數字證書管控系統在能源行業的應用

◆陳冠勝 吳樹強

（廣東電網有限責任公司肇慶供電局 廣東 441200）

數字證書管控系統在能源行業的應用

◆陳冠勝 吳樹強

（廣東電網有限責任公司肇慶供電局 廣東 441200）

在越來越嚴峻的信息化安全管理的形勢下，PKI/CA數字證書管理系統作為能源企業信息安全基礎設施，利用技術手段確保證書的可控、可視化的管理要求，保證業務決策的準確開展，從而在用戶體現上、業務管理上等方面提供更好的信息安全服務。

PKI; 數字證書; 管控系統; 能源行業

0 前言

隨著能源需求的急劇增加和經濟信息全球化的逐步加深，能源行業系統（如：電力、石油、鋼鐵、水利等）也隨著信息技術飛速發展。社會經濟和信息時代的推進使得安全生產問題越來越成為社會各界關注的焦點，能源行業系統的穩定更是關系到國家安全和社會的穩定。

近年來，隨著能源行業的信息化基礎建設和應用推廣的不斷深入，其信息化水平不斷提升，PKI數字證書應用的范圍越來越廣。身份認證技術是保證信息系統安全的第一道屏障，PKI數字證書是一種符合數據傳輸和身份認證的安全機制，它的安全環境建立在密碼學之上，并作為一項有效的工具，提供在Intranet、Extranet及Internet網絡環境間交換數據的信任基礎。因為PKI體系結構在數據傳輸的安全性方面獨具優勢，可以靈活地應用于數據交換和身份認證之中。在保障PKI/CA系統高效、穩定、可靠運行的同時，對于PKI/CA證書的精細化管理要求也顯得愈加迫切[1][2]。

基于以上，一方面需要建設一套行之有效的系統進行證書使用業務數據的挖掘分析，加強業務行為的管理; 另一方面也需要完善客戶端證書使用情況的監控要求，以最大限度地滿足終端用戶和管理安全的要求。

1 技術基礎與需求分析

1.1 術語定義

（1）[PKI/CA]

PKI：Public Key Infrastructure，公鑰基礎設施，是采用非對稱密碼算法和技術來實現和提供安全服務，并具有通用性的安全基礎設施，是一種遵循既定標準的安全身份基礎管理平臺。

CA：Certificate Authority，證書簽發中心，發放、管理、廢除數字證書的權威機構。

KMC：Key Management Center，密鑰管理中心，負責數字證書加密密鑰的生成和管理。

RA：Register Authority，證書注冊中心，提供證書申請、下載、注銷、更新等各項業務的服務。

LDAP：Light Directory Access Protocol，輕型目錄訪問協議。

（2）[USB-KEY]

USB-KEY是一種通過USB（通用串行總線接口）直接與計算機相連、具有密碼驗證功能、可靠高速的小型存儲設備。

（3）[CSP]

英文全稱Cryptographic Service Providers，即加密服務提供者，是實現真正的加密服務的獨立的模塊。

（4）[CPS]

CPS（Certification Practice Statement）也叫認證運作規范，是關于認證機構在全部數字證書服務生命周期中的業務實踐（如簽發、吊銷、更新）所遵循規范的詳細描述和聲明。

（5）[UAM]

統一用戶管理系統是業務單位所有應用系統標準化的用戶管理基礎設施，它集中管理著所有應用系統的用戶，包括用戶帳號的統一管理、用戶屬性的統一管理以及用戶整個生命周期的管理，并為各個應用系統提供安全的服務與支持。[3][4]

1.2 需求分析

由于傳統的PKI/CA系統存在缺乏管理便捷性和缺少信息統計等功能，給管理工作帶來了諸多不便。通過完善PKI系統，可以最大限度地滿足業務需求,從而在實質上解決證書混亂的問題。

（1）實現對證書用戶客戶端的環境的管理和維護，包括環境自檢、程序更新、客戶端數據采集等;

（2）系統可采集PKI/CA系統的證書業務數據，實現證書全生命周期自主管理;

（3）對證書用戶使用情況查詢和統計，能自定義查詢條件，形成相應的數據報表;

（4）系統可采集證書登陸應用的日志，實現對證書用戶使用進行管理，并可取得證書使用的詳細報告和審核跟蹤;

（5）系統支持客戶端的自動化維護，支持相關組件的在指定范圍內自動升級與更新;

（6）服務端證書管控平臺可實時或周期收集客戶端業務信息，并通過相關報表予以展現;

（7）系統可按照單位或部門進行分級分層管理。

2 系統整體方案

2.1 系統結構設計

圖1 系統結構設計圖

如圖1所示，數字證書管控系統的實現依賴于PKI/CA系統，用戶端的證書來源于PKI/CA系統。客戶端軟件需要調用CSP助手程序，包括USBKEY驅動程序。用戶名信息來源于用戶集中管理UAM系統、LDAP服務器和客戶端。

2.2 系統功能架構圖

圖2 數字證書管控系統架構

如圖2所示，系統拓撲主要組件說明如下：

（1）客戶端程序

Thanksgiving falls on the fourth Thursday of November, a different date every year.The President must proclaim that date as the official celebration.

客戶端程序與USBKEY驅動程序和CSP小助手一起安裝在用戶客戶端上，支持USBKEY環境自動檢查、支持USBKEY驅動升級更新和CSP小助手程序的升級更新、支持用戶自助進行證書到期提醒和更新、支持USBKEY遠程解鎖等功能。

（2）服務端平臺

服務端為數字證書管控管理軟件，該層包含表示層、業務邏輯層和數據接口。

表示層：主要是對系統相關業務數據以報表的形式進行展現，同時提供交互頁面進行數據的配置，通過管理頁面和查詢界面供管理員進行相關業務數據的查詢、統計和分析。

業務邏輯層：該層包括USBKEY用戶端管理、證書使用的業務信息查詢統計分析、系統管理等功能。USBKEY用戶端管理包括USBKEY的解鎖功能，支持USBKEY故障的管理; 證書使用的業務信息查詢統計分析包括發證信息查詢、證書客戶端查詢、用戶證書應用查詢、證書客戶端管理和維護等。

數據訪問層：該層主要包括通過與其他業務系統的數據交互接口，對PKI/CA系統的證書數據、客戶端的業務數據進行采集，通過數據庫進行存儲。

（3）數據采集接口

數據采集接口用于收集相關業務數據，該接口包括用戶客戶端日志、用戶集中管理UAM系統、LDAP接口等。根據客戶端接口采集登錄、密鑰使用等情況以及客戶端信息收集，UAM接口實現組織關系收集，用戶關系收集以及權限情況判定。

3 成果價值

能源行業在PKI/CA平臺基礎上，通過建設數字證書管控系統，可很好解決PKI數字證書管理混亂的問題，減輕管理人員的工作負擔，提高工作效率。數字證書管控平臺具有對證書客戶端的使用監控、管理和維護功能，實現對證書的使用進行查詢、分析和統計，對信息系統整體安全防護和管理水平的提升提供了有效的手段。

（1）實現了用戶數字證書監控管理創新建設。數字證書管控平臺的用戶證書業務查詢、統計與分析等功能，給管理人員提供了更直觀、可視化的業務展現數據。同時系統提供多角度的數字證書應用情況的分析報表，可動態監控證書應用的薄弱環節、以便有針對性強化信息安全管理,利于對證書業務的管理和決策。

（2）大幅提升了工作效率。通過客戶端程序對用戶使用環境進行自動檢測功能，管理人員可通過管理平臺可實時收集客戶端的報障信息，及時高效定位和解決故障問題。

（3）提升用戶自主解決問題的能力。通過證書管控系統的自檢功能，用戶在使用證書遇到問題時自主恢復操作的能力得到提高，可保證業務的正常開展，大大減輕系統管理人員工作負擔。

（4）數字證書管控系統可實現能源企業內部數據的安全共享，所有證書用戶基于USBKEY的業務都在數字證書管控系統得到了體現，提高了PKI/CA系統作為安全基礎設施的利用率，充分體現了信息化建設的優勢。

（5）通過實踐，可總結出了一套行之有效的工程建設組織管理辦法，為本行業的安全體系建設提供現實的參考依據。

4 結論

能源行業信息系統是我國重要的信息系統,能源系統的安全問題會直接影響到國計民生,甚至關乎國家安全。在PKI/CA平臺基礎上,通過建設PKI用戶數字證書監控管理系統,可很好解決PKI數字證書目前管理混亂的問題,為信息系統提供有力的安全保障。

通過開發數字證書管控系統，可大范圍進行證書業務的集中審計：通過全面、立體的監控手段，完成證書業務整個使用過程的記錄和審計，完成各個用戶的日志記錄和審計，是電力企業信息安全管理要求，同時也具有重大的建設性意義。

[1]吳杰芳.淺談PKI技術及應用.信息科技，2009.

[2]余勇，林為民，何軍.電力數字證書服務系統的設計及應用.電力系統自動化，2005.

[3]劉敬峰.基于目錄服務的統一用戶管理平臺設計與實現.電子科技大學，2009.

[4]常亮.基于工作流的統一賬戶管理平臺.武漢理工大學，2012.