《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > CA認(rèn)證系統(tǒng)的設(shè)計(jì)
CA認(rèn)證系統(tǒng)的設(shè)計(jì)
來(lái)源:微型機(jī)與應(yīng)用2011年第22期
吳慶敏1, 韓義勇1,覃東海1,雷 霆2
(1. 廣西玉柴機(jī)器股份有限公司, 廣西 玉林537005; 2. 天津大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,
摘要: CA認(rèn)證是保證網(wǎng)上數(shù)據(jù)傳輸和網(wǎng)上身份認(rèn)證的一種有效手段,PKI/CA認(rèn)證體系是目前比較流行的一種可靠的安全認(rèn)證體系。本文給出一種方便有效的網(wǎng)上CA認(rèn)證中心的搭建方式,重點(diǎn)討論了CA認(rèn)證中心證書(shū)的發(fā)布、認(rèn)證、管理等問(wèn)題,給出了一個(gè)包含CA認(rèn)證中心和RA注冊(cè)中心的完整CA認(rèn)證系統(tǒng)的設(shè)計(jì)思想和具體實(shí)現(xiàn)方法。
Abstract:
Key words :

摘   要: CA認(rèn)證是保證網(wǎng)上數(shù)據(jù)傳輸和網(wǎng)上身份認(rèn)證的一種有效手段,PKI/CA認(rèn)證體系是目前比較流行的一種可靠的安全認(rèn)證體系。本文給出一種方便有效的網(wǎng)上CA認(rèn)證中心的搭建方式,重點(diǎn)討論了CA認(rèn)證中心證書(shū)的發(fā)布、認(rèn)證、管理等問(wèn)題,給出了一個(gè)包含CA認(rèn)證中心和RA注冊(cè)中心的完整CA認(rèn)證系統(tǒng)的設(shè)計(jì)思想和具體實(shí)現(xiàn)方法。
關(guān)鍵詞: CA認(rèn)證; 網(wǎng)絡(luò)安全; Web平臺(tái); PKI

    為保障網(wǎng)上數(shù)字信息的傳輸安全,除了在通信傳輸中采用更強(qiáng)的加密算法等措施外,必須建立一種信任及信任驗(yàn)證機(jī)制,即參加電子商務(wù)的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí),這就是CA(Certificate Authority)認(rèn)證[1-2]。
    CA認(rèn)證是保證網(wǎng)上數(shù)據(jù)傳輸和網(wǎng)上身份認(rèn)證的一種有效手段,PKI/CA認(rèn)證體系是目前比較流行的一種可靠的安全認(rèn)證體系。CA認(rèn)證中心是公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)框架中負(fù)責(zé)發(fā)布和撤銷(xiāo)證書(shū)的系統(tǒng),它可以按照一定的信任模型來(lái)組織一個(gè)有效的信任系統(tǒng)[3,4]。CA認(rèn)證中心為每個(gè)CA用戶(hù)發(fā)放一個(gè)數(shù)字證書(shū),用來(lái)標(biāo)識(shí)用戶(hù)的身份,從而保證網(wǎng)上交易的安全性和不可抵賴(lài)性。
    本系統(tǒng)的主要功能就是發(fā)放和管理數(shù)字證書(shū),主要提供公鑰加密和數(shù)字簽名服務(wù)等功能,CA認(rèn)證系統(tǒng)是電子商務(wù)、電子政務(wù)等系統(tǒng)開(kāi)展的基礎(chǔ),可以方便地為人們提供安全的通信方式,可以保護(hù)數(shù)據(jù)傳輸?shù)陌踩裕瑥亩⒁粋€(gè)安全的網(wǎng)上信任環(huán)境。
1 CA認(rèn)證技術(shù)
1.1 CA認(rèn)證

    CA認(rèn)證的主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)數(shù)字證書(shū)及對(duì)數(shù)字證書(shū)進(jìn)行管理。CA作為可信任的第三方機(jī)構(gòu),把用戶(hù)的密鑰和其他的標(biāo)示信息捆綁在一起,承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA 認(rèn)證中心為每個(gè)客戶(hù)發(fā)放數(shù)字證書(shū),使第三者不能偽造和篡改證書(shū),并負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上信息交換各方所需的數(shù)字證書(shū),是安全電子信息交換的核心[3]。CA認(rèn)證中心負(fù)責(zé)數(shù)字證書(shū)的申請(qǐng)、簽發(fā)、制作、廢止、認(rèn)證和管理,提供網(wǎng)上客戶(hù)身份認(rèn)證、數(shù)字簽名、電子公證、安全電子郵件等服務(wù)業(yè)務(wù)。
1.2 數(shù)字證書(shū)
    數(shù)字證書(shū)是用來(lái)表示網(wǎng)上用戶(hù)身份真實(shí)性的。數(shù)字證書(shū)就是網(wǎng)上表示用戶(hù)身份的一系列數(shù)據(jù),是由CA頒發(fā)的。目前使用較為廣泛的數(shù)字證書(shū)的格式是X.509 v3格式。X.509 v3公鑰證書(shū)的適用性非常廣,采用ASN.1語(yǔ)法進(jìn)行編碼[5]。
1.3 RA
  RA(Register Authority)是注冊(cè)審核機(jī)構(gòu),RA提供了用戶(hù)與CA之間的接口,主要功能是用來(lái)收集用戶(hù)信息和確認(rèn)用戶(hù)身份。一般來(lái)說(shuō),RA接受用戶(hù)的注冊(cè)申請(qǐng),并確認(rèn)用戶(hù)是否符合申請(qǐng)資格,最終決定CA是否給其簽發(fā)數(shù)字證書(shū),RA還負(fù)責(zé)對(duì)發(fā)放的證書(shū)進(jìn)行管理。發(fā)放的證書(shū)一般可以存在IC卡或USB設(shè)備中,RA系統(tǒng)是整個(gè)CA系統(tǒng)不可缺少的部分。本系統(tǒng)的RA部分就是由基于J2EE的Web平臺(tái)架構(gòu)、MVC設(shè)計(jì)模式實(shí)現(xiàn),并采用Oracle來(lái)存儲(chǔ)信息。
2 系統(tǒng)功能需求
2.1 系統(tǒng)功能需求模型

  一個(gè)完善的CA認(rèn)證系統(tǒng)應(yīng)具備的主要功能如圖1所示。

    系統(tǒng)具有三種使用角色:用戶(hù)、RA管理員、CA管理員。下面將對(duì)他們進(jìn)行詳細(xì)的用例分析。
    (1) 用戶(hù)的用例圖如圖2所示。

    (2) RA管理員用例圖如圖3所示。
    (3) CA管理員用例圖如圖4所示。

 

 

2.2 詳細(xì)功能需求
  (1) 用戶(hù)注冊(cè)。為了方便系統(tǒng)和用戶(hù)管理,系統(tǒng)必須要有注冊(cè)功能,用戶(hù)注冊(cè)之后將會(huì)擁有更多的權(quán)限,能夠使用更多的功能。
  (2) 用戶(hù)登錄。注冊(cè)之后的用戶(hù)可以登錄系統(tǒng),使用系統(tǒng)的更多功能。
  (3) 證書(shū)申請(qǐng)。采用在線(xiàn)申請(qǐng)方式和離線(xiàn)申請(qǐng)方式。
    在線(xiàn)申請(qǐng):申請(qǐng)人登錄到RA注冊(cè)網(wǎng)站,通過(guò)網(wǎng)頁(yè)提交申請(qǐng)信息,完成申請(qǐng);離線(xiàn)申請(qǐng):申請(qǐng)人到專(zhuān)門(mén)的RA申請(qǐng)機(jī)構(gòu),填寫(xiě)由申請(qǐng)機(jī)構(gòu)提供的申請(qǐng)表,并提供相關(guān)的證件,完成申請(qǐng)。在證書(shū)申請(qǐng)階段,申請(qǐng)人需要提供能夠標(biāo)示自己身份的公鑰信息。申請(qǐng)信息提交到RA之后,證書(shū)申請(qǐng)過(guò)程即可完成。
  (4) 申請(qǐng)人信息審核。RA系統(tǒng)在接收到用戶(hù)提交的申請(qǐng)之后,必須對(duì)證書(shū)進(jìn)行審核,確認(rèn)申請(qǐng)者是否具備申請(qǐng)條件,是否能夠?yàn)樵撚脩?hù)頒發(fā)數(shù)字證書(shū)。審核的范圍一般包含兩個(gè)方面:申請(qǐng)人提供的申請(qǐng)信息是否真實(shí)可信和申請(qǐng)證書(shū)的用途是否正確合法。
  (5) 證書(shū)簽發(fā)。申請(qǐng)人的申請(qǐng)通過(guò)審核之后,CA中心就需要為合法用戶(hù)簽發(fā)數(shù)字證書(shū),證書(shū)簽發(fā)后,必須通過(guò)一定的渠道進(jìn)行發(fā)布并儲(chǔ)存,才能被用戶(hù)使用。證書(shū)的發(fā)放有兩種形式,一是在線(xiàn)發(fā)送,簽發(fā)完畢后直接發(fā)送到用戶(hù)郵箱中;二是離線(xiàn)發(fā)放,CA將證書(shū)存入介質(zhì),一般為IC卡或USB設(shè)備,再由用戶(hù)攜帶有效證件到CA處領(lǐng)取。證書(shū)的存放一般不需要加密存儲(chǔ),因?yàn)樽C書(shū)中存在CA的數(shù)字簽名,證書(shū)中的任何改動(dòng)都可以被發(fā)現(xiàn),從而保證證書(shū)信息的完整性。
  (6) 證書(shū)更新。CA證書(shū)申請(qǐng)時(shí)都有有效期,一般為1年或3年,最長(zhǎng)一般也不超過(guò)5年,這也是由實(shí)際因素和理論因素所決定的,實(shí)際因素:CA主體(包括單位和個(gè)人)的信息不是一成不變,一旦這些信息發(fā)生了變化,CA證書(shū)的有效性和真實(shí)性就難以得到保證。另外,理論上的因素主要有:目前的電子計(jì)算機(jī)的運(yùn)算速度發(fā)展很快,新的加密算法和破解算法也層出不窮,一個(gè)加密算法很難保證一直不會(huì)被破解,因此長(zhǎng)期使用一種加密算法的做法并不可取,CA證書(shū)需要在一定時(shí)間后及時(shí)更新。這就是證書(shū)的更新功能。每一個(gè)證書(shū)在申請(qǐng)時(shí)都有一個(gè)有效期,證書(shū)有效期期滿(mǎn)后就需要更換新證書(shū)。
  (7) 證書(shū)吊銷(xiāo)。用戶(hù)申請(qǐng)的證書(shū)也可能丟失或被盜竊,一旦發(fā)生了這些意外情況,就需要證書(shū)的吊銷(xiāo)功能,證書(shū)的吊銷(xiāo)就是用戶(hù)在證書(shū)的有效期結(jié)束之前,要求停止使用證書(shū),并作廢證書(shū)。證書(shū)的吊銷(xiāo)一般有兩種情況:
 ?、?必須是上級(jí)CA對(duì)下級(jí)證書(shū)的吊銷(xiāo),而不能反向執(zhí)行,出現(xiàn)這種情況一般是上級(jí)CA不能信賴(lài)下級(jí)CA。這時(shí)上級(jí)CA就可以吊銷(xiāo)下級(jí)CA的證書(shū)。
 ?、?下級(jí)證書(shū)主動(dòng)申請(qǐng)證書(shū)的撤消。出現(xiàn)這種情況一般是下級(jí)CA或用戶(hù)的自證書(shū)或密鑰丟失或被盜竊,為了避免更大的損失而申請(qǐng)吊銷(xiāo)證書(shū)。
  (8) 證書(shū)歸檔。證書(shū)到了有效期,而用戶(hù)卻沒(méi)有申請(qǐng)繼續(xù)延長(zhǎng)使用,這時(shí)就必須使用證書(shū)的歸檔功能。當(dāng)用戶(hù)更新證書(shū)之后,原來(lái)的舊證書(shū)也是要進(jìn)行歸檔操作的。另外用戶(hù)撤銷(xiāo)的證書(shū)不能隨意丟棄,也需要?dú)w檔操作。
3 系統(tǒng)設(shè)計(jì)
3.1 系統(tǒng)功能設(shè)計(jì)

    RA注冊(cè)中心主要負(fù)責(zé)普通用戶(hù)瀏覽系統(tǒng)、注冊(cè)用戶(hù)、申請(qǐng)證書(shū)以及RA管理員管理用戶(hù)、申請(qǐng)信息和管理系統(tǒng)。
    RA系統(tǒng)設(shè)計(jì)為三種用戶(hù)權(quán)限,即一般游客、普通用戶(hù)和管理員。三種用戶(hù)應(yīng)具備不同的權(quán)限,所看到的系統(tǒng)頁(yè)面也應(yīng)該有所不同。一般游客功能比較少。很多功能只有在注冊(cè)成為普通用戶(hù)后才能使用。
    (1) 普通用戶(hù)的活動(dòng)圖如圖5所示。
    (2) RA管理員的活動(dòng)圖如圖6所示。
    RA系統(tǒng)在接收到用戶(hù)提交的申請(qǐng)之后,必須對(duì)證書(shū)進(jìn)行審核,確認(rèn)申請(qǐng)者是否具備申請(qǐng)條件,是否能夠?yàn)樵撚脩?hù)頒發(fā)數(shù)字證書(shū)。審核的范圍一般包含:申請(qǐng)人提供的申請(qǐng)信息是否真實(shí)可信;申請(qǐng)證書(shū)的用途是否正確合法。
    (3) CA管理員的活動(dòng)圖如圖7所示。

    申請(qǐng)人的申請(qǐng)通過(guò)審核之后,CA中心就需要為合法用戶(hù)簽發(fā)數(shù)字證書(shū),證書(shū)簽發(fā)后,CA認(rèn)證中心應(yīng)包括證書(shū)簽發(fā)、證書(shū)更新、發(fā)布證書(shū)信息、證書(shū)歸檔、證書(shū)管理與維護(hù)等功能。
3.2 系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)
    系統(tǒng)的核心數(shù)據(jù)主要包括用戶(hù)的信息、認(rèn)證中心管理用戶(hù)證書(shū)的相關(guān)數(shù)據(jù)。這些數(shù)據(jù)全部存在一個(gè)數(shù)據(jù)庫(kù)里。用戶(hù)的注冊(cè)信息、申請(qǐng)信息、有效證書(shū)信息、作廢或過(guò)期證書(shū)的信息將分別儲(chǔ)存在不同的表中。為了保證系統(tǒng)有良好的移植性和擴(kuò)展性,本系統(tǒng)的數(shù)據(jù)庫(kù)采用Oracle9i數(shù)據(jù)庫(kù)。用戶(hù)證書(shū)申請(qǐng)表用于用戶(hù)申請(qǐng)證書(shū),其中存儲(chǔ)的主要是用戶(hù)的申請(qǐng)信息;用戶(hù)證書(shū)表存儲(chǔ)的主要是用戶(hù)證書(shū)的相關(guān)信息;用戶(hù)申請(qǐng)撤銷(xiāo)表用于儲(chǔ)存用戶(hù)申請(qǐng)撤銷(xiāo)證書(shū)的信息;用戶(hù)撤銷(xiāo)證書(shū)表記錄被用戶(hù)撤銷(xiāo)的證書(shū)。
    CA作為現(xiàn)代網(wǎng)絡(luò)與信息系統(tǒng)的安全基礎(chǔ)設(shè)施核心內(nèi)容之一,在信息安全領(lǐng)域起到重要的作用,為電子商務(wù)、電子政務(wù)等網(wǎng)絡(luò)應(yīng)用提供了認(rèn)證完整性、保密性和不可否認(rèn)性等安全服務(wù)。本文就CA認(rèn)證系統(tǒng)的體系結(jié)構(gòu)和各個(gè)組成部分作出了詳細(xì)的分析和設(shè)計(jì),并給出了一種切實(shí)可行的系統(tǒng)實(shí)現(xiàn)方式,實(shí)現(xiàn)了CA系統(tǒng)的主要功能。
參考文獻(xiàn)
[1] 卡哈特.Cryptography and network security[M].北京:清華大學(xué)出版社,2005.
[2] RESCORLA E. SSL與TSL[M].北京:中國(guó)電力出版社,2002.
[3] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA[M].北京:電子工業(yè)出版,2002.
[4] 寧宇鵬,陳昕. PKI技術(shù)[M]. 北京:機(jī)械工業(yè)出版社,2004.
[5] 邁瓦爾德.網(wǎng)絡(luò)安全基礎(chǔ)教程/Fundamentals of network security[M].北京:清華大學(xué)出版社,2005.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。