PKI技术新进展及其在林草系统中的应用
2019-12-01冯戈
文/冯戈
在PKI系统中,由数字认证机构(Certif icate Authority,CA)签发数字证书,绑定PKI用户的身份信息和公钥;PKI依赖方(Relying Party)能够可信地获得用户的公钥,从而实现身份鉴别、机密性、完整性、不可否认性及密钥管理等核心安全服务。近年来,随着PKI系统在智能移动平台、SSL/TLS以及大规模网络中的推广应用,其技术研究又取得了很多新的进展。
在国家林业和草原系统的信息系统中,基于PKI系统开发了包括应用层的各种应用、基于智能移动设备的安全应用,也包括大量应用的基于SSL/TLS协议的网关应用。为了增强网关应用的安全性,本文在PKI技术新进展中对SSL/TLS协议与证书验证以及Certif icate Transparency技术进行了重点论述。作者有幸参与了对国家林业和草原局PKI系统进行国产SM2椭圆曲线算法、SM3摘要算法、SM4国密分组算法等相关升级改造,本文以升级到符合国家标准的SM2算法为例,提出国产化升级改造技术方案,并重点对升级过程根密钥的迁移、多类型证书兼容等关键环节进行了设计。
1 PKI技术新进展
1.1 SSL/TLS协议与证书验证
近年来,SSL/TLS协议得到了十分广泛的应用,各种云计算服务的网络连接都在使用SSL/TLS协议。在SSL/TLS协议中,客户端会在线接收服务器证书,在证书验证通过后,使用证书中的公钥与服务器进行密钥协商,以保护后续数据通信。
1.2 Certificate Transparency技术
目前针对SSL/TLS协议的攻击主要集中在服务器证书验证这个环节。HTTPS网站的身份认证是通过证书信任链完成的,浏览器从站点证书开始递归验证父证书,直至出现信任的根证书,其中根证书列表一般都内置在操作系统中。
Certif icate Transparency整套系统由三部分组成:证书日志服务器;证书监控服务器;证书审计服务器。证书所有者或者CA都可以主动向Certif icate Logs Server提交证书,所有证书记录都会接受审计和监控。显然,Certif icate Transparency的基本技术思路是使CA证书签发服务成为可公开审计的操作,只有经过审计的服务器证书才会被SSL/TLS客户端接受。
2 PKI国产化升级改造方案
2.1 国家林业和草原局PKI系统及应用现状
国家林业和草原局身份认证系统,主要组成设备和系统有:证书认证中心CA、目录服务系统LDAP、密钥管理中心KMC、证书注册中心RA、身份认证网关、电子签章系统等。整个系统采用多层架构体系及模块化结构,具有较好的功能及数据可扩充性和可维护性。
2.2 国家林业和草原局PKI国产化升级内容
此次国产加密算法的升级主要包括两个部分,一是CA系统核心软件部分算法的升级,要求保证其能支持SM2算法的数字证书;二是证书应用支撑系统的升级,如身份认证网关、电子签章系统,要求保证支持SM2算法的证书可以方便地和应用系统整合。
2.3 升级关键环节设计
对于支持双算法的身份认证系统升级,关键环节是保证原系统数据的可靠迁移,且不影响现有的业务,主要涉及以下方面:
2.3.1 根密钥迁移
密钥管理中心密钥数据采用原有加密机主密钥数据进行解密,解密后的密钥数据再用新加密机系统的主密钥加密后存储到数据库中。
2.3.2 证书数据迁移
将原有身份认证系统全部数据迁移到新系统中,主包括管理员、用户注册、证书、证书模板、日志等信息。
2.3.3 多类型证书兼容
应用安全模块中的客户端和服务端,其程序及接口同时兼容新旧证书。实现过程将原有的客户端控件嵌入到浏览器和其他的客户端程序中,以基于CSP接口的形式存在。
2.3.4 原有证书应用
证书验证包含服务端和客户端验证,在新旧证书共存时,在SSL网关新增证书链及黑名单,客户端浏览器植入新证书链慢慢进行,以此解决过渡期间证书应用问题。
2.4 国家林业和草原局PKI系统应用设想
在现有的各种C/S模式应用以及B/S模式应用中,全面采用升级后的PKI系统提供的各种安全服务,实现身份鉴别、机密性、完整性、不可否认性及密钥管理,全面使用国产化算法保证信息系统的安全。针对当前林业和草原系统的内部网站等应用,提升其证书及其相关安全服务应用水平。针对当前各种移动智能设备广泛应用的实际情况,加大使用升级改造后PKI系统的新型安全应用开发力度,以满足广大林业和草原管理人员对信息系统的更高要求。
3 结束语
本文对PKI技术的新进展进行了分析研究,作者认为这些研究成果对于如何提升国家林业和草原系统中使用SSL/TLS协议的各种安全网关及Web服务器的安全性具有重要的指导作用。在国家林业和草原局PKI国产化算法升级改造中,通过设计保证了新旧系统业务的连续性,对PKI系统在核心信息系统的应用以及对实现国产化替代以增强安全可控性的实践,对于保障国家重要经济系统密码应用安全,保护国家林业和草原资产安全,对提升林业和草原系统安全保障水平具有十分重要的意义。