2024年3月23日发(作者:)
PKI网络身份认证技术在办公自动化系统
中的应用
作者:刘小青,广春雨,李娜等
来源:《科技创业月刊》 2017年第8期
信息化技术在企业中的应用体现在各个领域,而日常的办公工作是企业其他工作的基础,
很多企业都建立了办公自动化系统。由于企业对于文档保密,以及网络安全的特殊要求,部分
企业安装了文档水印系统,从而提高企业的安全保密性,但是对于人员身份的认证问题仍然没
有得到有效的解决。
本系统构建的目的,是在提高企业的办公效率的同时,提高公文的安全性。与普通的办公
自动化系统不同,本系统针对应用对象对于安全保密等方面的特殊要求,基于PKI技术构建
了安全保密模块,从而使本系统能够达到更高的安全标准,从而拓展系统的使用范围。
1 研究现状
本系统采用的是公钥基础设施(PKI)技术,这一技术是采用非对称加密的方式,为用
户提供高效的安全保密服务。所有的网络内部应用都可以通过PKI获取到密码以及证书,以
实现对应用身份合法性的验证。实现这一功能的核心是一个可信任的认证机构(CA),它通
过数字签名等方式,实现对用户证书有效性的验证,同时对证书进行相应的管理,包括证书的
产生、管理、发放、销毁等。
PKI技术在国外发展较早,而我国是在上个世纪的九十年代开始引入并逐步应用的。P
KI技术经过不断地发展,其安全性、可用性、可靠性等方面的性能都得到了较大的提高。由
于PKI的权威性,尽管可以采用相关的技术构建PKI/CA中心,但必须要通过国家相关
部门的认证,才具有发放和验证证书的权力。目前这一技术在我国的互联网领域中得到了较多
的应用,包括支付宝、12306铁路购票网站等,都应用到了PKI技术。
2 关键技术分析
PKI是一个具有通用性的安全基础设施,基于非对称密码算法的原理提供安全服务。P
KI包括安全认证和具体的应用系统两个组成部分,其中提供安全认证功能服务的是认证机构,
也就是CA(Certificate Authority),它是PKI的核心,主要负责
数字证书的管理。建设PKI/CA中心的目的是为了保证网络中数据传输的安全性,同时也
保证对于公文等操作的不可抵赖性。
数字证书是PKI体系的重要组成部分,也是CA中心管理的对象。数字证书实现上是由
CA中心认证过的,利用CA私钥加密进行数字签名处理的电子文件,其中包含的信息有用户
的身份、有效期、授权信息等。用户终端可以通过数字证书得到相对应发布者的公钥,利用公
钥实现身份验证、数据解密等功能。
3 系统总体功能设计
办公自动化系统的功能架构紧贴企业相关用户的实际需求,将日常办公中所涉及到的文档
管理功能分门别类,从而为不同的用户提供服务。功能设计方案如图1所示。
企业办公自动化系统按照对公文的管理流程,分为四个组成部分:一是启动模块,主要完
成公文的拟制、流转流程的选择、公文流转状态的设置等;二是流程管理模块,主要对系统流
程库中的流转方案进行处理,包括增加、删除、修改、更新等,既可基于文字操作,也可基于
图形构建;三是处理模块,主要是在公文的审批节点,完成对待审批公文的推送与获取、在线
审批及痕迹保留、审批流程监控等;四是公文管理功能模块,主要实现对公文的归档处理、查
询统计、打印等操作。
4 基于PKI的网络身份认证模块实现
本公文流转系统与其他公文流转系统不同之处在于其对于安全保密性能的特殊要求。为了
实现公文流转过程中各个节点之间的相互身份认证,本系统引入了基于PKI的网络身份认证
技术,在企业内部的局域网中构建网络安全认证系统。
4.1 CA服务器的实现
CA服务器是网络安全系统的核心,该服务器的构建是基于OpenSSL开发包实现的。
该开发包的功能十分强大,包括各类密码算法、密钥及证书的封闭管理、SSL安全传输协议
等,并且提供了丰富的使用说明案例。
对于CA服务器的构建较为简单,主要是在服务器中建立目录结构,并做相应的配置工作,
在windows系统中,找到可执行文件openssl.exe所在的目录,并建立一个
CAManage文件夹,再根据配置的要求在该文件夹下建立各层目录,在相应的目录下建
立配置文件,填写相关的配置参数并保存。需要特别注意的是,CA证书文件和CA私钥文件
都需要转换为PEM格式,并旋转到CAManage的根目录和private子目录下。
完成配置后的CA服务器目录层次结构如图2所示。
4.2 数字证书申请模块的实现
CA服务器主要是基于PKI和X.509等相关的标准实现对证书的管理,而用户需求
向CA提交证书申请,CA服务器对用户提交的信息进行审核,通过后生成数字证书,其实现
流程如图3所示。
对于证书申请的实现,实际上是在OpenSSL环境下对其配置文件进行更改,执行后
就可以完成证书的申请操作。需要理性的配置文件中的参数为basicConstrain
ts,代码如下:
[v3_reg]
……
basicConstraints=CA:TRUE
……
用户在申请证书时,需要填写姓名、电子邮箱、所在的部门、身份证号等信息,并需要设
置私钥的保护密码,完成后提交给CA服务器,生成数字证书并下发。
4.3 数字证书撤销模块的实现
证书申请失效的流程图如图4所示。
数字证书的撤销可包括多个原因,如证书持有才的私钥泄露,提供的信息不真实,证书持
有人调离本岗位等,数字证书的撤销原因在OpenSSL开发包中用一个枚举型的数据结构
来表示,代码如下:
Struct CRLReason{
unspecified
//保留字段
keyCompromise //私钥泄漏
caCompromise //CA存在安全隐患
superseded //证书失效
cessationofoperation//中止操作
removeFromCRL //证书已删除}
4.4 数字证书查询功能的实现
数字证书查询功能主要是客户端根据实际的需求,将向CA服务器发出数字证书的查询请
求。在本安全系统地设计中,由注册服务器RA向CA服务器发出查询请求,其实现的流程如
图5所示。
当CA中心接收到由RA服务器发送的证书查询请求后,利用提取方法找到证书中的关键
字,再通过查询数据库表中的内容,如果找到,则返回客户端所需要的信息,如果没有找到,
则返回出错信息。
4.5 SSL安全通信的实现
SSL协议是网络安全通信协议,在企业公文流转系统中,不同节点之间的信息传输都是
基于SSL协议实现的。本系统基于OpenSSL开发包实现了安全传输功能,OpenS
SL提供了大量功能调用的API接口,还提供了S_Server和S_Client,用
以对SSL的服务器端和客户端进行认证。具体实现代码如下:
void InitOpenSSL() //初始化SSL
{
SSL_Load_Error strings(); //初始化错误信息
SSL_Library_Init(); //对SSL的库进行初始化操
作。}
5 安全性分析
构建基于PKI的网络安全系统后,对于公文流转系统提供了多层的安全保护功能。首先
是在节点身份的认证方面,由于节点之间传输的数据都是通过发送端节点的私钥加密,而接收
端利用发送端公钥对数据解密并验证发送端数据签名信息后,可以保证发送端节点身份的合法
性,杜绝了非法节点接入网络后的欺骗攻击;其次是在不可抵赖性方面,公文的审阅者对于公
文的批阅信息同样经过数字证书的认证,确保其真实性;第三在网络数据的传输方面,由于采
用了基于SSL的安全传输协议,企业内部网络中传输的数据都经过加密处理,防止了一些非
法终端利用抓包工具对数据进行分析窃密的攻击手段。
参考文献
1 D Park. Social Life of PKI:Sociotechnica
l Development of Korean Public-Key Infrastru
cture[J].IEEE Annals of the History of Compu
ting,2015(2)
2 J Tepandi,I T?觢Ahhirov,S Vassiljev. Wire
less PKI Security and Mobile Voting[J]. Comp
uter,2010(6)
3 王中华,韩臻,刘吉强.云环境下基于PTPM和无证书公钥的身份认证方案
[J].软件学报,2016(6)
4 张兵,秦志光,万国根.基于PKI和CPK的RFID系统混合密钥管理机制研究
[J].电子科技大学学报,2015(3)
5 M Pala,SW Smith.Finding the PKI needles
in the Internet haystack[J].Journal of Compu
ter Security,2010(3)
6 Kadri,Benamar,Feham,Mohammed,M hamed,A
bdallah.Securing reactive routing protocols
in MANETs using PKI[J].Security and Communic
ation Networks,2014(4)
7 高正宪,涂亚庆,李中学,等.PKI和RBAC授权数字证书的设计与实现
[J].计算机工程,2014(6)
8 A Rajaram,S Palaniswami. A High Certific
ate Authority Scheme for Authentication in M
obile Ad hoc Networks[J].International Jour
nal of Computer Science Issues,2010(4)
(责任编辑 何 丽)
发布评论