基于認(rèn)證技術(shù)的認(rèn)證機(jī)構(gòu)系統(tǒng)的研究

1、 基于認(rèn)證技術(shù)的認(rèn)證機(jī)構(gòu)系統(tǒng)的研究【摘 要】在網(wǎng)絡(luò)的發(fā)展中,網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出,在諸多網(wǎng)絡(luò)安全技術(shù)中,認(rèn)證機(jī)構(gòu)能夠有效地解決網(wǎng)絡(luò)信息的安全問(wèn)題。本文探討了認(rèn)證機(jī)構(gòu)系統(tǒng)的體系結(jié)構(gòu)以及在實(shí)際運(yùn)行時(shí)的具體流程,利用java設(shè)計(jì)了認(rèn)證機(jī)構(gòu)系統(tǒng)在實(shí)際應(yīng)用時(shí)所需要的類(lèi)別及實(shí)施方案。 【關(guān)鍵詞】認(rèn)證機(jī)構(gòu)ca系統(tǒng) 證書(shū) 數(shù)字證書(shū) 密鑰 1 引言 電子商務(wù)給人們的生活和工作帶來(lái)了巨大的改變,但在電子商務(wù)給人們帶來(lái)好處的同時(shí),其安全問(wèn)題也逐漸暴露出來(lái),而且越來(lái)越受到人們的關(guān)注,于是許多關(guān)于網(wǎng)絡(luò)安全的新技術(shù)應(yīng)運(yùn)而生,其中認(rèn)證機(jī)構(gòu)ca作為解決網(wǎng)絡(luò)信息安全問(wèn)題的開(kāi)發(fā)性新技術(shù),己經(jīng)得到了廣泛應(yīng)用。關(guān)于認(rèn)證機(jī)構(gòu)的了解也

2、是在我教學(xué)過(guò)程中的一個(gè)重點(diǎn)讓學(xué)生去學(xué)習(xí)的知識(shí)點(diǎn)。 2 認(rèn)證機(jī)構(gòu)ca和數(shù)字證書(shū) 認(rèn)證機(jī)構(gòu)ca 在現(xiàn)在的網(wǎng)上交易過(guò)程中,無(wú)論是b2b,還是b2c,都面臨著一個(gè)問(wèn)題,就是如何解決交易雙方的身份有效性,交易過(guò)程的合法性。認(rèn)證機(jī)構(gòu)ca認(rèn)證機(jī)構(gòu)(certificate authority)是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié),它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的需要身份認(rèn)證的實(shí)體的數(shù)字證書(shū),為解決用戶(hù)信任問(wèn)題,交易雙方在交易的各個(gè)環(huán)節(jié)中都需要檢驗(yàn)對(duì)方數(shù)字證書(shū)的有效性,所以,認(rèn)證機(jī)構(gòu)發(fā)放的證書(shū)一定要具有權(quán)威性、公證性和可信賴(lài)性。ca是一個(gè)實(shí)體,是證書(shū)的簽發(fā)機(jī)關(guān),是公鑰基礎(chǔ)設(shè)施的核心,為客戶(hù)提供簽發(fā)公鑰證

3、書(shū)、認(rèn)證證書(shū)、分配證書(shū)和管理證書(shū)的服務(wù)。LOcaLHosTca將客戶(hù)的公鑰與客戶(hù)的名稱(chēng)及其它屬性關(guān)聯(lián)起來(lái),并制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶(hù)身份,再對(duì)用戶(hù)證書(shū)進(jìn)行簽名,確保證書(shū)持有者的身份和公鑰的擁有權(quán)。 數(shù)字證書(shū) 數(shù)字證書(shū)是網(wǎng)絡(luò)通訊各方身份信息的一系列數(shù)據(jù),是通過(guò)特定的加密算法來(lái)實(shí)現(xiàn)的.它提供了一種在網(wǎng)上驗(yàn)證身份的方式,在網(wǎng)上交易時(shí)可以用來(lái)驗(yàn)證對(duì)方的身份。數(shù)字證書(shū)是一個(gè)由認(rèn)證機(jī)構(gòu)確認(rèn)了相應(yīng)私鑰持有者(人、設(shè)備或其他實(shí)體)的身份或其它屬性后用數(shù)字方式簽名的包含公開(kāi)密鑰持有者信息以及公開(kāi)密鑰的文件。證書(shū)主要包括一個(gè)公開(kāi)密鑰、證書(shū)名稱(chēng)及認(rèn)證機(jī)構(gòu)的數(shù)字簽名。一般情況下,數(shù)字證書(shū)還包括密鑰的有效時(shí)間

4、、發(fā)放證書(shū)機(jī)關(guān)的名稱(chēng)、該數(shù)字證書(shū)的序列號(hào)等信息。 3 ca系統(tǒng) 一個(gè)典型的ca系統(tǒng)包括安全服務(wù)器、ca服務(wù)器、注冊(cè)機(jī)構(gòu)ra ( registration authority)、ldap(lightweight directory access protocol)目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。其中安全服務(wù)器面向普通用戶(hù),用于提供證書(shū)申請(qǐng)、瀏覽、證書(shū)撤銷(xiāo)列表以及證書(shū)下載等安全服務(wù)。ca服務(wù)器負(fù)責(zé)證書(shū)的頒發(fā)。ldap服務(wù)器提供目錄瀏覽服務(wù),負(fù)責(zé)將ra服務(wù)器傳輸過(guò)來(lái)的用戶(hù)信息及數(shù)字證書(shū)加入到服務(wù)器上。數(shù)據(jù)庫(kù)服務(wù)器用于ca數(shù)據(jù)、日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。目前,ca系統(tǒng)己經(jīng)投入使用到很多領(lǐng)域,引入ca系統(tǒng)的

5、必要性主要表現(xiàn)在:信息的加密、網(wǎng)上交易的不可否認(rèn)性、提供internet上的各方信任以及保證交易信息的完整性等方面。 4 開(kāi)發(fā)ca系統(tǒng) 待開(kāi)發(fā)的ca系統(tǒng)主要包括以下幾個(gè)運(yùn)行實(shí)體:根ca、業(yè)務(wù)ca、用戶(hù)和網(wǎng)站。根ca負(fù)責(zé)為業(yè)務(wù)ca頒發(fā)證書(shū),業(yè)務(wù)ca是根ca的用戶(hù),同時(shí)又是個(gè)人用戶(hù)的直接ca,負(fù)責(zé)為用戶(hù)頒發(fā)證書(shū),用戶(hù)通過(guò)向業(yè)務(wù)ca申請(qǐng)證書(shū)而獲得訪(fǎng)問(wèn)網(wǎng)站的權(quán)利,網(wǎng)站負(fù)責(zé)向用戶(hù)提供需要安全認(rèn)證的web服務(wù)。 此ca系統(tǒng)的運(yùn)行流程如下。 ( 1)創(chuàng)建兩個(gè)全局對(duì)象:根ca全局對(duì)象和業(yè)務(wù)ca全局對(duì)象; ( 2)調(diào)用根ca的構(gòu)造函數(shù),對(duì)根ca進(jìn)行初始化; ( 3)調(diào)用業(yè)務(wù)ca的構(gòu)造函數(shù),對(duì)業(yè)務(wù)以進(jìn)行初始化,如

6、果業(yè)務(wù)ca初始化失敗,則先向根ca申請(qǐng)證書(shū),然后從根ca上下載證書(shū)和私鑰; ( 4)業(yè)務(wù)ca為用戶(hù)頒發(fā)證書(shū); ( 5)用戶(hù)從業(yè)務(wù)ca上下載證書(shū)和私鑰。 在根ca中,存放密鑰和證書(shū)的地方均為注冊(cè)表,查找密鑰庫(kù)和證書(shū)庫(kù)是通過(guò)在注冊(cè)表中查找相應(yīng)項(xiàng)來(lái)得到的,創(chuàng)建密鑰庫(kù)和證書(shū)庫(kù)也是在注冊(cè)表中實(shí)現(xiàn)。作為根ca,首先需要給自己頒發(fā)一個(gè)證書(shū),該證書(shū)由根ca本身進(jìn)行簽名,然后利用該證書(shū)給其它業(yè)務(wù)ca頒發(fā)證書(shū)并簽名。在根ca給自己頒發(fā)證書(shū)之后,就可以給各業(yè)務(wù)ca頒發(fā)證書(shū)。在根ca實(shí)際頒發(fā)證書(shū)時(shí),首先在證書(shū)庫(kù)和私鑰庫(kù)中生成業(yè)務(wù)ca的證書(shū)和私鑰,具體實(shí)現(xiàn)時(shí),可以寫(xiě)入到注冊(cè)表中,也可以寫(xiě)到數(shù)據(jù)庫(kù)中,或者寫(xiě)到ldap服務(wù)

7、器的相應(yīng)項(xiàng)中,然后將生成的證書(shū)和密鑰寫(xiě)入到業(yè)務(wù)ca的相應(yīng)硬件中。 在網(wǎng)站方面,應(yīng)該配置一個(gè)pkiserver服務(wù)器用來(lái)進(jìn)行加密、解密、簽名和驗(yàn)簽等各種功能。實(shí)際運(yùn)行時(shí),可以將網(wǎng)站和pkiserver服務(wù)器部署在同一臺(tái)服務(wù)器上。在用戶(hù)與網(wǎng)站的交互過(guò)程中,網(wǎng)站先返回一個(gè)隨機(jī)數(shù)給用戶(hù),用戶(hù)拿到該隨機(jī)數(shù)后,表示網(wǎng)站將要發(fā)送的信息以此隨機(jī)數(shù)作為對(duì)稱(chēng)密鑰進(jìn)行加密,用戶(hù)應(yīng)該先對(duì)此隨機(jī)數(shù)進(jìn)行簽名確認(rèn),表示正確收到該隨機(jī)數(shù),如果該隨機(jī)數(shù)在傳輸過(guò)程中出錯(cuò),則后面進(jìn)行驗(yàn)簽時(shí)不會(huì)通過(guò)。網(wǎng)站在收到用戶(hù)的確認(rèn)信息之后,就可以使用用戶(hù)的加密證書(shū)對(duì)密鑰進(jìn)行加密,并用自己的簽名證書(shū)對(duì)發(fā)送信息進(jìn)行簽名,用戶(hù)收到信息后,首先使用網(wǎng)

8、站證書(shū)的公鑰進(jìn)行驗(yàn)證簽名,確認(rèn)信息正確后,用私鑰解開(kāi)對(duì)稱(chēng)密鑰,然后用該對(duì)稱(chēng)密鑰解密信息,得到所需的明文信息。如果只是用戶(hù)之間進(jìn)行安全信息的交互,則只需將網(wǎng)站上的證書(shū)替換為相應(yīng)的用戶(hù)證書(shū)即可。 根據(jù)以上流程,可以為系統(tǒng)設(shè)計(jì)如下幾個(gè)類(lèi): class cabase void init() void downloadcert() void issuecert() boolean isempty() void exportcert() void importcert() voidgeneratekey() 其中函數(shù)init()用來(lái)初始化類(lèi)對(duì)象,函數(shù)downloadcert ()用來(lái)實(shí)現(xiàn)下載證書(shū)的功能,函

9、數(shù)issuecert ()用來(lái)實(shí)現(xiàn)頒發(fā)證書(shū)的功能,函數(shù)isempty()用來(lái)判斷當(dāng)前對(duì)象是否己經(jīng)初始化,函數(shù)exportcert ()用來(lái)實(shí)現(xiàn)輸出證書(shū)的功能,函數(shù)importcert()用來(lái)實(shí)現(xiàn)導(dǎo)入證書(shū)的功能,函數(shù)generatekey ()用來(lái)實(shí)現(xiàn)生成密鑰的功能。接著設(shè)計(jì)類(lèi)rootca和buslca,這兩個(gè)類(lèi)都繼承類(lèi)cabase,并且重載了類(lèi)cabase里init()、downloadcert()、issuecert()三個(gè)函數(shù),分別來(lái)實(shí)現(xiàn)自己業(yè)務(wù)的操作。 最后設(shè)計(jì)類(lèi)key,其主要功能是從硬件設(shè)備或軟件中讀取證書(shū)和密鑰以及向硬件設(shè)備寫(xiě)入證書(shū)和密鑰信息。 class key void readcert() void writecert() void readkey() void writekey() void generatesignkey() void exportsignkey() 其中函數(shù)readcert()用來(lái)實(shí)現(xiàn)讀取證書(shū)的功能,而函數(shù)writecert()用來(lái)實(shí)現(xiàn)寫(xiě)證書(shū)的功能,函數(shù)readkey()用來(lái)實(shí)現(xiàn)讀取密鑰的功能,而函數(shù)writekey()用來(lái)實(shí)現(xiàn)寫(xiě)密鑰的功能,函數(shù)generatesignkey()用來(lái)實(shí)現(xiàn)生成簽名密鑰的功能,而函數(shù)exportsignkey()用來(lái)實(shí)現(xiàn)導(dǎo)出簽名密鑰的功能。