论文部分内容阅读
摘要:PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施。网络信任体系中的PKI拓展应用涉及到电子政务和电子商务跨地区跨行业的应用。文章对其中一证多用技术、点对点交叉认证技术和属性证书技术及实现方式进行了介绍。
关键词:PKI;网络信任体系;一证多用;点对点交叉认证;属性证书
引言
2003年9月,《中共中央办公厅、国务院办公厅转发<国家信息化领导小组关于加强信息安全保障工作的意见>的通知》(中办发[2003]27号)中强调:加强以密码技术为基础的信息保护和网络信任体系建设,充分发挥密码在保障电子政务、电子商务安全和保护公民个人信息等方面的重要作用,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。PKI(Public Key Infrastructure,公钥基础设施)体系是在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系,PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络信任体系建设提供可靠的技术保障。PKI的核心是要确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。
1 PKI在网络信任体系中的基础应用
网络信任体系主要包括三个方面的内容:身份认证、授权管理和责任认定。其中核心内容是用户网络身份认证。身份认证就是对用户和设备等网络主体用密码技术进行认证,确保网络主体身份的真实性和惟一性,确保传输信息的完整性、真实性和不可抵赖性,只有在有效身份认证的基础上才能够实现对用户的授权管理和责任认定。围绕着网络身份的认定,基于PKI的身份认证体系,已被普遍认可。使用PKI技术的基础应用主要包括:SSL加密通道、数字信封、身份识别平台、安全电子邮件、安全桌面、安全网站、可信信息服务平台、安全站点认证服务、数字时间戳等。
2 PKI在网络信任体系中的拓展应用需求分析
2.1 拓展需求
跨区域需求:目前在全国范围内获得信息产业部《电子认证服务许可证》的PKI/CA机构共有20多家,每一个PKI/CA机构都建立有自己的信任域,彼此的信任域无法互通。在网络信任体系应用中,虽然各家的证书执行统一的X.509国际标准,但此标准只定义了证书原语言基本要素,而其中的选项各不相同,各家发放的CA证书的密码长度、格式不完全一致,造成了各家CA证书彼此不能互认。这极大地增加了网络信任体系应用的风险,成为阻碍建立统一网络身份信任体制的棘手难题。
跨领域需求:在网络信任体系建设中,各种应用所需要的用户信息不尽相同,为用户配置的安全项目也千差万别,比如:工商部门做网上年检时需要企业的营业执照登记号,税务部门办理网上纳税时需要企业的税务登记号,技术监督局办理网上业务时需要企业的组织机构代码证。基于X.509 V3标准的数字证书内容有限,无法做到在数字证书中事先写入所有的用户信息。网络信任体系的跨领域应用则要求在重点领域中能实现基础数据的共享。
2.2 设计分析
2.2.1 基于跨区域需求的方案分析
(1)桥CA交叉认证方案
桥CA与各个PKI中被选作主CA(principal CA)的CA作交叉认证。桥CA只是一个中介,它不直接向用户发证书,也不作为一个根信任点。该方案的优点是在入桥的根CA数量比较大时,各个根CA接入很方便,缺点是投资巨大,并且出于权威性和安全性考虑,需由国家级的部门为主体进行建设。
(2)点对点CA交叉认证方案
根CA相互间实行交叉认证。该方案的缺点是需要所有的CA两两间相互签发交叉证书,若有n个CA需要互连互通,则需要签发交叉证书n×(n-1)次,因此只能应用于数量较少的区域间的交叉认证;优点是投资少、开发周期短,可以短时间内实现几个地区间信任体系的跨区域PKI应用。就国内的实际应用情况来看,点对点CA交叉认证是目前解决信任体系的跨区域PKI应用的一个较好的方案。
2.2.2 基于跨领域需求的方案分析
(1)AS一证多用方案
AS一证多用方案是指客户端采用ActiveX技术与服务器端采用SOAP技术,客户端通过ActiveX控件将本地的电子证照或数字证书进行数字签名后提交,服务器根据提交内容进行身份确认、签名验证等工作后,将用户请求转发到各类应用服务,实现同一数字证书的一证多用。该方案的服务器采用三层架构,因此可靠性高、速度快。缺点是应用部署时需要进行与CA服务器通讯接口的开发。
(2)属性证书方案
属性证书基于x.509v4标准和LDAP服务,向应用系统提供对实体(用户、程序等)的授权服务,提供实体身份到应用权限的映射,提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制,来实现一证多用。该方案的优点是应用部署时开发周期短。由于目前市场上的基于海量数据的LDAP服务软件在性能价格比方面有一定缺陷,因此在应用部署时需要仔细选择LDAP服务软件。
3 网络信任体系中PKI拓展应用方案的实现
3.1 一证多用方案设计
3.1.1 系统结构
系统由客户端和服务器端组成,客户端包括ActiveX电子证照控件模块和身份模块;服务器包括CA-SOAP服务器的电子证照模块应用服务器的身份认证模块。系统结构图如图1所示。
3.1.2 流程与程序实现
(1)客户端电子证照模块
电子证照模块的程序流程是:从应用服务器获取身份标识后产生证照申请,将申请发送到CA-SOAP服务器并获取电子证照,将电子证照写入介质。流程图如图2所示。
服务器电子证照模块的程序流程是:从客户端获取申请,根据策略产生证照并返还给客户端。流程图如图3所示。
(3)客户端身份模块
客户端身份模块的程序流程是:客户端判断本地是否有电子证照,如果没有,转到电子证照申请模块,如果有,则读取本地证照提交给应用服务器的身份模块。流程图如图4所示。
(4)应用服务器身份模块
应用服务器身份模块的程序流程是:从蓉户端获取证照,解析出用户身份,并根据策略判断该用户是否为合法用户,并将结果返还给客户端。流程图如图5所示。
3.2 属性证书方案
3.2.1 系统结构
用户通过安全网关访问应用服务,应用服务器将用户证书转发到属性证书验证服务器上进行验证。属性证书验证服务器与CA机构的属性证书签发系统保持同步。CA机构的属性证书签发系统提供管理接口给应用单位使用、管理。系统结构图 如图6所示。
3.2.2 属性证书标准
(1)属性证书中包含了用户在应用中所需要的具体属性信息,与应用相对应。如:网税应用中的纳税登记证号。
(2)属性证书采用x.509v4标准。
(3)属性证书不包含公钥,其信任标识是CA中心对其的签名。
(4)通过代表用户身份的惟一ID作为属性证书与用户身份证书对应的标识。
(5)一个用户可能存在多个属性证书;属性证书与应用相对应,用户可能在多个应用中都拥有不同的属性证书;也可使用一张属性证书支持多个应用,但用户只拥有一张身份证书。
3.2.3 管理及发布
(1)属性证书由CA认证中心负责签发、发布。
(2)应用单位需要架设安全网关和属性证书验证服务器,安全网关负责对用户身份证书进行验证,属性证书验证服务器负责对用户属性证书进行验证和解析,并保障属性证书与身份证书之间的正确对应。
(3)应用单位可通过架设管理终端,实现在CA的属性证书服务器上对本单位用户属性证书的管理和维护,如属性证书更新、废除、冻结、解冻、延期等。
(4)应用单位在设置管理终端操作后,CA的属性证书服务器将更新内容发布到应用单位的属性证书验证服务器上。
3.2.4 应用流程
(1)用户用数字证书登录应用系统
登录采用标准HTTPS协议、常见的客户端程序如IE等都支持此协议,此处不再介绍。
(2)应用服务器登录流程
应用服务器登录流程是:从安全网关中获取数字证书,将该证书转到属性证书验证服务器,并获取该数字证书相对应的属性证书,从属性证书中解析出用户身份,并根据策略判断用户是否合法,并将结果返还给客户端。流程图如图7所示。
3.3 点对点交叉认证方案
以上海数字认证中心(上海CA)和浙江数字认证中心(浙江CA)为例,CA点对点的交叉认证互签工作是指:使用浙江的根CA对上海的根CA密钥进行签发,同时使用上海的根CA对浙江的根CA密钥签发。浙江CA用户与上海CA用户在网络信任体系统中相互通讯的信任路径如图8所示。
4 结束语
本文介绍了网络信任体系中的PKI应用技术,并提供了几个PKI技术拓展应用方案。PKI涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题,是相关技术、应用、组织、规范和法律法规的总和,其本身就是国家综合实力的体现。加强对PK/应用技术的深入研究对网络信任体系的建设、推动互联网发展、保障交易安全、推动电子政务和电子商务的发展有着至关重要的作用。
关键词:PKI;网络信任体系;一证多用;点对点交叉认证;属性证书
引言
2003年9月,《中共中央办公厅、国务院办公厅转发<国家信息化领导小组关于加强信息安全保障工作的意见>的通知》(中办发[2003]27号)中强调:加强以密码技术为基础的信息保护和网络信任体系建设,充分发挥密码在保障电子政务、电子商务安全和保护公民个人信息等方面的重要作用,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。PKI(Public Key Infrastructure,公钥基础设施)体系是在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系,PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络信任体系建设提供可靠的技术保障。PKI的核心是要确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。
1 PKI在网络信任体系中的基础应用
网络信任体系主要包括三个方面的内容:身份认证、授权管理和责任认定。其中核心内容是用户网络身份认证。身份认证就是对用户和设备等网络主体用密码技术进行认证,确保网络主体身份的真实性和惟一性,确保传输信息的完整性、真实性和不可抵赖性,只有在有效身份认证的基础上才能够实现对用户的授权管理和责任认定。围绕着网络身份的认定,基于PKI的身份认证体系,已被普遍认可。使用PKI技术的基础应用主要包括:SSL加密通道、数字信封、身份识别平台、安全电子邮件、安全桌面、安全网站、可信信息服务平台、安全站点认证服务、数字时间戳等。
2 PKI在网络信任体系中的拓展应用需求分析
2.1 拓展需求
跨区域需求:目前在全国范围内获得信息产业部《电子认证服务许可证》的PKI/CA机构共有20多家,每一个PKI/CA机构都建立有自己的信任域,彼此的信任域无法互通。在网络信任体系应用中,虽然各家的证书执行统一的X.509国际标准,但此标准只定义了证书原语言基本要素,而其中的选项各不相同,各家发放的CA证书的密码长度、格式不完全一致,造成了各家CA证书彼此不能互认。这极大地增加了网络信任体系应用的风险,成为阻碍建立统一网络身份信任体制的棘手难题。
跨领域需求:在网络信任体系建设中,各种应用所需要的用户信息不尽相同,为用户配置的安全项目也千差万别,比如:工商部门做网上年检时需要企业的营业执照登记号,税务部门办理网上纳税时需要企业的税务登记号,技术监督局办理网上业务时需要企业的组织机构代码证。基于X.509 V3标准的数字证书内容有限,无法做到在数字证书中事先写入所有的用户信息。网络信任体系的跨领域应用则要求在重点领域中能实现基础数据的共享。
2.2 设计分析
2.2.1 基于跨区域需求的方案分析
(1)桥CA交叉认证方案
桥CA与各个PKI中被选作主CA(principal CA)的CA作交叉认证。桥CA只是一个中介,它不直接向用户发证书,也不作为一个根信任点。该方案的优点是在入桥的根CA数量比较大时,各个根CA接入很方便,缺点是投资巨大,并且出于权威性和安全性考虑,需由国家级的部门为主体进行建设。
(2)点对点CA交叉认证方案
根CA相互间实行交叉认证。该方案的缺点是需要所有的CA两两间相互签发交叉证书,若有n个CA需要互连互通,则需要签发交叉证书n×(n-1)次,因此只能应用于数量较少的区域间的交叉认证;优点是投资少、开发周期短,可以短时间内实现几个地区间信任体系的跨区域PKI应用。就国内的实际应用情况来看,点对点CA交叉认证是目前解决信任体系的跨区域PKI应用的一个较好的方案。
2.2.2 基于跨领域需求的方案分析
(1)AS一证多用方案
AS一证多用方案是指客户端采用ActiveX技术与服务器端采用SOAP技术,客户端通过ActiveX控件将本地的电子证照或数字证书进行数字签名后提交,服务器根据提交内容进行身份确认、签名验证等工作后,将用户请求转发到各类应用服务,实现同一数字证书的一证多用。该方案的服务器采用三层架构,因此可靠性高、速度快。缺点是应用部署时需要进行与CA服务器通讯接口的开发。
(2)属性证书方案
属性证书基于x.509v4标准和LDAP服务,向应用系统提供对实体(用户、程序等)的授权服务,提供实体身份到应用权限的映射,提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制,来实现一证多用。该方案的优点是应用部署时开发周期短。由于目前市场上的基于海量数据的LDAP服务软件在性能价格比方面有一定缺陷,因此在应用部署时需要仔细选择LDAP服务软件。
3 网络信任体系中PKI拓展应用方案的实现
3.1 一证多用方案设计
3.1.1 系统结构
系统由客户端和服务器端组成,客户端包括ActiveX电子证照控件模块和身份模块;服务器包括CA-SOAP服务器的电子证照模块应用服务器的身份认证模块。系统结构图如图1所示。
3.1.2 流程与程序实现
(1)客户端电子证照模块
电子证照模块的程序流程是:从应用服务器获取身份标识后产生证照申请,将申请发送到CA-SOAP服务器并获取电子证照,将电子证照写入介质。流程图如图2所示。
服务器电子证照模块的程序流程是:从客户端获取申请,根据策略产生证照并返还给客户端。流程图如图3所示。
(3)客户端身份模块
客户端身份模块的程序流程是:客户端判断本地是否有电子证照,如果没有,转到电子证照申请模块,如果有,则读取本地证照提交给应用服务器的身份模块。流程图如图4所示。
(4)应用服务器身份模块
应用服务器身份模块的程序流程是:从蓉户端获取证照,解析出用户身份,并根据策略判断该用户是否为合法用户,并将结果返还给客户端。流程图如图5所示。
3.2 属性证书方案
3.2.1 系统结构
用户通过安全网关访问应用服务,应用服务器将用户证书转发到属性证书验证服务器上进行验证。属性证书验证服务器与CA机构的属性证书签发系统保持同步。CA机构的属性证书签发系统提供管理接口给应用单位使用、管理。系统结构图 如图6所示。
3.2.2 属性证书标准
(1)属性证书中包含了用户在应用中所需要的具体属性信息,与应用相对应。如:网税应用中的纳税登记证号。
(2)属性证书采用x.509v4标准。
(3)属性证书不包含公钥,其信任标识是CA中心对其的签名。
(4)通过代表用户身份的惟一ID作为属性证书与用户身份证书对应的标识。
(5)一个用户可能存在多个属性证书;属性证书与应用相对应,用户可能在多个应用中都拥有不同的属性证书;也可使用一张属性证书支持多个应用,但用户只拥有一张身份证书。
3.2.3 管理及发布
(1)属性证书由CA认证中心负责签发、发布。
(2)应用单位需要架设安全网关和属性证书验证服务器,安全网关负责对用户身份证书进行验证,属性证书验证服务器负责对用户属性证书进行验证和解析,并保障属性证书与身份证书之间的正确对应。
(3)应用单位可通过架设管理终端,实现在CA的属性证书服务器上对本单位用户属性证书的管理和维护,如属性证书更新、废除、冻结、解冻、延期等。
(4)应用单位在设置管理终端操作后,CA的属性证书服务器将更新内容发布到应用单位的属性证书验证服务器上。
3.2.4 应用流程
(1)用户用数字证书登录应用系统
登录采用标准HTTPS协议、常见的客户端程序如IE等都支持此协议,此处不再介绍。
(2)应用服务器登录流程
应用服务器登录流程是:从安全网关中获取数字证书,将该证书转到属性证书验证服务器,并获取该数字证书相对应的属性证书,从属性证书中解析出用户身份,并根据策略判断用户是否合法,并将结果返还给客户端。流程图如图7所示。
3.3 点对点交叉认证方案
以上海数字认证中心(上海CA)和浙江数字认证中心(浙江CA)为例,CA点对点的交叉认证互签工作是指:使用浙江的根CA对上海的根CA密钥进行签发,同时使用上海的根CA对浙江的根CA密钥签发。浙江CA用户与上海CA用户在网络信任体系统中相互通讯的信任路径如图8所示。
4 结束语
本文介绍了网络信任体系中的PKI应用技术,并提供了几个PKI技术拓展应用方案。PKI涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题,是相关技术、应用、组织、规范和法律法规的总和,其本身就是国家综合实力的体现。加强对PK/应用技术的深入研究对网络信任体系的建设、推动互联网发展、保障交易安全、推动电子政务和电子商务的发展有着至关重要的作用。