用EJBCA构建自己的CA系统
信息安全 陈勇
摘 要:随着Internet的飞速发展,网络中的安全问题日益受到人们的重视。众所周知,PKI公钥基础设施是目前比较成熟、完善的互联网络安全解决方案。同时它也是电子商务、电子政务、网上银行等技术的安全核心。但是PKI实施起来比较繁琐。并且当前实现PKI 的商用软件价格较为昂贵, 这都阻碍了PKI 的广泛应用。本文针对这一现状,重点介绍实现PKI技术的开源软件EJBCA。由于EJBCA的配置、使用过程比较繁杂, 并且相关文档比较缺乏, 因此本文通过讲解笔者用EJBCA 搭建的一套PKI 系统, 详细介绍了杭州禽流感最新消息EJBCA声环境 的配置、使用方法并且详细演示如何利用EJBCA来构建一个比较完整的CA系统来实现颁发证书和验证证书的过程。 关键词: EJBCA, 公钥基础设施PKI, 认证中心CA, 数字证书 Build your own CA with EJBCA
Information Security ChenYong
Abstract: With the explosive growth of Internet, increasingly importance has been attached to the security problem of Internet. As we all know, PKI(Public Key Infrastructure) is a mature and consummate formula for settling the security problem of Inte- -net at present. At the same time it’s the security kernel of青铜神树 e-Buniness ,E-Gov,Web bank and etc. But it’s verycomplicated to put into practice, and the commercial software which performs PKI is expensive, those retard the progress of the widespread use of PKI. In face of this actual state, this dissertation briefly introduces the open source software: EJBCA which realizes the technology of PKI. As the configuration and use of EJBCA is rather complicated, and lack of associated file, so this paper gives a detailed account of the configuration and use of EJBCA by explaining a PKI system built by author with EJBCA, and it will have some effect on improving the extension and development of PKI.
杜家台分洪
Keyword: EJBCA, PKI, CA, Digital certificate
前 言
随着互联网络应用的不断普及, 以及电子商务、电子政务、网上银行、网上证券等金融业网
上交易业务的飞速发展,网络安全,特别是互联网通信的安全性令人瞩目。 互联网络中信息传递的安全问题日益受到人们的重视。人们在不断探求互联网络中安全问题的解决方法, 从而确保互联网络中信息传递的保密性、完整性、非否认性, 以使互联网络能够为人们提供更加广泛便捷的服务。PKI技术正是解决互联网络安全问题的良方, 越来越多的人开始关注它, 研究它。目前PKI 已经是公认的保障网络社会安全的最佳体系。
PKI(Public Key Infrastructure )即"公钥基础设施"较好地解决了Web 应用中的机密性、完整性、真实性和抗否认性等安全问题。但在Web 环境下,还必须证明公钥与其持有者之间的映射关系,并认证密钥持有者的身份。数字证书很好地解决了这个问题。同样,在分布式环境下,还应该建立起安全、有效的证书管理机制,实现证书的生成、存储、分发、吊销等操作,从而为Web 应用乃至网络通信提供必要的密钥和证书服务。公钥基础设施PKI 就是这样的一种提供安全服务的基础设施。PKI 的核心是对证书及其公/私钥对的管理。同时,PKI 也代表着一种分布式的信任模型关系,它首先要选择或定义证书格式及其操作过程,其次需要明确证书签发机构或个人之间的信任关系。 EJBCA 就是这样一个针对PKI 证书体系企业级的开源解决方案。它基于J2EE 技术,提供
了一个强大的、高性能并基于组件的CA 体系。EJBCA 兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE 应用程序集成。
1 绪 论
1.1 PKI基础
1.1.1 概述
PKI 是“Public Key Infrastructure”的缩写, 通常被译为“公钥基础设施”[1]。简单地说, PKI 技术就是使用公开密钥技术和数字证书来提供信息安全服务的基础设施。众所周知, 公开密钥技术是目前应用最广泛的一种加密技术, 其技术核心是非对称加密技术, 即使用公私密钥对,每对中的公私密钥是一一对的, 并且由其中任意一个密钥加密的文件, 只能由相对应的另一个密钥才能解密。在实际使用中公钥是公开的, 任何人都可以拥有; 而与其对应的私钥是唯一的,只能由所有者保管、使用。通过使用公开密钥技术, 我们可以实现身份认证,数保密等功能。但是为了确保用户的身份及其所持有密钥的正确匹配, 我们需要一个值得信赖而且独立的第三方机构充当认证中心CA(CertificationAuthority) 来确认公钥拥有人的真正身份。
如同我们现实中使用的身份证一样, 认证中心发放一种叫"数字证书"的身份证明。这个数字证书包含了用户身份的部分信息及用户所持有的公钥。认证中心利用自己的私钥为每一个数字证书加上数字签名, 从而保证每个数字证书的权威性。每个用户通过证书及唯一拥有的私钥, 就可以在互联网络中实现身份识。
1.1.2 PKI现状
自1976年第一个正式的公共密钥加密算法诞生后,上世纪八十年代初期出现了非对称密钥密码体制,即公钥基础设施(PKI),但是前期一直处于探索发展阶段,直到最近几年,国外的PKI应用才开始快速的发展。我国引入PKI已经有五六年时间,作为一项与电子商务电子政务的发展密切相关的信息安全的新技术和基础设施,PKI受到业界的青睐和关注,在短期内涌现了大批以PKI技术产品为主业的安全技术企业,PKI的概念和应用得到了一定范围的普及,PKI建设取得的一定成就。引用中国金融认证中心总经理刘大隆的话是“奠定了技术基础,形成了一定的规模,积累了运营管理经验,探索了应用模式,培育了专业人才” 。然而,随着网络经济的回归理性,PKI建设也暴露了不少问题。用一句话来描述PKI的现状与未来就是:前途是光明的,道路是曲折的。
1.1.3 PKI技术的匮乏
众所周知, PKI 公钥基础设施是目前比较成熟、完善的互联网络安全解决方案。但PKI 实施起来比较繁琐, 并且当前实现PKI 的商用软件价格较为昂贵, 这都阻碍了PKI 的广泛应用。但是由于我国发展的晚,所以和发达国家在PKI方面的发展差距还很大。尤其是在民用领域更是匮乏。目前对CA的研究主要倾向于理论介绍,缺少对CA哈尔滨学院图书馆具体的应用研究,其中原因主要在于商业的认证中心在国内还不太成熟,向国外申请又太贵。若用Windows 来自己建立CA中心,同样也主要是理论介绍,而且用Windows 建立的CA 封装了其内部实现细节,不够灵活,可移植性差,而建立一个安全、灵活且具有实际应用价值的CA败犬的远吠是实际搭建安全电子商务平台的核心。EJBCA 参照了Java 安全解决方案,使用纯Java语言搭建的一个CA 平台,从而可以做到跨平台使用,另外,EJBCA还集成了注册(RA)、证书发布等功能,基本实现了CA的全部功能。
1.2 PKI国内外研究现状与发展
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议