摘   要： CA認(rèn)證是保證網(wǎng)上數(shù)據(jù)傳輸和網(wǎng)上身份認(rèn)證的一種有效手段，PKI/CA認(rèn)證體系是目前比較流行的一種可靠的安全認(rèn)證體系。本文給出一種方便有效的網(wǎng)上CA認(rèn)證中心的搭建方式，重點(diǎn)討論了CA認(rèn)證中心證書(shū)的發(fā)布、認(rèn)證、管理等問(wèn)題，給出了一個(gè)包含CA認(rèn)證中心和RA注冊(cè)中心的完整CA認(rèn)證系統(tǒng)的設(shè)計(jì)思想和具體實(shí)現(xiàn)方法。
關(guān)鍵詞： CA認(rèn)證； 網(wǎng)絡(luò)安全； Web平臺(tái)； PKI

    為保障網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施外，必須建立一種信任及信任驗(yàn)證機(jī)制，即參加電子商務(wù)的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí)，這就是CA（Certificate Authority）認(rèn)證[1-2]。
    CA認(rèn)證是保證網(wǎng)上數(shù)據(jù)傳輸和網(wǎng)上身份認(rèn)證的一種有效手段，PKI/CA認(rèn)證體系是目前比較流行的一種可靠的安全認(rèn)證體系。CA認(rèn)證中心是公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）框架中負(fù)責(zé)發(fā)布和撤銷(xiāo)證書(shū)的系統(tǒng)，它可以按照一定的信任模型來(lái)組織一個(gè)有效的信任系統(tǒng)[3，4]。CA認(rèn)證中心為每個(gè)CA用戶(hù)發(fā)放一個(gè)數(shù)字證書(shū)，用來(lái)標(biāo)識(shí)用戶(hù)的身份，從而保證網(wǎng)上交易的安全性和不可抵賴(lài)性。
    本系統(tǒng)的主要功能就是發(fā)放和管理數(shù)字證書(shū)，主要提供公鑰加密和數(shù)字簽名服務(wù)等功能，CA認(rèn)證系統(tǒng)是電子商務(wù)、電子政務(wù)等系統(tǒng)開(kāi)展的基礎(chǔ)，可以方便地為人們提供安全的通信方式，可以保護(hù)數(shù)據(jù)傳輸?shù)陌踩裕瑥亩⒁粋€(gè)安全的網(wǎng)上信任環(huán)境。
1 CA認(rèn)證技術(shù)
1.1 CA認(rèn)證
    CA認(rèn)證的主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)數(shù)字證書(shū)及對(duì)數(shù)字證書(shū)進(jìn)行管理。CA作為可信任的第三方機(jī)構(gòu)，把用戶(hù)的密鑰和其他的標(biāo)示信息捆綁在一起，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA 認(rèn)證中心為每個(gè)客戶(hù)發(fā)放數(shù)字證書(shū)，使第三者不能偽造和篡改證書(shū)，并負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上信息交換各方所需的數(shù)字證書(shū)，是安全電子信息交換的核心[3]。CA認(rèn)證中心負(fù)責(zé)數(shù)字證書(shū)的申請(qǐng)、簽發(fā)、制作、廢止、認(rèn)證和管理，提供網(wǎng)上客戶(hù)身份認(rèn)證、數(shù)字簽名、電子公證、安全電子郵件等服務(wù)業(yè)務(wù)。
1.2 數(shù)字證書(shū)
    數(shù)字證書(shū)是用來(lái)表示網(wǎng)上用戶(hù)身份真實(shí)性的。數(shù)字證書(shū)就是網(wǎng)上表示用戶(hù)身份的一系列數(shù)據(jù)，是由CA頒發(fā)的。目前使用較為廣泛的數(shù)字證書(shū)的格式是X.509 v3格式。X.509 v3公鑰證書(shū)的適用性非常廣，采用ASN.1語(yǔ)法進(jìn)行編碼[5]。
1.3 RA
　　RA（Register Authority）是注冊(cè)審核機(jī)構(gòu)，RA提供了用戶(hù)與CA之間的接口，主要功能是用來(lái)收集用戶(hù)信息和確認(rèn)用戶(hù)身份。一般來(lái)說(shuō)，RA接受用戶(hù)的注冊(cè)申請(qǐng)，并確認(rèn)用戶(hù)是否符合申請(qǐng)資格，最終決定CA是否給其簽發(fā)數(shù)字證書(shū)，RA還負(fù)責(zé)對(duì)發(fā)放的證書(shū)進(jìn)行管理。發(fā)放的證書(shū)一般可以存在IC卡或USB設(shè)備中，RA系統(tǒng)是整個(gè)CA系統(tǒng)不可缺少的部分。本系統(tǒng)的RA部分就是由基于J2EE的Web平臺(tái)架構(gòu)、MVC設(shè)計(jì)模式實(shí)現(xiàn)，并采用Oracle來(lái)存儲(chǔ)信息。
2 系統(tǒng)功能需求
2.1 系統(tǒng)功能需求模型
　 一個(gè)完善的CA認(rèn)證系統(tǒng)應(yīng)具備的主要功能如圖1所示。

    系統(tǒng)具有三種使用角色：用戶(hù)、RA管理員、CA管理員。下面將對(duì)他們進(jìn)行詳細(xì)的用例分析。
    (1) 用戶(hù)的用例圖如圖2所示。

    (2) RA管理員用例圖如圖3所示。
    (3) CA管理員用例圖如圖4所示。

2.2 詳細(xì)功能需求
　　(1) 用戶(hù)注冊(cè)。為了方便系統(tǒng)和用戶(hù)管理，系統(tǒng)必須要有注冊(cè)功能，用戶(hù)注冊(cè)之后將會(huì)擁有更多的權(quán)限，能夠使用更多的功能。
　　(2) 用戶(hù)登錄。注冊(cè)之后的用戶(hù)可以登錄系統(tǒng)，使用系統(tǒng)的更多功能。
　　(3) 證書(shū)申請(qǐng)。采用在線(xiàn)申請(qǐng)方式和離線(xiàn)申請(qǐng)方式。
    在線(xiàn)申請(qǐng)：申請(qǐng)人登錄到RA注冊(cè)網(wǎng)站，通過(guò)網(wǎng)頁(yè)提交申請(qǐng)信息，完成申請(qǐng)；離線(xiàn)申請(qǐng)：申請(qǐng)人到專(zhuān)門(mén)的RA申請(qǐng)機(jī)構(gòu)，填寫(xiě)由申請(qǐng)機(jī)構(gòu)提供的申請(qǐng)表，并提供相關(guān)的證件，完成申請(qǐng)。在證書(shū)申請(qǐng)階段，申請(qǐng)人需要提供能夠標(biāo)示自己身份的公鑰信息。申請(qǐng)信息提交到RA之后，證書(shū)申請(qǐng)過(guò)程即可完成。
　　(4) 申請(qǐng)人信息審核。RA系統(tǒng)在接收到用戶(hù)提交的申請(qǐng)之后，必須對(duì)證書(shū)進(jìn)行審核，確認(rèn)申請(qǐng)者是否具備申請(qǐng)條件，是否能夠?yàn)樵撚脩?hù)頒發(fā)數(shù)字證書(shū)。審核的范圍一般包含兩個(gè)方面：申請(qǐng)人提供的申請(qǐng)信息是否真實(shí)可信和申請(qǐng)證書(shū)的用途是否正確合法。
　　(5) 證書(shū)簽發(fā)。申請(qǐng)人的申請(qǐng)通過(guò)審核之后，CA中心就需要為合法用戶(hù)簽發(fā)數(shù)字證書(shū)，證書(shū)簽發(fā)后，必須通過(guò)一定的渠道進(jìn)行發(fā)布并儲(chǔ)存，才能被用戶(hù)使用。證書(shū)的發(fā)放有兩種形式，一是在線(xiàn)發(fā)送，簽發(fā)完畢后直接發(fā)送到用戶(hù)郵箱中;二是離線(xiàn)發(fā)放，CA將證書(shū)存入介質(zhì)，一般為IC卡或USB設(shè)備，再由用戶(hù)攜帶有效證件到CA處領(lǐng)取。證書(shū)的存放一般不需要加密存儲(chǔ)，因?yàn)樽C書(shū)中存在CA的數(shù)字簽名，證書(shū)中的任何改動(dòng)都可以被發(fā)現(xiàn)，從而保證證書(shū)信息的完整性。
　　(6) 證書(shū)更新。CA證書(shū)申請(qǐng)時(shí)都有有效期，一般為１年或3年，最長(zhǎng)一般也不超過(guò)5年，這也是由實(shí)際因素和理論因素所決定的，實(shí)際因素：CA主體（包括單位和個(gè)人）的信息不是一成不變，一旦這些信息發(fā)生了變化，CA證書(shū)的有效性和真實(shí)性就難以得到保證。另外，理論上的因素主要有：目前的電子計(jì)算機(jī)的運(yùn)算速度發(fā)展很快，新的加密算法和破解算法也層出不窮，一個(gè)加密算法很難保證一直不會(huì)被破解，因此長(zhǎng)期使用一種加密算法的做法并不可取，CA證書(shū)需要在一定時(shí)間后及時(shí)更新。這就是證書(shū)的更新功能。每一個(gè)證書(shū)在申請(qǐng)時(shí)都有一個(gè)有效期，證書(shū)有效期期滿(mǎn)后就需要更換新證書(shū)。
　　(7) 證書(shū)吊銷(xiāo)。用戶(hù)申請(qǐng)的證書(shū)也可能丟失或被盜竊，一旦發(fā)生了這些意外情況，就需要證書(shū)的吊銷(xiāo)功能，證書(shū)的吊銷(xiāo)就是用戶(hù)在證書(shū)的有效期結(jié)束之前，要求停止使用證書(shū)，并作廢證書(shū)。證書(shū)的吊銷(xiāo)一般有兩種情況：
　?、?必須是上級(jí)CA對(duì)下級(jí)證書(shū)的吊銷(xiāo)，而不能反向執(zhí)行，出現(xiàn)這種情況一般是上級(jí)CA不能信賴(lài)下級(jí)CA。這時(shí)上級(jí)CA就可以吊銷(xiāo)下級(jí)CA的證書(shū)。
　?、?下級(jí)證書(shū)主動(dòng)申請(qǐng)證書(shū)的撤消。出現(xiàn)這種情況一般是下級(jí)CA或用戶(hù)的自證書(shū)或密鑰丟失或被盜竊，為了避免更大的損失而申請(qǐng)吊銷(xiāo)證書(shū)。
　　(8) 證書(shū)歸檔。證書(shū)到了有效期，而用戶(hù)卻沒(méi)有申請(qǐng)繼續(xù)延長(zhǎng)使用，這時(shí)就必須使用證書(shū)的歸檔功能。當(dāng)用戶(hù)更新證書(shū)之后，原來(lái)的舊證書(shū)也是要進(jìn)行歸檔操作的。另外用戶(hù)撤銷(xiāo)的證書(shū)不能隨意丟棄，也需要?dú)w檔操作。
3 系統(tǒng)設(shè)計(jì)
3.1 系統(tǒng)功能設(shè)計(jì)
    RA注冊(cè)中心主要負(fù)責(zé)普通用戶(hù)瀏覽系統(tǒng)、注冊(cè)用戶(hù)、申請(qǐng)證書(shū)以及RA管理員管理用戶(hù)、申請(qǐng)信息和管理系統(tǒng)。
    RA系統(tǒng)設(shè)計(jì)為三種用戶(hù)權(quán)限，即一般游客、普通用戶(hù)和管理員。三種用戶(hù)應(yīng)具備不同的權(quán)限，所看到的系統(tǒng)頁(yè)面也應(yīng)該有所不同。一般游客功能比較少。很多功能只有在注冊(cè)成為普通用戶(hù)后才能使用。
    (1) 普通用戶(hù)的活動(dòng)圖如圖5所示。
    (2) RA管理員的活動(dòng)圖如圖6所示。
    RA系統(tǒng)在接收到用戶(hù)提交的申請(qǐng)之后，必須對(duì)證書(shū)進(jìn)行審核，確認(rèn)申請(qǐng)者是否具備申請(qǐng)條件，是否能夠?yàn)樵撚脩?hù)頒發(fā)數(shù)字證書(shū)。審核的范圍一般包含：申請(qǐng)人提供的申請(qǐng)信息是否真實(shí)可信；申請(qǐng)證書(shū)的用途是否正確合法。
    (3) CA管理員的活動(dòng)圖如圖7所示。

    申請(qǐng)人的申請(qǐng)通過(guò)審核之后，CA中心就需要為合法用戶(hù)簽發(fā)數(shù)字證書(shū)，證書(shū)簽發(fā)后，CA認(rèn)證中心應(yīng)包括證書(shū)簽發(fā)、證書(shū)更新、發(fā)布證書(shū)信息、證書(shū)歸檔、證書(shū)管理與維護(hù)等功能。
3.2 系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)
    系統(tǒng)的核心數(shù)據(jù)主要包括用戶(hù)的信息、認(rèn)證中心管理用戶(hù)證書(shū)的相關(guān)數(shù)據(jù)。這些數(shù)據(jù)全部存在一個(gè)數(shù)據(jù)庫(kù)里。用戶(hù)的注冊(cè)信息、申請(qǐng)信息、有效證書(shū)信息、作廢或過(guò)期證書(shū)的信息將分別儲(chǔ)存在不同的表中。為了保證系統(tǒng)有良好的移植性和擴(kuò)展性，本系統(tǒng)的數(shù)據(jù)庫(kù)采用Oracle9i數(shù)據(jù)庫(kù)。用戶(hù)證書(shū)申請(qǐng)表用于用戶(hù)申請(qǐng)證書(shū)，其中存儲(chǔ)的主要是用戶(hù)的申請(qǐng)信息；用戶(hù)證書(shū)表存儲(chǔ)的主要是用戶(hù)證書(shū)的相關(guān)信息；用戶(hù)申請(qǐng)撤銷(xiāo)表用于儲(chǔ)存用戶(hù)申請(qǐng)撤銷(xiāo)證書(shū)的信息；用戶(hù)撤銷(xiāo)證書(shū)表記錄被用戶(hù)撤銷(xiāo)的證書(shū)。
    CA作為現(xiàn)代網(wǎng)絡(luò)與信息系統(tǒng)的安全基礎(chǔ)設(shè)施核心內(nèi)容之一，在信息安全領(lǐng)域起到重要的作用，為電子商務(wù)、電子政務(wù)等網(wǎng)絡(luò)應(yīng)用提供了認(rèn)證完整性、保密性和不可否認(rèn)性等安全服務(wù)。本文就CA認(rèn)證系統(tǒng)的體系結(jié)構(gòu)和各個(gè)組成部分作出了詳細(xì)的分析和設(shè)計(jì)，并給出了一種切實(shí)可行的系統(tǒng)實(shí)現(xiàn)方式，實(shí)現(xiàn)了CA系統(tǒng)的主要功能。
參考文獻(xiàn)
[1] 卡哈特．Cryptography and network security[M]．北京：清華大學(xué)出版社，2005．
[2] RESCORLA E． SSL與TSL[M]．北京：中國(guó)電力出版社，2002．
[3] 關(guān)振勝．公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA[M]．北京：電子工業(yè)出版，2002．
[4] 寧宇鵬，陳昕． PKI技術(shù)[M]． 北京：機(jī)械工業(yè)出版社，2004．
[5] 邁瓦爾德．網(wǎng)絡(luò)安全基礎(chǔ)教程/Fundamentals of network security[M]．北京：清華大學(xué)出版社，2005．