互联网是一个极不安全的地方，网上很容易发生信息侦听、假冒身份的非法活动。涉及个人隐私的电子邮件、部门之间重要的电子公文传递、园区电子商务的在线支付等应用都要求保证通信双方身份的真实性以及通信内容传递的安全性。在国家的教育政务信息化规划纲要中已明确指出：要研制、采购和配置教育政务信息网络传输交换的设备和电子认证、电子印章、数字签名技术。

本文讲述如何利用EJBCA（enterprise JAVA bean certification authority）实现校园网的公钥基础设施安全体系。

 PKI/CA是信息安全基石

目前能够实现网络信息安全应用的体制是基于公钥密码理论的PKI (public key infrastructure)公钥基础设施安全体系，通过使用公钥证书来认证终端客户和服务提供者的身份，实现在Internet上信息传递的保密性和可靠性。SSL(security socket layer，安全套接字层协议）已成为连接Internet浏览器和Internet信息服务（IIS）的“事实”标准。

作为网络信息安全的关键和基础的PKI/CA技术，从20世纪90年代初以来，美欧等发达国家和地区都相继开展了可信第三方认证体系的研究和建设工作。我国的PKI研究和应用同这些国家与地区相比还存在一定的差距，PKI标准需要进一步完善，PKI系统的效率、相关应用的法律以及PKI信任域的互联互通问题都在不断摸索和解决中。

但是，很多CA建设基本上是一种企业行为，以营利为目的，廉价实用的可直接适应校园应用的PKI体系极少，可移植性差。在技术方面，PKI以公钥技术为基础，公钥体制建立在一些难解的数学问题上，如大数分解、离散对数等。而随着数学的发展和计算能力的提高，新的理论不断提出，现有的公钥体制算法被击破也存在可能。

 EJBCA成为校园专用PKI

基于上述原因，校园内开发研究自己的PKI体系有着重要的现实意义，EJBCA是一个具有完整功能的证书认证体系，并提供了一个开放的、高性能的、具有独立平台和基于组件的CA。EJBCA可以被单独使用，也可以集成到其他J2EE应用程序中。它包含有PKI中几乎所有重要的功能部件，比如RA（registration authority，注册中心）、CA（certification authority， 认证中心）、CSDB（certificate storage database，证书存储数据库）、CRL(certification remove list，证书撤消列表)、OCSP(online certificate status Protocol， 在线证书状态协议)等。

EJBCA用JAVA编写，建造在J2EE平台之上，内置了开放源代码的“Jboss”服务器，并且很容易搭建专用的LDAP服务器和数据库服务器，实现网上目录服务。EJBCA最主要的优点是其体系结构开放，所有源代码公开，所用加密原理和算法清晰，并且提供了一个灵活、功能完整的基于Web的用户操作界面，可用来移植、作二次开发。这些优点使得它成为学校专用的PKI体系，可根据需要自主开发加密算法以替代现有加密模块,对校园某些要求高的加密应用进行专门安全化处理。

 将EJBCA移植到校园

EJBCA的整体架构主要包括4个部分：客户端层、Web表示层、EJB业务逻辑层和数据信息层。其中在表示层提供有基于Web的用户界面，但移植前的界面形式单一，且都是用英文提示和说明，难以理解和推广应用。因此要将EJBCA移植到校园作二次开发，首先必须进行表示层功能界面的汉化。

另外，EJBCA目前主要是试验研究，使用内存中内嵌的“Hypersonic database”存储数据，那就意味着随着时间的进展它将耗费越来越多的资源，如果要发布大量的证书，不要多久可能就会是个大问题。同时，“Hypersonic”并不对SQL提供完全的支持，尤其是ALTER基本指令。当发布一个新的版本后，如果某些数据表发生变化，我们不能创建脚本来升级数据库。这将使得升级成为很困难的事情，“Hypersonic database”数据库对于大数据量环境的可靠性、安全性受到质疑。因此，二次开发时要完成大型数据库与EJBCA的相嵌连接。