基于PKICA的可信网络安全系统设计

基于PKI/CA的可信网络安全系统设计

作者：周俐军

来源：《硅谷》2010年第05期

摘要: PKI(Public Key Infrastructure公钥基础设施)是信息网络系统安全建设的基础设施,对信息系统的应用业务安全起着十分重要的作用。基于专用信息系统建设情况,对PKI为核心的信任体系和相关技术进行深入研究,设计专用信息系统中的CA系统以及基于数字证书的主要安全应用,设计方案部分已在专用信息系统中得到应用。 关键词: 网络;信息安全;PKI;CA

中图分类号:TP3文献标识码:A文章编号:1671—7597(2010)0310054-01

Internet/Intranet技术在政府一些重要部门的应用,形成了一类适应于这些部门业务工作的信息网络,并以此网络为依托,建成了许多适用于该部门工作需要的专用信息系统。由于政府部门许多应用系统开发建设时间较早,早期的系统开发设计中对信息安全考虑较少,系统较脆弱,所面临的安全风险较大。主要包括[1]:① 外部组织或蓄意破坏者的蓄意入侵、破坏和窃密行为。② 个别被利用的内部人员的泄密和破坏行为。③ 内部人员的违规操作和因疏忽导致的误操作等。④ 网络、系统和应用软件等软硬件自身的脆弱性(如后门、漏洞、隐藏病毒等)造成网络、系统运行不正常甚至崩溃、瘫痪。 1 可信网络系统安全需求分析[2]

① 必须保护核心层网络免遭非信任主体的外部干扰或篡改,或者其安全功能被非信任主体旁路。② 必须提供访问控制机制,确保对核心层网络两个端系统间的不信任连接进行控制及防范。③ 涉密信息在核心层网络两个端系统间的网络传输时,必须提供保护其机密性和完整性的方法。④ 必须提供产生证据的方法,该证据可用于抗抵赖服务。⑤ 必须能唯一标识网络用户,并且应该要求在允许用户访问应用系统服务之前必须通过相应的身份鉴别。⑥ 必须能基于用户的身份鉴别机制,提供对各种资源和服务的访问授权机制,确保该访问授权结果的有效性,并确保核心层网络中授权数据源不能被非授权用户访问。 2 设计原理及系统架构

2.1 设计原理。PKI(Public Key Infrastructure),是一种遵循既定标准的密钥管理平台,它能为所有网络应用提供加密和数字签名等密码服务以及所必需的密钥和证书管理体系[3]。在这一体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可否认性。PKI利用可信赖的第三方机构一证书机构CA作为密钥管理与验证机构,以签发数字证书方

龙源期刊网 http://www.qikan.com.cn

式证明公钥的效力。此外,所有辅助公开密码系统使用与应用服务的工作均可视为公开密钥基础设施的一部份。把公钥及公钥的拥有者绑定在一起的数字文件即为数字证书,CA利用自己的私钥签名用户证书,而CA的公钥证书则是广为发布的,从而使得用户可以利用公证机关的证书来验证别的用户的证书。

PKI实体包括三个部分,第一部分是PKI用户,即终端用户系统;第二部分指PKI管理实体,包括CA、RA、CRL Issuer;第三部分是PKI的证书及CRL资料库。其中:EE:终端实体(End Entity),数字证书的月户和证书主体的终端用户系统。CA:证书机构(Certification Athority),PKI系统的核心部件,负责证书管理。RA:注册机构(Registration Authority),CA委派的承担某些管理功能的可选系统。CRL:作废证书列表(Certificate Revocation List),存储所有未过期但已被作废的证书。CRL Issuer:CRL发布机构,CA委派的承担发布CRL的可选系统。如授权管理基础设施PMI中的AA(Attribute Authority)可被选作CRL发布机构。公共资料库:存储证书,CRL列表及为终端实体提供证书和CRL列表服务的系统或分布系统的集合。

2.2 系统架构。本系统采用树型的层次结构,整个PKI/CA采用两级CA的层次结构,在业务信息网的一级内部层网络建立根CA;二级内部层网络建立根CA的子CA,即二级CA;三级内部层网络只建立RA。采用RFC2559推荐的LDAP服务作为证书/CRL资料库,为了提高效益,在每个层次的内部层网络中都建立LDAP服务器,使终端用户能快速获得其所处内部层网络中的证书/CRL资料。采用加密密钥与签名密钥分离的双密钥机制,硬件加密机生成加密密钥对,用户端生成签名密钥对;采用IC卡保存个人证书及私钥,用户使用IC卡在网络上起身份鉴别作用;服务器使用CA签发的服务器站点证书,用于对服务器的身份鉴别。 3 系统构成

3.1 密钥管理中心(KMC)。负责用户加密证书的公钥和私钥的托管,确保用户在加密证书的私钥丢失或毁坏的情况下,可通过安全的管理措施予以恢复,确保采用加密证书的数据得到解密,MKC通过密钥管理、密钥存储、密钥托管、密钥服务四大模块,对密钥管理实施严格的保护。

3.2 CA子系统。由证书签发模块、证书管理模块组成。负责签发用户证书、CRL及各种类型、格式的数字证书。负责制定CA系统策略,并对系统进行管理和维护。该子系统实际作为RA子系统的后台服务存在。它提供给管理员的操作界面仅是策略制定、系统管理和维护等功能,包括授权哪几个RA子系统与其相连等等。

3.3 RA子系统。RA的功能是面向最终实体(用户、服务器等)的接口,负责接受证书申请,管理最终实体申请信息,审核和执行对最终实体的相关操作,实现证书受理服务。

3.4 PKI发布和实时查询子系统。PKI发布系统,通过LDAP服务器作为证书和黑名单的对外发布服务,该系统为SSL服务器、签名验证服务器、VNP等PKI应用服务器提供获取黑名单的功能;该系统为公文邮件等数据的数字信封加密提供获取收件人证书的证书发布功能。PKI实

龙源期刊网 http://www.qikan.com.cn

时查询系统,即OCSP(Online Certificate Status Protocol,在线证书查询协议)服务器,为PKI应用提供实时查询证书的状态。 4 结束语

可以看到,PKI/CA系统的建立,为多种应用提供统一的用户认证、数据机密性、完整性、不可否认性以及授权与访问控制等服务,使应用系统提供连续的、有效的服务,确保了系统的可用性,实现了在各个应用系统之间统一的身份认证,解决了系统中对用户的信任关系。但用户在系统中具体能够看到什么内容,能够进行什么操作即系统的授权问题是PKI无法解决的。

*基金项目:山东省优秀中青年科学家奖励基金(2006BS01021);山东科技大学群星计划(qx0902122)

参考文献:

[1]周俐军、王冬梅、宋皓,政务内网信息安全风险分析及对策[J].电子政务,2008(8):64-67. [2]戴宗坤,罗万伯.信息安全实用技术[M].重庆大学出版社,2005,5.

[3]李俊娥、王娟,PKI与PMI联合安全认证系统及其设计[J].计算机应用,2002,22(12):7-10. 作者简介:

周俐军(1965-),男,吉林通化人,硕士,高级工程师,从事网络信息安全研究。