赵 可

济南奥林匹克体育中心，山东济南 250102

1 PKI/CA 技术浅析

1.1 密码技术

密码技术是用来保证信息安全的一种必要手段，是信息安全的核心。从数学角度讲，加密是一种从“明文”定义域到“密文”值域的函数，解密是加密的反函数。

1.2 公开密钥基础架构体系（PKI）

PKI 是“Public Key Infrastructure”的缩写，PKI 是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI 由数字证书、证书颁发机构 (CA) 以及核实和验证通过公钥加密方法进行电子政务的每一方的合法性的其他注册颁发机构所构成。迄今为止的所有公钥密码体系中，RSA 算法是最著名、使用最广泛的一种。

1.3 数字证书

数字证书又称为数字标识（Digital Certificate，Digital ID）。它提供了一种在Internet 上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。

1.4 电子签名法

《中华人民共和国电子签名法》于2005 年4 月1 日正式施行。法律规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。《电子签名法》的施行，标志着我国首部“真正意义上的信息化法律”正式诞生，它将对我国电子政务的发展起到至关重要的促进作用。

2 电子政务安全支撑平台

2.1 作用和意义

构建以公钥基础设施（PKI）技术和授权管理基础设施（PMI）技术为核心的电子政务安全支撑平台，旨在满足电子政务业务信息系统运作流程中遇到的身份识别、权限控制、数据加密、数据完整性、抗抵赖等多种安全需求。电子政务安全支撑平台主要负责数字安全证书的申请受理、认证、制作、签发和管理，为开展电子政务提供身份认证、数字签名、证书目录查询、电子公证、安全电子邮件等服务，为城市信息化建设提供安全保障。

2.2 各子系统工作原理

2.2.1 认证系统

证书认证（CA）中心负责用户注册、证书/注销列表生成与签发、证书/注销列表存储与发布、证书状态查询、证书管理控制和策略配置、安全审计管理等。密钥管理（KM）中心提供加密证书密钥对的管理功能，作为独立运行的系统，可为一个或多个认证系统提供密钥管理服务，实现密钥的产生、存储、分发、更新、撤销、归档、恢复等密钥管理服务。

2.2.2 授权系统

授权系统对用户主体进行权限管理，实现对计算机系统中的受控资源进行访问许可，受控资源表示系统中需要进行访问控制的资源，访问类型是指对于相应的受控对象的访问控制，如：读取、修改、删除等等。

2.2.3 数字时间戳

数字时间戳（DTS：digital time stamp）是信息安全服务项目之一，提供电子文件日期和时间信息的安全保护。DTS是一个经加密形成的凭证文档，包括需加DTS 的文件摘要、DTS 收到文件的日期和时间、DTS 的数字签名。

2.2.4 PKI 中间件

PKI 中间件是以PKI 为基础，遵循国际、国内安全标准，面向信息安全应用，提供数字证书安全服务的开放式中间件。通过PKI 中间件与信息系统的集成，可以实现不同层面的系统安全。诸如Java Applet、WWW 服务器插件和应用服务器端Java Servlets 等都需要数据加解密、密钥生成、数字签名等密码运算和证书管理，应根据具体应用环境选用不同的加密设备。

2.2.5 PMI 中间件

身份验证组件用于鉴别用户身份，应用系统根据自身安全需要选择使用强/弱身份认证。权限验证组件用于审查合法用户的访问权限，对于合法用户，该组件将从LDAP 服务器上获得用户属性证书，根据授权管理访问策略，判断是否授权用户访问。

3 PKI/CA 技术应用

3.1 开机登录

将加密硬件设备安装于电脑主机上，当打开主机时，系统会验证使用者的身份。这时只有证书的合法持有人将载有证书TTL 电平信号中的一些可能存在的毛刺波形，同时增加信号的驱动能力，提高了信号在传输过程中的抗干扰性。将去扰整形后的TTL 电平信号送至单片机89C2051 的INT0 端。

IRIG-B 时间码经过单片机的处理后，解码出各种时间信息，通过TXD 引脚送入MAX232 芯片，转为RS232 电平信号后送到串口输出端子，供给需进行时间同步的各类装置设备对时使用。另外，根据IRIG-B 时间码的参考帧标志信息，由单片机P1.5 引脚输入一路秒脉冲对时信息。为提高输出秒脉冲信息的抗干扰性及增加驱动能力，将其经光耦TLP521 隔离后送至输出端口。秒脉冲采用静态空接点的方式输出，可通过短接块完成有源输出和无源输出两种方式之间的切换。

4 软件程序设计

帧参考标志、“秒”、“分”、“时”、“天”、“年”的BCD 码、计日的二进制秒等信息可分别存放在单片机内部RAM 中可位寻址的20H～29H 单元中，根据代表“1”、“0”的码元宽度对相应的位置1 或清0。

关于脉宽的判断，本设计采用单片机内部时钟，为定时器T0 赋计时0.5ms 的初值。当INT0 引脚接收的信号的电平由低变高的时候，打开T0 定时器，则T0 定时器开始计时，当计满0.5ms 时，进入T0 中断，T0 中断程序即对发生0.5ms 的次数进行计数，计数器加1；当INT0 引脚电平由高变低时，关闭T0 定时器停止计时，通过读取T0 中断中计数器的值来计算来自INT0 引脚的脉冲宽度，脉冲宽度即等于计数值乘以0.5ms。当脉冲宽度在1.5-3.5ms 范围内时，认为脉宽为2ms，即为二进制0 码元；当脉冲宽度在3.5-6.5ms 范围内时，认为脉宽为5ms，即为二进制1 码元；当脉冲宽度＞6.5ms 时，认为脉宽为8ms，即为位置识别标志码元。根据脉冲宽度解码出IRIG-B 码中所包含的各种时间信息，并存入单片机的内部RAM 单元中。根据年份，将天数换算成月份和日期。

除了送出绝对时标信息外，在帧参考标志上升沿出现时，可同时送出另外一种对时方式，即脉宽约为100ms 的秒脉冲信息。在帧参考标志上升沿出现时，将P1.5 置1，由于每个码元宽度为10ms，因此当计数到十个码元时清零P1.5，即形成脉宽为100ms 的秒脉冲。

本程序最终通过串行口中断程序输出解码后的时间信息，并同时自P1.5 脚输出脉宽为100ms 的秒脉冲信息。为了获得准确完整的时间信息后再进行输出，本设计在主程序开始前先进行通过一个子程序进行一次预对时，以确保时间信息的准确性。而串口中断程序是用一个循环语句将连续单元存放的处理过的时间信息陆续送出。

本设计程序的关键在于如何处理当前接收的信息与输出的信息之间的时间差问题。由于在接收到当前一秒的时间信息时，解出的时间信息已经滞后，若不经过加一秒处理即送出，则此时间信息刚好比B 码标准时间滞后一秒。因此，需要将此时的时间信息进行加一秒处理，在下一秒的帧参考标志上升沿出现时将经过加一秒处理过的时间信息送出去，这时送出去的时间信息与B 码标准时间才是同步吻合的。时间信息在经过加1 秒处理后除了秒信息发生变化外，可能还会产生年月日时分及一年中天数的变化，由于月份又有大月、小月、闰月之分，闰月可通过年除以4 取余的方法判断是否为闰年，再进行相应月份、日期的处理。因此，时间每加一秒，都要考虑到这些信息的变化；又因为时间的不可重复性，因此在编程时要充分考虑到各种可能引起时间信息变化的因素。

4 结论

本IRIG-B 解码装置有电路设计简捷、性能稳定、抗干扰能力强、体积小等优点，而且所用CPU 芯片采用市场上通用ATMEL 公司的89C2051 单片机，具有很高的性价比。近年来，中国、西欧、美国等许多国家生产的电力系统配电设备、遥测设备等，与时间系统的接口大都采用IRIG-B 码格式，因此IRIG-B 格式时间码的应用日趋广泛。从本IRIG-B 时间解码装置中解调出来的1pps 标准秒脉冲信号，亦可为一些时统设备提供对时之用，因此本装置具有较高的应用价值。

[1]马红皎，胡永辉.GPS&IRIG-B 码时间系统分析.电子科技，2005(7):21-25.

[2]刘浩，苏理，丁敏.IRIG-B 码对时在保护测控装置中的实现.江苏电机工程，2007(1):48-50.

[3]雷震，魏丰.IRIG-B格式时间码在GPS同步时钟卡中的应用.现代电子技术，2004(5):75-79.

[4]朱祖扬，薛兵.基于IRIG-A 码输出的超小型GPS时钟设计.单片机与嵌入式系统应用，2006(12):22-24.

[5]何立民.单片机高级教程-应用与设计（第2版）.北京：北京航空航天大学出版社，2007.