PKI 技術(shù)在工業(yè)互聯(lián)網(wǎng)云平臺(tái)中的應(yīng)用研究

◆武高峰

PKI 技術(shù)在工業(yè)互聯(lián)網(wǎng)云平臺(tái)中的應(yīng)用研究

◆武高峰

(中國(guó)航空發(fā)動(dòng)機(jī)研究院 北京 101304)

本文結(jié)合云計(jì)算網(wǎng)絡(luò)框架，設(shè)計(jì)了一個(gè)基于PKI技術(shù)的工業(yè)互聯(lián)網(wǎng)云平臺(tái)安全支撐環(huán)境，并且詳細(xì)闡述了各部分的具體功能。

PKI技術(shù)；工業(yè)互聯(lián)網(wǎng)；云計(jì)算

0 前言

公開(kāi)密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）是一個(gè)用非對(duì)稱(chēng)密碼算法原理和技術(shù)實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)、電子政務(wù)的開(kāi)展提供一整套安全的基礎(chǔ)設(shè)施。它是保障大型開(kāi)放式網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)和信息安全的最可行、最有效的措施。PKI的本質(zhì)是實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問(wèn)題，建立了大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。概括來(lái)講，PKI是創(chuàng)建、管理、存儲(chǔ)、分發(fā)和撤銷(xiāo)基于公鑰加密的公鑰證書(shū)所需要的一套硬件、軟件、策略和過(guò)程的集合。

1 工業(yè)互聯(lián)網(wǎng)云平臺(tái)對(duì)PKI技術(shù)的需求

我國(guó)是有世界工廠之稱(chēng)的制造大國(guó)，但卻不是制造強(qiáng)國(guó)。生產(chǎn)效率低、創(chuàng)新不足、科研水平低等仍是制約我國(guó)生產(chǎn)力發(fā)展的幾大因素。隨著“互聯(lián)網(wǎng)+技術(shù)”等新型信息技術(shù)在數(shù)字工廠的不斷深入應(yīng)用，中國(guó)迎來(lái)第四次工業(yè)革命 “彎道超車(chē)”的歷史機(jī)遇。中國(guó)智能制造2025需要利用新一代信息技術(shù)來(lái)提高工業(yè)制造的效率，降低建設(shè)和運(yùn)營(yíng)成本。云計(jì)算可以最大限度的共享數(shù)據(jù)資源、節(jié)約建設(shè)運(yùn)行成本、提高平臺(tái)的負(fù)載能力、降低維護(hù)度,提高中國(guó)制造的核心競(jìng)爭(zhēng)力。但在應(yīng)用安全方面，工業(yè)互聯(lián)網(wǎng)云計(jì)算平臺(tái)需要采用基于密碼技術(shù)的PKI/CA來(lái)保證身份認(rèn)證、授權(quán)管理，以及信息傳輸?shù)谋Ｃ苄浴⑼暾院驼鎸?shí)性等。

2 PKI在工業(yè)互聯(lián)網(wǎng)云平臺(tái)中的應(yīng)用方案

2.1 系統(tǒng)框架設(shè)計(jì)

工業(yè)互聯(lián)網(wǎng)云平臺(tái)是一個(gè)基礎(chǔ)設(shè)施，提供基本的運(yùn)算、存儲(chǔ)和網(wǎng)絡(luò)等資源服務(wù)。身份認(rèn)證服務(wù)本身也是一個(gè)安全基礎(chǔ)設(shè)施，為業(yè)務(wù)系統(tǒng)提供密鑰管理、證書(shū)發(fā)放的支持[1]。云平臺(tái)上的PKI應(yīng)用可以包括以下幾個(gè)方面：

第一是利用PKI基礎(chǔ)設(shè)施，為工業(yè)互聯(lián)網(wǎng)云平臺(tái)接入服務(wù)提供電子認(rèn)證服務(wù)，實(shí)現(xiàn)各類(lèi)用戶(hù)證書(shū)的申請(qǐng)、審核、頒發(fā)、注銷(xiāo)、更新等服務(wù)，同時(shí)實(shí)現(xiàn)數(shù)字證書(shū)的生命周期管理、CRL服務(wù)功能、目錄服務(wù)功能、CA管理功能、證書(shū)狀態(tài)在線查詢(xún)功能、日志與審計(jì)功能；

第二是提供適用于多種終端設(shè)備的安全中間件，支持主流物聯(lián)網(wǎng)終端設(shè)備，支持IOS、android移動(dòng)設(shè)備。中間件功能主要包括：證書(shū)管理、證書(shū)開(kāi)發(fā)，安全認(rèn)證，簽名驗(yàn)簽，同時(shí)支持SHA256和國(guó)產(chǎn)SM2算法；

第三是利用證書(shū)應(yīng)用安全平臺(tái)，為云上各業(yè)務(wù)系統(tǒng)提供簽名驗(yàn)簽、安全認(rèn)證、SSL加密等功能，提供簽名和校驗(yàn)機(jī)制。

2.2 云端PKI體系私鑰安全設(shè)計(jì)

保障私鑰安全需要從加密機(jī)制和虛擬化環(huán)境校驗(yàn)兩方面進(jìn)行設(shè)計(jì)。

在云端經(jīng)文件加密機(jī)初始化之后，生成兩個(gè)私鑰文件（JKS）和公鑰文件（PUB），其中根據(jù)需要對(duì)私鑰文件進(jìn)行加密存儲(chǔ)。加密私鑰文件需要使用三組密碼：一是對(duì)稱(chēng)密鑰(由用戶(hù)頁(yè)面手動(dòng)輸入加密密碼)。二是非對(duì)稱(chēng)密鑰A(由程序調(diào)用密碼模塊生成)。三是管理員部署時(shí)生成的非對(duì)稱(chēng)密鑰對(duì)B。如圖1。

圖1 云端PKI體系私鑰安全設(shè)計(jì)

文件加密機(jī)初始化完成之后，使用非對(duì)稱(chēng)密鑰A的公鑰對(duì)私鑰文件進(jìn)行加密，生成一個(gè)密文的私鑰保存到相應(yīng)位置；使用用戶(hù)輸入的對(duì)稱(chēng)密鑰對(duì)非對(duì)稱(chēng)密鑰A的私鑰進(jìn)行加密，生成一個(gè)密文的私鑰A保存到相應(yīng)位置；使用管理員的非對(duì)稱(chēng)密鑰B公鑰對(duì)非對(duì)稱(chēng)密鑰A的私鑰進(jìn)行加密，生成一個(gè)密文的私鑰A保存到相應(yīng)位置；將非對(duì)稱(chēng)密鑰A的公鑰保以明文的方式保存到相應(yīng)位置。

在部署階段，系統(tǒng)自動(dòng)收集虛擬化特征信息，并使用自身公鑰加密保存形成虛擬化環(huán)境特征碼，在涉及私鑰使用前，必須檢驗(yàn)比對(duì)該特征碼，以保證防止證書(shū)私鑰在非法的虛擬化環(huán)境中被合法使用。

2.3 終端設(shè)備服務(wù)協(xié)議設(shè)計(jì)

終端發(fā)證服務(wù)應(yīng)支持多種協(xié)議，包括適用于移動(dòng)終端、防火墻、路由設(shè)備的簡(jiǎn)單證書(shū)注冊(cè)協(xié)議（SCEP）、適用于終端管理平臺(tái)的證書(shū)管理協(xié)議（CMP V2）等[2]。 同時(shí)考慮到工業(yè)控制的各類(lèi)特定場(chǎng)景，終端設(shè)備服務(wù)需要支持自定義協(xié)議，滿足設(shè)備類(lèi)型受限、帶寬受限等要求。

2.4 終端證書(shū)安全存儲(chǔ)設(shè)計(jì)

終端證書(shū)安全存儲(chǔ)分為三種層面考慮。

第一種是把對(duì)稱(chēng)密鑰、非對(duì)稱(chēng)密鑰都存儲(chǔ)在安全芯片中，可通過(guò)芯片的安全性保障數(shù)據(jù)不被串改、拷貝，有效防止逆向分析。

第二種內(nèi)置可信計(jì)算環(huán)境，實(shí)現(xiàn)外部應(yīng)用與安全應(yīng)用的運(yùn)算環(huán)境相互獨(dú)立，保證證書(shū)私鑰運(yùn)算具備較高的安全環(huán)境，利用外層應(yīng)用調(diào)用內(nèi)部可信計(jì)算，確保外部應(yīng)用能獲取最終可信計(jì)算結(jié)果。

第三種是在應(yīng)用層實(shí)現(xiàn)密鑰和硬件綁定，在移除設(shè)備和口令不正確的情況，有效防止設(shè)備的亂用，確保私鑰的安全性。

2.5 證書(shū)狀態(tài)查詢(xún)?cè)O(shè)計(jì)

PKI的可信驗(yàn)證包括證書(shū)鏈、有效期、證書(shū)狀態(tài)三個(gè)部分，其中證書(shū)狀態(tài)驗(yàn)證可采用證書(shū)吊銷(xiāo)列表檢查（CRL）和在線證書(shū)狀態(tài)查詢(xún)檢查（OCSP）二種機(jī)制。

證書(shū)吊銷(xiāo)列表檢查（又稱(chēng)黑名單）是最常用的證書(shū)狀態(tài)驗(yàn)證機(jī)制，通過(guò)簽發(fā)出包括所有已失效證書(shū)（廢除或凍結(jié)）的吊銷(xiāo)列表并發(fā)布到公共訪問(wèn)區(qū)，提供離線方式的吊銷(xiāo)驗(yàn)證。黑名單為非實(shí)時(shí)驗(yàn)證機(jī)制，最小發(fā)布周期一般不小于1小時(shí)。而在線證書(shū)狀態(tài)查詢(xún)協(xié)議定義于RFC6960，是一種實(shí)時(shí)的證書(shū)狀態(tài)驗(yàn)證機(jī)制，應(yīng)用系統(tǒng)通過(guò)在線方式實(shí)時(shí)查詢(xún)證書(shū)的吊銷(xiāo)狀態(tài)。

由于黑名單文件需要從發(fā)布服務(wù)器下載到本地進(jìn)行驗(yàn)證（目錄發(fā)布服務(wù)器或其它可信來(lái)源），對(duì)于海量證書(shū)系統(tǒng)會(huì)有網(wǎng)絡(luò)帶寬的問(wèn)題，終端系統(tǒng)難于處理如此巨大文件。雖然可以通過(guò)黑名單分塊方式來(lái)減少單個(gè)文件大小，但對(duì)于億級(jí)以上終端設(shè)備，黑名單文件的維護(hù)仍就會(huì)非常困難。

相比而言，在線證書(shū)狀態(tài)查詢(xún)（OCSP）采用的在線驗(yàn)證機(jī)制，可根本上規(guī)避黑名單方式所面臨的問(wèn)題，更適用海量終端設(shè)備、云平臺(tái)等工業(yè)應(yīng)用場(chǎng)合。

3 結(jié)語(yǔ)

PKI為工業(yè)互聯(lián)網(wǎng)云平臺(tái)提供身份認(rèn)證、數(shù)據(jù)安全傳輸及訪問(wèn)控制管理等安全機(jī)制，可以較好的解決工業(yè)互聯(lián)網(wǎng)云平臺(tái)面臨的安全問(wèn)題。PKI簽發(fā)的數(shù)字證書(shū)，結(jié)合云端PKI體系私鑰安全設(shè)計(jì)，使云平臺(tái)用戶(hù)之間相互認(rèn)證，通過(guò)對(duì)稱(chēng)和非對(duì)稱(chēng)加密技術(shù)，PKI在用戶(hù)和云平臺(tái)之間建立起安全保密的通信通道，最大限度地保障用戶(hù)數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性。

[1]李靜媛.PKI在云平臺(tái)中的應(yīng)用探析[J].硅谷，2013.

[2]葉小榕，邵晴.一項(xiàng)結(jié)合云計(jì)算和PKI 的數(shù)字圖書(shū)館系統(tǒng)框架設(shè)計(jì)[J].科技導(dǎo)報(bào)，2010.