人由于不知道eKey所特有的PIN碼，就無法替代用戶進(jìn)行身份認(rèn)證。所以，數(shù)字證書與電子密匙相結(jié)合的方式就能很好的解決數(shù)字證書技術(shù)訪問的地域限制。

5 結(jié)束語

數(shù)字證書是用戶的網(wǎng)上身份證，可以維護(hù)網(wǎng)上身份的合法性、正確性、機(jī)密性。數(shù)字證書應(yīng)用是實(shí)施公鑰基礎(chǔ)設(shè)施的重要手段之一，隨著信息化的飛速發(fā)展和計(jì)算機(jī)的快速應(yīng)用，網(wǎng)絡(luò)辦公也日益普及。而隨之而來的網(wǎng)絡(luò)信息安全問題必將日趨嚴(yán)重，我們期待數(shù)字證書這一便捷、安全、有效的身份認(rèn)證技術(shù)會(huì)在辦公系統(tǒng)領(lǐng)域中發(fā)揮更為廣泛的作用。

參考文獻(xiàn)：

[1]陳立志，李鳳華，戴英俠.基于動(dòng)態(tài)口令的身份認(rèn)證機(jī)制及其安全性分析[J].計(jì)算機(jī)工程，2002（10）：48-49.

[2]王利霞，高麗嬸，李建華.身份認(rèn)證技術(shù)在網(wǎng)站中的應(yīng)用[J].河北建筑工程學(xué)院學(xué)報(bào)，2009（02）：ll0-l13.

[3]王波，王丈海.基于數(shù)字證書的eKey安全登錄與身份認(rèn)證技術(shù)研究[J].計(jì)算機(jī)與信息技術(shù)，2010（06）：11-16.

[4]盧開澄.計(jì)算機(jī)密碼學(xué)——計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全[M].北京：清華大學(xué)出版社，2003.

[5]李京順.口令安全管理[J].電腦與信息技術(shù)，2006（08）：76-78.

作者簡介：沈張一（1993.07-），男，浙江雉城人，本科在讀，研究方向：信息安全。

作者單位：杭州電子科技大學(xué) 通信工程學(xué)院，杭州 310018