基于PKI的OA身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

劉麗娜

濟(jì)南職業(yè)學(xué)院 山東 250014

0 引言

OA系統(tǒng)(Office Automation,OA)作為電子政務(wù)的重要組成部分，由于其涉及的信息的特殊性，對(duì)安全性的要求越來(lái)越高。隨著OA系統(tǒng)使用量的增大、存放的數(shù)據(jù)增多，以及與業(yè)務(wù)管理更加緊密地結(jié)合，安全性就被提升到更加重要的位置。因此，如何做好OA系統(tǒng)的安全控制工作就成了一個(gè)非常重要和緊迫的課題。本文以濟(jì)南職業(yè)學(xué)院的OA系統(tǒng)為背景，研究并設(shè)計(jì)了安全高效的OA身份認(rèn)證系統(tǒng)。

1 基于PKI的數(shù)字認(rèn)證技術(shù)

公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)是一種遵循標(biāo)準(zhǔn)的密碼技術(shù)、提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI通過(guò)數(shù)字證書(shū)管理通信雙發(fā)的公有密鑰，其中國(guó)際電信聯(lián)盟的X.509定義了提供數(shù)字證書(shū)認(rèn)證服務(wù)的框架，此框架由第三方向通信雙方簽發(fā)證書(shū)。數(shù)字證書(shū)里包括用戶的身份信息，密鑰信息和第三方認(rèn)證機(jī)構(gòu)的簽名信息，所有信息具有不可抵賴性。

本文設(shè)計(jì)的PKI身份認(rèn)證系統(tǒng)為濟(jì)南職業(yè)學(xué)院的OA系統(tǒng)的應(yīng)用環(huán)境提供了一套安全基礎(chǔ)平臺(tái)。PKI包括驗(yàn)證策略、軟硬件、證書(shū)認(rèn)證中心(CA)、證書(shū)簽發(fā)系統(tǒng)和PKI應(yīng)用，具體組成如圖1所示。其中，CA一般包括以下幾個(gè)部分：證書(shū)庫(kù)、注冊(cè)機(jī)構(gòu)(RA)、應(yīng)用接口和證書(shū)銷毀。

圖1 PKI體系的組成結(jié)構(gòu)

2 身份認(rèn)證體系架構(gòu)

本文設(shè)計(jì)的OA系統(tǒng)的身份認(rèn)證使用了用戶數(shù)字證書(shū)，實(shí)現(xiàn)了統(tǒng)一身份認(rèn)證管理。圖2為身份認(rèn)證方案的基礎(chǔ)框架，整個(gè)體系共分為三個(gè)層次，第一層為服務(wù)層，負(fù)責(zé)發(fā)放數(shù)字證書(shū)；第二層為中間層，實(shí)現(xiàn)數(shù)字證書(shū)綁定和應(yīng)用接口；第三層為OA系統(tǒng)應(yīng)用層，終端用戶使用數(shù)字證書(shū)進(jìn)行身份認(rèn)證，實(shí)現(xiàn)應(yīng)用系統(tǒng)的訪問(wèn)。

圖2 身份認(rèn)證的總體框架圖

3 身份認(rèn)證流程

基于PKI的OA身份認(rèn)證系統(tǒng)的用戶申請(qǐng)證書(shū)流程如圖3。首先，用戶向注冊(cè)中心提交證書(shū)申請(qǐng)要求，注冊(cè)中心通過(guò)信息進(jìn)行審核；注冊(cè)中心將審核后的用戶證書(shū)申請(qǐng)請(qǐng)求提交給認(rèn)證機(jī)構(gòu)；認(rèn)證機(jī)構(gòu)簽署證書(shū)并且頒發(fā)用戶證書(shū)，并將證書(shū)存儲(chǔ)到LADP目錄服務(wù)器列表中，并將證書(shū)存放到證書(shū)數(shù)據(jù)庫(kù)中，以供用戶查詢。

圖3 用戶申請(qǐng)證書(shū)原理圖

用戶查詢證書(shū)原理如圖4所示，當(dāng)用戶向注冊(cè)中心提交查詢證書(shū)要求時(shí)，注冊(cè)中心通過(guò)證書(shū)庫(kù)進(jìn)行證書(shū)查詢，若所查詢的證書(shū)合法，將反饋合法證書(shū)信息，若所查證書(shū)非法，將反饋非法信息。整個(gè)認(rèn)證過(guò)程可以簡(jiǎn)單分為三個(gè)階段。第一，認(rèn)證環(huán)境的初始化階段，建立SSL連接通信，保證客戶端與服務(wù)端的通信安全；第二，證書(shū)的合法性驗(yàn)證階段，在基于用戶信任列表模型下，驗(yàn)證數(shù)字證書(shū)的合法、有效性；第三，持證人的身份驗(yàn)證階段，是認(rèn)證的核心部分，整個(gè)認(rèn)證過(guò)程最重要的一步，驗(yàn)證當(dāng)前請(qǐng)求服務(wù)用戶是不是證書(shū)持有者本人。具體流程如下：

(1) 客戶端用戶選自己的數(shù)字證書(shū)通過(guò)WEB服務(wù)器窗口將證書(shū)信息發(fā)送到認(rèn)證服務(wù)器進(jìn)行認(rèn)證；

(2) 認(rèn)證服務(wù)器對(duì)用戶的證書(shū)進(jìn)行認(rèn)證；

(3) 若認(rèn)證通過(guò)，返回成功信息，用戶身份驗(yàn)證完成，登錄應(yīng)用系統(tǒng)成功；

(4) 若認(rèn)證不通過(guò)，返回失敗信息，登錄應(yīng)用系統(tǒng)不成功。

圖4 用戶認(rèn)證原理示意圖

具體認(rèn)證流程圖如圖5。

圖5 具體身份認(rèn)證的數(shù)據(jù)流程圖

用戶注銷證書(shū)流程圖如圖6，當(dāng)用戶向注冊(cè)中心提交證書(shū)注銷要求，注冊(cè)中心通過(guò)信息進(jìn)行審核；注冊(cè)中心將審核后的用戶證書(shū)注銷請(qǐng)求提交給認(rèn)證機(jī)構(gòu)；認(rèn)證機(jī)構(gòu)簽署證書(shū)并且注銷用戶證書(shū)，同時(shí)定期更新證書(shū)失效列表。

圖6 用戶撤銷證書(shū)原理圖

4 身份認(rèn)證系統(tǒng)詳細(xì)設(shè)計(jì)

圖7 主要設(shè)計(jì)代碼

這里主要包含三部分的詳細(xì)設(shè)計(jì)：創(chuàng)建認(rèn)證機(jī)構(gòu)CA、服務(wù)器端的數(shù)據(jù)庫(kù)設(shè)計(jì)和客戶端設(shè)計(jì)。其中創(chuàng)建認(rèn)證機(jī)構(gòu)CA主要包括給CA命名、創(chuàng)建簽發(fā)證書(shū)的目錄、設(shè)置配置文件，創(chuàng)建證書(shū)序列號(hào)；數(shù)據(jù)庫(kù)系統(tǒng)的設(shè)計(jì)主要是檢查用戶名是否存在，調(diào)用運(yùn)算控件進(jìn)行簽名；客戶端主要工作是：當(dāng)服務(wù)器發(fā)送數(shù)字簽名等待驗(yàn)證時(shí)，客戶端要相應(yīng)的給服務(wù)器發(fā)送一個(gè)數(shù)字信封來(lái)表明自己的身份，首先，與服務(wù)端一樣要進(jìn)行網(wǎng)絡(luò)連接的初始化，載入用戶公、私鑰證書(shū)，建立SSL連接等，因?yàn)樾枰玫阶陨淼乃借€進(jìn)行解密和簽名，所以還需要從私鑰證書(shū)中讀取客戶端的私鑰內(nèi)容。各部分設(shè)計(jì)的主要代碼如圖7所示。對(duì)于客戶端來(lái)說(shuō)，其主要工作是：當(dāng)服務(wù)器發(fā)送數(shù)字簽名等待驗(yàn)證時(shí)，客戶端要相應(yīng)的給服務(wù)器發(fā)送一個(gè)數(shù)字信封來(lái)表明自己的身份。具體的主要代碼如圖7所示。

5 結(jié)語(yǔ)

本文將PKI安全技術(shù)和高校OA系統(tǒng)有效地結(jié)合，從而實(shí)現(xiàn)統(tǒng)一的身份驗(yàn)7證系統(tǒng)，并輔以具體應(yīng)用案例。本文研究成果應(yīng)用到具體電子政務(wù)系統(tǒng)后，能實(shí)現(xiàn)OA系統(tǒng)的用戶身份安全管理，大大提高的安全性、可控性，促進(jìn)電子政務(wù)建設(shè)的健康發(fā)展。

[1] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用.北京：電子工業(yè)出版社.2008.

[2] 崔贏,鞏建平.PKI在電子政務(wù)中的應(yīng)用.電子技術(shù).2003.

[3] 荊繼武,林璨鏘,馮登國(guó).PKI技術(shù)(信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全技術(shù)).北京：科學(xué)出版社.2008.