PKI技術(shù)及其在校園網(wǎng)中的應(yīng)用研究

何向武 胡聲丹

上海師范大學(xué)天華學(xué)院計(jì)算機(jī)系 上海 201815

0 引言

隨著高校信息化建設(shè)的逐步推進(jìn)和校園網(wǎng)絡(luò)的進(jìn)一步建設(shè)，校園網(wǎng)中各種應(yīng)用服務(wù)也逐漸發(fā)展起來(lái)，校園網(wǎng)給師生帶來(lái)方便的同時(shí)，也同樣帶來(lái)很多安全隱患。如何保證校園網(wǎng)的安全性，已經(jīng)成為廣大師生和網(wǎng)絡(luò)管理人員越來(lái)越關(guān)注的問(wèn)題。

PKI(Public Key Infrastructure) 即公鑰基礎(chǔ)設(shè)施，PKI是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。在校園網(wǎng)中運(yùn)用PKI技術(shù)，能提供數(shù)據(jù)加密，數(shù)字簽名，雙向身份認(rèn)證，郵件來(lái)源證實(shí)，能夠保證網(wǎng)絡(luò)通信數(shù)據(jù)的機(jī)密性、完整性、不可抵賴性，從而提高校園網(wǎng)的安全性。

1 PKI及其技術(shù)簡(jiǎn)介

1.1 加密技術(shù)

加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將可以理解的信息與一串?dāng)?shù)字(密鑰)的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。為了實(shí)現(xiàn)信息安全，可通過(guò)適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來(lái)保證網(wǎng)絡(luò)的信息通訊安全。根據(jù)密鑰算法中所使用的加密密鑰和解密密鑰異同性、以及可否進(jìn)行加密過(guò)程與解密過(guò)程的相互推導(dǎo)，可將密碼體制分為對(duì)稱密碼體制和非對(duì)稱密碼體制。對(duì)稱加密的典型代表是數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法，非對(duì)稱加密典型代表是RSA算法。對(duì)稱加密采用的加密密鑰和解密密鑰相同，但非對(duì)稱加密采用的加密密鑰和解密密鑰不同，加密密鑰可以公開(kāi)卻解密密鑰需要保密。

1.2 數(shù)字簽名

數(shù)字簽名(digital signature)，是指用戶使用自己的私鑰對(duì)原始數(shù)據(jù)的消息摘要進(jìn)行加密所得的數(shù)據(jù)，其中消息摘要是通過(guò)它由一個(gè)單向Hash加密函數(shù)對(duì)消息進(jìn)行作用而產(chǎn)生。類似人用手寫(xiě)在紙上的普通的物理簽名，不同的是使用了公鑰加密的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互為相反的運(yùn)算，一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。這種數(shù)字簽名適用于對(duì)大文件的處理，因?yàn)橹苯訉?duì)大文件加密效率較低，對(duì)于那些小文件的數(shù)字簽名，則沒(méi)必要生成消息摘要，直接將原文進(jìn)行加密處理即可。

1.3 數(shù)字證書(shū)

數(shù)字證書(shū)(digital certificate)，網(wǎng)絡(luò)通信中，為了實(shí)現(xiàn)身份識(shí)別、完整性、真實(shí)性及抗抵賴性等安全要素，用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的工具。數(shù)字證書(shū)將公鑰及其所有者的真實(shí)身份相關(guān)的信息綁定在一起，它類似于人們現(xiàn)實(shí)生活中使用的居民身份證，所不同的是數(shù)字證書(shū)不是紙質(zhì)證件，而是一段含有證書(shū)持有者身份信息并經(jīng)過(guò)認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)文件。

1.4 PKI和CA

PKI是指用公鑰概念和技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。在網(wǎng)絡(luò)中的各種應(yīng)用和服務(wù)，包括電子郵件應(yīng)用、Web瀏覽器、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器、文件服務(wù)器等，都能夠使用安全基礎(chǔ)設(shè)施提供的服務(wù)。目前，通用的機(jī)制是，采用建立在PKI基礎(chǔ)之上的數(shù)字證書(shū)，通過(guò)對(duì)網(wǎng)絡(luò)中所傳輸?shù)年P(guān)鍵數(shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)恼鎸?shí)性、完整性、保密性和抗抵賴性，最終實(shí)現(xiàn)了信息的安全傳輸。

實(shí)際應(yīng)用中，PKI系統(tǒng)一般包括： CA、API、數(shù)字證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)等。其中CA是關(guān)鍵中心環(huán)節(jié)，CA即Certificate Authority，是負(fù)責(zé)簽發(fā)證書(shū)、認(rèn)證證書(shū)、管理已頒發(fā)證書(shū)的機(jī)構(gòu)。它要制定相應(yīng)的策略，然后根據(jù)相應(yīng)的步驟來(lái)識(shí)別和驗(yàn)證用戶身份，并對(duì)用戶的證書(shū)進(jìn)行簽名，以確保證書(shū)所有者公鑰的擁有權(quán)和身份信息的真實(shí)性。

2 校園網(wǎng)的安全需求

校園網(wǎng)絡(luò)是基于TCP/IP協(xié)議體系結(jié)構(gòu)，由于開(kāi)放的網(wǎng)絡(luò)協(xié)議及其自身的脆弱性，特別是TCP/IP協(xié)議固有的一些弱點(diǎn)，導(dǎo)致校園網(wǎng)中安全隱患大量存在，從而為具有破壞系統(tǒng)的攻擊行為提供了可以被利用的途徑。

校園網(wǎng)用戶登錄到目標(biāo)終端和各種服務(wù)器，常常采用用戶名加口令的方式登錄，這方式安全性非常低，因?yàn)榭诹羁臻g的有限性，以及大家設(shè)置口令過(guò)于簡(jiǎn)單的習(xí)慣，導(dǎo)致攻擊者很容易通過(guò)窮舉法進(jìn)行暴力破解，甚至幾次簡(jiǎn)單的猜測(cè)就可竊取用戶口令，從而非法進(jìn)入系統(tǒng)，因此需要強(qiáng)度較高的登錄安全檢驗(yàn)機(jī)制來(lái)實(shí)現(xiàn)合法登錄，防止非授權(quán)用戶訪問(wèn)終端或服務(wù)器。而且，校園網(wǎng)大多數(shù)的服務(wù)器存儲(chǔ)著重要數(shù)據(jù)，當(dāng)非法人員能夠使用某服務(wù)器時(shí)，可以對(duì)重要數(shù)據(jù)進(jìn)行拷貝和刪除等操作，造成數(shù)據(jù)的泄露或破壞，后果可能非常嚴(yán)重。因此有必要通過(guò)引入PKI構(gòu)建CA系統(tǒng)來(lái)加強(qiáng)和提高校園網(wǎng)的安全性。

3 校園網(wǎng)安全解決方案

3.1 模型選擇

在實(shí)際部署應(yīng)用中，PKI系統(tǒng)根據(jù)實(shí)際情況有幾種結(jié)構(gòu)，包括有單CA型、單CA多RA(Registration Authority)型、多層次CA等，其中多層次CA最安全。

考慮一下構(gòu)建CA的成本，建設(shè)CA的費(fèi)用主要包括軟件、硬件和服務(wù)三部分，再加上建成使用后每年的軟件支持、證書(shū)更新、管理費(fèi)用等，一般來(lái)說(shuō)構(gòu)建CA的成本還是較高，其中單CA較低，多層次CA最高。

目前校園網(wǎng)PKI系統(tǒng)屬于內(nèi)網(wǎng)PKI，考慮到成本效益和有效性，基本采用自給自足的方式，即自己建設(shè)，自己運(yùn)營(yíng)，為自己內(nèi)部用戶提供認(rèn)證服務(wù)。從安全需求看，校園網(wǎng)絕大多數(shù)安全應(yīng)用局限在校園內(nèi)，由于校園網(wǎng)是獨(dú)立的主體，客戶和服務(wù)群都信任學(xué)校，校園網(wǎng)絡(luò)中心可視為學(xué)校權(quán)威中心，實(shí)行仲裁，沒(méi)有必要實(shí)行多CA或?qū)哟问降膹?fù)雜結(jié)構(gòu)，特別是對(duì)于中小型校園網(wǎng)而言。

因此，采用單CA結(jié)構(gòu)較為合適，這種結(jié)構(gòu)功能清晰，職責(zé)明確，構(gòu)建成本低、易于實(shí)現(xiàn)和操作。

3.2 系統(tǒng)結(jié)構(gòu)和功能設(shè)計(jì)

PKI系統(tǒng)的功能模塊有：數(shù)字證書(shū)認(rèn)證中心、證書(shū)用戶、密鑰管理中心、數(shù)字證書(shū)認(rèn)證中心管理器和證書(shū)庫(kù)等，各個(gè)功能模塊必須相互有機(jī)結(jié)合，通過(guò)這些功能模塊來(lái)具體實(shí)現(xiàn)頒發(fā)數(shù)字證書(shū)、數(shù)字證書(shū)查詢、證書(shū)和黑名單發(fā)布、數(shù)字證書(shū)管理、產(chǎn)生和管理密鑰對(duì)、客戶端與服務(wù)器端的網(wǎng)絡(luò)通信和整個(gè)系統(tǒng)的安全設(shè)計(jì)。系統(tǒng)邏輯功能結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)邏輯功能結(jié)構(gòu)圖

校園網(wǎng)是一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境，主要用戶是教師和學(xué)生，基本上都能夠信任學(xué)校權(quán)威中心，身份及授權(quán)均可最終由權(quán)威中心仲裁，其中學(xué)校權(quán)威中可以是網(wǎng)絡(luò)中心管理機(jī)構(gòu)代理。因此，在校園網(wǎng)建立數(shù)字證書(shū)認(rèn)證中心，其信任關(guān)系比較容易解決。

數(shù)字證書(shū)的申請(qǐng)可采取兩種方式，一是離線申請(qǐng)，另外一種是在線申請(qǐng)。離線方式一般通過(guò)人工的方式直接到證書(shū)機(jī)構(gòu)受理點(diǎn)去辦理證書(shū)申請(qǐng)手續(xù)，通過(guò)審核后獲取證書(shū)；在線申請(qǐng)是通過(guò)瀏覽器或其他應(yīng)用系統(tǒng)通過(guò)在線的方式來(lái)申請(qǐng)證書(shū)。兩者方互為補(bǔ)充，可同時(shí)使用。

數(shù)字證書(shū)簽發(fā)的過(guò)程比較復(fù)雜，數(shù)字證書(shū)頒發(fā)過(guò)程一般為：用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書(shū)，該證書(shū)內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書(shū)進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書(shū)由獨(dú)立的證書(shū)發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書(shū)各不相同，每種證書(shū)可提供不同級(jí)別的可信度?？梢詮淖C書(shū)發(fā)行機(jī)構(gòu)獲得自己的數(shù)字證書(shū)。

4 校園網(wǎng)中應(yīng)用實(shí)例

4.1 身份認(rèn)證系統(tǒng)

校園中有各種應(yīng)用系統(tǒng)，常見(jiàn)有教務(wù)系統(tǒng)，學(xué)工系統(tǒng)，檔案系統(tǒng)等，這些都基于用戶身份的，不同用戶看到的信息不一樣，或者只能看到自己相關(guān)的信息，傳統(tǒng)身份驗(yàn)證的辦法是口令加密碼，其安全性低。PKI技術(shù)通過(guò)將用戶身份信息和公鑰證書(shū)綁定在一起，經(jīng)CA中心簽名，這樣就保證了用戶身份的真實(shí)性、合法性。因此，可以用PKI系統(tǒng)中的數(shù)字身份證及數(shù)字證書(shū)來(lái)加強(qiáng)原有的用戶名加口令檢驗(yàn)身份的方式，提高驗(yàn)證強(qiáng)度，提高系統(tǒng)訪問(wèn)控制的安全性。

4.2 文件傳輸系統(tǒng)

校園網(wǎng)中，文件傳輸是使用較多的服務(wù)，學(xué)生用來(lái)交作業(yè)，各辦公室間遞交文件等，如何保證文件的保密性和認(rèn)證性。基于PKI技術(shù)的數(shù)字證書(shū)、數(shù)字簽名和數(shù)字信封可以實(shí)現(xiàn)。

數(shù)字信封包含被加密的內(nèi)容和被加密的用于加密該內(nèi)容的密鑰。雖然經(jīng)常使用接收方的公鑰來(lái)加密“加密密鑰”，但這并不是必須的，也可以使用發(fā)送方和接收方共享的對(duì)稱密鑰來(lái)加密。當(dāng)接收方收到數(shù)字信封時(shí)，先用私鑰或預(yù)共享密鑰解密，得到“加密密鑰”，再用該密鑰解密密文，獲得原文，這樣確保了文件的保密性。

數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù)，完全可以代替現(xiàn)實(shí)過(guò)程中的“親筆簽字”，在技術(shù)和法律上有保證。在校園網(wǎng)文件傳輸系統(tǒng)使用數(shù)字簽名技術(shù)，每個(gè)人對(duì)自己傳輸?shù)奈募?，交的作業(yè)不能抵賴，也不能替別人交作業(yè)，確保了文件傳輸?shù)奈┮恍院筒豢傻仲囆?，提高校園中誠(chéng)信度。

5 結(jié)束語(yǔ)

當(dāng)前，PKI技術(shù)在電子商務(wù)和電子政務(wù)中應(yīng)用較多，在校園中部署應(yīng)用經(jīng)濟(jì)性的PKI是非常有必要的，將PKI技術(shù)應(yīng)用到校園網(wǎng)中，可以為校園網(wǎng)提供訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加解密、抗抵賴性、數(shù)據(jù)完整性保護(hù)等安全服務(wù)，確實(shí)能提高校園網(wǎng)安全性和可靠性。

關(guān)于PKI技術(shù)在校園網(wǎng)中應(yīng)用研究，今后進(jìn)一步研究的方向有：多CA結(jié)構(gòu)在跨校區(qū)校園網(wǎng)的應(yīng)用；獨(dú)立PKI系統(tǒng)間的交叉認(rèn)證。

[1] 呂賢達(dá).基于PKI技術(shù)的圖書(shū)館網(wǎng)絡(luò)系統(tǒng)安全機(jī)制研究.科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì).2011.

[2] 肖凌,李之棠.公開(kāi)密鑰基礎(chǔ)設(shè)施(PKI)結(jié)構(gòu).計(jì)算機(jī)工程與應(yīng)用.2002.

[3] 劉知貴,楊立春.基于PKI技術(shù)的數(shù)字簽名身份認(rèn)證系統(tǒng).計(jì)算機(jī)應(yīng)用研究.2004.

[4] 劉小紅.PKI：證書(shū)狀態(tài)信息分發(fā)方法研究和系統(tǒng)設(shè)計(jì).電子科學(xué)與技術(shù).2001.

[5] 沈士根,殷聯(lián)甫,汪承焱.高校校園網(wǎng)PKI的設(shè)計(jì).計(jì)算機(jī)應(yīng)用.2004.

[6] 吳向東.一種小型PKI/CA系統(tǒng)的開(kāi)發(fā).中南林業(yè)科技大學(xué)學(xué)報(bào).2009.

[7] 唐潔.張?jiān)铝?PKI研究以及在數(shù)字化校園中的應(yīng)用.計(jì)算機(jī)技術(shù)與發(fā)展.2008.

[8] 郭政慧,杜冬高.基于校園網(wǎng)的安全統(tǒng)一身份認(rèn)證研究.光通信研究.2010.