教事技术与率用
安全技术
PKI/CA安全平台系统在汕头供电局的应用
陈少锐
(汕头供电局广东汕头515041)
摘要：广东电网公司建设了PKI/CA(公钥基跌设施/认证中心)中心，实现了基于IC卡证书的计算机城管理、办公自动化系统单点暨录等，保证了信息系统应用安全。汕头供电局按要求设置了LDAP(轻量日录访问协议)从目最股务器，在应用系统中引入公钥密码基确设施，为应用系统提供身份认证、加密、签名等服务。本文简要介绍汕头供电局PKI/CA部署和应用的概况，包括AD(活动目录)城基于PKI效造、EAI/EIP(企业应用集成/ 企业信息门户)系统的PKI身份认证、OA(办公自动化)系统结合PKI系统的智能卡整录等
关键词：PKI/CAAD城智能卡登录部暴
中图分类号：TM769
文献标识码：A
PKI(PublicKeyInfrastructure)是指公钥基础设施，CA(CertificateAuthority)是指认证中心。PKI从技术上解决了网络通信安全的种种障碍，CA则从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。因此，人们统称为"PKI/CA"，从总体构架
来看，PKL/CA主要由最终用户，认证中心和注册机构来组成， 1应用安全体系结构
汕头供电局应用安全系统的总体结构中，应用系统以省公司的 PKI/CA系统为基础，实现应用系统在身份认证，数据完整性，数据保密性等方面的安全管理，其中，应用安全组件包括服务器端组件和客户端组件，服务器端组件又包括证书黑名单管理组件、AD域用户同步组件、加密签名组件、基于证书的身份认证组件。油头供电局的应用系统可分为B/S模式与C/S模式两种类型。B/S模式应用系统可采用双向HTTPS协议实现基于证书的身份认证，同时解析证书，将用户信息通过HTTPHEAD传递给应用，而C/S模式应用则
可和EAI/EIP系统结合，实现安全的身份认证过程。 2AD域与PKI/CA系统结合
汕头供电局已经采用ActiveDirectory技术实现域登录功能，对所有桌面PC机进行了集中的安全管理，达到了很好的安全效果。
AD域与PKL/CA系统结合后，整个系统架构在AD域控制器上需导入省公司CA系统根证书及域控制器证书，安装证书黑名单管理组件，自动下载管理证书黑名单，在客户端计算机上安装读卡器驱动，并通过AD域自动分派应用安全客户端组件。用户即可通过IC 卡进行登录。
3EAI/EIP系统的PKI身份认证套件设计
3.1EAI/EIP系统现状
汕头供电局通过实施EAI/EIP系统，实现应用系统的统一访问及信息集中展示。应用系统的身份认证方式为口令认证方式。
3.2PKI/CA系统身份认证套件的功能及逻辑结构
根据应用系统现状及要求，基于证书的认证模块主要由三部分组成：(1)身份认证页面。完成与用户的双向证书认证过程。同时，在证书认证过程完成后，校验用户证书的有效性，通过后建立登录状态Session，同时forward至应用系统人口页面。(2)CRL列表数据自动下载组件。主要完成从CALDAP服务器上定时下载CRL列表数据和CA系统根证书，验证CRL列表的签名，验证通过后，将CRL列表数据存放于内存中，供身份认证页面检验证书时使用。(3)登录状态检查组件。通过Sesion中的登录状态检查，判断用户是否登录。如已登录完成，则不做处理，如未完成登录，则自动重定向至身份认证
文章编号：1007-9416(2013)02-0167-01 页面。
4OA系统与PKI/CA系统结合套件
汕头供电局需要基于PKI/CA系统的IC卡，实现OAK系统(Domino/Notes平台)安全登录。同时，将OA系统的登录纳人到整体的EAI/EIP系统的单点登录体系中。
4.1用户单点登录体系与OA系统现状
根据应用系统现状，关于OA系统身份认证模块，主要有以下设计思路：(1)基于广东电网PKI/CA系统的IC卡，通过提供相关的IC 卡接口，实现Notes的IC卡登录，(2)为了和EIP/EAI系统结合，在 EIP/EAI系统已使用IC卡登录后，通过EIP界面中启动Notes程序，通过安全插件，自动完成Notes的安全登录认证过程，(3)将ID文件存放在IC卡上，当用户插人IC卡时，通过IC卡的注册程序，将ID文件写人Notes系统相关目录下，从而实现用户在各个终端计算机上都能以本人身份安全使用OA系统。
4.2基于IC卡的OA系统安全认证功能模块及使用流程根据OA系统现状及要求，基于证书的认证模块主要由四部分
组成，OA系统客户端(Notes)启动页面，Notes系统与IC卡的接口、 Notes自动登录插件模块，Notes系统ID文件的IC卡存储，其中第四部分需要根据用户需求进行定制，
用户使用流程：在部署完成后，用户插人IC卡登录AD域系统，或者登录EAI/EIP系统，点击OAK系统的链接，启动Notes客户端程序，Notes自动登录插件模块自动完成Notes的登录过程(注：(1)如果用户未使用IC卡登录AD域或EAI/EIP系统，则需再次输入IC卡口含。(2)必须使用IC卡才能使用该OAK安全认证模块)。
4.3存在的问题及解决办法
(1)用户现有ID文件与新的ID文件的关系：用户使用现有ID文件也可正常登录OAK系统，在未携带IC卡时，可使用原有的ID文件登录。新的ID文件只能与相应的IC卡绑定，如果无相应的IC卡，则无法使用新的ID文件登录OAK系统。
(2)IC卡与OAK系统的绑定：一般由OAK管理员完成，主要步骤如下：生成ID文件，使用Notes系统，将ID文件与IC卡绑定，如果ID文件存放在IC卡中，则只需发放IC卡即可，否则需将新的ID文件与IC
卡同时下发给用户。 5结语
以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，从面提高了系统的安全性和可靠性。汕头供电局PKI/CA的部署，将为企业的信息化保驾护航，为企业信息化的健康开展扫清障碍。
作者简介：陈少锐(1984年一），男，广东潮州人，大学本科，主要从事信息系统系统集成、应用及运维工作。
167