本文详细介绍了格尔PKI平台的RA系统,包括RA在PKI中的作用、功能、架构及其在格尔SRQ15电子证书认证系统中的应用。RA系统负责用户和证书管理,如用户注册、证书签发、更新、废除等操作,确保网络信息安全。系统采用B/S结构,支持大规模用户和并发操作,具有高安全性和透明性。此外,文章还讨论了RA的性能特点、系统配置和日志管理等方面。
PKI体系中的RA系统
摘要:本文以格尔RA为基础,首先讨论了PKI公钥体系,说明了格尔PKI平台产品SRQ15,然后着重介绍了SRQ15中的RA系统。对格尔RA系统的功能进行了分析,对格尔RA系统的架构及开发中所涉及到的技术进行了探讨。最后展示了格尔RA系统的总体效果。
关键字:PKI、RA、SRQ15、CA、私钥、公钥
The Register Authority in PKI System
Abstract:This paper takes the KOAL RA as the foundation, discussing the system of PKI first. Explaining the product SRQ15 of KOAL PKI. Then the paper emphasized to introduce the system of RA in the SRQ15. It carried on the analysis to the function of the KOAL RA system, discussing the technique of structure and developments of the KOAL RA system involved in. Finally, Displayed the effect of the KOAL RA system.
key words: PKI、RA、SRQ15、CA 、public key、private key
1 PKI技术简介
1.1 什么是PKI
PKI(Public Key Infrastructure)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI体系结构,PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看,数据的完整性是指数据在传输过程中不能被非法篡改,数据的有效性是指数据不能被否认。
PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在Internet网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
因此,从大的方面来说,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI的内部运作机制。在一个典型、完整和有效的PKI系统中,除证书的创建和发布,特别是证书的撤销,一个可用的PKI产品还必须提供相应的密钥管理服务,包括密钥的备份、恢复和更新等。没有一个好的密钥管理系统,将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。在一个企业中,PKI系统必须有能力为一个用户管理多对密钥和证书;能够提供安全策略编辑和管理工具,如密钥周期和密钥用途等。
1.2 PKI在网络安全中的作用
建立公钥基础设施的目的是管理密钥和证书。通过PKI对密钥和证书的管理,一个组织可以建立并维护可信赖的网络环境。PKI能够使加密和数字签名服务应用在广泛的应用中。就商业上实现有效的公钥基础设施而言,存在许多需求。首先,如果用户不能从应用中的加密和数字签名中获得益处,那么PKI是没有价值的。因而,对PKI最重要的约束是透明性。透明性意味着用户不必知道PKI是如果管理密钥和证书的,只从加密和数字签名中获得益处就足够了。一个有效的PKI是透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的。
1.3 PKI的组成
PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等都提供了基本的安全服务,从而使那些彼此不认识或相距很远的用户能通过信任链安全地交流。PKI是基于“数字证书”的系统,类似于用户的“电子护照”,即可以通过数字证书作为识别用户身份的依据。一个典型、完整、有效的PKI应用系统至少应具有以下部分:
l 公钥密码证书管理
l 黑名单的发布和管理
l 密钥的备份和恢复
l 自动更新密钥
l 自动管理历史密钥
l 支持交叉认证
由于PKI体系结构是目前比较成熟、完善的Internet网络安全解决方案,国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品,如美国的VeriSign, IBM ,Entrust等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品,为电子商务的发展提供了安全保证。为电子商务、政府办公网、EDI等提供了完整的网络安全解决方案。
1.4 PKI的应用场景
随着网络技术和信息技术的发展,电子商务已逐步被人们所接受,并在得到不断普及。但由于各种原因,国内电子商务的安全性仍不能得到有效的保障。在常规业务中,交易双方现场交易,可以确认购买双方的身份。利用商场开具的发票和客户现场支付商品费用,无须担心发生纠纷和无凭证可依。但通过网上进行电子商务交易时,由于交易双方并不现场交易,因此,无法确认双方的合法身份,同时交易信息是交易双方的商业秘密,在网上传输时必须保证安全性,防止信息被窃取;双方的交易非现场交易,一旦发生纠纷,必须能够提供仲裁。
因此,在电子商务中,必须从技术上保证在交易过程中能够实现身份认证、安全传输、不可否认性、数据完整性。在采用数字证书认证体系之前,交易安全一直未能真正得到解决。由于数字证书认证技术采用了加密传输和数字签名,能够实现上述要求,因此在国内外电子商务中,都得到了广泛的应用。
图表 1中小企业的应用
1.5 PKI的现状与未来
世界各国都十分重视PKI体系的建设与研究, 有的国家的PKI应用已经开始。在PKI技术相对比较成熟的背景下,美国政府在完成大量研究的基础上,已提出了带桥接CA模式的联邦PKI(FPKI)体系,其核心由CA、RA、PMA和CSR组成。FPKI用于支持信息资源的安全共享,为联邦政府部门和其他组织机构使用数字证书技术实现信息系统安全、安全电子商务、安全通信等活动提供了设施、规则和政策。从2000年开始,亚洲范围内的国家也大规模着手研究建设PKI基础设施,被国外称为“导航工程”,宣告着PKI基础架构的正式起航。
我国的PKI建设在几年前就已开始启动。截至目前我国已经建立了50多家CA认证中心,但是各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”,使各证书之间缺乏“互通性”,严重阻碍了PKI技术的发展。
为了解决这一问题,2002年1月,由国务院信息办组织各方面的PKI专家,专门成立了《国家PKI体系研究》课题小组,2002年6月,该课题结束,向国家提交了《国家PKI体系总体框架》研究报告。2003年1月7日,在由中国PKI论坛主办的中国公钥基础设施(中国PKI)战略发展与应用研讨会上,已经规划出了国家级PKI体系结构。那就是从行政上,规划成立国家PKI协调管理委员会(NPCMC),负责制定国家PKI管理政策、国家PKI体系发展规划;监督、指导国家电子政务PKI体系和国家公共PKI体系的建设、运行和应用;具体负责审批CA机构的成立和撤消。
目前,建设国家级PKI体系结构的重要环节:就是筹划建立各级CA机构之间的“桥中心”,从抓CA互连互通的示范工程着手,然后逐渐推广,解决各CA“互不相认”的现状。建立“互连互通”技术体系的根本在于标准化,为此,全国信息安全标准化技术委员会于2002年8月正式成立了PKI/PMI工作组(即信安标委第四工作组,简称WG4工作组),主要负责PKI/PMI标准体系的研究。
我国作为一个网络大国,发展自己的PKI技术是很有必要的。PKI技术作为一项关键的网络安全技术,由于我们还没有成熟的解决方案,这成为了我们的电子政务、电子商务等发展的一大瓶颈。当前,Internet网络的安全应用已经离不开PKI技术的支持。网络应用中的认证、加解密的密钥管理、非否认等服务只有PKI技术才能提供。
2 格尔PKI平台产品及RA
2.1 SRQ15电子证书认证系统
SRQ15电子证书认证系统是格尔公司自主研制的面向大规模证书应用的PKI平台级产品,它符合国家密码管理办公室规范,支持各种通用的国际标准,支持双证书,双中心机制。系统主要提供证书服务,黑名单的的签发服务,证书和黑名单的发布服务,用户注册审核管理服务,在线证书状态查询服务,时间戳服务,并支持分布式多级部署和与其他CA机构的交叉认证,满足具有世界先进水平的CA认证中心系统的全部需求。系统采用相对独立的可伸缩模块化设计,能够能够满足不同规模的数字证书发放管理的需求。PKI是一个用公开密钥技术来实施和提供安全服务的具有普适性的安全基础设施。
图表 2 SRQ15产品体系结构
2.2 SRQ15产品核心流程
图表 3 SRQ15产品核心流程
1. 用户或RA管理员通过证书存储设备构造密钥对,该密钥对将用于生成签名证书。客户端使用该密钥对构造基本证书请求并发送给RA服务器;
2. RA服务器验证用户合法性和用户证书请求是否已获批准,然后根据用户信息、证书基本请求和证书策略构造证书申请请求,并通过安全连接发送给CA服务器;
3. CA服务器验证该请求的合法性,然后通过安全连接向密钥管理中心请求生成用户加密证书;
4. 密钥管理中心接到请求后,从备用库中获取得到加密过的加密密钥对和加密的加密密钥,使用加密机进行解密,生成一会话密钥,使用会话密钥对私钥进行加密,并使用用户签名公钥对会话密钥进行加密。同时将加密的密钥对储存到在用库中;
5. 将加密好的私钥及加密好的加密密钥和公钥一起送还给CA,CA服务器根据证书策略签发用户签名证书及加密证书,将签发好的证书加密好的私钥及加密好的加密密钥一起送还到RA;
6. RA服务器给客户端返回加密证书、签名证书、加密好的私钥及加密好的加密密钥;
7. 客户端使用签名证书私钥解密得到加密密钥,然后使用加密密钥解密加密证书私钥。客户端安装加密证书私钥及加密证书、签名证书。
2.3 RA系统
2.3.1 用户注册子系统
用户注册子系统负责用户的证书申请、审核和证书下载等。
图表 4用户注册子系统
2.3.2 RA业务主流程
图表 5 RA业务主流程
RA 系统能主要是完成用户证书的注册申请等功能。此外,RA 系统以对用户资料进行管理和维护;提供定义灵活的证书申请、审核流程。
l 进行用户身份信息的审核,确保其真实性;
l 本区域用户身份信息管理和维护;
l 数字证书的下载;
l 数字证书的发放和管理。
CA中心以集中发放证书或网上发放证书为主要发证模式;在这种情况下,用户注册、注册审核、统一发证等各个业务步骤都必须统一化、规范化,这都可以由RA中心来实现;
l 从逻辑结构和业务流程上来看,从操作终端(包括注册、审核、发证等)到RA系统到到CA中心的三层结构,如果省去RA系统,则直接从操作终端访问到CA中心,这不能满足CA系统的安全要求;
l CA系统负责管理和维护属地内证书库以及证书废除列表库;RA系统负责管理和维护属地内用户资料;两者管理的对象不同,安全级别也不同,如果混为一体,则容易造成各类信息管理的混乱;
l 用户注册信息的功能和职责,它还能够管理各LRA及其操作员;对整个RA机构的运营策略进行控制,包括控制LRA的职能权限等,可将审核权利放到LRA实现,也可将审核权限回收到RA审核中心来完成;另外RA审核中心还提供集中发证功能、RA系统日志功能等。
3 RA需求分析
3.1 RA在整个体系中的位置
图表 6 RA在整个体系中的位置
3.2 系统概述
证书认证系统的建设可以保证网络信息通讯安全,保证通讯数据保密性、完整性和不可抵赖性。
RA系统是证书认证系统的组成部分,主要负责处理和用户直接交涉的用户及证书相关的管理业务。RA系统采用B/S结构,由RA服务器和RA操作终端(浏览器)构成。使用人员通过操作终端访问本系统,执行相关操作。
RA系统分为RA总中心和RA分中心两种系统类型,RA总中心是独立的RA系统,RA分中心依赖于RA总中心提供证书功能。为了便于管理,用户和管理员具有机构属性,一个用户或管理员所属的RA机构可以是RA总中心,也可以是RA分中心,或者是RA总中心或RA分中心下属的逻辑RA机构,在逻辑RA机构下还可以有下级的逻辑RA机构。某一RA机构的管理员只能对本机构及下级的用户和管理员进行管理。
3.3 功能简介
RA系统主要负责处理和用户直接交涉的用户及证书相关的管理业务,主要有以下几个流程:
3.3.1 用户RA
3.3.1.1 查询用户
根据自定义条件,查询满足条件的用户信息
3.3.1.2 签发证书
签发用户证书的基本业务流程是:注册用户-> 签发审核-> 签发证书。后一步操作必须在前一步操作成功完成后才能进行。
1
最低0.47元/天 解锁文章
1544
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
