◆宋芹芹 袁 泉



PKI/CA系统异地统一身份认证研究与实现

◆宋芹芹 袁 泉

（中国直升机设计研究所 天津 300300）

企业跨区域发展的趋势对信息化提出新的课题，实现两地统一用户身份认证和管理的需求更为迫切。采用分布式PKI/CA架构，通过数字证书对两地操作系统、应用系统提供统一的安全支撑，形成面向业务应用和数据管理的统一身份、统一认证的信任体系，实现异地信息资源的整合利用和业务协同。

PKI/CA；异地；统一身份验证

0 引言

企业跨区域发展的趋势对信息化提出更高的要求，其中两地统一用户身份认证和管理的研究最为迫切。以某企业有A、B两个工作园区为例，在A园区中搭建PKI/CA系统，用户通过安全认证网关进行应用系统业务安全访问。在B园区采用分布式部署，通过数字证书为操作系统、应用系统提供统一的安全支撑，实现两地统一的用户身份管理，形成面向业务应用和数据的统一身份、统一认证的信任体系，从而实现两地信息资源的整合利用和业务协同。

每个用户持有两个指纹器，分属A、B区域，每个指纹器中分别有两张证书，为加密证书和签名证书。每个证书拥有一个密钥对，主证书为加密证书，辅证书为签名证书。其中，主证书密钥对相同，辅证书加密密钥相同，从而保证两地身份验证无缝连接。为实现不同区域用户登录到唯一的应用ID，需要保证两个区域中的用户证书属性信息保持相同。通过读取证书CN号，即可完成用户安全登录到应用系统。

1 PKI/CA系统简介

PKI是公钥基础设施的简称，是以数字证书为核心，对网上传输的信息进行加解密、数字签名和签名验证，保证了信息的完整性、机密性和不可否认性。PKI体系通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者的身份，是目前较为成熟的保护信息安全的一套体系[1]。

PKI体系组件包括证书认证系统（CA）、证书注册系统(RA),密钥管理系统（KM）以及目录服务系统（LDAP）。

证书管理中心系统（CA）负责签发管理证书，执行根认证中心制定的策略；为个人、服务器以及其他设备签发证书，通过向下签发下级管理中心证书，进行认证体系的纵向扩充。

证书注册审核中心系统（RA）是认证系统为用户服务的对外窗口，为用户进行用户身份信息的审核，确保其真实性，管理和维护本区域用户身份信息，注册和冻结用户、发放和管理数字证书。

密钥管理中心系统（KMC）主要负责密钥的管理，包括密钥的产生、分发、更新、销毁全生命周期的管理，为管理中心提供密钥托管服务。

证书目录服务系统（LDAP）分主、从目录服务系统。其中，主目录服务器接收证书管理系统的数据更新，并将更新的数据实时同步到从目录服务系统中；从目录服务系统负责对外进行信息发布，为业务应用系统提供证书信息查询服务。LDAP是CA中心对外服务的关键组件，负责证书的存储、发布、查询。

数字证书是将实体属性等标识信息和相应公开密钥绑定在一起的数据文件，数字证书是采用公钥体制，即利用一组相互匹配的密钥进行加密和解密。是由第三方信任机构—认证中心CA进行数字签名并公开发布。

2 异地统一身份认证系统

2.1 PKI/CA系统基础架构

企业在园区A建设二级CA中心，作为上级网络中心PKI/CA体系的二级结构。结合数字证书与windows域管理机制，实现指纹器登录操作系统，完成用户开机登录强身份认证与退出锁定保护。通过安全认证网关，实现基于数字证书的身份认证，达到强身份认证的效果。通过签名验证系统与OA系统的结合，实现基于数字证书的责任认定，对实际业务过程中的重要流程做签名验证。

该身份认证系统主要由证书管理中心系统（CA）、证书注册审核中心系统（RA）、密钥管理中心系统（KMC）、证书目录服务系统（LDAP）、安全认证网关等组成。

证书认证网关部署在应用客户端与应用服务端之间，与应用采用串联部署，即客户端与服务端之间的所有流量都经过认证网关，认证网关负责完成对客户端的完整证书认证过程以及数据的传输加密，客户端只有通过了认证网关的验证，请求才能到达真正的应用服务器。安全认证网关为网络应用提供基于数字证书的高强度身份认证服务，高强度数据链路加密服务，可以有效保护网络资源的安全访问[2]。

2.2分布式PKI/CA系统架构设计

在B区域建设一套身份认证系统，其建设模式与A区模式相同，两地身份认证体系技术标准兼容。为满足人员在A区与B区流动办公，进去不同区域后，需要实现可以使用对应区域中的数字证书进行相同的业务操作，即异地登录。首先A区与B区两地身份认证系统需要做到两个同步：（1）两地密钥复制与同步；（2）CA用户信息复制与同步。分布式PKI/CA系统架构如图1。

图1 分布式PKI/CA系统架构图

2.3用户登录操作系统

两地办公过程中，进入不同区域后，需要使用对应区域中的数字证书登录操作系统。每个用户拥有两个指纹设备，分属A、B区域，分别拥有两张证书，为加密证书和签名证书。每个证书都有一个密钥对，主证书为加密证书，辅证书为签名证书，主证书密钥对相同，而辅证书加密密钥相同，从而保证两地身份验证无缝连接。

首先需要用户计算机加入到Windows域，用户启动计算机之后，系统提示用户将指纹KEY插入客户端计算机的USB接口。用户登录系统身份认证过程如图2所示。

（1）用户输入指纹信息；

（2）指纹信息输入正确将解开数字证书，通过数字信封解开绑定的域账号名和口令；

（3）客户端计算机将用户证书及用户签名从用户的指纹KEY发送至 Microsoft 密钥发行中心 (KDC), 该中心对客户进行身份验证；

（4）KDC 将证书中的 UPN（用户主要名称）与 Active Directory 中的 UPN 进行比较。KDC 还验证证书上的签名以确保其是由 Active Directory林中的受信任的 CA 发出。

KDC 首先验证用户的证书，若证书有效，KDC 会验证预授权数据字段中的签名数据（该数据由用户在用户证书中使用公钥的初始请求中发送的）。然后 KDC 使用随机产生的对称密钥加密授权票证 (TGT)，之后再用证书的公钥将其作为来自 KDC 响应预授权字段的一部分进行加密。这就确保了仅具备正确私钥的客户才可解密登录会话密钥。系统将密钥传输至客户端计算机。客户端计算机通过收到的密钥来对远程访问服务器进行身份验证。双方因此而进行了相互的身份验证[3]。用户退出登录时只需将KEY拔出，系统即可进入锁定状态，从而限制了他人对计算机的物理访问。

图2 用户登录系统身份认证过程

2.4 异地访问应用系统

用户异地访问应用系统，需要解决如下两方面的问题。

第一，用户身份鉴别。用户使用本园区身份认证体系签发数字证书进行业务系统访问，通过对两个区域中的数字证书信任链进行相应信任配置，配置后不同园区用户将可以持本园区数字证书通过安全认证网关系统身份鉴别。

第二，用户数字证书信息交互。为实现用户异地登录到唯一的应用系统ID，需要保证两个区域中的用户证书属性信息保持相同，包括OU、主题备用名等。现有应用系统是通过读取证书属性信息中的CN第来确定用户ID，即可完成用户安全登录到应用系统。

B区客户端访问两地应用系统业务流程如下：

（1）用户向安全认证代理发出访问门户请求；

（2）安全认证代理将该访问请求发送至B区安全认证网关，安全认证网关要求用户提交能够标识其身份信息的数字证书；

（3）用户输入指纹信息调出数字证书；

（4）安全认证代理将用户证书信息提交至B区安全认证网关，安全认证网关完成身份验证并同时建立安全加密传输通道；

（5）用户正常访问A区门户系统，同时通过门户系统实现后台两地业务系统的安全登录。

3 结论

PKI/CA技术的发展日趋成熟，广泛被使用，但远程协同办公对其提出了更高的要求。本文中分布式PKI/CA系统架构保证了两地身份验证无缝连接，满足了异地用户在使用异地数字证书访问应用系统的身份鉴别需求，对此类技术的研究和实现起到了一定的指导意义。

[1]赵颖.一种基于证书的登录控制实现[J].信息安全与通信保密，2006.

[2]于华，曹海滨，刘良旭.基于LDAP和PKI的Intranet统一身份认证系统的研究[J].计算机工程与设计，2006.

[3]李彦，王柯柯.基于PKI技术的认证中心的研究[J].计算机科学，2006.