基于PKI技術的證書簽發和管理系統技術研究及其安全防護

佟強

關鍵詞：PKI；信息安全；系統部署；網絡規劃

1引言

大數據技術在各個領域的持續深入使用，給人們在海量數據中進行數據挖掘、形成科學決策、創造數據的附加價值帶來便利，但同日寸對于數據訪問的安全性，尤其是對一些敏感數據的訪問和使用是否合法合規，也越來越被人們所重視。人們已經意識到，需要通過某種方式，驗證需要訪問數據用戶身份的真實性，確定其是否具備對數據訪問和操作的權限，并通過對身份的追蹤實現對數據訪問和操作行為的審計，以及對傳遞過程中的信息進行加密解密。證書簽發和管理系統以及與之完成對接并配套使用的零信任系統．安全管理中心等可以很好地實現對用戶身份的標識、認證、鑒權、審計，以及信息的保密性、完整性、抗否認性等功能。其中，證書簽發和管理系統是所有功能實現的基礎和前提，所以證書簽發和管理系統的功能性、健壯性、安全性又是整個認證加密鑒權審計體系的重中之重。本文介紹了基于PKI技術構建證書簽發和管理系統，并采用了一種通過適當的安全防護措施完善其自身安全性的實踐方式。

2證書簽發和管理系統的構成

一套完整的PKI體系證書簽發和管理系統一般可拆解為數字證書認證中心CA子系統（以下簡稱CA）、用于支撐數據審核的注冊中心RA子系統（以下簡稱RA）、密鑰管理中心KMC子系統（以下簡稱KMC）、對外服務子系統4個關鍵組成模塊。其中，對外服務子系統包含基于目錄訪問服務（LDAP）的證書及吊銷列表（CRL）發布機構（以下簡稱LDAP）和證書在線管理機構（以下簡稱PKOM）等部分。具體如圖1所示。

鑒于各功能模塊的開銷，考慮到證書簽發和管理系統的整體性能，KMC，CA，RA以及PKOM可以分別單獨部署在1臺高性能服務器上，LDAP可以和數據庫軟件安裝在同一臺高性能服務器上，供幾個功能模塊連接使用。KMC，CA，RA三臺服務器各自通過一塊網卡連接只用于本模塊的1臺加密機，用以生成和存儲頒發證書時使用的密鑰對。僅從實現系統的功能和性能要求的角度，5臺服務器只需接人同一網絡即可實現證書整個生命周期的各項功能和管理流程。

3網絡拓撲規劃

實際應用中的生產環境由于需要考慮安全因素，引入縱深防御機制，部署了配合各服務器的多臺防火墻、交換機，組成按照安全等級和使用頻率劃分的4個子網區域，由內向外分別為密鑰區、安全區、管理區和服務區。其中，最內層子網僅包含只跟CA服務器進行交互，提供密鑰托管服務的KMC服務器；而系統的核心部分CA和LDAP兩臺服務器位于第2層的安全區：用于用戶提交注冊信息的RA服務器則位于第3層的管理區：為便于業務系統從LDAP同步吊銷列表等信息，在服務區設置了從屬LDAP服務器，后者可以從位于安全區的主LDAP服務器自動同步相關信息，該區域還包含PKOM服務器，以向業務系統提供證書的在線查詢和管理等服務。PKI體系證書簽發和管理系統拓撲圖如圖2所示。

系統每個區域通過1臺交換機把本區域的服務器和管理終端等設設備連接起來相鄰的2個區域之間設立1臺防火墻。系統最外層通過防火墻實現與大數據中心及業務專網的隔離。

4系統部署及安全實現

4.1防火墻的應用

通過在各個服務器上部署相應的程序安裝包，以實現各模塊功能，并根據各模塊之間的調用關系和對外服務，開放各子網區域之間和系統與專網之間防火墻的端口和可訪問地址，訪問關系如表1所列。

基于上述訪問需求，對3臺防火墻分別開啟白名單方式的定向訪問策略。通過采用防火墻的包過濾、NAT等技術，可以保證各子網區域的可用服務最小化，授權訪問最小化以及隱藏真實服務地址端口等安全目的的實現。

4.2通信加密

系統內部署了3臺國產加密機，分別獨立連接到KMC，CA，RA三臺服務器并提供加密服務。加密機可根據需求選擇SM2，SM4等國產算法或者RSA，3DES等國際通用算法，生成、管理并存儲簽名密鑰對和加密密鑰對，私鑰部分接受加密機自身的加密保護。同時，加密機也提供數據加密和解密、消息鑒別碼的產生和驗證、數據摘要的產生和驗證、數字簽名的產生和驗證、數字信封、物理隨機數的產生以及密鑰備份及恢復等服務[1]。

系統內部主要服務器之間的通信采用SPKM加密協議進行加密。系統內部通信示意圖如圖3所示。

4.3管理／操作終端的安全

在服務區、安全區和密鑰區3個區域分別配備1臺管理終端，位于機房內服務器所在機柜或附近，平時非必要不開啟，通過機房門禁，機柜加鎖，機房設備使用記錄等措施進行安全管理。RA服務器由于需要進行發證，需要配備信息錄入、申請審核以及證書簽發3臺終端，且都可以作為服務區的管理終端，可供系統的日常運維使用，將其部署在運維室中，可以通過AD域登錄控制、錄屏錄像、登錄審計等措施進行安全管理[2-4]。

4.4管理員權限

系統遵循國際標準，根據職責分離、最小授權的原則，CA，KMC和RA分別設置可用于業務、審計、審核3大類權限的共6類管理員。每類管理員各司其職，有自己獨立的權限和從屬關系，使整個系統達到分級管理的目的，從而提高系統效率與安全性。具體如圖4所示。

5結束語

本文通過對在實際生產運行中的PKI體系證書簽發和管理系統的部署實現了安全防護方式的介紹，討論了基于PKI技術的證書簽發和管理系統在大數據、智慧云基礎上，更加關注系統和數據安全的重要性、必要性和可行性。

基于PKI技術構建的證書簽發和管理平臺，作為業務信息系統安全保障體系的重要組成部分，為大數據安全邊界，內網各類應用系統的身份認證、訪問控制、安全審計，信息傳輸過程中的密鑰管理等安全服務提供了有力支持。作為未來最重要的安全基礎設施之一．PKI體系在各個行業的建立和推廣必將為我國信息化、信息安全建設以及業務實體的正常生產和運作做出重要貢獻。