PKI技術(shù)新進(jìn)展及其在林草系統(tǒng)中的應(yīng)用

文/馮戈

在PKI系統(tǒng)中，由數(shù)字認(rèn)證機(jī)構(gòu)（Certif icate Authority，CA）簽發(fā)數(shù)字證書，綁定PKI用戶的身份信息和公鑰；PKI依賴方（Relying Party）能夠可信地獲得用戶的公鑰，從而實(shí)現(xiàn)身份鑒別、機(jī)密性、完整性、不可否認(rèn)性及密鑰管理等核心安全服務(wù)。近年來(lái)，隨著PKI系統(tǒng)在智能移動(dòng)平臺(tái)、SSL/TLS以及大規(guī)模網(wǎng)絡(luò)中的推廣應(yīng)用，其技術(shù)研究又取得了很多新的進(jìn)展。

在國(guó)家林業(yè)和草原系統(tǒng)的信息系統(tǒng)中，基于PKI系統(tǒng)開發(fā)了包括應(yīng)用層的各種應(yīng)用、基于智能移動(dòng)設(shè)備的安全應(yīng)用，也包括大量應(yīng)用的基于SSL/TLS協(xié)議的網(wǎng)關(guān)應(yīng)用。為了增強(qiáng)網(wǎng)關(guān)應(yīng)用的安全性，本文在PKI技術(shù)新進(jìn)展中對(duì)SSL/TLS協(xié)議與證書驗(yàn)證以及Certif icate Transparency技術(shù)進(jìn)行了重點(diǎn)論述。作者有幸參與了對(duì)國(guó)家林業(yè)和草原局PKI系統(tǒng)進(jìn)行國(guó)產(chǎn)SM2橢圓曲線算法、SM3摘要算法、SM4國(guó)密分組算法等相關(guān)升級(jí)改造，本文以升級(jí)到符合國(guó)家標(biāo)準(zhǔn)的SM2算法為例，提出國(guó)產(chǎn)化升級(jí)改造技術(shù)方案，并重點(diǎn)對(duì)升級(jí)過(guò)程根密鑰的遷移、多類型證書兼容等關(guān)鍵環(huán)節(jié)進(jìn)行了設(shè)計(jì)。

1 PKI技術(shù)新進(jìn)展

1.1 SSL/TLS協(xié)議與證書驗(yàn)證

近年來(lái)，SSL/TLS協(xié)議得到了十分廣泛的應(yīng)用，各種云計(jì)算服務(wù)的網(wǎng)絡(luò)連接都在使用SSL/TLS協(xié)議。在SSL/TLS協(xié)議中，客戶端會(huì)在線接收服務(wù)器證書，在證書驗(yàn)證通過(guò)后，使用證書中的公鑰與服務(wù)器進(jìn)行密鑰協(xié)商，以保護(hù)后續(xù)數(shù)據(jù)通信。

1.2 Certificate Transparency技術(shù)

目前針對(duì)SSL/TLS協(xié)議的攻擊主要集中在服務(wù)器證書驗(yàn)證這個(gè)環(huán)節(jié)。HTTPS網(wǎng)站的身份認(rèn)證是通過(guò)證書信任鏈完成的，瀏覽器從站點(diǎn)證書開始遞歸驗(yàn)證父證書，直至出現(xiàn)信任的根證書，其中根證書列表一般都內(nèi)置在操作系統(tǒng)中。

Certif icate Transparency整套系統(tǒng)由三部分組成：證書日志服務(wù)器；證書監(jiān)控服務(wù)器；證書審計(jì)服務(wù)器。證書所有者或者CA都可以主動(dòng)向Certif icate Logs Server提交證書，所有證書記錄都會(huì)接受審計(jì)和監(jiān)控。顯然，Certif icate Transparency的基本技術(shù)思路是使CA證書簽發(fā)服務(wù)成為可公開審計(jì)的操作，只有經(jīng)過(guò)審計(jì)的服務(wù)器證書才會(huì)被SSL/TLS客戶端接受。

2 PKI國(guó)產(chǎn)化升級(jí)改造方案

2.1 國(guó)家林業(yè)和草原局PKI系統(tǒng)及應(yīng)用現(xiàn)狀

國(guó)家林業(yè)和草原局身份認(rèn)證系統(tǒng)，主要組成設(shè)備和系統(tǒng)有：證書認(rèn)證中心CA、目錄服務(wù)系統(tǒng)LDAP、密鑰管理中心KMC、證書注冊(cè)中心RA、身份認(rèn)證網(wǎng)關(guān)、電子簽章系統(tǒng)等。整個(gè)系統(tǒng)采用多層架構(gòu)體系及模塊化結(jié)構(gòu)，具有較好的功能及數(shù)據(jù)可擴(kuò)充性和可維護(hù)性。

2.2 國(guó)家林業(yè)和草原局PKI國(guó)產(chǎn)化升級(jí)內(nèi)容

此次國(guó)產(chǎn)加密算法的升級(jí)主要包括兩個(gè)部分，一是CA系統(tǒng)核心軟件部分算法的升級(jí)，要求保證其能支持SM2算法的數(shù)字證書；二是證書應(yīng)用支撐系統(tǒng)的升級(jí)，如身份認(rèn)證網(wǎng)關(guān)、電子簽章系統(tǒng)，要求保證支持SM2算法的證書可以方便地和應(yīng)用系統(tǒng)整合。

2.3 升級(jí)關(guān)鍵環(huán)節(jié)設(shè)計(jì)

對(duì)于支持雙算法的身份認(rèn)證系統(tǒng)升級(jí)，關(guān)鍵環(huán)節(jié)是保證原系統(tǒng)數(shù)據(jù)的可靠遷移，且不影響現(xiàn)有的業(yè)務(wù)，主要涉及以下方面：

2.3.1 根密鑰遷移

密鑰管理中心密鑰數(shù)據(jù)采用原有加密機(jī)主密鑰數(shù)據(jù)進(jìn)行解密，解密后的密鑰數(shù)據(jù)再用新加密機(jī)系統(tǒng)的主密鑰加密后存儲(chǔ)到數(shù)據(jù)庫(kù)中。

2.3.2 證書數(shù)據(jù)遷移

將原有身份認(rèn)證系統(tǒng)全部數(shù)據(jù)遷移到新系統(tǒng)中，主包括管理員、用戶注冊(cè)、證書、證書模板、日志等信息。

2.3.3 多類型證書兼容

應(yīng)用安全模塊中的客戶端和服務(wù)端，其程序及接口同時(shí)兼容新舊證書。實(shí)現(xiàn)過(guò)程將原有的客戶端控件嵌入到瀏覽器和其他的客戶端程序中，以基于CSP接口的形式存在。

2.3.4 原有證書應(yīng)用

證書驗(yàn)證包含服務(wù)端和客戶端驗(yàn)證，在新舊證書共存時(shí)，在SSL網(wǎng)關(guān)新增證書鏈及黑名單，客戶端瀏覽器植入新證書鏈慢慢進(jìn)行，以此解決過(guò)渡期間證書應(yīng)用問(wèn)題。

2.4 國(guó)家林業(yè)和草原局PKI系統(tǒng)應(yīng)用設(shè)想

在現(xiàn)有的各種C/S模式應(yīng)用以及B/S模式應(yīng)用中，全面采用升級(jí)后的PKI系統(tǒng)提供的各種安全服務(wù)，實(shí)現(xiàn)身份鑒別、機(jī)密性、完整性、不可否認(rèn)性及密鑰管理，全面使用國(guó)產(chǎn)化算法保證信息系統(tǒng)的安全。針對(duì)當(dāng)前林業(yè)和草原系統(tǒng)的內(nèi)部網(wǎng)站等應(yīng)用，提升其證書及其相關(guān)安全服務(wù)應(yīng)用水平。針對(duì)當(dāng)前各種移動(dòng)智能設(shè)備廣泛應(yīng)用的實(shí)際情況，加大使用升級(jí)改造后PKI系統(tǒng)的新型安全應(yīng)用開發(fā)力度，以滿足廣大林業(yè)和草原管理人員對(duì)信息系統(tǒng)的更高要求。

3 結(jié)束語(yǔ)

本文對(duì)PKI技術(shù)的新進(jìn)展進(jìn)行了分析研究，作者認(rèn)為這些研究成果對(duì)于如何提升國(guó)家林業(yè)和草原系統(tǒng)中使用SSL/TLS協(xié)議的各種安全網(wǎng)關(guān)及Web服務(wù)器的安全性具有重要的指導(dǎo)作用。在國(guó)家林業(yè)和草原局PKI國(guó)產(chǎn)化算法升級(jí)改造中，通過(guò)設(shè)計(jì)保證了新舊系統(tǒng)業(yè)務(wù)的連續(xù)性，對(duì)PKI系統(tǒng)在核心信息系統(tǒng)的應(yīng)用以及對(duì)實(shí)現(xiàn)國(guó)產(chǎn)化替代以增強(qiáng)安全可控性的實(shí)踐，對(duì)于保障國(guó)家重要經(jīng)濟(jì)系統(tǒng)密碼應(yīng)用安全，保護(hù)國(guó)家林業(yè)和草原資產(chǎn)安全，對(duì)提升林業(yè)和草原系統(tǒng)安全保障水平具有十分重要的意義。