【摘要】在網絡的發展中,網絡安全問題越來越突出,在諸多網絡安全技術中,認證機構能夠有效地解決網絡信息的安全問題。本文探討了認證機構系統的體系結構以及在實際運行時的具體流程,利用Java設計了認證機構系統在實際應用時所需要的類別及實施方案。

　　1 引言

　　電子商務給人們的生活和工作帶來了巨大的改變,但在電子商務給人們帶來好處的同時,其安全問題也逐漸暴露出來,而且越來越受到人們的關注,于是許多關于網絡安全的新技術應運而生,其中認證機構CA作為解決網絡信息安全問題的開發性新技術,己經得到了廣泛應用。關于認證機構的了解也是在我教學過程中的一個重點讓學生去學習的知識點。

　　2 認證機構CA和數字證書

　　2.1 認證機構CA

　　在現在的網上交易過程中,無論是B2B,還是B2C,都面臨著一個問題,就是如何解決交易雙方的身份有效性,交易過程的合法性。認證機構CA認證機構(certificate Authority)是整個網上電子交易安全的關鍵環節,它主要負責產生、分配并管理所有參與網上交易的需要身份認證的實體的數字證書,為解決用戶信任問題,交易雙方在交易的各個環節中都需要檢驗對方數字證書的有效性,所以,認證機構發放的證書一定要具有權威性、公證性和可信賴性。CA是一個實體,是證書的簽發機關,是公鑰基礎設施的核心,為客戶提供簽發公鑰證書、認證證書、分配證書和管理證書的服務。CA將客戶的公鑰與客戶的名稱及其它屬性關聯起來,并制定政策和具體步驟來驗證、識別用戶身份,再對用戶證書進行簽名,確保證書持有者的身份和公鑰的擁有權。

　　2.2數字證書

　　數字證書是網絡通訊各方身份信息的一系列數據,是通過特定的加密算法來實現的.它提供了一種在網上驗證身份的方式,在網上交易時可以用來驗證對方的身份。數字證書是一個由認證機構確認了相應私鑰持有者(人、設備或其他實體)的身份或其它屬性后用數字方式簽名的包含公開密鑰持有者信息以及公開密鑰的文件。證書主要包括一個公開密鑰、證書名稱及認證機構的數字簽名。一般情況下,數字證書還包括密鑰的有效時間、發放證書機關的名稱、該數字證書的序列號等信息。

　　3 CA系統

　　一個典型的CA系統包括安全服務器、CA服務器、注冊機構RA ( Registration Authority)、LDAP(Lightweight Directory Access Protocol)目錄服務器和數據庫服務器。其中安全服務器面向普通用戶,用于提供證書申請、瀏覽、證書撤銷列表以及證書下載等安全服務。CA服務器負責證書的頒發。LDAP服務器提供目錄瀏覽服務,負責將RA服務器傳輸過來的用戶信息及數字證書加入到服務器上。數據庫服務器用于CA數據、日志和統計信息的存儲和管理。目前,CA系統己經投入使用到很多領域,引入CA系統的必要性主要表現在:信息的加密、網上交易的不可否認性、提供Internet上的各方信任以及保證交易信息的完整性等方面。

　　4 開發CA系統

　　待開發的CA系統主要包括以下幾個運行實體:根CA、業務CA、用戶和網站。根CA負責為業務CA頒發證書,業務CA是根CA的用戶,同時又是個人用戶的直接CA,負責為用戶頒發證書,用戶通過向業務CA申請證書而獲得訪問網站的權利,網站負責向用戶提供需要安全認證的web服務。

　　此CA系統的運行流程如下。

　　( 1)創建兩個全局對象:根CA全局對象和業務CA全局對象;

　　( 2)調用根CA的構造函數,對根CA進行初始化;

　　( 3)調用業務CA的構造函數,對業務以進行初始化,如果業務CA初始化失敗,則先向根CA申請證書,然后從根CA上下載證書和私鑰;

　　( 4)業務CA為用戶頒發證書;

　　( 5)用戶從業務CA上下載證書和私鑰。

　　在根CA中,存放密鑰和證書的地方均為注冊表,查找密鑰庫和證書庫是通過在注冊表中查找相應項來得到的,創建密鑰庫和證書庫也是在注冊表中實現。作為根CA,首先需要給自己頒發一個證書,該證書由根CA本身進行簽名,然后利用該證書給其它業務CA頒發證書并簽名。在根CA給自己頒發證書之后,就可以給各業務CA頒發證書。在根CA實際頒發證書時,首先在證書庫和私鑰庫中生成業務CA的證書和私鑰,具體實現時,可以寫入到注冊表中,也可以寫到數據庫中,或者寫到LDAP服務器的相應項中,然后將生成的證書和密鑰寫入到業務CA的相應硬件中。

　　在網站方面,應該配置一個PKIserver服務器用來進行加密、解密、簽名和驗簽等各種功能。實際運行時,可以將網站和PKIserver服務器部署在同一臺服務器上。在用戶與網站的交互過程中,網站先返回一個隨機數給用戶,用戶拿到該隨機數后,表示網站將要發送的信息以此隨機數作為對稱密鑰進行加密,用戶應該先對此隨機數進行簽名確認,表示正確收到該隨機數,如果該隨機數在傳輸過程中出錯,則后面進行驗簽時不會通過。網站在收到用戶的確認信息之后,就可以使用用戶的加密證書對密鑰進行加密,并用自己的簽名證書對發送信息進行簽名,用戶收到信息后,首先使用網站證書的公鑰進行驗證簽名,確認信息正確后,用私鑰解開對稱密鑰,然后用該對稱密鑰解密信息,得到所需的明文信息。如果只是用戶之間進行安全信息的交互,則只需將網站上的證書替換為相應的用戶證書即可。

　　根據以上流程,可以為系統設計如下幾個類:

　　class CABase {

　　void init(){ }

　　void downloadCert(){ }

　　void issueCert(){ }

　　Boolean isEmpty(){ }

　　void exportCert(){ }

　　void importCert(){ }

　　voidgenerateKey(){ }

　　}

　　其中函數init()用來初始化類對象,函數downloadCert ()用來實現下載證書的功能,函數issueCert ()用來實現頒發證書的功能,函數isEmpty()用來判斷當前對象是否己經初始化,函數exPortCert ()用來實現輸出證書的功能,函數imPortCert()用來實現導入證書的功能,函數generateKey ()用來實現生成密鑰的功能。接著設計類RootCA和BuslCA,這兩個類都繼承類CABase,并且重載了類CABase里init()、downloadCert()、issueCert()三個函數,分別來實現自己業務的操作。

　　最后設計類Key,其主要功能是從硬件設備或軟件中讀取證書和密鑰以及向硬件設備寫入證書和密鑰信息。

　　class Key {

　　void readCert() {}

　　void writeCert() {}

　　void readKey(){}

　　void writeKey() {}

　　void generateSignKey(){ }

　　void exportSignKey() { }

　　其中函數readCert()用來實現讀取證書的功能,而函數writeCert()用來實現寫證書的功能,函數readKey()用來實現讀取密鑰的功能,而函數writeKey()用來實現寫密鑰的功能,函數generateSignKey()用來實現生成簽名密鑰的功能,而函數exportSignKey()用來實現導出簽名密鑰的功能。

　　參考文獻:

　　[1]林楓.電子商務安全技術及應用[J].北京:北京航空航天大學出版社,2001.

　　[2]Willialm stallings著,楊明,謝希仁等譯.密碼編碼學與網絡安全、原理與實踐(第二版)[M].北京:電子工業出版社,2001.

　　[3]關振勝.公鑰基礎設施PKI與認證機構CA[ M].北京:電子工業出版社,2002 .