基于PKI 的数字认证系统的设计与实现.docxVIP

研究开发电脑知识与技术基于 ＰＫＩ 的数字认证系统的设计与实现周斌 １， 尹方平 ２（ １．华南农业大学现代教育技术中心 ， 广东 广州 ５１０６４２； ２．广东省机电职业技术学院基础部 ， 广东 广州 ５１０５１５）摘要 ： 本文介绍了一个数字认证系统的重要部分 ， 分析了 Ｏ ｐｅｎＳＳＬ 包的优势 ， 提出了一个基于 ＰＫＩ 体系的数字认证系统的设计方案 ， 并给出了部分实现方案。关键词 ： ＰＫＩ； Ｃ Ａ； 数字证书 ； Ｏ ｐｅｎＳＳＬ中图分类号 ： ＴＰ ３０９文献标识码 ： Ａ文章编号 ： １００９－ ３０４４（２００６）０２－ ０１８８－ ０２Ｔｈｅ Ｄｅ ｓ ｉｇｎ ａ ｎｄ Ｉｍｐｌｅ ｍｅ ｎｔａ ｔｉｏｎ ｏｆ Ｐ ＫＩ－ ｂａ ｓ ｅ ｄ Ｄｉｇｉｔａ ｌ Ａｕｔｈｅ ｎｔｉｃａ ｔｉｏｎ Ｓ ｙｓ ｔｅ ｍＺ Ｈ Ｏ Ｕ Ｂｉｎ １， ＹＩＮ Ｆａｎｇ－ ｐｉｎｇ２（１．Ｔ ｅｃｈｎｏｌｏｇｙ Ｃ ｅｎｔｅｒ ｏｆ Ｓｏｕｔｈ Ｃ ｈｉｎａ Ａｇｒｉｃｕｌｔｕｒａｌ Ｕ ｎｉｖｅｒｓｉｔｙ，Ｇｕａｎｇｚｈｏｕ ５１０６４２，Ｃ ｈｉｎａ；２．ＧｕａｎｇＤｏｎｇ Ｖｏｃａｔｉｏｎａｌ Ｃ ｏｌｌｅｇｅ ｏｆ Ｍｅｃｈａｎｉｃａｌ ａｎｄＥｌｅｃｔｒｉｃａｌ Ｔ ｅｃｈｎｏｌｏｇｙ，Ｇｕａｎｇｚｈｏｕ ５１０５１５，Ｃ ｈｉｎａ）Ａｂｓ ｔｒａ ｃｔ：Ｔ ｈｉｓ ｐａｐｅｒ ｉｎｔｒｏｄｕｃｅｓ ｔｈｅ ｉｍｐｏｒｔａｎｔ ｐａｒｔ ｏｆ ｔｈｅ ｄｉｇｉｔａｌ ａｕｔｈｅｎｔｉｃａｔｉｏｎ ｓｙｓｔｅｍ，ａｎａｌｙｓｅｓ ｔｈｅ ａｄｖａｎｔａｇｅ ｏｆ ｔｈｅ Ｏ ｐｅｎＳＳＬ，ｐｒｏｖｉｄｅｓ ｏｎｅｗａｙ ｔｏ ｄｅｓｉｇｎ ＰＫＩ－ ｂａｓｅｄ Ｄｉｇｉｔａｌ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｓｙｓｔｅｍ ａｎｄ ｉｍｐｌｅｍｅｎｔ ｉｔ ｐａｒｔｌｙ．Ｋｅ ｙ ｗｏｒｄｓ ：ＰＫＩ；Ｃ Ａ；ｄｉｇｉｔａｌ ｃｅｒｔｉｆｉｃａｔｅ；Ｏ ｐｅｎＳＳＬ今天 ， 互联网所具有的广泛性和开放性犹如一把双刃剑 ， 在给人们工作和生活提供前所未有的便利的同时 ， 也无可避免地存在许多亟待解决的问题 ， 比如网络支付平台的安全可靠性 ， 网上交易的合法有效及不可抵赖性保证 ， 知识产权、个人隐私权保护 ，交易各方权利和义务等等。在企业信息交换过程中 ， 保证数据的安全性日渐成为一个主要的问题 ， 其中包括信息的真实性、完整性、可鉴别性、不可伪造性和不可抵赖性。为了防范信息安全风险 ， 许多新的安全技术和规范不断涌现 ， 数字认证即是其中的一员。 ２００５ 年 ４ 月 １ 日 ， 我国正式实施《中华人民共和国电子签名法》， 第一次从法律的角度 ， 赋予可靠的电子签名与手写签名或盖章具有同等的法律效力 ， 并明确了电子认证服务的市场准入制度。本文提出一种利用开发式源代码 ＯｐｅｎＳＳＬ 包来开发跨平 台的基于 ＰＫＩ 的数字认证系统的方法 ， 以缩短系统的开发周期从而促进认证系统的推广。１ 相关技术１．１ ＰＫＩ二 十 世 纪 八 十 年 代 ， ＰＫＩ （ Ｐｕｂｌｉｃ Ｋｅｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ， 公 开 密 钥基础设施 ） 诞生了 ， 它是利用公钥理论和技术建立的提供安全服务的基础设施 ， 它采用证书管理公钥 ， 通过第三方的可信任机构 ，把用户的公钥和用户的其它标识信息 （如名称 、ｅ－ ｍａｉｌ、身 份 证 号等）捆绑在一起 ， 为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理 ， 从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。从广义上讲 ， 所有提供公钥加密和数字签名服务的系统 ， 都可叫做 ＰＫＩ 系统。１．２ ＣＡＣＡ（ Ｃｅｒｔｉｆｉｃａｔｅ Ａｕｔｈｏｒｉｔｙ， 认 证 中 心 ） 为 每 个 使 用 公 开 密 钥 的用户发放基于数字签名的数字证书 ， 用来证明证书中列出的用户名称与证书中列出的公开密钥相对应。ＣＡ 系统是 ＰＫＩ 系统的核心部分 ， 主要包括注册服务器 ＲＡ、证书服务器 ＣＡ、ＬＤＡＰ 目录服务器和数据库服务器等 ， 其系统框架如图 １ 所示 ：ＣＡ 的核心功能就是发放和管理数字证书 ， 具体描述如下 ： ①接收验证最终用户数字证书的申请 ； ②确定是否接受最终用户数字 证 书 的 申 请 ： 证 书 的 审 批 ； ③向 申 请 者 颁 发 、拒 绝 颁 发 数 字 证书的更新 ； ⑤接收最终用户数字证书的查询、撤销 ； ⑥产生和发布证书废止列表⑦数字证书的归档 ； ⑧密钥归档 ； ⑨历史数据归档。图 １ ＣＡ 系统框图１．３ 数字证书数字证书是一个由可信的 ＣＡ 进行了数字签名并包含了用户身份信息和公钥信息的电子文档或