论文部分内容阅读
摘 要 随着国内外网络与信息技术的飞速发展和广泛应用,信息安全形势更加严峻,网络与信息安全工作中存在的问题更加突出。发电企业业务管理信息系统中常用的安全策略和安全技术已无法满足国家和企业信息安全方面的要求。发电企业越来越重视信息安全机制和体系建设,但在信息系统建设和运维过程中,仍然存在对新出现的信息安全问题认识不足的现象。通过建设统一、完整的PKI/CA/RA电子认证基础设施,为各信息系统提供了安全认证服务平台,为企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证、数字签名和敏感数据加密提供安全支撑,保障了各信息系统的机密性、完整性和不可否认性。
关键词 PKI;CA;RA;数字证书;信息安全;双因素认证;数字签名;加密
中图分类号:TM769 文献标识码:A 文章编号:1671-7597(2013)15-0119-02
随着国内外网络与信息技术飞速发展和广泛应用,发电企业信息化也在不断深入开展,信息安全形势更加严峻,网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上,逐步通过信息化建设,梳理管理流程,加强内部管控,从而达到提升竞争力的作用。
信息安全是信息化建设的基础和前提,基于PKI技术的数字证书机制构建的应用层信息安全保障体系,已经作为信息安全基础设施,在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系,既能满足信息安全管理要求,又能保证投资和信息安全管理可控在控,已经成为发电企业越来越关注的问题。
1 发电企业信息安全现状分析
在发电企业构建电子认证体系以保障业务安全的过程中,主要面临着如下需求和问题。
1)缺少完整的电子认证基础设施,企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。
2)自建的电子认证基础设施,有可能不具备相关运营资质,并且建设和运营维护成本较大,而只采购第三方认证机构颁发的数字证书,又不能完全满足企业内部信息化管理的需要。
3)重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段,无法保证数据保密性、完整性、抗抵赖性等信息安全要求。
为了很好的解决以上问题,结合发电企业信息化建设实际情况,提出以下几点建议。
1)针对发电企业内部多级管理体系和独立分支机构,建设统一的RA注册审核机构,与第三方认证机构PKI/CA基础设施配合,将完整的电子认证服务引入到现有信息系统中,既满足了安全体系完整性,又方便了内部安全认证服务管理。
2)针对不同的信息系统特性,制定双因素认证、数字签名和数据加密等安全认证策略和实施规范,RA系统设计上应方便的与业务系统进行对接和交互,避免成为“信息孤岛”,保证数据保密性、完整性、抗抵赖性等信息安全要求。
3)针对已经使用了数字证书等安全认证的信息系统,应考虑能够实现平滑过渡和无缝对接,防止出现安全体系设计重大变更和大规模系统改造等情况。
2 PKI/CA/RA简介
1)PKI为“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
2)CA认证机构是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心,主要完成生成/签发证书、生成/签发证书撤销列表(CRL:Certificate Revocation List)、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。
3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。
3 基于PKI/CA/RA的安全认证服务平台
3.1 平台架构
通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。
1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。
2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。
3.2 数字证书设计
3.2.1 设计原则
RA系统签发的数字证书应具有以下特点。
1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。
2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。
3)支持签发软/硬两种形式的数字证书。
软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。
硬证书保存在USBKEY等硬件存储介质上,安全可靠。
3.2.2 数字证书类型
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。
1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。 2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。
3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。
3.2.3 证书使用范围
从使用范围上来说,企业数字证书分为内部证书、外部
证书。
1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。
2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。
3.2.4 证书用途
根据数字证书的密钥用途,将证书分为以下两种。
1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。
2)加密证书:其私钥可用于对采用对应公钥加密的信息
解密。
根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。
3.2.5 证书存储形态
根据数字证书的存储形态不同,可以将证书存储在以下介质中。
1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。
2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。
4 应用实践
目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。
1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。
2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。
3)无线网络、VPN网络等网络接入认证管理。
5 结束语
PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、发布等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。
实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。
参考文献
[1]龙玉江,白雪,汪浩.PKI/CA技术在电力信息系统安全保障方面的应用研究[J].贵州电力技术,2009(1):40.
[2]刘欣.PKI/CA技术在电力信息系统中的应用研究[J].电力信息化,2009,7(10):30.
作者简介
张柯(1978-),男,天津人,工程师,从事电力信息化规划、信息系统安全设计、信息系统设计、建设、管理和运行维护工作。
关键词 PKI;CA;RA;数字证书;信息安全;双因素认证;数字签名;加密
中图分类号:TM769 文献标识码:A 文章编号:1671-7597(2013)15-0119-02
随着国内外网络与信息技术飞速发展和广泛应用,发电企业信息化也在不断深入开展,信息安全形势更加严峻,网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上,逐步通过信息化建设,梳理管理流程,加强内部管控,从而达到提升竞争力的作用。
信息安全是信息化建设的基础和前提,基于PKI技术的数字证书机制构建的应用层信息安全保障体系,已经作为信息安全基础设施,在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系,既能满足信息安全管理要求,又能保证投资和信息安全管理可控在控,已经成为发电企业越来越关注的问题。
1 发电企业信息安全现状分析
在发电企业构建电子认证体系以保障业务安全的过程中,主要面临着如下需求和问题。
1)缺少完整的电子认证基础设施,企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。
2)自建的电子认证基础设施,有可能不具备相关运营资质,并且建设和运营维护成本较大,而只采购第三方认证机构颁发的数字证书,又不能完全满足企业内部信息化管理的需要。
3)重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段,无法保证数据保密性、完整性、抗抵赖性等信息安全要求。
为了很好的解决以上问题,结合发电企业信息化建设实际情况,提出以下几点建议。
1)针对发电企业内部多级管理体系和独立分支机构,建设统一的RA注册审核机构,与第三方认证机构PKI/CA基础设施配合,将完整的电子认证服务引入到现有信息系统中,既满足了安全体系完整性,又方便了内部安全认证服务管理。
2)针对不同的信息系统特性,制定双因素认证、数字签名和数据加密等安全认证策略和实施规范,RA系统设计上应方便的与业务系统进行对接和交互,避免成为“信息孤岛”,保证数据保密性、完整性、抗抵赖性等信息安全要求。
3)针对已经使用了数字证书等安全认证的信息系统,应考虑能够实现平滑过渡和无缝对接,防止出现安全体系设计重大变更和大规模系统改造等情况。
2 PKI/CA/RA简介
1)PKI为“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
2)CA认证机构是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心,主要完成生成/签发证书、生成/签发证书撤销列表(CRL:Certificate Revocation List)、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。
3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。
3 基于PKI/CA/RA的安全认证服务平台
3.1 平台架构
通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。
1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。
2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。
3.2 数字证书设计
3.2.1 设计原则
RA系统签发的数字证书应具有以下特点。
1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。
2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。
3)支持签发软/硬两种形式的数字证书。
软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。
硬证书保存在USBKEY等硬件存储介质上,安全可靠。
3.2.2 数字证书类型
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。
1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。 2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。
3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。
3.2.3 证书使用范围
从使用范围上来说,企业数字证书分为内部证书、外部
证书。
1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。
2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。
3.2.4 证书用途
根据数字证书的密钥用途,将证书分为以下两种。
1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。
2)加密证书:其私钥可用于对采用对应公钥加密的信息
解密。
根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。
3.2.5 证书存储形态
根据数字证书的存储形态不同,可以将证书存储在以下介质中。
1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。
2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。
4 应用实践
目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。
1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。
2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。
3)无线网络、VPN网络等网络接入认证管理。
5 结束语
PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、发布等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。
实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。
参考文献
[1]龙玉江,白雪,汪浩.PKI/CA技术在电力信息系统安全保障方面的应用研究[J].贵州电力技术,2009(1):40.
[2]刘欣.PKI/CA技术在电力信息系统中的应用研究[J].电力信息化,2009,7(10):30.
作者简介
张柯(1978-),男,天津人,工程师,从事电力信息化规划、信息系统安全设计、信息系统设计、建设、管理和运行维护工作。