基于PKI技术校园网认证中心CA设计.docVIP

基于PKI技术校园网认证中心CA设计 　　摘要：PKI系统核心CA认证中心的建立为校园网信息系统的各种网络设备、操作人员、用户等提供标准的数字证书，为系统的安全通讯、身份识别以及用户密钥的管理提供强有力的支持。建设一个高效、安全、可靠的校园网PKI/CA子系统至关重要。文章通过PKI技术设计出符合实际情况的统一身份认证的认证中心CA（certificate authority）系统，从而保障校园网系统的安全性和可靠性。 　　关键词：校园网；PKI技术；认证中心CA 　　作者简介：张瑞（1977-），男，福建永定人，贵阳学院计算机科学系，讲师；舒虹（1980-），女，湖北黄冈人，贵阳学院计算机科学系，讲师。（贵州#8194;贵阳#8194;550003） 　　中图分类号：TP309.2#8195;#8195;#8195;#8195;#8195;文献标识码：A#8195;#8195;#8195;#8195;#8195;文章编号：1007-0079（2011）05-0031-01 　　 　　PKI（Public Key Infras-tructure）是解决信任和加密问题的基本解决方案，为了保证在数字化校园网络应用中数据的真实性、保密性、完整性和不可否认性，引入PKI技术是行之有效的方法，而建设一个高效、安全、可靠的校园网PKI/CA子系统至关重要，因为CA是证书的签发机构，CA的建设是重点，是PKI的核心，其安全性直接影响到整个校园网PKI系统，一旦身份认证的认证中心密钥泄露，其签发的所有证书都将作废，PKI系统需要重新初始化，由此可见身份认证的认证中心的研究和设计在整个PKI平台的建设中非常重要。一般说来，校园身份认证的认证中心工作主要由CA管理系统完成，具体包括：制定证书策略，指导整个PKI系统的建立和管理维护；接收并验证RA提交的要求，如CA签发、撤销和更新数字证书；集中产生用户密钥对和数字证书。通过制定严格的保密措施，确保密钥的保密性。校内用户开发PKI/CA认证系统，目的是要在校园网上提供身份认证、访问控制、机密性和不可否认等服务，在服务中采用混合式PKI信任模型，着眼于Web方式自动管理、双重密钥对的提供、证书管理的数据库化和证书状态的实时查询等关键技术。本文拟基于X. 509证书格式的PKI认证技术设计一个认证中心CA，构建数字证书的颁发和管理的完整平台。 　　一、确定PKI的信任模型 　　在设计校园网认证中心CA之前，有必要首先确定PKI的信任模型。CA认证中心是一个负责发放和管理数字证书的权威机构，根据现今大学校园多校区、院系多以及垂直管理的特点，为保证认证系统安全、高效和可扩展性，认证中心采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级认证中心直接面向最终用户。考虑到身份认证的认证中心系统面向学校，加之系统实施的复杂度与成本的关系，CA体系结构应设计为层次结构，即至少包括一个根CA和多个二级CA，本设计模型采用两层CA结构。校园网认证中心只有一个根CA，而下级CA根据地理位置分布，不同部门或不同地区的校园都有一个二级CA。 　　二、认证中心CA系统的结构设计 　　（1）根CA是本系统的安全核心，主要负责制定和审批总体政策，管理制度和运作规范及证书撤消列表，整个系统只有一个根CA，它是该PKI域颁发的所有证书的最终信任点。出于安全性的考虑，从CA中分离出注册功能，各部门分设注册权威，上级CA为下级CA签发证书。为了适用于校外一些相互应用，根CA采用离线方式，无需频繁发证，通过交叉证书与其他PKI系统交叉认证，从而建立信任关系，从而实现互操作，同一PKI域不同CA签发的证书可以相互认证，它们的最终信任点是根CA。以U盘/光盘的形式按PKCS#7/10标准协议传递信息和文件，根CA只给二级CA统一签发和管理证书，其密钥保护是关键，可以避免证书申请者直接同根CA交互，一方面阻止非法闯入的可能，另一方面也减轻了根CA的负担。因此，需要为各部门分别设立二级身份认证的认证中心。 　　（2）二级CA需要经常地发证并且需要迅速响应，可在子CA下签发下级子CA；或针对别的应用再签发子CA，这样使得用户CA认证体系具有很好的可扩展性，所以二级CA必须在线操作，为保证本地数据的安全，采用密码设备对本地数据加密保护后存放在本地，部分重要的数据可以存储到密码设备预留的硬件空间里，用户从二级CA在线下载证书。根据实际应用需求，将CA发放的数字证书和证书注销列表（CRL）分布于一个基于X?509的目录服务器中。最终用户向证书注册机构申请登记，通过审核后，注册机构RA向其发放由二级CA提供的参考号和授权码，RA与CA之间在线通信采用SSL安全套接层协议，其算法采用专用算法替换，CRL亦可通过W