基于PKI的校园网身份认证系统的设计与实现

基于PKI的校园网身份认证系统的设计与实现①

王锦

(广州大学纺织服装学院 广东广州 510165)

摘 要:将PKI技术引入校园网络,在加强校园网络安全的同时也为校园网络的使用提出了新的发展方向。这个基于PKI的身份认证系统是一个两层CA多RA结合构造的校园网认证中心模型,符合学校具有多个不同地域的校区,多个工作性质不同部门的特点。在此设计模型上,利用开源软件包OpenSSL对身份认证系统进行具体实现。关键词:PKI 身份认证 网络安全中图分类号:TP391文献标识码:A文章编号:1674-098X(2011)05(a)-0026-03

1 前言

随着网络信息化时代的到来,科研需求、教学应用、网络办公、网上娱乐等方面的网络应用逐渐渗透到了校园生活的方方面面。校园网是以网络为基础,从环境(包括设备、教室等)、资源(如图书、讲义、课件等)、到活动(包括教、学、管理、服务、办公等)全部信息化。我们要建设越来越多的校园网应用,对越来越多的用户开放这又与校园网的安全和稳定是矛盾的,本文正是基于这样的一对矛盾来研究校园网的安全策略。

基于公钥基础设施的PKI技术,采用了先进的安全技术对网上信息的发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性、不可抵赖性等。作为大型网络上的基本身份认证协议的基础设施,PKI能够公钥方式的身份认证协议安全强度高,通过证书链检验和CA之间的交叉认证,还可以支持跨域认证。

挥着重要的作用。随着计算机与互联网的发展,密码学开始广泛用于民用信息安全领域。加密通常包含两个元素:加密算法和密钥。明文是发送人、接收人和任何访问消息的人都能理解的消息。明文消息用某种模式编码后,就得到了密文消息。

近代加密技术主要有两种,一种为对称密码,另一种是公钥密码,也称非对称密码。

2.1.1对称密码学

对称密码加密是在加密和解密消息时需要使用相同密钥,或者虽然不相同,但是由其中任意一个可以很容易的推导出另一个的一种算法体制。这种算法要求信息交互的双方必须进行安全通信前,协商一个密钥,共享同一个密钥,并且这个密钥还要防止被他人获取。其安全性完全依赖于对密钥的保护,必须有可靠的信道来分发密钥。

对称密码加密的主要优点是运算速度快、效率高、算法简单、计算开销小,硬件容易实现；其缺点,也是最突出的缺点之一是密钥的分发与管理比较困难,特别是当通信的人数增加时,密钥数目急剧膨胀。另外一个问题就是密钥交换问题,无论是通过传统方法还是现代网络通信手段,密钥的安全性都不能得到保证。对称密码加密技术有很多种,如DES、triple

DES、IDEA、RC2、RC4、RC5、RC6、GOST、FEAL、LOKI、AES等。

2.1.2公钥密码学

公钥密码加密也称非对称密钥加密,与对称密码加密不同的是,它需要使用一对密钥来分别完成加密和解密的操作。其中一个公开发布,称为公开密钥；另外一个由用户自己秘密保存,称为私有密钥。这两个密钥之间存在相互依存关系:即用其中任一个密钥加密的信息只能用另一个密钥进行解密。

公钥密码加密算法的核心是一种特殊的单向陷门数字函数,该函数从一个方向求值是容易的,但其逆变换却是极其困难,因此利用公开的加密密钥只能作正向变换。若以公钥作为加密密钥,以私钥作为解密密钥则可实现加密的信息只能由一个用户解读；反之,以用户私钥作为加密密钥而以公钥作为解密密钥,则可实现由一个用户加密的信息而多个用户解读。

公钥密码体制最大的优点就是不需要对密钥通信进行保密,所需传输的只有公开密钥,通信双方不需要能过保密信道交换密钥。而且由于公开性,因而密钥的管理、分发等就不存在如对称密钥加密技术中的重大问题了。比较著名的公钥密码加密算法有:RSA、

为大量的用户提供身份认证和授权绑定服务,

.com.cn. All Rights Reserved.2 相关理论与技术

2.1密码学

密码学是信息安全的基础[1],很早以前,它就在政治、军事、外交等领域的信息保密方面发

图1 PKI组成框架图

①作者简介:王锦(1980-),男,硕士学位,主要研究方向为计算机网络及信息安全。

26

科技创新导报 Science and Technology Innovation Herald

I T 技 术

Diffie-Hellman、DSS、ECC椭圆曲线算法等。2.2数字证书

数字证书[3]是一段包含用户信息、用户公钥信息和身份验证机构数字签名的数据。用户的密钥对信息进行加密可以保证数字信息传输的机密性,身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。

数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书实质上就是一系列密钥,用于签名和加密数字信息。证书由具备权威性、可信任性和公正性的第三方机构签发。CA的数字签名使得攻击者不能伪造和篡改数字证书,认证中心颁发的数字证书均遵循X.509 V3标准,是网上实体身份的证明。2.3PKI的基本概念和内容

PKI是“Public Key Infrastructure”的缩写,即公钥基础设施。PKI作为最新发展起来的安全技术和安全服务规范,引起了极大关注,成为Internet上现代安全机制的中心焦点。它利用非对称算法原理,以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件设施。

2011 NO.13Science and Technology Innovation Herald科技创新导报PKI遵循标准的利用公钥加密技术为网上电子商务、电子政务等的开展,而提供的一整套安全基础平台。它遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。PKI包括由PKI策略、软硬件系统、认证中心(CA)、注册机构(RA)、证书签发系统和PKI应用等构成的安全体系,组成如图1所示

[4]

名的安全协议就是安全套接层SSL[6],它也是PKI的应用协议。SSL现在被广泛用于Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。

3 系统总体设计

校园网身份认证系统采用中心信任模型,在服务器端建立对客户和服务器双方都有效的数字证书认证中心,为客户端和服务器端颁发数字证书。在使用SSL协议进行校园网络通信时,通信双方都应该持有各自的由校园数字证书认证中心颁发的数字证书,并且都信任该证书,然后双方通过数字证书来建立SSL安全网络通信。

。

认证机构[5](Certificate Authority)是PKI

的核心组成部分,简称CA,也称为认证中心,它是可以签发数字证书的信任机构。认证机构有权向个人和组织签发数字证书,使其可以在非对称密钥加密应用程序中使用这些证书。2.4PKI的功能和应用协议

PKI是一个用公钥概念与技术来实施并提供一套安全服务的具有一般通用性的安全基础设施。PKI系统通过公开密钥技术和数字证书来确保系统信息安全并验证数字证书持有者身份。它具有节省费用、互操作性、开放性、一致的解决方案、可验证性、可选择性等特点。它提供的安全支持可以概括为:证书与CA；密钥备份及恢复证书,密钥对的自动更换；交叉认证；支持多应用；支持多平台等。

Internet技术非常宠大,涉及诸多领域,它安全方面涉及的各种协议也非常多,其中最著

4 系统的实现与应用

4.1系统开发工具

基于PKI的校园网身份认证系统是一套比较完整的PKI数字证书身份认证系统,实现的功能主要包括两大方面:一是建立校园网自己的CA和RA,并实现一个PKI系统的基本功能,包括签发证书、生成证书、废止证书、废止列表等；另一方面是为两个拥有该系统证书的实体建立SSL通道。

采用开源代码的软件包OpenSSL的SSL库和密码算法库为基础,通过调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器端之间数据的安全。从而实现系统的数字证书生成、管理、SSL安全网络通信、加解密操作等功能。

OpenSSL是用于安全通信的最著名的一个自由软件[7],包含有SSL接口、对称加密、非对称加密及PKCS接口(包括X.509证书、PKCS标准、ASN.1)等功能。OpenSSL工具包可分为三个部分:SSL函数库、Crypto函数库和命令行工具。表1是OpenSSL中的主要文件。4.2系统的实现

校园网身份认证系统在服务器端建立自己的数字证书认证中心,为客户端和服务器颁发符合X.509 V3标准的数字证书。本文构造的系统采用命令行方式生成数字证书以及对证书进行签发等管理。

数字证书运作流程图,即数字证书的整个生命周期图,如图2所示。4.3应用

构建基于PKI的校园网身份认证系统后,我们可以利用其颁发的数字证书机制运用到校园网各应用系统中,提供网上的用户身份认证,并保障信息的安全,以下“开放性数字图书馆”是身份认证系统的一个应用示例。

现在一般的图书馆网站都将商用信息资源限制在Intranet范围内使用,Internet上[8]的用

.com.cn. All Rights Reserved.表1 OpenSSL中的主要文件

图2 密钥管理中心系统组成

科技创新导报 Science and Technology Innovation Herald27

科技创新导报2011 NO.13Science and Technology Innovation HeraldI T 技 术

[7]徐勇.基于PKI技术的CA的研究与实现

[D].硕士论文.四川师范大学,35-38,2007.

[8]D. Piper.The Internet IP Security

Domain of Interpxetation for ISAKMPRFC2407[J]. November 1998.[9]高继明.数字图书馆中的用户管理问题研

究[D].硕士论文.西北师范大学,29-34,2006.

[10]付沙.基于PKI和SSL的校园网络通信的研

究与实现[D].硕士论文.湖南大学软件学院,29-41,2007.

[11]胡建龙,等．校园网PKI身份认证系统设

计[J]．科技创新导报,2011,1:18．

户无法访问各图书馆Intranent上的信息资源,采用的方法是通过IP层加密技术来验证登录网站的计算机IP地址是否合法和用防火墙技术将Intranet与Internet隔开的方法。

这种现行的方式优点是方便、简单,系统运行效率高,也有效解决商用信息资源的知识保护问题。但是缺点也非常明显,它不仅给Intranet以外的用户利用这些信息资源带来障碍,即使图书馆Intranet的用户,一旦离开了Intranet的覆盖范围,同样也不能使用这些通过IP层加密技术来进行用户验证管理的信息资源。

根据校园网身份认证系统,我们在图书馆设立一个二级CA,当然这个二级CA是受校园网根CA所控的[9]。即在图书馆用户与Web服务器之间建立一个第二层,即CA服务器。由它来完成用户身份认证、用户的增删等管理,并保障数字资源传输过程的安全性。

软件OpenSSL工具包,完成了具有使用各种加密算法、数字签名、证书生成、证书签发等功能,实现校园网身份认证系统。随着计算机技术的日新月异,PKI技术的不断完善和发展,PKI公钥基础设施作为一种网络信息安全的基础设备,有着巨大的生命力和前途。展望未来,不难看到PKI技术一定能在保障网络安全方面发挥更大的作用。

参考文献

[1]Atul kahate.密码学与网络安全[M].北

京:清华大学,2006.

[2]曾强.网络安全协议SSL原理及应用[D].硕

士论文.天津大学,7-10,2005.

[3]Andrew S.Tanenbaum.计算机网络.第

4版[M].北京:清华大学出版社,2004.655.

[4]程徐彬,毕红军.基于OpenSSL的用户证书

管理系统研究[J].信息安全与通信保密,2008,09:72-73.

[5]李涛.网络安全概论[M].北京:电子工业出

版社,2004.91-113,186-194.

[6]肖啟志.基于公钥基础设施的电子支付平

台的设计与实现[D].硕士论文.北京交通大学,25-28,2008.

5 结语

本文从校园网发展中存在的需要解决的主要问题入手,提出了一个解决方案。PKI技术具有功能全面、高度安全、成熟可靠的特点,基于PKI的校园网身份认证系统是建立数字化校园坚实和完善的安全基础。利用开源

.com.cn. All Rights Reserved.《科技创新导报》稿件要求及投稿说明

稿件要求:

1、稿件应具有科学性、先进性和实用性，论点明确、论据可靠、数据准确、逻辑严谨、文字通顺。2、计量单位以国家法定计量单位为准；统计学符号须按国家标准《统计学名词及符号》的规定书写。3、所有文章标题字符数在20字以内。4、参考文献按引用的先后顺序列于文末。6、正确使用标点符号，表格设计要合理，推荐使用三线表。7、图片要清晰，注明图号。

投稿说明:1、来稿一律使用Word排版且具有一定的学术水平，以2700字左右为宜，并保证文章版权的独立性，严禁抄袭，文责自负，请勿一稿多投，欢迎投稿。

2、本刊已加入《中国学术期刊(光盘版)》、《中文科技期刊数据库》、《万方数据数字化期刊群》等网络媒体，本刊发表的文章将在网络媒体上全文发布。

3、本刊编辑部对来稿有修改权，不愿改动者请事先说明。自收稿之日起1个月内未收到刊用通知，作者可自行处理。4、来稿请注明作者姓名、单位、通讯地址、邮编、联系电话及电子信箱。5、本刊发表周期为10天，出刊后5天内邮寄样刊。6、如有一稿多投、剽窃或抄袭行为者，一切后果由作者本人负责。

28

科技创新导报 Science and Technology Innovation Herald