校园PKI系统体系结构规划和功能设计.pdfVIP

132 福 建 电 脑 2009年第 l2期 校园PKI系统体系结构规划和功能设计 陈伟川 (广东金融学院 广东 广州 510521) 摘【 要】：以广东金融学院的组织结构特点和校园网特点为基础，规划了PKI系统体系结构并设计了CA和 RA 系 统的核心功能。为学校的网络应用提供统一的安全基础平 台。 【关键词】：PKI； 因网；CA；RA O、引言 (2)分校区认证与层次设置。建立适用校园网的PKI系统的 PKI是一个用公钥概念与技术来实施和提供安全服务、具 模型，必须充分考虑到校园网的特殊环境。广东金融学院主要包 有普遍适用性的安全基础设施 。作为一个普适性安全基础设施 。 括校本部和肇庆分校两大部分．其中校本部是网络的主要部分。 最大的益处是在整个环境中实施的是单一的、可信的安全技术。 考虑到体系结构的扩展性 。这里采用层次CA体系结构 。CA共 提供与设备无关的安全服务 。无论是 电子邮件应用 、Web洲览 分两层 ．校园网PKI系统有一个根CA．每一个不同地方的分校 器、防火墙、远程访问设备、应用服务器、文件服务器、数据库 ，还 或二级学院都有一个CA。每增加一个不同地方的校区，则不需 是更多的其他设备 ．都能够用一种统一的方式理解和使用安全 要改变这个 P 系统 的结构 ．而只需 由根 CA签发一个新的下 基础设施提供的服务 。根据 RFC2510标准中的规定 ．典型的 级 CA的证书 ．设立一个新 CA即可。这样的分层设计 ，也可避免 PKI系统包含的 PKI组件有认证机构 (CA)、注册机构 A1、证书 申请证书时信息在Intemet网上传输而带来 的不安全性 。 库、密钥恢复服务器和终端实体。广东金融学院 自升本以来 。校 (3)RA设置 问题。出于安全性的考虑 ，将注册功能从 CA中 园规模 日益扩展 ．基于网络的应用也 日益增多．搭建一个适合其 分离出来。这就需要为各部 门如各学院分别设立注册权威 ．由各 组织结构特点和校 园网特点的校园 PKI系统为网络应用提供 部门进行本部 门用户的注册工作 ．最后 由校园网的证书权威统 安全基础是十分有必要的 一 签发和管理证书。注册功能从CA中分离 出来 ，让它运行在一 l、校因信任关系 台单独的RA服务器上 ．这样用户可以直接进入 RA服务器 ，而 信任也可以称为可信赖性 ．是指可以专心致志于完成他人 CA则连接在防火墙 的后面以确保安全 的合法期望的一种能力 。信任既是道德的组成部分 ．也是任何社 (4)交叉认证问题。 目前，学校与外部单位之问的交流 日益 会存在的关键前提条件 。对于人类活动空问延伸的网络而言 ．人 增多，如图书馆互借系统，不同网络设备的PKI之问的认证等。 们在网络上进行的各种合作也需要信任来维系 PKI能实现网 为了适用于校 园外某些应用 。采用根 CA交叉认证的方式 。交叉 络上信任关系的建立和管理。第三方信任和直接信任是所有网 认证是两个 CA问的互相签发证书 ．两个域 内的两用户的信任 络安全产品实现 的基础．在任何大规模 的网络里 ．基于第三方 的 关系可以通过CA问的信任关系建立。在这方面 。采用本校根 信任是必要并且有效的。当需要在很多人中建立第三方信任时． CA与外部 CA进行交叉认证 ．通过建立信任关系从而实现互操 就要有一个权威 中心来确保信任度。CA认证中心则是确保信任 作。 度的权威实体 结合上述分析 ．对校园网Pl(J系统的系统结构模型设计如 CA认证 中心可按照一定的信任模型来组织 ．通常组织成层 图 l所示。 次模型。通常使用 的PKI信任模型有如下四种 ：严格层次结构、 分布式信任结构、Web模型、以用户为中心的信任 。各级 CA认 证机构的存在组成 了整个 网上信息交流的信任链 每～份数字 证书都与上一级的数字签名证书相关联 ，最终通过安全链追溯 到一个已知的并被广泛认