- 熱點文章
-
- 09-14關于高等職業(yè)院校弱電專業(yè)教改的探索
- 11-28東芝將在2009年CES帶來新水平的前沿技術
- 11-28互聯(lián)網(wǎng):世界的鏡子
- 11-28中美文化論壇研討數(shù)字技術保護文化
- 11-28淺析“三鹿集團奶粉事件”危機根源
- 11-28新媒體的發(fā)展及其教育創(chuàng)新應用研究
- 11-28樓宇信息系統(tǒng)的現(xiàn)狀與應用以及發(fā)展趨勢
- 11-28中國2009世界郵展60城市巡郵漯河站啟動
- 11-28打造煥發(fā)生命活力的教育時空
- 11-28觀察中國管理教育30年
- 11-28駕馭論:科學發(fā)展的新智囊
- 11-28軟著陸將解讀中國管理國際化新走勢
- 11-28創(chuàng)建中國水電國際化強勢品牌
- 11-28管理科學進入新觀察時代
- 11-28全球化傳播語境下的家國建構
- 11-28網(wǎng)絡民主對公民社會建設的影響研究
- 11-28奧運后中國酒店業(yè)的發(fā)展分析
- 11-28國家創(chuàng)新系統(tǒng)下的大學科研管理研究
- 11-28高校數(shù)字圖書館建設及服務模式探討
- 11-28非均衡理論及我國房地產(chǎn)市場供求
- 11-28綠色、安全和通訊是汽車電子的未來
- 11-28敦煌莫高窟將為游客建"數(shù)字洞窟"
- 11-28思科新軟件平臺幫媒體公司建社交網(wǎng)絡
- 11-28蘋果喬布斯:用13年給IT業(yè)洗一次腦
- 11-28海外傳真:2008年數(shù)字印刷市場回顧
- 11-28東芝將在2009年CES帶來新水平的前沿技術
- 11-28互聯(lián)網(wǎng):世界的鏡子
- 11-28中美文化論壇研討數(shù)字技術保護文化
- 11-28故宮國圖面臨“數(shù)字化”難題 缺乏專門人才
基于國密算法的PKI/CA系統(tǒng)升級
2024-03-04 09:46:00 來源:優(yōu)秀文章
摘要:分析某單位現(xiàn)有的PKI/CA系統(tǒng)運行情況,針對其存在的問題以及新業(yè)務要求,提出一種支持SM2國密算法的PKI/CA系統(tǒng),可以在不影響業(yè)務使用的情況下,實現(xiàn)對基于RSA1024算法的PKI/CA系統(tǒng)進行兼容性平滑升級的目標。描述支持SM2算法的PKI/CA系統(tǒng)的新特性,新PKI/CA系統(tǒng)將全面支持SM2國密證書,從而提升系統(tǒng)安全防護強度;通過PKI/CA系統(tǒng)的升級,實現(xiàn)了應用安全防護體系密碼算法國產(chǎn)化,系統(tǒng)符合相關政策法規(guī)要求,提升了單位信息網(wǎng)絡的安全防護能力。
關鍵詞:PKI/CA系統(tǒng);SM2算法;網(wǎng)絡安全防護
中圖分類號:TP309 文獻標識碼:B 文章編號:1671-2064(2023)20-0057-03
0引言
某單位基于RSA1024算法[1]的PKI/CA系統(tǒng)支撐已經(jīng)建成10余年,在多年的使用過程中,逐漸顯現(xiàn)出一些問題和不足。同時,由于軟硬件的快速發(fā)展、信息化的持續(xù)深入,基于RSA1024算法體系架構的身份認證基礎設施已無法滿足當前新的安全形勢和業(yè)務防護要求[2]。
基于RSA1024算法的PKI/CA系統(tǒng)存在5類問題。第一,業(yè)務安全性不足。業(yè)務安全性不能得到應用系統(tǒng)的支持,內(nèi)核心業(yè)務應用的業(yè)務安全控制能力還需完善。第二,新業(yè)務支撐不足。信息系統(tǒng)環(huán)境升級對安全服務提出新的需求,需要應對64位操作系統(tǒng)、國產(chǎn)虛擬化、國產(chǎn)操作系統(tǒng)等新的業(yè)務訴求。第三,基礎服務仍有缺陷。一些基礎業(yè)務應用沒有健全的安全功能,比如門戶系統(tǒng)、郵件系統(tǒng)、安全NAS系統(tǒng)、計算機終端登錄等,依舊存在安全隱患,而這些安全問題是因為缺乏技術支撐導致的。第四,運維管理低效。證書環(huán)境和證書介質的正常運行嚴重依賴運維管理人員,一旦出現(xiàn)問題需要運維人員立即前往現(xiàn)場進行排查和解決,效率低下且維護工作量巨大,對運維管理造成很大壓力。第五,審計功能不集中。現(xiàn)有PKI/CA系統(tǒng)中各子系統(tǒng)的審計日志各自為政,并且審計信息和審計內(nèi)容不全,無法對證書應用情況、終端使用情況和使用效果進行綜合分析及行為軌跡分析。
針對某單位PKI/CA系統(tǒng)問題和新的安全需求,通過建設新PKI/CA系統(tǒng),實現(xiàn)國產(chǎn)密碼在各個系統(tǒng)中的深度應用,發(fā)揮PKI/CA系統(tǒng)在資源訪問控制、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、安全審計等方面的支撐作用,建立基于國密的安全生產(chǎn)、調(diào)度管理等安全保障體系。
1 PKI/CA技術簡介
PKI的全稱是Public Key Infrastructure,是一種基于公鑰密碼體制的遵循既定標準的安全基礎設施;CA的全稱為Certificate of Authority,是整個證書機構的核心,所有的身份信息都需要通過驗證。PKI/CA可提供密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能[3]。PKI/CA作為信息安全基礎設施的一個重要組成部分,是目前解決身份認證、訪問控制、信息保密和抗抵賴性的最好措施,是實現(xiàn)信息安全三要素——保密性、完整性、可靠性的有效手段。
PKI/CA技術的關鍵是公鑰密碼算法,利用非對稱密碼算法實現(xiàn)兩個實體間通信過程的數(shù)據(jù)加密和身份認證功能[4]。A想要和B秘密通信時,只需用B的公鑰對明文加密,B接收到密文后,用自己的私鑰解密就可以得到明文。其他人因為不知道B的私鑰,所以無法解密明文,數(shù)據(jù)加密功能如圖1所示。
圖1 數(shù)據(jù)加密
身份認證是借助密鑰可實現(xiàn)與手寫簽名作用相同的功能,A使用自己的私鑰對消息進行簽名,然后將結果發(fā)送給B,B收到消息以后,使用A的公鑰進行驗證。只有擁有相應私鑰的用戶,才能產(chǎn)生可驗證通過的消息,所以A事后不能否認自己的簽名,身份認證功能如圖2所示。
圖2 身份認證
2基于國密算法的PKI/CA系統(tǒng)
針對現(xiàn)有情況,新系統(tǒng)建設主要通過升級CA基礎設施中心和PKI應用安全支持中心,以提供更全面、更完善的身份認證服務。同時,要充分保護先前的投資,基于國密算法的PKI/CA系統(tǒng)需支持原有的滑動指紋器。升級改造期間,在原有認證系統(tǒng)繼續(xù)提供服務的基礎上,逐步實現(xiàn)新老系統(tǒng)的平穩(wěn)過渡[5]。
2.1 系統(tǒng)建設部署
(1)在一地建立一套新的、完整的PKI/CA系統(tǒng),并在另一地部署輔助RA系統(tǒng)、從LDAP系統(tǒng)、OCSP系統(tǒng),輔助RA系統(tǒng)負責實現(xiàn)該區(qū)域本地證書制作。
(2)同步升級CA證書管理中心的加密機,在硬件層面確保新的證書認證系統(tǒng)支持SM2算法。
(3)建設證書在線狀態(tài)查詢系統(tǒng)(OCSP),遵循OCSPv1標準協(xié)議,通過與LDAP目錄服務系統(tǒng)的連接,實現(xiàn)證書、用戶注冊信息的實時查詢和驗證。
(4)建設證書安全綜合審計系統(tǒng),該系統(tǒng)能將IT用戶信息、身份信息、訪問信息進行統(tǒng)一收集、集中分析,通過多種方式展現(xiàn)在用戶面前,解決原PKI/CA系統(tǒng)審計困難的問題,降低運維人員日常管理難度的同時,也可以為領導層進行信息化安全規(guī)劃提供決策依據(jù)。
(5)搭建證書綜合管理服務平臺,平臺可以使用戶在客戶端直接進行證書延期、介質解鎖、證書環(huán)境檢查及修復工作。避免用戶因證書介質更換產(chǎn)生不便和業(yè)務中斷的問題。
(6)搭建新的安全認證網(wǎng)關,該網(wǎng)關可以同時支持新CA證書鏈和舊CA證書鏈,確保新證書和舊證書都可以訪問應用系統(tǒng),保證原有業(yè)務的連續(xù)性。
(7)升級終端安全登錄系統(tǒng),將某單位現(xiàn)有單機版終端安全登錄系統(tǒng)改造為網(wǎng)絡版,從而通過服務端實現(xiàn)對本園區(qū)終端PC保護的全程監(jiān)管,滿足集中審計、統(tǒng)一策略管理的需求,符合新資質要求。
(8)搭建證書綜合管理服務系統(tǒng),現(xiàn)有指紋器因年限已久,無法滿足升級后對國產(chǎn)密碼算法的支持。為了充分利用原有資源,采用密鑰分割的方式將國密證書分成兩部分,一部分存放在客戶端,一部分存放在終端密碼安全系統(tǒng)服務器。應用證書時將兩部分組成一張完整的證書,以保證證書的安全性和唯一性。既確保升級后原有指紋可以得到沿用,又能滿足集團公司對國產(chǎn)密碼算法的要求。
為了最大化利用服務器資源,節(jié)約運營成本。將CA證書管理中心、主LDAP服務器、KM密鑰管理中心部署到一臺服務器內(nèi),負責制作、簽發(fā)數(shù)字證書和證書注銷列表,管理密鑰等功能;RA和從LDAP部署到一臺服務器內(nèi),負責證書申請、發(fā)布證書黑名單等功能;將證書安全綜合審計系統(tǒng)、證書在線狀態(tài)查詢系統(tǒng)、證書綜合管理服務系統(tǒng)部署至一臺服務器內(nèi),提供實時的證書狀態(tài)查詢服務、數(shù)字證書自助管理服務和面向數(shù)字證書的行為審計服務。兩地的PKI/CA基礎設施平臺通過租用的網(wǎng)絡專線進行互聯(lián)。新PKI/CA系統(tǒng)部署設計如圖3所示。
圖3 CA架構圖
2.2 SM2算法應用基礎
國家密碼管理局于2010年12月17日發(fā)布了SM2橢圓曲線公鑰密碼算法[6-7],SM2算法和RSA算法都是PKI/CA系統(tǒng)普遍采用的公鑰密碼算法,SM2算法相較于RSA1024算法是一種更先進安全的算法,在我國商用密碼體系中被用來替換RSA算法。從當前的應用模式分析,算法升級對現(xiàn)有架構的沖擊不只局限于應用層如何支持新算法,更迫切的問題是底層硬件設備如何支持新算法,操作系統(tǒng)調(diào)用接口以及中間服務層如何保證在適配新算法的同時,對上層應用提供服務的模式不變。
目前,調(diào)用方式為硬件介質通過KEY驅動向上提供RSA算法接口,應用層通過調(diào)用操作系統(tǒng)提供的CSP組件即可調(diào)用RSA算法接口。新PKI/CA系統(tǒng)仍舊采用“應用-CSP-算法接口-驅動-硬件介質”的調(diào)用關系,通過CSP層支持SM2算法接口層,對上層的應用接口保持改變,對于各個應用系統(tǒng)來說,本次升級是“無感”的,這為后續(xù)整個體系的升級打下良好基礎。底層算法替換如圖4所示。
圖4 底層算法替換
通過以上方式,從底層完成算法替換的核心工作,但是該方式會使用戶多持有一個支持SM2的指紋key,用戶可能要同時使用兩個指紋器進行工作;鑒于目前用戶的信息化知識參差不齊,且已經(jīng)習慣一個key通用的使用方式,采用兩個key的方式會增加用戶的使用難度,管理兩個key也會增加遺失的風險。因此,此次升級采用基于雙算法的key實現(xiàn),同時兼容CSP和SM2接口以解決該問題。支持雙算法key的調(diào)用流程如圖5所示。
圖5 支持雙算法key的調(diào)用流程
3系統(tǒng)建設收益
某單位建設的基于國密算法的PKI/CA系統(tǒng)上線運行將近一年,在這期間對多項指標進行監(jiān)控,基于國密算法的PKI/CA系統(tǒng)在業(yè)務支撐、基礎服務、運維管理等方面呈現(xiàn)進步趨勢,具體體現(xiàn)如表1所示。
表1 PKI/CA系統(tǒng)升級后指標對比
|
指標名稱 |
基于RSA1024算法PKI/CA系統(tǒng) |
基于國密算法的PKI/CA系統(tǒng) |
|
支持的算法種類 |
RSA1024 |
SM2算法 |
|
算法強度 |
RSA1024密鑰有被暴力破解風險 |
SM2算法密鑰幾乎無法破解 |
|
獲取證書狀態(tài) |
黑名單(CRL)吊銷列表一個月發(fā)布一次,在發(fā)布窗口期,應用系統(tǒng)無法及時感知用戶身份的真實狀態(tài),具有安全性風險 |
支持實時證書狀態(tài)查詢,實現(xiàn)即銷即停的安全管理 |
|
業(yè)務支撐 |
不支持國產(chǎn)操作系統(tǒng)、國產(chǎn)虛擬化、64位操作系統(tǒng)等 |
對主流國產(chǎn)操作系統(tǒng)、虛擬化平臺和64位操作系統(tǒng)具有較好的支持 |
|
日志審計 |
各子系統(tǒng)的審計日志各自為政,審計信息以及審計內(nèi)容不全 |
采用面向數(shù)字證書的行為審計,將發(fā)證信息、登錄信息、訪問信息等進行統(tǒng)一收集、集中分析 |
|
運維管理 |
用戶簽發(fā)、延期、吊銷證書等操作需要攜帶指紋器至運維機構進行人工方式完成業(yè)務,效率低下 |
支持密鑰的自助簽發(fā)、更新、銷毀等操作,降低運維管理難度和工作量 |
|
是否符合新標準的要求 |
不符合 |
符合 |
無論是在安全防護能力、新業(yè)務支撐能力還是高效運維管理等方面,新建設的基于國密算法的PKI/CA系統(tǒng)相較于基于RSA1024算法的PKI/CA系統(tǒng)有了很大提升。這一套支持SM2密鑰算法的PKI/CA數(shù)字證書系統(tǒng)具有高可用、高效運維、高安全防護的特點,并且在升級期間通過多證書鏈技術、支持雙算法指紋器等手段實現(xiàn)了新舊系統(tǒng)的平滑過渡。
4結語
以PKI/CA升級項目為背景,分析了基于RSA1024算法的PKI/CA系統(tǒng)在業(yè)務安全、新業(yè)務支撐、基礎服務和運維管理等方面的缺陷和不足,有針對性地設計了一套基于國密算法的PKI/CA系統(tǒng),滿足了國家密碼管理局新標準的要求。通過PKI/CA升級和后續(xù)相關安全產(chǎn)品的建設,實現(xiàn)了應用安全防護體系密碼算法的國產(chǎn)化,符合相關政策法規(guī)要求。新系統(tǒng)使某單位的信息化系統(tǒng)整體安全性得到提升,安全防護措施邁向自主可控、合規(guī)運行的新臺階。
參考文獻
[1] 唐蓉,周瑜平,葉小鶯,等.基于RSA算法特性的安全性研究[J].電子設計工程,2023(2):164-168.
[2] 郁建.CA系統(tǒng)支持國密SM2算法改造研究[J].信息技術與應用, 2013(3):167.
[3] 馬建紅,牛麗萍.PKI技術與應用[J].新鄉(xiāng)師范高等專科學校學報,2003(5):24-26.
[4] 孫美青,王如龍.PKI技術及其在企業(yè)中的應用[J].計算機系統(tǒng)應用,2009,18(7):141-145.
[5] 王勇,岑榮偉,郭紅,等.國家電子政務外網(wǎng)電子認證系統(tǒng)SM2國密算法升級改造方案研究[J].理論研究,2012(10):83-85.
[6] 汪朝暉,張振峰.SM2橢圓曲線公鑰密碼算法綜述[J].信息安全研究,2016,2(11):972-982.
[7] 魏珊珊,韓慶敏,郭肖旺,等.基于國密算法的PKI在工控系統(tǒng)中的應用研究[J].計算機與現(xiàn)代化,2018(11):1-6.
PKI/CA System Upgrade Based on National Secret Algorithm
GAN Ying
(China Helicopter Research and Development Institute, Jingdezhen Jiangxi 333001)
Abstract:Analyze the operation of the existing PKI/CA system of a certain company, in view of its existing problems and the requirements of new services, a PKI/CA system supporting SM2 national secret algorithm is proposed, which can achieve the goal of smoothly upgrading the compatibility of PKI/CA system based on RSA1024 algorithm without affecting business use. The new features of the SM2 algorithm are described, and the new PKI/CA system will fully support the SM2 secret certificate,thereby improving the strength of system security protrction; Through the upgrade of the PKI/CA system, the localization of the application security protection system cayptographic algorithm is realized, and the system meets the relevant policies and regulations, and the security protection capability of the company information network is improved.
Key words:PKI/CA system;SM2 algorithm;network security protection
