-.z公鑰根底設(shè)施技術(shù)PKI是利用公鑰理論和技術(shù)(密碼技術(shù)、數(shù)字信封、數(shù)字簽名技術(shù)等)建立的提供信息平安效勞的根底設(shè)施,是國際標(biāo)準(zhǔn)的平安管理平臺,即信息平安根底中的核心[2-5].PKI的理論根底是研究信息平安**的密碼學(xué),它分為密碼編碼學(xué)和密碼分析學(xué),PKI是解決加密和信任問題的根本解決方案[5].一個典型的PKI組成系統(tǒng)(如圖1),主要包括以下局部[2,6]:a.數(shù)字證書認(rèn)證中心(CA):數(shù)字證書認(rèn)證中心CA是PKI的核心,CA主要負(fù)責(zé)對本系統(tǒng)內(nèi)證書生命周期的管理:如證書的申請、更新、撤銷、發(fā)布、備份、恢復(fù)和歸檔等[2,4].b.密鑰管理中心(KMC):密鑰管理中心(KeyManagementCenter,以下簡稱:KMC)向CA效勞提供相關(guān)密鑰效勞,它是整個信任體系的核心平安局部,主要負(fù)責(zé)密鑰的管理(如密鑰的生成、密鑰的分發(fā)、密鑰的存儲、密鑰的備份和更新以及密鑰的撤銷和恢復(fù)等[4-5,7-8])和平安.c.注冊中心(RA):注冊中心(RegistrationAuthority,以下簡稱:RA)是CA認(rèn)證中心的延伸,主要負(fù)責(zé)對證書申請用戶信息的錄入、審核及制證、發(fā)證等;RA是數(shù)字證書的審核、申請和注冊中心,RA注冊中心由CA認(rèn)證中心授權(quán)管理[9-10].d.證書庫與證書發(fā)布系統(tǒng):CA簽發(fā)證書的存儲和證書撤消列表,便于用戶方便地取得證書和證書撤消列表信息;還提供輕量目錄協(xié)議(LDAP)效勞和注冊效勞[2,6,8].e.PKI應(yīng)用:主要是在web效勞器之間的通訊、電子數(shù)據(jù)交換(EDI)、電子、信用卡交易和虛擬私人網(wǎng)絡(luò)(VPN)等客戶端應(yīng)用軟件[2].數(shù)字證書認(rèn)證中心CA、密鑰管理中心KMC、注冊中心RA、證書庫是PKI的關(guān)鍵組件;PKI通過密碼加密技術(shù)、數(shù)字證書、數(shù)字簽名等技術(shù)保證網(wǎng)絡(luò)上數(shù)據(jù)的**性、有效性、完整性、不可否認(rèn)性以及身份的合法性,它為電子政務(wù)的開展提供了一套平安的根底平臺、技術(shù)規(guī)*和一個平安的電子政務(wù)環(huán)境[2,4,9-10].基于PKI的高校電子政務(wù)的平安構(gòu)建目前高校電子政務(wù)信息平安的解決方案主要集中在物理平安、系統(tǒng)平安和網(wǎng)絡(luò)平安層面(如防火墻、入侵檢測、防病毒等),還沒有應(yīng)用層面的信息平安平臺和全網(wǎng)統(tǒng)一的平安方案;PKI技術(shù)對解決高校電子政務(wù)中存在的應(yīng)用層面平安問題是一個比擬好的選擇(如身份驗(yàn)證、數(shù)據(jù)加密和數(shù)據(jù)完整性等).圖2所示的高校電子政務(wù)PKI的構(gòu)架模型是對文獻(xiàn)[8]模型的修改,其中包括有端實(shí)體(即個人用戶和應(yīng)用系統(tǒng))、目錄效勞、CA認(rèn)證管理、RA管理器、用戶管理器等,每個校園網(wǎng)PKI系統(tǒng)有一個根CA,分校區(qū)設(shè)立一個下級CA,分校校區(qū)都有一個RA與之相連,證書庫位于不同的目錄效勞,當(dāng)用戶需要查詢證書時,先向CA提出申請,然后由子CA從證書庫中提取證書信息,CA之間是穿插認(rèn)證.對于高校電子政務(wù)平安體系而言,一個高效率的CA中心、一個平安的角色控制和一個穩(wěn)定的證書庫對教育電子政務(wù)應(yīng)用平臺是必要的,筆者的研究是建立在高校PKI系統(tǒng)框架模型根底上(圖2),從CA認(rèn)證、證書庫、控制等方面進(jìn)展高校電子政務(wù)PKI平安體系的分析和構(gòu)建.橋CA認(rèn)證構(gòu)造CA效勞器是整個高校PKI電子政務(wù)證書機(jī)構(gòu)的核心[2,11],根據(jù)CA間的關(guān)系,PKI的體系構(gòu)造有三種情況:單個CA,分級(層次)構(gòu)造的CA(附屬關(guān)系)和網(wǎng)狀構(gòu)造的CA(對等關(guān)系).三種情況各有優(yōu)點(diǎn)且用在不同的條件下,但單個CA的構(gòu)造不易擴(kuò)展到支持大量的不同的群體的用戶;分級構(gòu)造的CA的缺點(diǎn)是它依賴于根CA,假設(shè)根CA平安性削弱,將導(dǎo)致整個PKI系統(tǒng)平安性削弱;分級構(gòu)造的CA是所有的信任都集中在根CA,而一旦該可信任點(diǎn)出現(xiàn)故障,后果是災(zāi)難性的.高校PKI電子政務(wù)一般采用的是分級CA,由于各種原因,現(xiàn)在很多高校都有兩個甚至多個校區(qū),校區(qū)之間的物理距離也很遠(yuǎn),再加上各院系和部門之間功能相對獨(dú)立,有必要使用多個CA(如圖2),而且所有CA的公鑰驗(yàn)證用戶的證書都必須是可信的.對于高校電子政務(wù)來說,由于高校各部門、院系之間不是附屬關(guān)系,因此不能簡單使用分級的CA構(gòu)造;但在一個院系或部門內(nèi)部,附屬關(guān)系還是存在的,因此也不能簡單地使用網(wǎng)狀構(gòu)造的CA.結(jié)合高校特點(diǎn),在高校電子政務(wù)體系中構(gòu)建橋CA認(rèn)證體系(如圖3):在各部門內(nèi)部使用分級的CA認(rèn)證,各部門之間通過學(xué)校的中心CA進(jìn)展橋接CA認(rèn)證,并且可以根據(jù)學(xué)校規(guī)模的大小設(shè)立相應(yīng)的CA認(rèn)證中心的數(shù)量,進(jìn)展穿插認(rèn)證,從而建立高校PKI的信任模型。橋CA分別與CA1、CA2、CA3建立對等信任關(guān)系,則CA1、CA2、CA3就是各自PKI體系中的主CA.用戶U1和U6可以通過他們各自的可信任點(diǎn)CA2和CA3,經(jīng)橋CA的連接建立起信任關(guān)系,進(jìn)展平安通信.LDAP的高校PKI證書庫LDAP是輕量目錄協(xié)議(LightweightDirectoryAccessProtocol),目錄是一個以“樹型〞為數(shù)據(jù)組織構(gòu)造的特殊數(shù)據(jù)庫,存放信息的載體,比關(guān)系型數(shù)據(jù)庫具有更高的查詢速度[12].證書庫用于發(fā)布通過認(rèn)證中心CA認(rèn)可的數(shù)字證書,是高校PKI電子政務(wù)系統(tǒng)的數(shù)據(jù)存儲中心和發(fā)布中心;證書庫發(fā)布的數(shù)字證書包含了證書持有者的個人詳細(xì)信息、CA的數(shù)字簽名和公鑰等,為了保證證書內(nèi)容的可靠性,一般通過證書上CA的簽名驗(yàn)證,就可以確認(rèn)每個持有者的公鑰的真實(shí)性和身份的合法性[12-14].由于高校電子政務(wù)系統(tǒng)中用戶對證書的查詢請求非常頻繁,構(gòu)建LDAP的證書庫(如圖4虛線所示)尤為重要[2],可以大大優(yōu)化證書的匹配、查詢、維護(hù)等功能,防止在使用中不同數(shù)據(jù)庫之間復(fù)雜的協(xié)議轉(zhuǎn)換,保證對合法使用者的身份有效認(rèn)證、提高查詢響應(yīng)頻率.虛線局部有主庫(主LDAP目錄)和從庫(從LDAP目錄)組成,證書庫的內(nèi)容包括:證書和CRL、證書庫版本號、證書目錄樹下的修改操作日志.管理實(shí)體負(fù)責(zé)主庫中的各種數(shù)據(jù)維護(hù)(如*.509證書和CRL),RA負(fù)責(zé)向CA提交請求和用戶證書申請,CA負(fù)責(zé)證書的簽發(fā)以及維護(hù)主LDAP目錄(主證書庫)中的證書狀態(tài);目錄復(fù)制功能(Replica)是將CA對主庫的修改