CA 认证在电子政务系统中的应用 董自周,张维华 武汉理工大学信息工程学院,武汉 (430070 ) E-mail :dongzizhou_whut@ 摘 要:电子政务内部网络涉及大量的国家机密信息, 因而安全问题成了电子政务的关键问 题,一定要采用十分可靠的安全技术来保证各种应用的机密性、完整性、身份鉴别和不可抵赖 性。介绍数字认证系统中的加密技术和数据加密传输技术,然后提出了一个简化的认证系统 及其模块实现。 关键词:电子政务;CA 认证;密钥 中图分类号:TP 393 1. 引言 随信息时代的持续不断的发展,电子政务呈现出蒸蒸日上的态势,并且越来越为人们接受和 使用。随着政务信息管理软件系统的功能越来越复杂,可访问的资源慢慢的变多,系统用户的 类别慢慢的变多,权限关系也慢慢变得复杂,因此,研究系统的访问控制技术对政务信息管理系 统的应用和推广具备极其重大意义。其中认证机构CA 作为解决网络信息安全问题的开发性新技 术,已得到了广泛应用。 2. 有关技术 2.1 公开密钥密码体制 公开密钥密码体制的概念是1976 年由美国密码学专家狄匪(Diffie)和赫尔曼(Hellman)提 出的,有两个重要的原则:第一,要求在加密算法和公钥都公开的前提下,其加密的密文必 须是安全的;第二,要求所有加密的人和掌握私人秘密密钥的解密人,他们的计算或处理都 [1] 应比较简单,但对其他不掌握秘密密钥的人,破译应是极困难的 。 公钥密码的发现也带来了一系列新的安全服务:确保陌生人之间的通信安全、加密随机 生成的对称密钥、进行数字签名、确保数据的完整性、实现两个实体间的密钥的建立。 随着计算机网络的发展,信息保密性要求的日益提高,公钥密码算法体现出了对称密钥 加密算法无法替代的优越性。常用的公钥加密算法有:RSA, DSA 。近年来,公钥密码加密 体制和公钥基础设施、数字签名、电子政务等技术相结合,保证网上数据传输的机密性、完 整性、有效性、毋庸置疑性,在网络安全及信息安全方面发挥了巨大的作用。 公钥基础设施(Public Key Infrastructure,PKI)[2]是一种基于公开密钥理论的技术,其核 心是确定信息互联网空间中各种行为为主体的唯一性、真实性和合法性,解决信息互联网空间中 的信任问题。 PKI 体系包括:认证机构(Certificate Authority, CA )、注册机构(Registration Authority, RA )、策略管理、密钥与证书管理、密钥备份与恢复、撤销系统等功能模块。 CA 是证书的签发机构,它是PKI 的核心。CA 是负责签发证书、认证证书、管理已颁发 证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以 确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书(内含公钥)和私钥。网上的 公众用户通过验证 CA 的签字从而信任CA,任何人都能够获得CA 的证书(含公钥),用 以验证它所签发的证书。 - 1 - 密钥备份及恢复是密钥管理的主要内容,用户由于某些原因将解密数据的密钥丢失,从 而使已被加密的密文无法解开。为避免这种情况的发生,PKI 提供了密钥备份与密钥恢复机 制:当用户证书生成时,加密密钥即被CA 备份存储;当需要恢复时,用户只需向CA 提出 申请,CA 就会为用户自动进行恢复。 2.2 数字证书 证书是数字证书或电子证书的简称,它符合国际电信联盟(ITU-T )制定的数字证书标 准X.509 ,是网上实体身份的证明。证书是由具备权威性、可信任性和公正性的第三方机构 签发的,因此,它是权威性的电子文档。X.509 证书由用户公共密钥和用户标识符组成。此 外还包括版本号、证书序列号、CA 标识符、签名算法标识、签发者名称、证书有效期等信 [3] 息 。 数字证书把公钥值和某一用户或实体的身份信息进行绑定,并由一可信的中间机构CA 进行签名,其作用类似于真实的生活中的身份证。它由一个权威机构发行,用来识别交易各方 的身份。数字证书可以证明用户或实体身份的合法性和对密钥的所有权。它需要由社会公认 的可信证书机构CA 负责分发并签名,CA 在发放证书前负责审核用户或实体的身份及对密 钥的合法拥有权。 网络用户或实体的数字证书可看作是其护照的电子等价物,它包含一些可以验证拥有者 身份的安全信息,其中最重要的信息是用户的公钥,它或者用于给证书拥有者加密信息,或 者被其他用户用来验证证书拥有者的数字签名。 2.3 数据加密传输 数据的加密传输通过SSL 协议来完成。SSL 是Netscape 公司设计的主要用于Web 的安 全传输协议。SSL 是一个介于HTTP 协议与TCP 之间的一个可选层,分为两部分:握手协 议(Handshake Protocol)和记录协议(Record Protocol) 。其中握手协议用来协商密钥,协议的大 部分内容就是通信双方如何利用它来安全的协商出一份密钥。记录协议则定义了传输的格 式。 握手协议用于会线 SSL 会话建立过程 客户端发送一个Client Hello 消息给服务器。服务器要么响应一个Server hello 消息,要 么使连接出错。消息Client Hello 和Server Hello 用来提高客户端与服务器之间的安全能力, 并建立了如下信息:协议版本,会话 ID,密码组,和压缩方式。另外,ClientHello.random 和ServerHello.random 这两个随机值被产生和交换。 在Hello 消息之后,服务器会发送它的证书。另外,在一些情况(如,服务器没有证书, 或者这个证书仅仅用来签名)下,服务器还会发送服务器密钥交换消息。如果该服务器被验 证并且选择的密码组合适,它可能会要求一份来自客户端的证书。此时,服务器将发送Server Hello Done 消息,指示hello 消息阶段的握手完成。然后,服务器会等待客户端的响应。如 果服务器已经发送了证书请求消息,客户端必须发送一个证书消息。这时,客户端发送密钥 交换信息,消息的内容取决于双方在hello 阶段选择的公钥算法。如果客户端已经发送了签 名的证书,一个数字签名证书校验的消息被发送,以便明确地验证证书的真实性。 这时,客户端会发送一个密码交换说明的消息,并且把未决的密码说明拷贝到当前的密 码说明中。然后,客户端立即采用新的算法和密钥,发送一个完成消息。服务器作为反应, 将发送自己的密码交换说明消息,发送该未决密码说明到当前的密码说明中,然后采用新的 密码说明发送完成信息。至此,握手完成。客户端与服务器能开始交换应用层数据。 3. 简化CA 系统的设计 一个典型的 CA 系统包括安全服务器、注册机构 RA 、CA 服务器、LDAP(Lightweight [4] 。从节省成 Directory Access Protocol, 轻量级目录访问协议) 目录服务器和数据库服务器等 本,便于维护的方面出发,设计了一个简化的CA 系统。 - 3 - 3.1 模型设计 如图 为所讨论的简化CA 系统模型。该CA 系统的证书服务器负责颁发证书,并将颁 发的证书序列号、公钥、实体信息存入数据库中,和用户的ID 相关联;若用户证书丢失, 能够最终靠Web 服务器挂失,然后按照每个用户ID 找出相应的证书序列号,写入证书废弃表中, 代替证书撤销列表(CRL )。 图 3.1 简化的CA 系统 首先由证书服务器生成自签发的根证书、客户端证书和服务器端证书,然后用这个根 证书给客户端证书和服务器端证书签名。使用的时候,将自签发的根证书分别导入客户端浏 览器和服务器端,作为受信任的证书颁发机构。当客户端首次登陆系统,双方都要提交证书 [5] 供对方验证,验证通过之后,双方使用协商好的对称密钥进行数据的加密传输 。 3.2 系统信任模型 本 CA 系统采用严格层次结构模型。首先自己生成自签名的根证书,作为论文所讨论 系统的顶级证书,其他的证书(包括服务器证书和客户端证书)均为根证书所签发。如图 为 系统的认证模型。 CA 证书 客户证书 服务器证书 Internet SSL双向认证 图 3.2 系统认证模型 SSL 认证时,服务器端和客户端的握手过程对用户来说是透明的。对于权威的证书颁 - 4 - 发机构(CA ),其根证书(公钥证书)均已随操作系统安装到浏览器中。由于服务器端证 [6] 书为根证书所签发,因此也为客户端浏览器所信任 。 4. 认证模块的实现 4.1 数字证书签发工具 随着系统的用户的持续不断的增加,系统管理员在为系统增加一个用户的同时,需要为该用 户生成相应的证书。 增加用户流程如图 所示。管理员添加一条用户个人信息,为其指派角色,同时使用证书制 作工具为其生成客户端证书。相关信息存储于关系型数据库中。 权限体系 用户个人信息 管理员 数据库 证书制作工具序列号 图 4.1 增加用户流程 采用SWING 技术开发简易的证书制作工具,其界面如图 所示。用户输入有关信息, 工具即可生成相应的数字证书。该证书生成工具的主要用途为系统管理员给系统用户颁发个 人证书。在系统管理员通过浏览器增加新用户时,系统会生成相应证书,并执行一系列操作 (写入证书信息表、关联用户表、记录证书日志等)。 图 4.2 专家证书生成工具 该证书工具的核心类为CertOperation 类,包含有生成根证书、签署证书、导出公钥证 书等方法。 生成根证书关键代码如下: //根据所给算法实例化密钥对产生器 - 5 - CertAndKeyGen keyPair = new CertAndKeyGen(keyAlg, sigAlg); //产生长度为keySize 的密钥对 keyPair.generate(keySize); PrivateKey priKey = keyPair.getPrivateKey(); //根据所填信息,创建X500Name 实例 X500Name x500Name = createX500Name(); //生成自签名证书 X509Certificate cert = keyPair.getSelfCertificate(x500Name, validity * 24 * 60 * 60); //设置证书链 X509Certificate[] chain = {cert}; ks.setKeyEntry(alias, priKey, keyPass, chain); …… 签署证书关键代码: X509CertImpl signedCert = new X509CertImpl(certInfo); //利用caKey 和RSA 算法签署证书 signedCert.sign(caKey, SIGALGORITHM_RSA); X509Certificate[] chain = {signedCert}; …… 4.2 客户端签发工具 客户端设置步骤如下: 步骤1:将CA 中心分发的客户端证书导入客户端浏览器内,证书文件可用软盘或其它 媒体发送到各用户手中; 步骤2 :将CA 中心分发的信任的根证书也导入客户端浏览器内。SSL 认证时,服务器 端和客户端的握手过程对用户来说是透明的。对于权威的证书颁发机构(CA ),其根证书 (公钥证书)均已随操作系统安装到浏览器中。所建立CA 系统根证书(govCA.cer,其它 证书都需要被它或它以下的证书签发)为自签发,未经权威CA 认证,因此,客户端用户需 要手动将govCA.cer 公钥证书导入到浏览器的“受信任的根证书颁发机构” 中,以确认根证书 的身份。由于服务器端证书为根证书所签发,因此也为客户端浏览器所信任。 4.3 服务器端认证和HTTPS 的建立端 与Web 服务器建立SSL 连接有两种方式,单向认证(只认证服务器端)和双向认证(即 认证服务器,又认证客户端)。单向认证的配置较为容易,但不能满足系统的需求。 本小节以tomcat 服务器下的配置为例,介绍在java 环境下如何配置服务器端认证并建 立HTTPS 数据传输。Tomcat 下建立 SSL 双向认证需要配置服务器端证书以及服务器端受 信任的证书。 服务器端设置步骤如下: 步骤1:将生成的服务端证书文件复制到Tomcat 的conf 目录下,并覆盖原有文件。 步骤2 :修改server.xml 使Tomcat 支持SSL。将证书库文件指向服务端证书文件。如: 设置 keystoreFile=D:\OfficeMIS\Tomcat5.0\conf\server.jks 。在 Tomcat 配置文件中设置 HTTPS 访问的端口,一般为8443。 典型的TOMCAT_HOME/conf/server.xml 的配置如下: Connector URIEncoding=UTF-8 port=8443 maxThreads=150 minSpareThreads=25 maxSpareThreads=75 enableLookups=false disableUploadTimeout=true acceptCount=100 debug=0 scheme=https secure=true clientAuth=true sslProtocol=TLS keystoreFile=C:\Tomcat5.0\conf\server.jks keystorePass=keyPass/ - 6 - port 是定义端口号,clientAuth=true表明需要客户端认证,keystoreFile 定义服务器端 的证书路径,keystorePass 为证书库密码。 步骤 3 :根证书并非权威机构所签发,所以还需要修改 Tomcat 所信任的证书库。在 JAVA_HOME\ jre\lib\security 文件夹下,有cacerts 证书库文件,将上文提到的govCA.cer 导 入证书库中,完成Tomcat 的双向认证配置。 5. 结束语 通过对CA 系统的由浅入深的了解以及真正用Java 来开发一个CA 系统之后,对CA 系 统已经有了很深的印象,作为身份验证技术中的CA,需要其他的许多技术的支持才能真正 实施,如密码学等。相信CA 会慢慢的得到更多人的肯定,网络安全技术会更成熟和完善, 电子政务的前途更加光明。 参考文献 [1] 庞南,戴英侠,李镇江.因特网密钥交换协议研究[J]. 计算机工程,2002, (5):67~ 70. [2] 叶新,雷明,张焕国.PKI 及其在基于SSL 的Web 安全中的应用实现[J].计算机工程与应用。 [3] ITU-T RECOMMENDATION X.509 (08/2005), Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks. 2005, 8 [4] 黄锐,李涛,王姝妲,等.基于 B/S 和 C/S 混合模式的 CA 证书发放实现[J].计算机应用研究, 2006,23(3): 113-115. [5] 张巍,李涛,刘晓洁,徐春林.认证中心CA 的功能及其实现技术[J].计算机工程与设计,2007,(9):38-39. [6] 关振胜.公钥基础设施PKI 与认证机构CA[M]. 电子工业出版社.2002 CA System Apply to E-Government System Dong Zizhou, Zhang Weihua School of Information Engineering, Wuhan University of Technology, Wuhan Hubei, PRC (430070 ) Abstract As the E-Government interior network involves a lot of national secret information, the security problem has become the key question of E-Government. It is necessary to apply some security technology to ensure security service of confidentiality, integrity ,authentication and non-repudiation of the Internet application. The writer introduces the encryption technology and transmission technology encryption data, then proposes a simple CA system and makes the model come true. Keywords: E-government; Certificate Authority; Key 作者简介: 董自周,男,1982 年生,硕士研究生,主要研究方向是通信与信息系统; 张维华,男,1963 年生,武汉理工大学信息工程学院 ,硕士生导师, 研究方向为计算机 网络,信息安全与管理。 - 7 -
2、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
3、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
4、VIP文档为合作方或网友上传,每下载1次, 网站将按照每个用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
[信管网]2011年下半年信息系统项目管理师真题(上午综合知识及解析).pdf
[信管网]2012年上半年信息系统项目管理师真题(上午试题及详细解析).pdf
2023年税务干部业务能力升级测试大比武数字人事两测专业能力-行政管理典型题汇编(含答案).docx
2023税务局干部业务能力升级测试大比武数字人事两测练习专业能力-行政管理备考题库(含答案).docx
2023税务数字人事“两测”专业能力-行政管理高频考题汇编(含答案).docx
2023年度税务系统大比武数字人事两测专业能力-行政管理考试题库(含答案).docx
2023税务大比武数字人事两测练习专业能力-行政管理练习题(含答案).docx
2023税务局大比武数字人事两测练习专业能力-行政管理知识题库(含答案).docx
2023年度税务局干部业务能力升级测试大比武数字人事两测-行政管理典型题汇编(通用题型).docx
双减背景下新课标单元整体作业分层设计案例 科学版初中信息技术七年级上册第一单元 我的电脑世界(3).docx
2022年在线网课学习课堂《SPSS在医学统计中的应用(首都医大 )》单元测试考核答案.pdf
小学音乐“单元整体教学设计”获奖课例——人音版二年级上册第三课《音乐会》.docx
原创力文档创建于2008年,本站为文档C2C交易模式,即用户上传的文档直接分享给其他用户(可下载、阅读),本站只是中间服务平台,本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方,若您的权利被侵害,请发链接和相关诉求至 电线) ,上传者