基于SSL和CORBA技术的CA系统的实现：ImplementationofCAsystembasedonSSLandCORBATechnology.docVIP

基于SSL和CORBA技术的CA系统的实现* 徐春林 李涛 王伍戎 张巍 伍良富 赵辉** (四川大学(西区)计算机系 成都 610065) 摘要： CA是PKI（Public Key Infrastructure）体系的核心。本文提出了一种Internet分布式环境下基于SSL和CORBA技术的CA的解决方案，并详细讨论了其实现技术。 关键字：PKI；认证中心；SSL；CORBA 中图分类号：TP393.08 文献标识码：A An Implementation of CA based on SSL and CORBA XU Chun-lin, LI Tao, WANG Wu-rong, ZHANG Wei, WU Liang-fu, ZHAO Hui (Dept. of Computer, Sichuan Univ., Chengdu 610065,China) Abstract: CA is the kernel of Public Key Infrastructure. This paper presents a solution for designing and implementing CA system for Internet distributed environment. The solution is based on SSL and CORBA technology. Keywords: PKI; CA; SSL; CORBA 前言 PKI(Public Key Infrastructure)是以公钥加密为基础，创建、管理、存储、分发和撤销证书所需要的一组硬件、软件、人、策略和过程。它的核心的组成部分是CA。认证中心CA（Certification Authority）是负责签发管理数字证书的定义和问题的机构或个人。CA验证证书签名和授权对证书签名。 数字证书是保证双方之间的通讯安全的电子信任状，它由CA签发，并可验证其本身的真实性。本质上，证书的构成是一个公钥，再加上公钥所有者的标识，以及被信任的第三方对上述信息的数字签名。公信方的数字签名保证了公钥及其所有者的对应关系，同时也保证了证书中的公钥信息不会被篡改。 认证中心是被通信各方信任的第三方机构，承担着产生证书、发放证书、撤销证书（包括发布撤销信息）的职责。 本文提出了CA的一种分布式解决方案——DCA（Distributed Certification Authority），并在Linux平台上具体实现了该DCA。 总体设计 DCA完成了一般CA必须的基本功能：根据申请信息产生X.509和PKCS12两种格式的证书、向客户端发送证书、验证撤销信息并撤销指定证书、定期发布CRL等。DCA采用基于CORBA规范的分布式对象体系结构。 2．1 系统结构 DCA主要由证书/CRL服务器、证书 中心Web服务器和注册管理中心组成，系统结构如图一所示。 （1）证书/CRL服务器 系统中的证书/CRL服务器主要完成 证书/CRL服务器 证书/CRL数据库 Corba Over SSL 注册管理中心 用户 Corba Over SSL 证书中心Web服务器 用户 图一 系统结构 产生证书、发布证书、产生CRL和发布CRL的功能。同时，它还有系统参数管理、访问权限管理、日志管理、系统维护等功能。该服务器是一个CORBA的服务器端，它采用了IIOP over SSL协议同客户端进行数据传输，能够对连接的客户端进行身份认证，保证了客户端连接的合法性，也保证了传输过程中的安全性。 （2）证书中心Web服务器 证书中心Web服务器既同内部网络连接，也同外部Internet连接。它主要用于对外发布证书。它也是一个CORBA的服务器。通过注册管理中心的调度，证书中心Web服务器的证书数据和证书/CRL服务器的数据是一致的。采用这种结构，保证了证书数据的安全性，以免证书数据被攻击。用户可以通过Web方式访问该服务器，检索数字证书和CRL。用户可以查询证书、下载及安装证书，下载CRL以及查询某个证书的状态。 （3）注册管理中心 注册管理中心是CORBA的客户端，它同时连接证书/CRL服务器和证书中心Web服务器的CORBA服务器端。在与服务器端连接过程中，需要客户端提供自己的证书，进行身份验证。注册管理中心受理用户书面提交的申请，为用户产生非对称密钥对。 注册管理中心产生用户的申请证书请求，通过SSL`加密传输提交给证书/CRL服务器。 注册管理中心接收到证书/CRL服务器返回的证书后，与非对称密钥对一起返回给用户。同时，注册管理中心处理用户书面提交的注销