基于pki技术的网上权证系统的设计与实现.docxVIP

基于pki技术的网上权证系统的设计与实现 1 隐私保护的意义 pmi是一个遵循既定标准的密钥管理平台。您可以使用加密和数字签名等密码服务，以及所需的密钥和证书管理。该平台采用证书管理公钥,通过第三方的可信任机构—认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份。公用密钥加密技术使用不对称的密钥来加密和解密,每对密钥包含一个公钥和一个私钥,公钥是公开且广泛分布的,而私钥从来不公开,只有用户知道。用公钥加密的数据只有私钥才能解密,反之亦然。 PKI基础设施解决了信息的四个问题:1)保密性:只有收件人才能阅读信息;2)认证性:确认信息发送者的身份;3)完整性:信息在传递过程中不会被篡改;4)不可否认性:发送者不能否认已发送的信息。 数字证书认证中心(Certification Authority,CA)是PKI的核心。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。同样CA允许管理员撤销发放的数字证书。 数字证收签发中心(Registration Authority,RA),数字证书注册审批机构。RA负责证书申请者的信息录入、审核以及证书发放等工作,同时,对发放的证书完成相应的管理功能。 安全套接层(Secure Socket Layer,SSL)是目前使用最广泛的、普通的Web安全协议。每一个SSL通信都受到服务器认证、保密性和完整性服务的保护,这些保护是依赖于基于服务器的密钥对的使用来进行的。 2 基于pki的网上证券信息系统搭建 系统采用B/S(Browser/Server)结构。使用Linux平台,以Weblogic作为web应用服务器搭建基于PKI的网上证券信息系统,身份认证使用单点登陆服务,CA系统采用自建CA模式,搭建完整的基于PKI的证券信息系统。 系统从结构上包括以下几个模块:客户端模块、CA认证模块、业务系统模块、身份认证模块。 2.1 俄罗斯联邦政府对证券信息系统的访问 网上证券信息系统客户端采用JSP网页+ActiveX控件模式,客户使用Internet Explorer浏览器直接访问证券信息系统,不需要安装专门的客户端程序。客户端数字证书存放在硬件证书载体中,客户在登陆信息系统前需要在计算机的USB端口插入USB证书载体。业务系统第一次打开的时候,会自动下载ActiveX控件并安装必需组件。 2.2 身份认证数字证书 在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的,是PKI体系中的核心环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。在本系统中,证书管理是实现系统安全的最关键的部分。 证书申请采用在线申请方式,用户通过自己的浏览器到服务器上下载标准表格并填表申请。在用户的信息写入CA的申请信息数据库后,CA中心将发放用户名和密码,RA将这两个代码当面提交给证书申请者。证书申请者通过浏览器安装Root CA的证书,填入用户名和密码,自助式地下载自己的证书,证书介质应存入USB证书载体中。这样能避免原来密码发放过程中的泄密。在证书的有效期内,由于私钥丢失泄密等原因,必须废除证书。证书持有者提出废除申请,经同意撤销后,可以重新申请证书。 2.3 web服务器模块 网上证券信息系统业务模块采用J2EE+Web Services构架,具有良好的开放性、扩展性、平台无关性和移动性。业务系统Web模块配置SSL安全通讯,客户端和服务器之间、业务系统模块之间的数据交互通过SSL通道进行安全加密,保证了数据加密型。业务系统模块可以通过JAVA组件调用JAVA JCE安全接口进行密码计算,实现数字签名/验证、数据加密、身份验证等安全功能。 WEB服务器设计使用BEA Weblogic服务器。它全面支持Enterprise Java标准,同时,这些应用能够完美地和其他应用和系统实现互操作。 2.4 usbkey的简介 身份认证是指计算机及网络系统确认操作者身份的过程。它采取软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户的身份的认证。 在网上证券系统身份认证模块设计中,采用统一的身份认证和权限管理来增强安全性和易用性,避免了用户名和密码滥用带来的密码泄露和密码遗失等问题,而且避免了繁琐。 3 usbkey安全机制的实现 图2为系统实现的数据流程图。 1)用户首先到证券营业厅申请开户。然后通过网络登陆证券信息系统进行数