PKI技術新進展及其在林草系統中的應用

文/馮戈

在PKI系統中，由數字認證機構（Certif icate Authority，CA）簽發數字證書，綁定PKI用戶的身份信息和公鑰；PKI依賴方（Relying Party）能夠可信地獲得用戶的公鑰，從而實現身份鑒別、機密性、完整性、不可否認性及密鑰管理等核心安全服務。近年來，隨著PKI系統在智能移動平臺、SSL/TLS以及大規模網絡中的推廣應用，其技術研究又取得了很多新的進展。

在國家林業和草原系統的信息系統中，基于PKI系統開發了包括應用層的各種應用、基于智能移動設備的安全應用，也包括大量應用的基于SSL/TLS協議的網關應用。為了增強網關應用的安全性，本文在PKI技術新進展中對SSL/TLS協議與證書驗證以及Certif icate Transparency技術進行了重點論述。作者有幸參與了對國家林業和草原局PKI系統進行國產SM2橢圓曲線算法、SM3摘要算法、SM4國密分組算法等相關升級改造，本文以升級到符合國家標準的SM2算法為例，提出國產化升級改造技術方案，并重點對升級過程根密鑰的遷移、多類型證書兼容等關鍵環節進行了設計。

1 PKI技術新進展

1.1 SSL/TLS協議與證書驗證

近年來，SSL/TLS協議得到了十分廣泛的應用，各種云計算服務的網絡連接都在使用SSL/TLS協議。在SSL/TLS協議中，客戶端會在線接收服務器證書，在證書驗證通過后，使用證書中的公鑰與服務器進行密鑰協商，以保護后續數據通信。

1.2 Certificate Transparency技術

目前針對SSL/TLS協議的攻擊主要集中在服務器證書驗證這個環節。HTTPS網站的身份認證是通過證書信任鏈完成的，瀏覽器從站點證書開始遞歸驗證父證書，直至出現信任的根證書，其中根證書列表一般都內置在操作系統中。

Certif icate Transparency整套系統由三部分組成：證書日志服務器；證書監控服務器；證書審計服務器。證書所有者或者CA都可以主動向Certif icate Logs Server提交證書，所有證書記錄都會接受審計和監控。顯然，Certif icate Transparency的基本技術思路是使CA證書簽發服務成為可公開審計的操作，只有經過審計的服務器證書才會被SSL/TLS客戶端接受。

2 PKI國產化升級改造方案

2.1 國家林業和草原局PKI系統及應用現狀

國家林業和草原局身份認證系統，主要組成設備和系統有：證書認證中心CA、目錄服務系統LDAP、密鑰管理中心KMC、證書注冊中心RA、身份認證網關、電子簽章系統等。整個系統采用多層架構體系及模塊化結構，具有較好的功能及數據可擴充性和可維護性。

2.2 國家林業和草原局PKI國產化升級內容

此次國產加密算法的升級主要包括兩個部分，一是CA系統核心軟件部分算法的升級，要求保證其能支持SM2算法的數字證書；二是證書應用支撐系統的升級，如身份認證網關、電子簽章系統，要求保證支持SM2算法的證書可以方便地和應用系統整合。

2.3 升級關鍵環節設計

對于支持雙算法的身份認證系統升級，關鍵環節是保證原系統數據的可靠遷移，且不影響現有的業務，主要涉及以下方面：

2.3.1 根密鑰遷移

密鑰管理中心密鑰數據采用原有加密機主密鑰數據進行解密，解密后的密鑰數據再用新加密機系統的主密鑰加密后存儲到數據庫中。

2.3.2 證書數據遷移

將原有身份認證系統全部數據遷移到新系統中，主包括管理員、用戶注冊、證書、證書模板、日志等信息。

2.3.3 多類型證書兼容

應用安全模塊中的客戶端和服務端，其程序及接口同時兼容新舊證書。實現過程將原有的客戶端控件嵌入到瀏覽器和其他的客戶端程序中，以基于CSP接口的形式存在。

2.3.4 原有證書應用

證書驗證包含服務端和客戶端驗證，在新舊證書共存時，在SSL網關新增證書鏈及黑名單，客戶端瀏覽器植入新證書鏈慢慢進行，以此解決過渡期間證書應用問題。

2.4 國家林業和草原局PKI系統應用設想

在現有的各種C/S模式應用以及B/S模式應用中，全面采用升級后的PKI系統提供的各種安全服務，實現身份鑒別、機密性、完整性、不可否認性及密鑰管理，全面使用國產化算法保證信息系統的安全。針對當前林業和草原系統的內部網站等應用，提升其證書及其相關安全服務應用水平。針對當前各種移動智能設備廣泛應用的實際情況，加大使用升級改造后PKI系統的新型安全應用開發力度，以滿足廣大林業和草原管理人員對信息系統的更高要求。

3 結束語

本文對PKI技術的新進展進行了分析研究，作者認為這些研究成果對于如何提升國家林業和草原系統中使用SSL/TLS協議的各種安全網關及Web服務器的安全性具有重要的指導作用。在國家林業和草原局PKI國產化算法升級改造中，通過設計保證了新舊系統業務的連續性，對PKI系統在核心信息系統的應用以及對實現國產化替代以增強安全可控性的實踐，對于保障國家重要經濟系統密碼應用安全，保護國家林業和草原資產安全，對提升林業和草原系統安全保障水平具有十分重要的意義。