基于PKI的阜阳职业技术学院校园网认证模型的研究与设计

2012-04-16杨斐

科技视界 2012年23期

杨斐

（阜阳职业技术学院工程科技学院安徽阜阳 236031）

0 引言

随着网络技术的不断发展和Internet的日益普及，许多学校都建立了数字化校园网络并投入使用，这对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。在数字化校园建设中，网络安全体系建设是最基础也是最重要的一步。然而，阜阳职业技术学院校园网拥有近万人的教师和学生用户，而且应用繁多，主要有DNS、VPN、WWW、FTP、办公自动化系统、图书、教务、财务等各种基础服务和应用系统。校园网环境开放，用户活跃，数据资源集中，不同的应用又有不同的安全需求。

因此，在数字化校园网络安全体系建设中，对身份识别和安全加密有很高的需求。校园网上大量传统的C/S应用是基于帐号/口令进行身份认证和访问授权的[1]。这种方式中每个应用一般独立维护自己的口令数据库，这不但增加了系统管理维护的成本，而且增加了用户的记忆和输入负担，降低了工作效率。更为严重的是，由于用户通常在不同信息价值级别的系统中设置相同的口令，这样当低价值级别的系统口令泄漏时，会影响到高价值级别的系统安全性[2]。虽然统一身份认证系统可以解决这一问题，但是随之而来的数据安全和信任问题又需要更好的系统来解决，这就需要引入PKI技术。

1 PKI公钥基础设施简介

公钥基础设施，PKI，是Public Key Infrastructure的缩写，它是国际上解决开放式互联网信息安全需求的一套体系。PKI支持身份认证，信息传输、存储的完整性，消息传输、存储的机密性，以及操作的不可否认性。“基础设施”的作用，就是不同的实体在遵循必要原则的前提下都可以方便地使用基础设施提供的服务。

PKI的核心是认证中心（Certificate Authority，CA），用于发放一个叫“数字证书”的身份证明。这个数字证书包含了用户身份的部分信息，以及用户持有的公钥CA利用本身的私钥为数字证书加上了数字签名。因此，PKI的核心技术基础是公钥密码学的“加密”和“签名”。完整的PKI认证系统主要包括以下几个部分。

1.1 证书中心

证书中心CA：一个或多个用户信任的权威，有权创建和颁发公钥证书。在证书的整个生命周期中，CA都要为其负责而不仅仅是起颁发证书的作用。

CA是很多PKI的关键组成部分。如果将数字证书看做是身份证的话，那么CA就相当于公安局，起到一个发证单位的作用。在PKI中，CA负责颁发、管理和撤销一组最终用户的证书。CA执行着认证其最终用户的作用，并在分发用户信息之前用自己的私钥对其进行数字签名。CA最终负责其所有最终用户的真实性。

1.2 注册中心

注册中心（Registration Authority，RA）：一个任意实体，负责在为某个主体注册时履行一些必要的管理任务。注册过程即主体第一次被CA了解的过程，优先于CA为主体颁发公钥证书。注册要求实体提供如用户名、域名全称、IP地址以及其他一些需要放进公钥证书里的属性信息，用以证实在证书运行声明（CPS）中所声称的用户名以及其他属性的正确性。

1.3 目录服务器

目录是信息资料库，它以逻辑顺序组织来进行快速简化和简单查找。系统和应用依靠这些目录中的信息来进行操作。

2 校园网身份认证中心CA模型的设计

如何建立适用校园网的PKI系统模型必须充分考虑不同学校校园网络的特殊环境。鉴于阜阳职业技术学院目前已是安徽省示范高职院校且正在进行国家骨干高职院校的建设等情况，以及未来前景规划，建立一个满足校园网安全的PKI系统，将PKI广泛而有效的应用于校园网的安全认证是接目前数字化校园网建设的主要内容。

2.1 阜阳职业技术学院数字化校园建设框架

阜阳职业技术学院数字化校园信息平台是全方位的管理信息平台与信息服务平台，它将学校现有的网络作为基础，建立在学校统一公共数据平台之上，并且作为一种人性化、科技化、透明化手段服务全校师生的科学、科研、生活，广泛纳入学校的信息化标准管理、学校管理、教学管理、学生评教、教职工管理、学生工作管理、科研管理、财务管理、资产与设备管理、行政办公管理、数字图书资料管理等等。阜阳职业技术学院正是以开放的、积极的态度，实现学院优质教学资源区域共享，辐射与带动周边区域的职业教育，有效促进了皖西北地区职业教育的健康、快速发展。

阜阳职业技术学院数字化校园信息平台总体框架的设计遵循可持续发展原则，以长远的观点进行总体规划，既要有利于目前校园网系统的整合，也要保证以后系统的顺利扩展，在软硬件建设上保持可持续发展。学校数字化校园要以“三大中心”来进行规划建设，即校园管理中心、校园服务中心和校园资源中心。与此同时，数字化校园将完成学校信息系统的整合（数据应用的集成、应用界面的集成、统一身份认证集成、业务流程的集成与重组）。

2.2 认证中心CA模型的设计

由于校园网本身是一个综合的网络应用系统。对于这种复杂的系统必须进行统一的认证，否则可能会出现以下的问题：

1）一个用户需要记住多个不同的用户名和密码来登录不同的应用系统，这样给用户带来了诸多使用上的不便。

2）校园网中各应用系统都采用各自独立的认证和管理系统，对校园网的维护造成不便。

3）有些用户在离开学校后由于缺乏管理，仍然能够使用校园网内的一些业务。

认证模型的选择要充分考虑到不同学校的具体情况。阜阳职业技术学院目前只有一个校区占地约400亩，新校区一千余亩正在实施规划中。考虑到体系结构的扩展性，决定采用二层CA结构。整个认证体系有一个根CA，下级CA分布于两个不同的校区。这样可以分布存放教职员工的证书，避免证书在Internet传输带来的不安全性。同时这种结构还具有良好的扩展性，当我院还需增加新校区时，只需要增加一个二级CA即可，而不需修改整个认证体系的结构。

本系统的逻辑结构如图1所示，采用两层CA，多RA结构。其中，根CA采用离线方式，二级CA采用在线方式与RA相连，校园网内部在线数据通信采用SSL安全套阶层协议。本地数据采用加密设备加密后存放在本地磁盘，一些重要数据存放在密码设备预留的空间内。

图1 本系统逻辑结构

本系统主要由根CA、二级CA、RA、LDAP目录服务和本地数据几个组成部分。一般情况下CA都有一个内部数据库用于存放颁发的证书。为了避免用户直接访问这个数据库造成安全隐患，将CA产生的证书和证书撤销列表存放在LDAP 目录中[4]。

对该模型进行说明：

1）该校园网PKI系统只有一个根CA，是本系统最高管理机构，它负责生成和维护根CA证书，对密钥的生成采用最安全的管理方式即只有用户自己拥有私钥，CA/RA不会要求得到私钥。同时根CA还负责二级CA的初始化并签发证书，与其他根CA进行交叉认证，扩展证书的使用范围[3]。

给两个分校区都设立一个下级C A。二级CA负责证书的生成、更新和撤销，发布证书撤销列表到目录服务器LDAP，维护证书撤销列表和证书数据库，保证本地数据的安全。注册功能从CA中分离出来，在一个子CA下，根CA只给二级CA颁发证书，同时与其他PKI信任域进行交叉认证，从而扩大证书的使用范围。属于不同校区的每个部门都有一个RA与之相连。该部门的学生和教职工都只能去该RA上申请证书。

2）在整个校园网PKI系统初始化时要产生一系列证书。根CA要签发一张自签名证书。根CA要为每一个下级CA签发证书。下级C A要为每个与它相连的RA签发证书。当在校园网PKI系统运行中新增加一个下级CA，则根CA要为它签发证书，同样，当一个下级CA增加一个RA，则该下级CA也要为此RA签发证书。

3）由于我校共有两院三系一部，还有各行政单位及教辅机构，部门较多，需要搭建多个RA服务器。他们位于用户和CA之间，为用户提供一个接口。通过获取并验证用户的身份，向CA提出证书请求来完成收集用户信息和确认用户身份等功能。RA系统既要和CA通信，又要和用户进行交互，在本系统中相当于一个中间系统，采用B/S结构进行搭建，可以更好的提高程序的稳定性。

4）证书库与证书撤销列表库位于不同的LDAP目录中。其中提供CRL服务的库可以由用户直接访问，为了保证系统的安全性，证书库则不能由用户直接访问。

5）数据传输时采用SSL安全套接层协议，通信数据使用加密技术，保证通信的安全。