CA认证模型研究.docx

摘要公钥基础设施（Public Key Infrastructure, PKI)是目前网络安全建设的基础与重点。建设PKI体系，核心的技术就是建立功能完善的、安全的认证中心（CA)。CA是当前网络安全领域研究的热点之一，其实现具有重大的实用价值和社会价值。因此，本文对基于Web的企业级证书授权（CertificateAuthority, CA)模型进行研究。本文的研究模型立足于企业级认证中心，为企业提供数字证书的相关服务。在企业这个封闭的环境下，该模型系统与企业内部的应用管理系统可以做到无缝连接，避免了互操作的问题。在人员流动大的情况下，该模型系统表现出良好的可操控性、及时性、灵活性。该模型面向企业内部员工，并不需要与外界交互认证，降低了系统开发的难度。由于用户的集中性，在系统的管理和培训方面，该模型系统体现出优越性。该模型系统的规投并不大，因此降低了实施费用。该模型系统基于Web技术实现分布式认证，支持本地用户和互联网用户的访问。本文介绍了基于Web的企业级CA认证模型的建设背景，并提出对应的建设要求。对工作模型的安全需求进行分析，并提出模型建设方案的总体设计，模型主要山CA认证屮心、注册机构RA、客户端三部分组成。其中对证书的申请、审核、下载、更新、撤销流程等内容进行重点的论述。结合中小企业的实际情况，本文设计开发了一个基于Web的企业级CA系统WebCertocx，并将该系统应用到某建筑设计企业的管理系统模块中，即证书登陆模块和权限管理模块。用户使用管理员颁发的PKCS#12数字证书登录，摒弃了传统的基于用户名和密码的身份验证机制，保证了信息的必威体育官网网址性、完整性、不可否认性以及用户身份的真实性；用户登录成功后，系统从证书中取得唯一的序列号，通过它联系企业内部的权限二进制流，实现权限管理功能。本文实现了 WebCertocx系统的功能以及功能的应用扩展，并给出了一个实用可行的人性化设计，发展前景广阔，具有良好的扩展性。本系统不足的地方：把用户私钥保存在硬盘上，未引入智能卡（IC卡或USBKEY等）技术，安全性不高。关键词：公钥基础设施，认证中心，注册机构，数字证书第一章绪论1.1课题研究背景随着计算机信息技术的不断发展，网络和信息系统已经渗透到人们的日常生活和工作之中，它们正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性，网上的所有信息变得透明，人们关心的重点逐渐转移到保障网络和信息系统的安全上，它们的安全不仅关系到个人的利益、商业的利益，而且影响着经济的发展、社会的稳定，甚至国家的存亡。因此，网络和信息系统的应用系统对信息的安全性提出了更高的要求。1、对身份的验证的要求以明文方式存储、传送的用户名和口令存在着被截获、破译等诸多安全隐患，用户对每个口令都需要记忆，会出现混淆、遗忘等问题。同时，维护起来也不方便。本文在企业登录模块引入数字证书的概念，维护了用户身份管理和合法性验证机制，从而避免以上的种种缺点。用户在登录时，需要输入口令验证；验证通过后解析个人数字证书，同时判别证书的合法性。2、对数据必威体育官网网址性和完整性的要求信息在传送过程屮，如果信息失效便没有了传送的意义，如果被篡改成误异信息便造成无法预估的损失。所以数据不仅要传输，更要准确无误。本文提出的系统模型WebCertocx引入的加密算法，能够有效的避免明文泄密或被篡改，即能保证数据的必威体育官网网址性和完整性。3、传输安全性要求除了对本身数椐有所要求之外，安全性还包括通信信道的加密保护。使用传统的通信专线己经远远跟不上现在网络的应用发展需求。WebCertocx系统引入了公钥密码技术，其中公钥的传输不在意是否是安全信道，即便公钥泄漏也无关紧要，这样不仅能进行加密保护，同时也能适用于互联网技术的安全传输需求。4、对数字签名和不可否认的要求手工签名主要是实现不可抵赖性的功能，即防止事件发起者事后抵赖，能够规范业务，避免法律纠纷。因此，在网络应用中，也是非常需要同样的功能机制，来确保事件的不可抵赖性，发起者不可否认，这样规范了基于网络的业务，避免法律纠纷，即数字签名技术。WebCertocx系统在企业为员工签发数字证书过程中引入该技术，员工通过登录认证以后，会保留日志用于以后追溯，即可防伪造又可防抵赖。在网络技术应用的需求之下，PKI安全解决方案应运而生，它基于非对称密码公钥体制，采用数字证书管理机制，可以透明的为网上应用提供上述各种安全服务，极大地保证了开放的网络环境下大型系统间信息交互的安全性。PKI方案为网络用户提供了一系列的安全服务。PKI提供的服务平台上采用的核心技术足非对称密码技术。虽然它同我们生活中接触的基础设施所涉及的领域不同，但足他们提供的服务有相似之处，针对安全需求不同的用户提供相应不同的安全服务。CA是PKI的核心组件，专门解决公钥体系中公钥的合