基于SSL和CORBA技术的CA系统的实现.doc

基于SSL和CORBA技术的CA系统的实现* 徐春林 李涛 王伍戎 张巍 伍良富 赵辉** (四川大学(西区)计算机系 成都 610065) 摘要： CA是PKI（Public Key Infrastructure）体系的核心。本文提出了一种Internet分布式环境下基于SSL和CORBA技术的CA的解决方案，并详细讨论了其实现技术。 关键字：PKI；认证中心；SSL；CORBA 中图分类号：TP393.08 文献标识码：A An Implementation of CA based on SSL and CORBA XU Chun-lin, LI Tao, WANG Wu-rong, ZHANG Wei, WU Liang-fu, ZHAO Hui (Dept. of Computer, Sichuan Univ., Chengdu 610065,China) Abstract: CA is the kernel of Public Key Infrastructure. This paper presents a solution for designing and implementing CA system for Internet distributed environment. The solution is based on SSL and CORBA technology. Keywords: PKI; CA; SSL; CORBA 前言 PKI(Public Key Infrastructure)是以公钥加密为基础，创建、管理、存储、分发和撤销证书所需要的一组硬件、软件、人、策略和过程。它的核心的组成部分是CA。认证中心CA（Certification Authority）是负责签发管理数字证书的定义和问题的机构或个人。CA验证证书签名和授权对证书签名。数字证书是保证双方之间的通讯安全的电子信任状它由签发，并可验证其本身的真实性。istributed Certification Authority），并在Linux平台上具体实现了该DCA。 总体设计 DCA完成了一般CA必须的基本功能：根据申请信息产生X.509和PKCS12两种格式的证书、向客户端发送证书、验证撤销信息并撤销指定证书、定期发布CRL等。DCA采用基于CORBA规范的分布式对象体系结构证书/CRL服务器 证书/CRL数据库 Corba Over SSL 注册管理中心 用户 Corba Over SSL 证书中心Web服务器 用户 图一 系统结构 产生证书、发布证书、产生CRL和发布CRL的功能。同时，它还有系统参数管理、访问权限管理、日志管理、系统维护等功能。该服务器是一个CORBA的服务器端，它采用了IIOP over SSL协议同客户端进行数据传输，能够对连接的客户端进行身份认证，保证了客户端连接的合法性，也保证了传输过程中的安全性。 （2）证书中心Web服务器 证书中心Web服务器既同内部网络连接，也同外部Internet连接。它主要用于对外发布证书。它也是一个CORBA的服务器。通过注册管理中心的调度，证书中心Web服务器的证书数据和证书/CRL服务器的数据是一致的。采用这种结构，保证了证书数据的安全性，以免证书数据被攻击。用户可以通过Web方式访问该服务器，检索数字证书和CRL。用户可以查询证书、下载及安装证书，下载CRL以及查询某个证书的状态。 （3）注册管理中心 注册管理中心是CORBA的客户端，它同时连接证书/CRL服务器和证书中心Web服务器的CORBA服务器端。在与服务器端连接过程中，需要客户端提供自己的证书，进行身份验证。注册管理中心受理用户书面提交的申请，为用户产生非对称密钥对。 注册管理中心产生用户的申请证书请求，通过SSL`加密传输提交给证书/CRL服务器。 注册管理中心接收到证书/CRL服务器返回的证书后，与非对称密钥对一起返回给用户。同时，注册管理中心处理用户书面提交的注销证书请求，并且还提供用户密钥对的维护与管理工作。 注册管理中心还负责同步证书/CRL服务器和证书中心Web服务器的证书数据库，保证两个服务器的证书信息是一致的。 2．2 技术特点 DCA在技术上也有自己的特点，它支持X.509 V3数字证书和支持PKCS12数字证书；支持RSA非对称加密算法；支持三重DES等对称加密算法；支持MD5、SHA1等HASH算法 DCA采用基于CORBA规范的分布式对象体系结构通信，客户端和服务器间的安全，认证和加密功能通过用户认证 (、加密/解密 (技术，保证提供服务的CORBA对象不被非法冒用