基于PKI的校园网身份认证系统的设计与实现 摘要: 将P K I 技术引入校园网络, 在加强校园网络安全的同时也为校园网络的使用提出了新的发展方向。这个基于P K I 的身份认证系统是一个两层C A 多R A 结合构造的校园网认证中心模型, 符合学校具有多个不同地域的校区, 多个工作性质不同部门的特点。在此设计模型上,利用开源软件包O pe nS SL对身份认证系统进行具体实现。
关键词:PKI 身份认证 网络安全 1 前言 随着网络信息化时代的到来,科研需求、教学应用、网络办公、网上娱乐等方面的网络应用逐渐渗透到了校园生活的方方面面。校园网是以网络为基础,从环境(包括设备、教室等)、资源(如图书、讲义、课件等)、到活动(包括教、学、管理、服务、办公等)全部信息化。我们要建设越来越多的校园网应用,对越来越多的用户开放这又与校园网的安全和稳定是矛盾的,本文正是基于这样的一对矛盾来研究校园网的安全策略。
基于公钥基础设施的PKI技术,采用了先进的安全技术对网上信息的发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性、不可抵赖性等。作为大型网络上的基本身份认证协议的基础设施,PKI能够为大量的用户提供身份认证和授权绑定服务,公钥方式的身份认证协议安全强度高,通过证书链检验和C A之间的交叉认证,还可以支持跨域认证。
2 相关理论与技术 2.1 密码学 密码学是信息安全的基础[1],很早以前,它就在政治、军事、外交等领域的信息保密方面发挥着重要的作用。随着计算机与互联网的发展,密码学开始广泛用于民用信息安全领域。加密通常包含两个元素:加密算法和密钥。明文是发送人、接收人和任何访问消息的人都能理解的消息。明文消息用某种模式编码后,就得到了密文消息。
近代加密技术主要有两种,一种为对称密码,另一种是公钥密码,也称非对称密码。
2.1.1 对称密码学 对称密码加密是在加密和解密消息时需要使用相同密钥,或者虽然不相同,但是由其中任意一个可以很容易的推导出另一个的一种算法体制。这种算法要求信息交互的双方必须进行安全通信前,协商一个密钥,共享同一个密钥,并且这个密钥还要防止被他人获取。其安全性完全依赖于对密钥的保护,必须有可靠的信道来分发密钥。
对称密码加密的主要优点是运算速度快、效率高、算法简单、计算开销小,硬件容易实现;其缺点,也是最突出的缺点之一是密钥的分发与管理比较困难,特别是当通信的人数增加时,密钥数目急剧膨胀。另外一个问题就是密钥交换问题,无论是通过传统方法还是现代网络通信手段,密钥的安全性都不能得到保证。对称密码加密技术有很多种,如DES、tripleD E S 、I D E A 、R C 2 、R C 4 、R C 5 、R C 6 、G O S T 、F E A L 、L O K I 、A E S 等。
2.1.2 公钥密码学 公钥密码加密也称非对称密钥加密,与对称密码加密不同的是,它需要使用一对密钥来分别完成加密和解密的操作。其中一个公开发布,称为公开密钥;另外一个由用户自己秘密保存,称为私有密钥。这两个密钥之间存在相互依存关系:即用其中任一个密钥加密的信息只能用另一个密钥进行解密。
公钥密码加密算法的核心是一种特殊的单向陷门数字函数,该函数从一个方向求值是容易的,但其逆变换却是极其困难,因此利用公开的加密密钥只能作正向变换。若以公钥作为加密密钥,以私钥作为解密密钥则可实现加密的信息只能由一个用户解读;反之,以用户私钥作为加密密钥而以公钥作为解密密钥,则可实现由一个用户加密的信息而多个用户解读。
公钥密码体制最大的优点就是不需要对密钥通信进行保密,所需传输的只有公开密钥,通信双方不需要能过保密信道交换密钥。而且由于公开性,因而密钥的管理、分发等就不存在如对称密钥加密技术中的重大问题了。比较著名的公钥密码加密算法有: R S A 、D i f f i e - H e l l m a n、D S S、E C C椭圆曲线算法等。
2.2 数字证书 数字证书[3]是一段包含用户信息、用户公钥信息和身份验证机构数字签名的数据。用户的密钥对信息进行加密可以保证数字信息传输的机密性,身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。
数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书实质上就是一系列密钥,用于签名和加密数字信息。证书由具备权威性、可信任性和公正性的第三方机构签发。CA的数字签名使得攻击者不能伪造和篡改数字证书,认证中心颁发的数字证书均遵循X .509 V3标准,是网上实体身份的证明。
2.3 PKI的基本概念和内容 PKI是“Public Key Infrastructure”的缩写,即公钥基础设施。PKI作为最新发展起来的安全技术和安全服务规范,引起了极大关注,成为Internet上现代安全机制的中心焦点。它利用非对称算法原理,以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件设施。PKI遵循标准的利用公钥加密技术为网上电子商务、电子政务等的开展,而提供的一整套安全基础平台。它遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。PKI包括由PKI策略、软硬件系统、认证中心(CA )、注册机构(R A)、证书签发系统和PKI应用等构成的安全体系,。
认证机构[5](Certificate Authority)是PKI的核心组成部分,简称CA,也称为认证中心,它是可以签发数字证书的信任机构。认证机构有权向个人和组织签发数字证书,使其可以在非对称密钥加密应用程序中使用这些证书。2.4 PKI的功能和应用协议PKI是一个用公钥概念与技术来实施并提供一套安全服务的具有一般通用性的安全基础设施。PKI系统通过公开密钥技术和数字证书来确保系统信息安全并验证数字证书持有者身份。它具有节省费用、互操作性、开放性、一致的解决方案、可验证性、可选择性等特点。它提供的安全支持可以概括为:证书与CA;密钥备份及恢复证书,密钥对的自动更换;交叉认证;支持多应用;支持多平台等。
Internet技术非常宠大,涉及诸多领域,它安全方面涉及的各种协议也非常多,其中最著名的安全协议就是安全套接层SSL[6],它也是PKI的应用协议。SSL现在被广泛用于Internet上的身份认证与We b服务器和用户端浏览器之间的数据安全通信。
3 系统总体设计 校园网身份认证系统采用中心信任模型,在服务器端建立对客户和服务器双方都有效的数字证书认证中心,为客户端和服务器端颁发数字证书。在使用SSL协议进行校园网络通信时,通信双方都应该持有各自的由校园数字证书认证中心颁发的数字证书,并且都信任该证书,然后双方通过数字证书来建立SSL安全网络通信。
4 系统的实现与应用 4.1 系统开发工具 基于PKI的校园网身份认证系统是一套比较完整的PKI数字证书身份认证系统,实现的功能主要包括两大方面:一是建立校园网自己的C A 和R A ,并实现一个P K I系统的基本功能,包括签发证书、生成证书、废止证书、废止列表等;另一方面是为两个拥有该系统证书的实体建立S S L通道。
采用开源代码的软件包OpenSSL的SSL库和密码算法库为基础,通过调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器端之间数据的安全。从而实现系统的数字证书生成、管理、S S L安全网络通信、加解密操作等功能。
OpenSSL是用于安全通信的最著名的一个自由软件[7],包含有SSL接口、对称加密、非对称加密及P K C S 接口( 包括X . 5 0 9 证书、PK CS标准、A S N. 1 )等功能。O pe n S SL工具包可分为三个部分:SSL函数库、Crypto函数库和命令行工具。表1是OpenSSL中的主要文件。 4.2 系统的实现 校园网身份认证系统在服务器端建立自己的数字证书认证中心,为客户端和服务器颁发符合X.509 V3标准的数字证书。本文构造的系统采用命令行方式生成数字证书以及对证书进行签发等管理。
数字证书运作流程图,即数字证书的整个生命周期图。 4.3 应用 构建基于PKI的校园网身份认证系统后,我们可以利用其颁发的数字证书机制运用到校园网各应用系统中,提供网上的用户身份认证,并保障信息的安全,以下“开放性数字图书馆”是身份认证系统的一个应用示例。现在一般的图书馆网站都将商用信息资源限制在Intranet范围内使用,Internet上[8]的用户无法访问各图书馆Intranent上的信息资源,采用的方法是通过IP层加密技术来验证登录网站的计算机IP地址是否合法和用防火墙技术将Intranet与Internet隔开的方法。这种现行的方式优点是方便、简单,系统运行效率高,也有效解决商用信息资源的知识保护问题。但是缺点也非常明显,它不仅给Intranet以外的用户利用这些信息资源带来障碍,即使图书馆Intranet的用户,一旦离开了Intranet的覆盖范围,同样也不能使用这些通过IP层加密技术来进行用户验证管理的信息资源。