王娟

(北京师范大学珠海分校 图书馆，广东 珠海 519085)

PKI技术在数字校园中的研究与应用

王娟

(北京师范大学珠海分校 图书馆，广东 珠海 519085)

随着数字校园网络建设的快速发展，数字校园的安全管理成为了亟待解决的问题。本文介绍的PKI技术可以为此提供完整的解决方案。

PKI；CA；数字校园

随着数字校园网络建设的快速发展，教务系统、人事系统、财务系统、科研系统、数字图书馆系统等应用系统也随之增加，同时这些应用系统各有一套不同的用户身份认证方式。大量的网络服务、开放的网络环境、活跃的用户群体，以及有限的资金投入，决定了校园网安全管理是一个极其复杂的问题。要有效地解决目前校园网在安全和管理方面存在的问题，必须寻求校园网统一身份认证系统在技术上的综合方案。本文介绍的PKI技术可以为数字校园提供坚实的安全基础。

一、PKI介绍

1.PKI的概念

PKI是Public Key Infrastructure的缩写，即“公钥基础设施”，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说，PKI就是利用公钥概念和技术实施的，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

2.PKI身份认证过程

PKI身份认证的过程如图1所示，PKI身份认证系统主要包括证书认证机构CA（包含注册机构RA）和相应的PKI存储库（包括证书库）。步骤描述如下：

（1）发送方首先向证书认证机构CA提出数字证书申请；

（2）证书认证机构CA验明发送方身份，并签发数字证书；

（3）证书认证机构CA将证书公布到证书库中；

（4）发送方以电子信件数字签名作为发送认证，确保信件完整性、不可否认性并送给接受方；

（5）接收方接受信件，用发送方的公钥验证数字签名并到证书库查明发送方证书的状态和有效性；

（6）证书库返回证书检查结果，从而最终实现身份认证。

3.相关概念解释

（1）CA（Certificate Authority）

CA即认证中心，它是采用PKI公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构。

（2）RA（Registration Authority）

RA即数字证书注册审批机构，RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作（安全审计）。同时，对发放的证书完成相应的管理功能（安全管理）。RA系统是整个CA中心得以正常运营不可缺少的一部分。

二、校园网PKI系统的模型构建

1.常见的几种PKI模型

根据RFC2510标准中的规定，典型的PKI系统包含的 PKI组件有认证机构（CA）、注册机构（RA）、证书库、密钥恢复服务器和终端实体。其中CA是PKI的核心，根据CA间的关系，PKI的体系结构可以分为三种类型：单个CA，分层（层次）结构和网状结构的CA。

（1）单个 CA 结构

单个CA的结构是最基本的PKI结构，PKI中的所有用户对此单个CA给予信任，它是PKI系统内单一的用户信任点，它为PKI中的所有用户提供PKI服务。这种结构只需建立一个根CA，所有的用户都能通过该CA实现相互认证，但单个CA的结构不易扩展到支持大量的或者不同的群体用户。

（2）分级（层次）结构

一个以主从CA关系建立的PKI称作分级（层次）结构的PKI。在这种结构下，所有的用户都信任最高层的根CA，上一层CA向下一层CA发放公钥证书。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信，需要解决跨域的认证，这一认证过程在于建立一个从根出发的可信赖的证书链。

分级结构的PKI系统易于升级和增加新的认证域用户，因为只需要根CA与该认证域的CA建立信任关系。证书路径由于其单向性，可生成从用户证书到可信任点的简单的、路径相对较短的路径。用户基于分级结构中的CA的位置可隐含地知道一个证书用于哪种应用。

（3）网状（交叉）结构

以对等CA关系建立的交叉认证扩展了CA域之间的第三方信任关系，这样的PKI系统称为网状结构的PKI。交叉认证包含两个操作。第一个操作是两个域之间信任关系的建立，这通常是一个一次性操作。在双边交叉认证的情况下，每个CA签发一张“交叉证书”。第二个操作由客户端软件来做。这个操作包含了验证由已经交叉认证的CA签发的用户证书的可信赖性，这个操作需要经常执行。

2.本校校园网PKI模型的选择

在构建校园网PKI系统之前，必须先根据高校的实际情况，确定合适的PKI信任模型。

以笔者所在的北师大珠海分校为例，首先本校是北京师范大学的分校，地域与本部分离，管理和教学上还有密切联系；其次学校内部职能部门实行大部制设置，全校设立四部，即行政部、教学部、发展部、总务部，各部不仅有各自不同的办公或者教务系统，同时有业务工作上的交叉访问；再者，我校的教学特色是合作办学，各个学院还与国内外的其他院校有着许多合作与交流。

因此综合考虑，本设计模型在校园网内的身份认证采用两层CA结构，校际之间的身份认证采用网状结构。

3.PKI系统模型说明

整体而言，校际之间不同系统采用网状结构交叉认证，校园网内采用层次结构，整个学校作为一个根CA，校内不同学院或者职能部门作为二级CA。

（1）图2中的根CA1为校园网根CA，CA2为其他学校或者校外单位根CA，CA1、CA2通过相互颁发证书，来实现两个信任域内网络用户的相互信任。网状PKI中的所有CA都可能是可信任点，证书对描述了它们双向的信任关系。

（2）本校校园网的根 CA1只向其二级CA颁发证书，即在根CA下面设立子CA，子CA负责签发各所属部门的证书。因此，根CA可以是离线的，从而可以最大限度保障根CA的安全。此外，这种模式还将风险从一个根CA分散到了多个子CA，同时所需的费用也会增加。

（3）校园网内的注册功能从根CA中分离出来，各二级CA分别设立RA，该部门的学生和教职工都只能去该RA上申请证书，由各部门进行本部门用户的审核工作，最后由校园网CA统一签发和管理证书。同样，当一个下级CA增加一个RA，则该下级CA也要为此RA签发证书。这样，一方面可以保障根CA的安全，一方面也减轻了根CA的负担。

（4）大部分CA产品都拥有一个用于存放最终发布证书的内部数据库，而且允许用户直接访问该数据库，这是一个很大的安全隐患。因此引入RA和LDAP服务器，将CA所颁发的证书和证书撤销列表存放在不同的LDAP目录中，以分担风险和责任。

（5）在通讯方面，采用了SSL安全套接层协议，并用软件加密，通信数据也使用加密技术，且每次通信使用新的会话密码，这使通信的安全性从本质上得到了提升。系统采用分级的物理隔离和防火墙等技术，更增加了系统整体的安全性。

4.系统工作流程

从最终用户角色出发，该系统下完整的访问流程如图3所示。

四、小结

PKI/CA体系作为一种网络信息安全的基础设备，有着巨大的生命力和前途。本文结合实际提出了一个适合于数字校园的PKI系统结构模型，该模型校际之间不同系统采用网状结构交叉认证，校园网内采用两层CA多RA结构，整个学校作为一个根CA，校内不同学院或者职能部门作为二级CA。从而保证在网络运行环境下系统中的数据更加准确、安全、可信。若要为特定高校建立数字校园PKI系统，还需要根据各校实际情况对文中提出的系统架构进行相应的补充或者修改。

[1]王金伟，孙德兵.基于PKI/PMI的Web应用单点登录的研究与实现[J].信息系统工程，2010（9）：73-75.

[2]吴向东.校园网认证中心CA的设计[J].中南林业科技大学学报，2010（3）：152-154.

[3]彭军，王忠，彭建超.基于PKI的CA认证系统信任模型的研究[J].网络安全技术与应用，2010（3）：6-9.

[4]高杰.CPK认证研究及在高校数字化校园系统中的应用[J].信息安全与通信保密，2009（3）：56-61.

[5]吴向东.构建基于PKI高校校园网身份认证系统[J].通信技术，2009（6）：203-207.

[6]曹锦梅，曹锦福，王明辉.基于PKI/PMI的数字化校园网安全认证系统的应用研究[J].计算机时代，2010（1）：16-18.

[7]朱徐飞.基于PKI技术的校园网CA系统设计[J].中国电力教育，2009（7）：181-187.

（编辑：杨馥红）

TP393

B

1673-8454（2011）03-0026-03