PKI技术在数字校园中研究与应用.docVIP

PKI技术在数字校园中研究与应用 　　摘 要：随着数字校园网络建设的快速发展，数字校园的安全管理成为了亟待解决的问题。本文介绍的PKI技术可以为此提供完整的解决方案。 　　关键词：PKI；CA；数字校园 　　中图分类号：TP393文献标识码：B 文章编号：1673-8454（2011）03-0026-03 　　 　　随着数字校园网络建设的快速发展，教务系统、人事系统、财务系统、科研系统、数字图书馆系统等应用系统也随之增加，同时这些应用系统各有一套不同的用户身份认证方式。大量的网络服务、开放的网络环境、活跃的用户群体，以及有限的资金投入，决定了校园网安全管理是一个极其复杂的问题。要有效地解决目前校园网在安全和管理方面存在的问题，必须寻求校园网统一身份认证系统在技术上的综合方案。本文介绍的PKI技术可以为数字校园提供坚实的安全基础。 　　一、PKI介绍 　　1.PKI的概念 　　PKI是Public Key Infrastructure的缩写，即“公钥基础设施”，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说，PKI就是利用公钥概念和技术实施的，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 　　2.PKI身份认证过程 　　PKI身份认证的过程如图1所示，PKI身份认证系统主要包括证书认证机构CA（包含注册机构RA）和相应的PKI存储库（包括证书库）。步骤描述如下： 　　（１）发送方首先向证书认证机构ＣＡ提出数字证书申请； 　　（２）证书认证机构ＣＡ验明发送方身份，并签发数字证书； 　　（３）证书认证机构ＣＡ将证书公布到证书库中； 　　（４）发送方以电子信件数字签名作为发送认证，确保信件完整性、不可否认性并送给接受方； 　　（５）接收方接受信件，用发送方的公钥验证数字签名并到证书库查明发送方证书的状态和有效性； 　　（６）证书库返回证书检查结果，从而最终实现身份认证。 　　3.相关概念解释 　　（１）ＣＡ（Ｃｅｒｔｉｆｉｃａｔｅ Ａｕｔｈｏｒｉｔｙ） 　　CA即认证中心，它是采用PKI公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构。 　　（２）ＲＡ（Ｒｅｇｉｓｔｒａｔｉｏｎ Ａｕｔｈｏｒｉｔｙ） 　　RA即数字证书注册审批机构，RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作（安全审计）。同时，对发放的证书完成相应的管理功能（安全管理）。RA系统是整个CA中心得以正常运营不可缺少的一部分。 　　二、校园网PKI系统的模型构建 　　1.常见的几种PKI模型 　　根据RFC2510标准中的规定，典型的PKI系统包含的PKI组件有认证机构（CA）、注册机构（RA）、证书库、密钥恢复服务器和终端实体。其中CA是PKI的核心，根据CA间的关系，PKI的体系结构可以分为三种类型：单个CA，分层（层次）结构和网状结构的CA。 　　（１）单个ＣＡ结构 　　单个CA的结构是最基本的PKI结构，PKI中的所有用户对此单个CA给予信任，它是PKI系统内单一的用户信任点，它为PKI中的所有用户提供PKI服务。这种结构只需建立一个根CA，所有的用户都能通过该CA实现相互认证，但单个CA的结构不易扩展到支持大量的或者不同的群体用户。 　　（２）分级（层次）结构 　　一个以主从CA关系建立的PKI称作分级（层次）结构的PKI。在这种结构下，所有的用户都信任最高层的根CA，上一层CA向下一层CA发放公钥证书。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信，需要解决跨域的认证，这一认证过程在于建立一个从根出发的可信赖的证书链。 　　分级结构的PKI系统易于升级和增加新的认证域用户，因为只需要根CA与该认证域的CA建立信任关系。证书路径由于其单向性，可生成从用户证书到可信任点的简单的、路径相对较短的路径。用户基于分级结构中的CA的位置可隐含地知道一个证书用于哪种应用。 　　（３）网状（交叉）结构 　　以对等CA关系建立的交叉认证扩展了CA域之间的第三方信任关系，这样的PKI系统称为网状结构的PKI。交叉认证包含两个操作。第一个操作是两个域之间信任关系的建立，这通常是一个一次性操作。在