企业基于pki的认证分析与应用设计.docxVIP

信息安全 课程作业企业基于PKI的认证分析与应用设计 专业年级 通信与信息系统 学 号 2011xxxxxx 姓 名hexx 指导教师lixxxx 评 阅 人二〇一二年一月中国 贵阳企业基于PKI的认证分析与应用设计摘要：公钥基础设施(PKI)是在开放网络环境下提供身份认证和鉴别、并能保证信息的机密性、完整性及抗否认性的一套安全设施。本文提出了一种比较适合于企业、组织等团体单位的PKI/CA实现的数字认证系统。使用了加密、签名、SSL、ODBC等相关技术。文章对整个数字认证系统进行了分析与应用设计。包括注册机构、管理员控制中心和认证中心的分析设计。以及对企业数字认证系统的个人证书在安全电子邮件服务认证方面的应用和服务器证书在安全WEB服务器认证方面的应用设计。关键字：公钥基础设施注册机构认证机构数字证书1 引言公开密钥基础设施(PKI)是目前国际上公认的全面解决网络安全的最佳方案，PKI能有效支撑起身份认证及鉴别、机密性、完整性、真实性、和抗否认性为基本要求的网络安全应用。注册机构RA是PKI的前台，它采取何种技术能影响到用户的方便性和管理员的高效性。PKI的核心是认证机构CA，CA的安全性问题关系到整个网络平台的安全性。设计并实现基于PKI，CA的企业数字认证系统，具有很高的理论价值和实用价值。企业数字认证系统可广泛应用于金融、证券、电信、政府、教育等行业，更适合于企业、组织等团体性单位，是构建PKI/CA系统的理想方案。虽然我国在PKI/CA方面近年来发展较快，成立了很多认证中心，但在PKI/CA基础理论等方面还要依赖国外先进技术。就目前来讲，我国的PKI/CA认证体系存在着很多问题。作为提供信息安全服务的公共基础设施，PKI目前是公认的保障网络信息安全的最佳体系。如何推广PKI应用、建立健全CA认证中心，加强系统之间、部门之间、各国之间PKI体系的互通互联，已经成为我国PKI/CA建设亟待解决的问题。本文首先对基于PKI的企业认证进行了系统的分析，包括注册机构、管理员控制中心和认证中心。提出了一种比较适合于企业、组织等团体性单位的PKI/CA实现模型——企业数字认证系统。使用了加密、签名、SSL、ODBC等相关技术。企业数字认证系统有很多方面的应用，文章主要讲述了个人证书在安全电子邮件服务认证方面的应用，服务器证书在安全WEB服务器认证方面的应用。由于文章篇幅等方面的原因，本文就未对企业数字认证系统所需要用到的相关理论进行阐述，比如：密码学理论、PKI基础知识、证书生命周期等。2企业数字认证系统的分析一个典型的PKI应用体系框架包括安全服务器、注册机构RA、CA服务器、数据库服务器和LDAP目录服务器等。如下图所示。典型PKI应用体系框架模型主要部分的相关功能简介如下。安全服务器：安全服务器主要面向普通用户用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务。也要保证各个通信实体的安全通信。CA服务器：CA服务器是整个证书机构的核心，负责证书的签发。出于安全的考虑，应将CA服务器与其他服务器隔离，任何通信采用人工干预的方式，确保认证中心的安全。注册机构RA：提供申请者证书申请、获取、浏览、查找、证书撤销列表及证书下载等相关接口。LDAP服务器：LDAP服务器提供目录浏览服务，负责将CA服务器发布的数字证书加入到服务器上，这样用户通过访问LDAP服务器就能够得到自己或其他用户的数字证书。负责将CA服务器发布的CRL加入到服务器上，这样用户就可以通过访问LDAP服务器得到实时的CRL。数据库服务器：各个实体一般都有自己的数据库服务器，这里就讲一下CA服务器用到的数据库服务器。用于认证机构中数据(如密钥和用户信息等)、日志和统计信息的存储和管理。实际的数据库系统应采用多种措施，如磁盘阵列、双机备份和多处理器等方式，以维护数据库系统的安全性、稳定性、可伸缩性和高性能。管理员控制中心：管理员控制中心主要是为了分离认证机构RA一部分功能，包括对注册信息的鉴别、对吊销证书原因的分析等。还有就是对证书生命周期页面定制产生策略文件以及对本企业本单位所有员工数字证书或CRL产生审计、查询、统计等等。由PKI应用体系架构，从整个体系架构框架来看，企业数字认证系统主要是对终端实体EE、注册机构RA、认证机构CA、管理员控制中心及LDAP服务器及其流程的实现。2.1RA端的分析注册机构RA主要就是为申请者提供各种服务的，包括证书的注册、获取、查找、更新、吊销等等，同时引进了自动鉴别技术以减少管理员对注册信息的鉴别开销。下面就是整个注册机构RA模型及其数据流程图。从上图我们可以看出，整个RA系统涉及到三个部分，