基于PKI應(yīng)用安全支撐平臺快速加固商網(wǎng)應(yīng)用

PKI應(yīng)用安全支撐平臺將以簡化應(yīng)用的開發(fā)改造、統(tǒng)一應(yīng)用的安全規(guī)范、集中應(yīng)用的安全管理、提高應(yīng)用的安全保障為目標，為核電公司各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供全面的安全支撐服務(wù)。應(yīng)用安全支撐平臺旨在快捷、集中、完整、規(guī)范、高效的協(xié)助應(yīng)用系統(tǒng)實現(xiàn)應(yīng)用安全要求。

【關(guān)鍵詞】PKI/CA 數(shù)據(jù)加密 數(shù)字簽名

業(yè)務(wù)應(yīng)用是信息化建設(shè)中的重要組成部分，應(yīng)用安全是信息系統(tǒng)安全的核心。由于信息安全要求的嚴格性、復(fù)雜性、以及規(guī)范標準不統(tǒng)一等原因，從而增加了應(yīng)用系統(tǒng)建設(shè)與管理維護的難度，而且安全加固的程度也難以保證，自然也影響了單位應(yīng)用系統(tǒng)建設(shè)的積極性。從系統(tǒng)建設(shè)的目標而言，CA數(shù)字證書的安全應(yīng)用是否能夠滿足業(yè)務(wù)應(yīng)用系統(tǒng)的實際安全需求是評價身份認證系統(tǒng)建設(shè)成功與否的關(guān)鍵，脫離應(yīng)用實際需求的身份認證系統(tǒng)是一個不健全的系統(tǒng)。因此，CA身份認證系統(tǒng)在建設(shè)的同時，必須充分考慮系統(tǒng)建成后，如何利用數(shù)字證書為核電各類應(yīng)用系統(tǒng)提供安全認證服務(wù)。

1 安全需求分析

基于以上原因，本次CA身份認證系統(tǒng)的建設(shè)以滿足業(yè)務(wù)應(yīng)用安全需求為出發(fā)點，實現(xiàn)如下的安全功能服務(wù)：

（1）統(tǒng)一身份標識：基于PKI/CA系統(tǒng)能夠為網(wǎng)絡(luò)中硬件設(shè)備以及信息系統(tǒng)內(nèi)的各種人員簽發(fā)可信的證書，從而保障人員身份信息以及設(shè)備身份信息可信問題。

（2）統(tǒng)一身份管理：可以結(jié)合賬戶管理服務(wù)創(chuàng)建統(tǒng)一的賬戶管理機制和平臺，面向不同的應(yīng)用系統(tǒng)和用戶，提供統(tǒng)一的、一致的身份管理和身份認證服務(wù)。

（3）統(tǒng)一的安全認證：基于數(shù)字證書的統(tǒng)一身份認證。只有通過身份認證后，用戶才能根據(jù)自身權(quán)限，實現(xiàn)對業(yè)務(wù)系統(tǒng)的訪問。

（4）高強度訪問控制：采用數(shù)字證書、密鑰等的安全認證方式，可提高訪問控制安全強度。

（5）集中授權(quán)和審計：跨系統(tǒng)、跨區(qū)域、跨組織的用戶無法有效進行集中的授權(quán)管理和審計分析，

（6）責任認定：系統(tǒng)需要為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的責任認定服務(wù)。

（7）數(shù)據(jù)保全服務(wù)：需要對業(yè)務(wù)系統(tǒng)涉及的重要數(shù)據(jù)提供數(shù)字信封、數(shù)字簽名服務(wù)，使得任何非法的數(shù)據(jù)修改過程能夠被及時發(fā)現(xiàn)；

（8）采用SSL技術(shù)保護隧道傳輸安全，避免數(shù)據(jù)傳輸過程中被竊取、盜用或篡改。

（9）單點登錄：一KEY登陸，全網(wǎng)暢游。

2 體系框架設(shè)計

以數(shù)字證書為基本認證要素，以密碼技術(shù)為核心，構(gòu)造可以滿足全面防護的、綜合性、完善的、可操作實施的安全保障體系。核心組件是：以服務(wù)總線為基礎(chǔ)，以集中管理為核心，以統(tǒng)一規(guī)范為標準，以安全環(huán)境為依托，從多個層面為信息系統(tǒng)提供安全服務(wù)支撐。該體系的提出是為了應(yīng)用提供安全的支撐服務(wù)，采用集中統(tǒng)一管理各項安全子系統(tǒng)，各項安全策略，對人、設(shè)備以及業(yè)務(wù)資源進行統(tǒng)一注冊、標識，授權(quán)及安全事件分析，最終形成完整的管理體系，同時為平臺提供認證、授權(quán)、監(jiān)控、審計、實施訪問控制策略等服務(wù)。

（1）安全環(huán)境：提供基于密碼技術(shù)的基礎(chǔ)服務(wù)，為應(yīng)用系統(tǒng)及安全服務(wù)提供可靠的安全支持環(huán)境；

（2）安全服務(wù)：在安全環(huán)境的支持下，通過統(tǒng)一管理，集中調(diào)用，形成對應(yīng)用的安全支撐；

（3）安全應(yīng)用：以密碼技術(shù)為基礎(chǔ)，實現(xiàn)安全可靠的應(yīng)用系統(tǒng)，與現(xiàn)有業(yè)務(wù)系統(tǒng)形成有效互補；

3 功能模塊設(shè)計

3.1 身份鑒別及訪問控制子系統(tǒng)

基于數(shù)字證書，結(jié)合數(shù)字信封技術(shù)，通過應(yīng)用系統(tǒng)與電子認證基礎(chǔ)設(shè)施的交互，完成登錄行為的強身份認證，同時根據(jù)認證結(jié)果核對該用戶的可信訪問權(quán)限，完成對訪問客體準入的鑒權(quán)控制。

3.2 安全傳輸子系統(tǒng)

利用密碼算法特性，采用加解密技術(shù)，對網(wǎng)絡(luò)傳輸信道進行安全加密，確保數(shù)據(jù)在傳輸過程中的安全，同時規(guī)范調(diào)用方式及接口，解決接口差異化現(xiàn)象，并實現(xiàn)全程安全處理的透明化。

3.3 安全存儲子系統(tǒng)

基于PKI/CA加密技術(shù)，結(jié)合用戶已有的文件服務(wù)器或NAS設(shè)備即可組成完整的安全存儲系統(tǒng)?？蛻舳送瓿晌募用埽饷艿冗\算。服務(wù)器負責控制，調(diào)度?？蛻舳撕头?wù)器通訊的網(wǎng)絡(luò)中，文件也是加密傳輸，加密存放。

3.4 密碼服務(wù)子系統(tǒng)

通過對服務(wù)接口的封裝及轉(zhuǎn)換，消除密碼接口的差異性，屏蔽運算的復(fù)雜性，提供標準化服務(wù)，服務(wù)內(nèi)容包括：數(shù)字信封、數(shù)據(jù)加解密等。

3.5 電子標簽子系統(tǒng)

以密碼技術(shù)為主，對網(wǎng)絡(luò)資源，如安全服務(wù)、安全設(shè)備、調(diào)用接口等安全實體進行標識，以確定其真實及合法性，通過安全標簽服務(wù)，提供業(yè)務(wù)層調(diào)用安全服務(wù)的唯一標示及可信憑證。

3.6 目錄服務(wù)子系統(tǒng)

以安全手段對目錄服務(wù)進行提升，定義格式、存儲、命名等標準，并對業(yè)務(wù)層及安全層系統(tǒng)提供統(tǒng)一的下載同步接口，規(guī)范目錄服務(wù)的使用，體現(xiàn)目錄服務(wù)權(quán)威性和嚴密性，并且通過對訪問主體實行身份鑒別及訪問控制等手段，確保目錄服務(wù)的安全性。

3.7 責任認定子系統(tǒng)

以數(shù)字簽名為基礎(chǔ)，基于數(shù)字證書來實現(xiàn)對相關(guān)數(shù)據(jù)操作過程行為的簽名及驗證，保障業(yè)務(wù)系統(tǒng)中數(shù)據(jù)的完整性，實現(xiàn)業(yè)務(wù)流程處理環(huán)節(jié)的抗抵賴及司法取證。

4 接口規(guī)范設(shè)計

4.1 服務(wù)調(diào)用接入規(guī)范

定義客戶終端調(diào)用服務(wù)的接口框架及調(diào)用流程，指導(dǎo)安全客戶端接入終端服務(wù)組件。

4.2 應(yīng)用接入規(guī)范

定義應(yīng)用系統(tǒng)統(tǒng)一服務(wù)接口規(guī)范，實現(xiàn)應(yīng)用系統(tǒng)接入的統(tǒng)一性。

4.3 系統(tǒng)接入規(guī)范

定義接入安全系統(tǒng)統(tǒng)一服務(wù)接口規(guī)范，實現(xiàn)所有系統(tǒng)接入的統(tǒng)一管理、審計。

5 建設(shè)效果預(yù)測

（1）符合國家政策要求：快速應(yīng)對應(yīng)等級保護、分級保護的相關(guān)技術(shù)要求點。

（2）滿足業(yè)務(wù)安全需求：快速應(yīng)對應(yīng)用系統(tǒng)對業(yè)務(wù)安全方面的訴求。

（3）提高應(yīng)用系統(tǒng)及操作人員的工作效率。

（4）降低系統(tǒng)運維管理成本：協(xié)助運維人員能更直觀的掌握系統(tǒng)的運行情況、更輕松的管理網(wǎng)絡(luò)資源，從而減少運維管理成本。

（5）提供管理決策支持：應(yīng)用安全支撐平臺從管理者視角，以網(wǎng)絡(luò)體系責任人的高度，對系統(tǒng)信息進行采集、匯總、整理、分析，化簡為珍，提供符合決策支持的參考信息。

參考文獻

[1]尹曉暉.PKI技術(shù)在應(yīng)用系統(tǒng)中的應(yīng)用[J].信息安全與通信保密，2008（03）：41-43.

[2]宋福英.基于PKI/CA的OA系統(tǒng)安全設(shè)計[J].甘肅科技，2015，31（5）.

[3]王麗華.PKI體系在電子政務(wù)中的應(yīng)用[J].科技經(jīng)濟市場，2015（11）：194-195.

[4]王雪玉.身份認證新技術(shù) 密碼自己掌握[J].金融科技時代，2016（2）.

[5]彭濤，何鳴強.PKI應(yīng)用改造的探索[J].電腦編程技巧與維護，2016（1）.

[6]龐松濤.基于公鑰密碼體制的網(wǎng)絡(luò)認證技術(shù)[J].電信科學(xué)，2016，32（2）.

作者簡介

馬文博（1981-），男。現(xiàn)為中國核能電力股份有限公司工程師。研究方向為信息安全。

作者單位

中國核能電力股份有限公司 北京市 100045