高校電子政務(wù)公鑰設(shè)施探究

1、高校電子政務(wù)公鑰設(shè)施探究 公鑰基礎(chǔ)設(shè)施技術(shù) pki是利用公鑰理論和技術(shù)（密碼技術(shù)、數(shù)字信封、數(shù)字簽名技術(shù)等）建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施，是國際標準的安全管理平臺，即信息安全基礎(chǔ)中的核心25pki的理論基礎(chǔ)是研究信息安全保密的密碼學，它分為密碼編碼學和密碼分析學，pki是解決加密和信任問題的基本解決方案5一個典型的pki組成系統(tǒng)（如圖1），主要包括以下部分2，6：a數(shù)字證書認證中心（ca）：數(shù)字證書認證中心ca是pki的核心，ca主要負責對本系統(tǒng)內(nèi)證書生命周期的管理：如證書的申請、更新、撤銷、發(fā)布、備份、恢復和歸檔等2，4b密鑰管理中心（kmc）：密鑰管理中心（keymanagementc

2、enter，以下簡稱：kmc）向ca服務(wù)提供相關(guān)密鑰服務(wù)，它是整個信任體系的核心安全部分，主要負責密鑰的管理（如密鑰的生成、密鑰的分發(fā)、密鑰的存儲、密鑰的備份和更新以及密鑰的撤銷和恢復等45，78）和安全c注冊中心（ra）：注冊中心（registrationauthority，以下簡稱：ra）是ca認證中心的延伸，主要負責對證書申請用戶信息的錄入、審核及制證、發(fā)證等；ra是數(shù)字證書的審核、申請和注冊中心，ra注冊中心由ca認證中心授權(quán)管理910d證書庫與證書發(fā)布系統(tǒng)：ca簽發(fā)證書的存儲和證書吊銷列表，便于用戶方便地取得證書和證書吊銷列表信息；還提供輕量目錄訪問協(xié)議（ldap）服務(wù)和注冊服務(wù)2，

3、6，8epki應(yīng)用：主要是在web服務(wù)器之間的通訊、電子數(shù)據(jù)交換（edi）、電子郵件、信用卡交易和虛擬私人網(wǎng)絡(luò)（vpn）等客戶端應(yīng)用軟件2數(shù)字證書認證中心ca、密鑰管理中心kmc、注冊中心ra、證書庫是pki的關(guān)鍵組件；pki通過密碼加密技術(shù)、數(shù)字證書、數(shù)字簽名等技術(shù)保證網(wǎng)絡(luò)上數(shù)據(jù)的保密性、有效性、完整性、不可否認性以及身份的合法性，它為電子政務(wù)的發(fā)展提供了一套安全的基礎(chǔ)平臺、技術(shù)規(guī)范和一個安全的電子政務(wù)環(huán)境2，4，910 基于pki的高校電子政務(wù)的安全構(gòu)建 目前高校電子政務(wù)信息安全的解決方案主要集中在物理安全、系統(tǒng)安全和網(wǎng)絡(luò)安全層面（如防火墻、入侵檢測、防病毒等），還沒有應(yīng)用層面的信息安全平

4、臺和全網(wǎng)統(tǒng)一的安全方案；pki技術(shù)對解決高校電子政務(wù)中存在的應(yīng)用層面安全問題是一個比較好的選擇（如身份驗證、數(shù)據(jù)加密和數(shù)據(jù)完整性等）圖2所示的高校電子政務(wù)pki的構(gòu)架模型是對文獻8模型的修改，其中包括有端實體（即個人用戶和應(yīng)用系統(tǒng)）、目錄服務(wù)、ca認證管理、ra管理器、用戶管理器等，每個校園網(wǎng)pki系統(tǒng)有一個根ca，分校區(qū)設(shè)立一個下級ca，分校校區(qū)都有一個ra與之相連，證書庫位于不同的目錄服務(wù)，當用戶需要查詢證書時，先向ca提出申請，然后由子ca從證書庫中提取證書信息，ca之間是交叉認證對于高校電子政務(wù)安全體系而言，一個高效率的ca中心、一個安全的角色訪問控制和一個穩(wěn)定的證書庫對教育電子政務(wù)應(yīng)

5、用平臺是必要的，筆者的研究是建立在高校pki系統(tǒng)框架模型基礎(chǔ)上（圖2），從ca認證、證書庫、訪問控制等方面進行高校電子政務(wù)pki安全體系的分析和構(gòu)建 橋ca認證結(jié)構(gòu)ca服務(wù)器是整個高校pki電子政務(wù)證書機構(gòu)的核心2，11，根據(jù)ca間的關(guān)系，pki的體系結(jié)構(gòu)有三種情況：單個ca，分級（層次）結(jié)構(gòu)的ca（從屬關(guān)系）和網(wǎng)狀結(jié)構(gòu)的ca（對等關(guān)系）三種情況各有優(yōu)點且用在不同的條件下，但單個ca的結(jié)構(gòu)不易擴展到支持大量的不同的群體的用戶；分級結(jié)構(gòu)的ca的缺點是它依賴于根ca，若根ca安全性削弱，將導致整個pki系統(tǒng)安全性削弱；分級結(jié)構(gòu)的ca是所有的信任都集中在根ca，而一旦該可信任點出現(xiàn)故障，后果是災難性

6、的高校pki電子政務(wù)一般采用的是分級ca，由于各種原因，現(xiàn)在很多高校都有兩個甚至多個校區(qū)，校區(qū)之間的物理距離也很遠，再加上各院系和部門之間功能相對獨立，有必要使用多個ca（如圖2），而且所有ca的公鑰驗證用戶的證書都必須是可信的對于高校電子政務(wù)來說，由于高校各部門、院系之間不是從屬關(guān)系，因此不能簡單使用分級的ca結(jié)構(gòu)；但在一個院系或部門內(nèi)部，從屬關(guān)系還是存在的，因此也不能簡單地使用網(wǎng)狀結(jié)構(gòu)的ca結(jié)合高校特點，在高校電子政務(wù)體系中構(gòu)建橋ca認證體系（如圖3）：在各部門內(nèi)部使用分級的ca認證，各部門之間通過學校的中心ca進行橋接ca認證，并且可以根據(jù)學校規(guī)模的大小設(shè)立相應(yīng)的ca認證中心的數(shù)量，進行

7、交叉認證，從而建立高校pki的信任模型。橋ca分別與ca1、ca2、ca3建立對等信任關(guān)系，那么ca1、ca2、ca3就是各自pki體系中的主ca用戶u1和u6可以通過他們各自的可信任點ca2和ca3，經(jīng)橋ca的連接建立起信任關(guān)系，進行安全通信 ldap的高校pki證書庫ldap是輕量目錄訪問協(xié)議（lightweightdirectoryaccessprotocol），目錄是一個以樹型為數(shù)據(jù)組織結(jié)構(gòu)的特殊數(shù)據(jù)庫，存放信息的載體，比關(guān)系型數(shù)據(jù)庫具有更高的查詢速度12證書庫用于發(fā)布通過認證中心ca認可的數(shù)字證書，是高校pki電子政務(wù)系統(tǒng)的數(shù)據(jù)存儲中心和發(fā)布中心；證書庫發(fā)布的數(shù)字證書包含了證書持有者

8、的個人詳細信息、ca的數(shù)字簽名和公鑰等，為了保證證書內(nèi)容的可靠性，一般通過證書上ca的簽名驗證，就可以確認每個持有者的公鑰的真實性和身份的合法性1214由于高校電子政務(wù)系統(tǒng)中用戶對證書的查詢請求非常頻繁，構(gòu)建ldap的證書庫（如圖4虛線所示）尤為重要2，可以大大優(yōu)化證書的匹配、查詢、維護等功能，避免在使用中不同數(shù)據(jù)庫之間復雜的協(xié)議轉(zhuǎn)換，保證對合法使用者的身份有效認證、提高查詢響應(yīng)頻率虛線部分有主庫（主ldap目錄）和從庫（從ldap目錄）組成，證書庫的內(nèi)容包括：證書和crl、證書庫版本號、證書目錄樹下的修改操作日志管理實體負責主庫中的各種數(shù)據(jù)維護（如x509證書和crl），ra負責向ca提交請

9、求和用戶證書申請，ca負責證書的簽發(fā)以及維護主ldap目錄（主證書庫）中的證書狀態(tài)；目錄復制功能（replica）是將ca對主庫的修改操作通過主ldp目錄（主庫）實時地反映到從ldp目錄（從庫）中，ldaps的功能是維護、定期檢測從庫的數(shù)據(jù)、日志或證書庫的版本號是否和主庫的一致，若主庫和從庫有一方發(fā)生故障，replica能保持證書庫的正常服務(wù)和數(shù)據(jù)的穩(wěn)定性#p#分頁標題#e# rbac角色的訪問控制訪問控制就是用戶對訪問系統(tǒng)的請求進行控制，也就是準許或限制訪問能力及范圍的一種方法15通過訪問控制可以防止合法用戶對系統(tǒng)資源的非法使用和非法用戶進入系統(tǒng)、非法訪問關(guān)鍵資源；傳統(tǒng)的訪問控制實現(xiàn)通常依賴

10、于系統(tǒng)安全的授權(quán)服務(wù)才能建立用戶的身份15由于高校電子政務(wù)資源豐富，查詢和訪問的人多，且訪問的角色（如院長、主任、老師、學生）不同、權(quán)限也不同；為了確保安全、有效訪問高校電子政務(wù)pki系統(tǒng)中的資源，建立基于pki的角色及權(quán)限訪問控制策略rbac（如圖5）尤為重要2例如：一個普通教師通過證書登陸系統(tǒng)（他的證書的角色及權(quán)限關(guān)系已在證書擴展項中指明），系統(tǒng)在驗證證書的過程中，自動通過檢查證書的角色和權(quán)限的關(guān)系來決定這張證書的使用者可以進行考分登記或修改、查詢課表和教室等操作角色權(quán)限和用戶角色之間用雙箭頭相連表示角色權(quán)限分配（permissionroleassignment，以下簡稱：pra）關(guān)系和用

11、戶角色分配（userroleassignment，以下簡稱：ura）關(guān)系都是多對多的關(guān)系在角色權(quán)限分配pra關(guān)系中2：一個角色可包含多個權(quán)限，同樣一個權(quán)限可被多個角色所擁有；在用戶角色分配ura關(guān)系中：一個用戶可以分配多個角色（例如院長擁有老師和領(lǐng)導角色），一個角色可授權(quán)給多個用戶圖4中基于pki的rbac訪問控制就是在用戶和訪問權(quán)限之間引入角色，用戶不直接與權(quán)限相關(guān)聯(lián)，用戶通過角色享有權(quán)限來訪問系統(tǒng)資源訪問控制過程分成兩個部分：訪問權(quán)限與訪問角色，rbac訪問控制中角色與權(quán)限是邏輯分離的，從而保證了高校pki電子政務(wù)訪問控制的信息安全綜上所述，在基于pki的高校電子政務(wù)平臺采用橋ca認證體系、ldap的證書庫、rbac的訪問控制能有效解決高校電子政務(wù)對于身份認證、訪問控制、信息安全等問題 結(jié)語 pki在高校電子政務(wù)的安全應(yīng)用目前已在本院實施，取得了良好效果如pki中的數(shù)字簽名、數(shù)字認證、角色訪問控制已應(yīng)用到本院信息管理系統(tǒng)、論文管理系統(tǒng)、學生實驗信息管理系統(tǒng)等環(huán)節(jié)中高校電子政務(wù)pki的安全問題還必須在pki策略的指導下進行：建立數(shù)據(jù)備份基礎(chǔ)設(shè)施，以物理安全和人員的管理來解決高校電子政務(wù)內(nèi)部人為的安全問題；制定學校的安全規(guī)定和相關(guān)的法律法規(guī)來保證高校電子政務(wù)pki的安全；建立信息安全保護的技術(shù)機制，用技術(shù)上的安全策略來保證高校電子政務(wù)pki的安全隨著社會信息化的不斷深入，p