数字校园ＰＫＩ／ＣＡ认证体系的规划和建设.docVIP

数字校园ＰＫＩ／ＣＡ认证体系的规划和建设 　　摘要：文章首先简单分析了PKI/CA认证技术；接着分析了PKI/CA目前主流的三种建设模式，并结合校园的实际情况，提出了校园PKI/CA采用完全自建的模式，并采用层次信用体系结构，给出了具体的结构模型。最后对校园PKI/CA认证体系建设中会遇到的主要问题进行了简要分析。 　　关键词：数字校园；PKI；CA；RA；层次信用模型；交叉认证 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)19-30051-03 　　Digital Campus PKI/CA Authentication System Plan and Construction 　　ZHU Xing-rong 　　(Hunan Railway Professional-Technology College, Zhuzhou 412000, China) 　　Abstract: The article first was simple has analyzed the PKI/CA authentication technology; Then has analyzed PKI/CA at present the mainstream three construction pattern, And unifies the campus the actual situation, Proposed campus PKI/CA uses completely from the pattern which constructs, And uses the level credit architecture, Has given the concrete structural model. Finally the main question which can meet to the campus PKI/CA authentication system construction in has carried on the brief analysis. 　　Key words: Digital campus; PKI; CA; RA; Level credit model; Overlapping authentication 　　 　　1 引言 　　 　　随着现在各大学校园网络的深入建设，以及校园内网络应用的广泛普及和应用，数字校园已成为现实。网络与信息安全的要求和保证己成为数字校园建设的一个核心课题。这些安全问题需要采用先进的安全技术对网上信息的发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性。校园PKI/CA系统是建立数字化校园坚实和完善的安全基础，为适应数字化校园的中各应用系统的安全需求，保证校园认证系统的权威性、统一性和高度安全性，必须从整体上对校园网PKI/CA认证体系进行统一规划和规范管理建设。 　　 　　2 PKI/CA系统 　　 　　PKI/CA体系是采用非对称密钥体系，通过一个证书签发中心（CA）为每个用户和服务器颁发证书，之后，用户和服务器、用户和用户之间通过证书相互验证对方的合法性。这个过程对用户是透明的，与具体应用无关，满足了用户管理和具体应用分离的需求。 　　2.1 PKI/CA体系的组成 　　PKI由多种功能组成，它的结构组成模型如下图所示： 　　■ 　　在PKI的总体架构中，PKI最关键的两个部分为认证中心CA系统和注册机构RA系统。从应用来看，它是基于证书的应用。 　　(1)认证机构CA：CA 是整个 PKI 的核心，主要职责是颁发证书、验证用户身份的真实性。一般情况下，证书必须由一个可信任的第三方权威机构―CA 认证中心实施数字签名以后才能发布，而获得证书的用户通过对 CA 的签名进行验证，从而确定公钥的有效性。 　　(2)注册机构RA：RA 是 CA 的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。RA 系统是整个 CA 中心得以正常运营不可缺少的一部分。注册中心是直接面向用户的。 　　2.2 PKI 技术与其它身份认证技术的对比 　　PKI技术具有功能全面、高度安全、成熟可靠的特点，可以满足应用安全各方面的需求，以下是PKI技术与其它身份认证技术的对比。 　　■ 　　 　　3 校园PKI/CA建设模式 　　 　　规划和建设校园PKI/CA认证体系，需要根据校园网的实际情况，统一进行认证体系结构的设计。纵观当前国内PKI/CA体系发展的情况来看，校园网CA体系的建设模式主要从以下三种方式中进行选择： 　　3.1 采