基于PKI机制数字校园身份认证体系设计.docVIP

基于PKI机制数字校园身份认证体系设计 　　摘 要：数字校园身份认证体系经历了从各个信息系统独立的用户认证到统一的身份认证体系，基于PKI机制身份认证体系提供的数字签名功能，不但使身份认证更为安全和可靠，而且对用户操作具有不可否定性。利用个人智能密码钥匙作为数字证书的载体，增强数字证书的安全性，并且提供标准操作接口，扩展了基于PKI机制进行身份认证的应用范围，提高了数字证书的使用方便性。 　　关键词：身份认证 数字签名 公钥基础设施 数字证书 　　中图分类号：TP309 文献标识码：A 文章编号：1673-8454（2008）03-0035-02 　　 　　以往数字校园的身份认证，都采用账号+口令的认证方式，无法实现对身份的真实性和用户活动及数据的有效性和不可否定性进行认证。采用PKI机制，通过数字证书实现身份认证，能够较好地保证身份认证的安全性，并能实现用户的数字签名，确保用户操作和数据的有效性和不可否定性。[1] 学校在建设PKI认证体系时，代表数字身份的数字证书的载体主要有三种形式，一种是数字证书文件方式，它的密钥对是由证书签发服务器产生，证书文件包含了公私密钥对，文件可以存放于硬盘、光盘等存储介质上。这种方式由于公私密钥对不是由证书持有人本身产生，私钥存在一定风险，并且证书文件可以任意拷贝，证书的保管也有一定风险。另外一种是采用PKI卡，是一种支持PKI机制的IC卡，签名密钥对在卡内产生，数字证书存放于IC卡内，这种方式有着较高的安全性，但是要进行身份认证必须有PKI卡读卡设备，从而影响了它的使用范围。[2] 还有一种就是采用智能密码钥匙，一种支持PKI机制提供USB接口的个人密码设备，公私密钥对在设备内产生，数字证书存放于密码钥匙内，同样有着较高的安全性，由于电脑和许多智能设备都支持USB接口，使用起来十分方便。 　　 　　一、基于PKI机制的身份认证体系的设计 　　 　　基于PKI机制的身份认证体系主要包括两个部分：数字证书认证系统和智能密码钥匙。其中数据证书认证系统为校务管理应用系统提供证书签发、证书查询、证书下载及证书认证等服务功能。智能密码钥匙为数字证书的载体，同时也提供数据加密和数字签名等功能。 　　数字校园应用的身份认证体系框架如图1所示。 　　在数字校园中，数字证书认证系统为校务管理应用提供了安全保障的基础设施。学生和教职员工持有智能密码钥匙作为使用校务管理应用系统的数字身份通行证。 　　 　　1.数字证书认证系统 　　数字证书认证系统主要实现证书签发、证书管理和证书服务功能，它由证书注册中心、证书管理中心和证书服务中心组成，如图2所示。 　　 　　其中证书注册中心负责接受证书注册请求，获取证书的签名公钥和用户主体信息，并提交给证书管理中心签发证书，同时接收并发布签发的数字证书。 　　证书管理中心负责证书签发和证书注销等管理功能。 　　证书服务中心则负责证书查询、证书下载以及证书撤销表的查询和下载。 　　数字证书的签发过程： 　　（1）智能密码钥匙内部产生签名密钥对。 　　（2）证书注册中心从智能密码钥匙中导出签名公钥，并和证书主体信息一起发送给证书管理中心。 　　（3）用证书管理中心的根证书签发数字证书。 　　（4）证书注册中心从证书管理中心获取数字证书装入智能密码钥匙中，并发布到证书服务中心上。 　　（5）持有人为其智能密码钥匙设置PIN码。 　　2.智能密码钥匙 　　智能密码钥匙是一种数字证书的载体，它支持PKI机制，并提供通用的USB接口，它的组成结构如图3所示。 　　 　　智能密码钥匙有5层结构： 　　（1）标准接口层为微软在Windows平台上定义的操作安全密码设备的一套标准接口，例如CSP标准，就是通过厂商的应用接口层实现对设备的访问，并且给所有应用提供了一套一致的接口访问机制。 　　（2）应用接口层为应用程序操作智能密码钥匙提供接口，该接口为智能密码钥匙厂商提供的专用接口。 　　（3）设备驱动层安装在电脑操作系统中，为电脑系统操作智能密码钥匙提供硬件抽象。 　　（4）COS为智能卡操作系统，实现对卡内处理器的调度、存储管理以及文件管理等功能。 　　（5）芯片分为微处理器和密码芯片，微处理器实现运算处理，密码芯片实现了对称和非对称加解密运算，闪存实现对数据的存储。 　　利用智能密码钥匙实现身份认证的机制如图4所示。 　　 　　智能密码钥匙能够与普通U盘一样随身携带，在电脑上即插即用，在认证过程中利用PIN码和数字证书双重认证，即使丢失，别人也无法使用，确保身份的真实性，而且认证在智能密码钥匙内部完成，认证过程不可伪造。由于证书同时存在于智能密码钥匙中，认证端可以把根证书事先下载下来进行本地保存，这样可以实现离线的身份