基于PKI规范的CA系统的设计与实现

【摘要】： 随着计算机和通信技术的发展，计算机对于人们的生活和工作变得越来越重要，如今网上购物、电子交易、网上炒股等已经十分普及。现代计算机和信息技术在改变人们的生活方式和提高企业的生产效率的同时，也给人们留下了信息安全的隐患。 为了解决各种信息及网络安全问题，人们提出了各种不同的技术和标准。如防火墙、入侵检测系统等就是为了防止黑客入侵，保证主机系统安全的重要技术。同时由于Internet的开放性以及协议本身存在的安全缺陷，对此人们对网络的安全传输进行了大量的研究，网络传输的安全研究主要是为了保证数据在网络上传输时，不被窃听，不被篡改，即提供数据的机密性和完整性。目前针对不同的网络协议层，有了相应的安全协议标准。如IPSec协议就是通过在网络层对数据包进行加密，来保证数据传输的机密性和完整性，而SSL协议则是在传输层加密数据包来达到上述目的。 为了实现安全服务，必须要有相应的设施来提供服务。公钥基础设施(PKI，“Public Key Infrastructure”)就是信息安全基础设施的一个重要组成部分，是一种普遍适用的网络安全基础设施。目前的PKI技术通过利用公钥理论和技术，来建立提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。PKI的关键组件由数字证书认证中心CA、审核注册中心RA(Registration Authority)、密钥管理中心KM(Key Manager)等组件组成。作为提供信息安全服务的公共基础设施，PKI是目前公认的保障网络社会安全的最佳体系。如何推广PKI应用，加强系统之间、部门之间PKI体系的互通互联，已经成为目前PKI建设亟待解决的重要问题。 因此基于PKI规范的CA安全认证系统的开发和使用，对于解决在Internet网上进行数据传输时遇到的传输安全问题、数据的完整性问题、身份认证问题、交易的不可抵赖问题等具有重要的意义。 本文就是以PKI规范、PKCS协议族为基础，设计并开发了一套CA系统，系统的结构以层次结构设计。在设计和实现过程中我们使用了各种有效的方法，以尽可能的减少各系统组件的耦合性，从而提高了系统的交互性、扩展性以及可维护性。