2018对高校电子政务公钥设施探究
公钥基础设施技术PKI是利用公钥理论和技术(密码技术、数字信封、数字签名技术等)建立的提供信息安全服务的基础设施,是国际标准的安全管理平台,即信息安全基础中的核心.PKI的理论基础是研究信息安全保密的密码学,它分为密码编码学和密码分析学,PKI是解决加密和信任问题的基本解决方案.一个典型的PKI组成系统(如图1),主要包括以下部分:a.数字证书认证中心 (CA):数字证书认证中心CA是PKI的核心,CA主要负责对本系统内证书生命周期的管理:如证书的申请、更新、撤销、发布、备份、恢复和归档等 .b.密钥管理中心(KMC):密钥管理中心(KeyManagementCenter,以下简称:KMC)向CA服务提供相关密钥服务,它是整个信任体系的核心安全部分,主要负责密钥的管理(如密钥的生成、密钥的分发、密钥的存储、密钥的备份和更新以及密钥的撤销和恢复等) 和安全.c.注册中心(RA):注册中心(RegistrationAuthority,以下简称:RA)是CA认证中心的延伸,主要负责对证书申请用户信息的录入、审核及制证、发证等;RA是数字证书的审核、申请和注册中心,RA注册中心由CA认证中心授权管理.d.证书库与证书发布系统:CA签发证书的存储和证书吊销列表,便于用户方便地取得证书和证书吊销列表信息;还提供轻量目录访问协议(LDAP)服务和注册服务 .e.PKI应用:主要是在web服务器之间的通讯、电子数据交换(EDI)、电子邮件、信用卡交易和虚拟私人网络(VPN)等客户端应用软件.数字证书认证中心CA、密钥管理中心KMC、注册中心RA、证书库是PKI的关键组件;PKI通过密码加密技术、数字证书、数字签名等技术保证网络上数据的保密性、有效性、完整性、不可否认性以及身份的合法性,它为电子政务的发展提供了一套安全的基础平台、技术规范和一个安全的电子政务环境 .
基于PKI的高校电子政务的安全构建
目前高校电子政务信息安全的解决方案主要集中在物理安全、系统安全和网络安全层面(如防火墙、入侵检测、防病毒等),还没有应用层面的信息安全平台和全网统一的安全方案;PKI技术对解决高校电子政务中存在的应用层面安全问题是一个比较好的选择(如身份验证、数据加密和数据完整性等).图2所示的高校电子政务PKI的构架模型是对文献模型的修改,其中包括有端实体(即个人用户和应用系统)、目录服务、CA认证管理、RA管理器、用户管理器等,每个校园网PKI系统有一个根CA,分校区设立一个下级 CA,分校校区都有一个RA与之相连,证书库位于不同的目录服务,当用户需要查询证书时,先向CA提出申请,然后由子CA从证书库中提取证书信息,CA之间是交叉认证.对于高校电子政务安全体系而言,一个高效率的CA中心、一个安全的角色访问控制和一个稳定的证书库对教育电子政务应用平台是必要的,笔者的研究是建立在高校PKI系统框架模型基础上(图2),从CA认证、证书库、访问控制等方面进行高校电子政务PKI安全体系的分析和构建.
桥CA认证结构CA服务器是整个高校PKI电子政务证书机构的核心,根据CA间的关系,PKI的体系结构有三种情况:单个CA,分级(层次) 结构的CA(从属关系)和网状结构的CA(对等关系).三种情况各有优点且用在不同的条件下,但单个CA的结构不易扩展到支持大量的不同的群体的用户;分级结构的CA的缺点是它依赖于根CA,若根CA安全性削弱,将导致整个PKI系统安全性削弱;分级结构的CA是所有的信任都集中在根CA,而一旦该可信任点出现故障,后果是灾难性的.高校PKI电子政务一般采用的是分级CA,由于各种原因,现在很多高校都有两个甚至多个校区,校区之间的物理距离也很远,再加上各院系和部门之间功能相对独立,有必要使用多个CA(如图2),而且所有CA的公钥验证用户的证书都必须是可信的.对于高校电子政务来说,由于高校各部门、院系之间不是从属关系,因此不能简单使用分级的CA结构;但在一个院系或部门内部,从属关系还是存在的,因此也不能简单地使用网状结构的CA.结合高校特点,在高校电子政务体系中构建桥CA认证体系(如图3):在各部门内部使用分级的CA认证,各部门之间通过学校的中心CA进行桥接CA认证,并且可以根据学校规模的大小设立相应的CA认证中心的数量,进行交叉认证,从而建立高校PKI的信任模型。桥CA分别与CA1、CA2、CA3建立对等信任关系,那么CA1、CA2、CA3就是各自PKI体系中的主CA.用户U1和U6可以通过他们各自的可信任点CA2和CA3,经桥CA的连接建立起信任关系,进行安全通信.
LDAP的高校PKI证书库LDAP是轻量目录访问协议(LightweightDirectoryAccessProtocol),目录是一个以树型为数据组织结构的特殊数据库,存放信息的载体,比关系型数据库具有更高的查询速度.证书库用于发布通过认证中心CA认可的数字证书,是高校 PKI电子政务系统的数据存储中心和发布中心;证书库发布的数字证书包含了证书持有者的个人详细信息、CA的数字签名和公钥等,为了保证证书内容的可靠性,一般通过证书上CA的签名验证,就可以确认每个持有者的公钥的真实性和身份的合法性.由于高校电子政务系统中用户对证书的查询请求非常频繁,构建LDAP的证书库(如图4虚线所示)尤为重要,可以大大优化证书的匹配、查询、维护等功能,避免在使用中不同数据库之间复杂的协议转换, 保证对合法使用者的身份有效认证、提高查询响应频率.虚线部分有主库(主LDAP目录)和从库(从LDAP目录)组成,证书库的内容包括:证书和CRL、证书库版本号、证书目录树下的修改操作日志.管理实体负责主库中的各种数据维护(如x.509证书和CRL),RA负责向CA提交请求和用户证书申请,CA负责证书的签发以及维护主LDAP目录(主证书库)中的证书状态;目录复制功能(Replica)是将CA对主库的修改操作通过主LDP目录(主库)实时地反映到从LDP目录(从库)中,LDAPS的功能是维护、定期检测从库的数据、日志或证书库的版本号是否和主库的一致,若主库和从库有一方发生故障,Replica能保持证书库的正常服务和数据的稳定性.
页:
[1]