信息安全公钥基础设施基础知识介绍
- 格式:doc
- 大小:6.32 MB
- 文档页数:28
信任服务体系(PKI部分)建设维豪信息技术有限公司博士王于一、信任服务体系基础知识(一)信任服务体系概述1、信任服务的概念“可信”是电子政务的基本属性,可信的人、可信的服务、可信的应用、可信的设备共同构成可信的电子政务网络。
信任服务的基本特征:●信息的机密性➢各级政府机关之间信息传输的安全保密性,即使别人截获数据也无法得到其内容;➢政府机密信息存储的安全保密性;●信息的完整性➢政府机关之间传输的信息不被篡改;➢政府发布的信息不被篡改,保证信息的权威性;●信息的不可抵赖性➢用户访问过某个网络要签名;➢用户访问过某个应用要签名;➢用户修改了某个文件要签名;➢用户关键行为要作为责任认定的依据;●有效授权➢整个电子政务网上,用户能访问哪些厅委办局的局域网;➢用户能访问哪些厅委办局的应用系统;➢局长、处长分别能访问哪些文件;●身份认证➢为了实现安全通信,首先需要确认对方的身份;➢为了实现信息分发,首先需求确认对方的身份;➢为了实现责任认定,首先需求确认对方的身份。
2、信任服务在信息化中的地位和作用信任服务是信息化建设的基础设施,为便于理解基础设施,以下是电力基础设施和信任服务体系基础设施的比较。
图1-1 电力基础设施图1-2 信任服务体系基础设施信任服务作用:●信任服务解决信息的机密性、完整性、不可抵赖性、有效授权和身份认证问题;●信任服务解决IP网络“无中心、无管理、不可信、不可控、不安全”的问题;●信任服务解决信息孤岛和安全孤岛的问题;●信任服务是实现应用可信互联互通的必要条件;●信任服务是实现信息可信共享和交换的必要条件;●信任服务是实现“全程全网全业务”的必要条件;因此,信任服务是信息化建设的基本保障。
3、信任服务体系建设的必要性●信任服务体系是基础设施,是信息化建设顺利实施的基本保障;●信任服务体系建设是提升政府行政能力的需要;●实现与国办和其他部委/省市可信互联的需要;●国家推动力度之大前所未有;●黑龙江省多个厅委办局电子业务发展迅速,认为由于缺乏信任服务体系已经在一定程度上限制了本部门业务的发展;●黑龙江省在网络、应用、网站建设等方面已经有非常好的信息化建设基础,如果与信任服务体系结合,将使本省电子政务建设迈上一个新台阶,并为其他省市电子政务建设提供示范。
4、信任服务体系的发展趋势●第一代信任服务体系的回顾第一代信任服务体系以对称密码技术为基础,以预共享密钥为手段,主要用于通信的机密性、完整性和身份识别等问题。
第一代信任服务体系在非对称密码技术出现以前的一段漫长过程,在政治、军事、金融等重要领域发挥了重大作用,但它无法解决行为的不可抵赖性等问题,只能在一个相对较小的范围和领域内使用,就其安全特性而言,无法满足大规模应用的需求。
●第二代信任服务体系的回顾第二代信任服务体系在继承第一代信任服务体系的基础上,以CA为核心,解决了面向局部应用的身份认证问题,以及信息的机密性完整性,不可抵赖性等问题。
第二代信任服务体系在电子商务领域有许多成功应用,如以第二代信任服务体系为基础提出了网上工商、网上银行、网上证券等概念;但其与应用深耦合,且无法彻底解决“两无三不”问题(无中心、无管理、不可信、不可控、不安全),无法满足全程全网全业务的需求。
●第三代信任服务体系面向“全程全网全业务”,构建一个真正的基础设施,对网络提供可信接入支撑,使之成为可信的网络,对应用提供可信注册支撑,使之成为可信的应用。
5、国外信任服务体系现状分析●国外部署最多的是以CA为核心的信任服务体系●VeriSign公司、Entrust公司等在很多地区建设了以CA为核心的电子商务信任服务体系●联合身份管理(Federated Identity Management,FIM)类似于第三代信任服务体系联合身份管理是在用户越来越频繁的在属于不同组织的信息系统之间移动的背景下出现的,其目标是减少组织与大量合作组织之间建立信任关系所需的开销,从而以较低的成本来满足用户对于跨越组织边界的单点登录需求。
6、国内信任服务体系现状分析中办发[2003]27号文件针对信息安全保障,明确提出要“加强以密码技术为基础的信息保护和网络信任体系建设,要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”,其原理如下图所示。
图1-3 网络信任体系原理本文主要介绍信任服务体系中的公钥基础设施(PKI)。
●国内已建设信任服务体系绝大部分属于第一代和第二代信任服务体系●部分领域(如政务内网)正在部署第三代信任服务体系;●第三代信任服务体系建设正在成为我国信息安全发展的方向。
(二)第一代信任服务体系1、第一代信任服务体系的概念第一代信任服务体系是以对称密码技术为基础,以预共享密钥为手段,主要用于解决外交、军事等方面通信信息的机密性和完整性问题,在一定时间、空间范围内,可以在某种程度上满足用户对信任的需求。
2、第一代信任服务体系的基本特征●以对称密码技术为基础;●信息传输采用同一密钥进行加密和解密;●要求发送者和接收者在安全通信之前共享一个密钥;●安全性依赖于密钥,传输通信的密钥必须保密;●在保证密钥安全前提下,可以部分解决信任的问题。
3、第一代信任服务体系的典型应用协商密钥─共享密钥─明文加密─密文发送接收密文─密文解密图1-4 对称密钥应用4、第一代信任服体系需要进一步解决的问题●行为的不可抵赖性问题;●密钥的大规模安全分发问题;●密钥的安全管理问题;●对用户身份进行强认证的需求。
(三)第二代信任服务体系1、第二代信任服务体系产生背景●第一代信任服务体系在使用范围、使用领域上的限制,无法适应网络信息安全发展的需要;●随着公开密钥技术的发展,为信任服务的进一步发展提供了契机;●网上业务的发展需要解决信息的不可抵赖性问题;●需要解决网上用户的可信身份鉴别等问题。
2、第二代信任服务体系概念(1)第二代信任服务体系总体描述第二代信任服务体系继承第一代信任服务体系的优势成果,以CA为核心,提供实体的可鉴别性、信息的安全机密性、信息的完整性、行为的不可抵赖性等信任服务。
(2)第二代信任服务体系提供的服务●提供数字证书的签发和管理服务;●提供基于数字证书的身份认证服务,包括验证身份的真实性、合法性、有效性;●提供信息的加解密服务。
(3)第二代信任服务体系的基本原理●非对称密钥技术图1-5 非对称密钥技术●数字信封技术图1-6 数字信封技术3、第二代信任服务体系典型结构(1)典型体系结构图1-7 第二代信任服务体系典型结构(2)证书签发系统证书签发系统CA是基于密码技术,以PKI安全中间件提供的安全操作服务为基础,实现数字证书/证书撤销列表的签发、发布以及相关的管理功能。
证书签发系统应具备以下功能:●证书业务服务接收证书审核注册系统的业务请求,提供证书及证书撤销列表的发布、更新查询、暂停、注销和归档等业务服务,提供证书策略配置功能。
●证书签发功能提供证书及证书撤销列表的签发功能。
根CA系统的数字证书/证书撤销列表由根CA自己签发;用户数字证书/证书撤销列表由本系统的CA签发;下级CA的数字证书/证书撤销列表由上级CA签发。
●源LDAP服务功能提供证书及证书撤销列表的发布功能。
●证书管理功能主要是对系统中各种数字证书及内部设备证书的有关操作进行管理。
提供对证书操作策略的管理,人员证书、设备证书、机构证书的统一管理。
●机构管理功能完成对RA、KM机构配置管理功能,包括机构信息注册、服务URL配置和通讯证书签发等。
(3)密钥管理系统密钥管理系统为密码技术和产品的大规模应用提供支持,主要负责向证书签发系统以及电子政务应用系统提供非对称密钥的管理服务,同时提供特殊密钥恢复功能。
密钥管理系统与证书签发系统按照“统一规划、同步建设、独立设置、分别管理、有机结合”的原则进行建设和管理。
密钥管理系统应具备以下功能:●密钥管理策略的制订与本系统的安全维护。
●密钥的生成、发送、存储、撤销、恢复、查询;●密钥库管理;●密钥管理系统的运行管理,包括密钥管理系统的审计、认证、恢复、统计等系统管理。
(4)证书审核注册系统证书审核注册系统RA接受用户注册审核请求,完成用户数字证书申请的注册受理、管理用户资料,用户数字证书下载、数字证书的撤销、数字证书的暂停与暂停恢复、数字证书的更新等业务操作。
证书审核注册系统RA的核心职责是将用户的证书请求安全可信地提交到证书签发系统CA,等待其签发证书。
证书审核注册系统应具备以下功能:●业务请求受理功能主要包括:证书申请受理、用户证书注销受理、用户证书更新受理等,并将合法申请转发至CA,请求CA为合法用户签发证书。
●用户证书申请注册的身份审核审核内容包括:用户注册信息、证书信息等。
当审核不通过时,自动给用户反馈不成功消息。
进行审核的功能是人工与自动相结合的,若是自动的,则采用的是实时触发机制。
对每次审核记录日志,提供工作量统计,处理跟踪分析,处理异常情况分析。
●证书下载服务用户到注册机构下载证书,支持个别处理和批处理方式发放数字证书。
●证书管理功能提供对证书操作策略的管理,对自身证书、内部管理员数字证书、操作员数字证书的统一管理。
●用户管理完成用户信息注册功能。
用户的基本信息存储在证书审核注册系统中,作为原始档案。
记录用户的业务受理信息,并进行跟踪、监控。
●采用消息机制在证书审核注册系统与证书签发系统之间的通讯采用异步消息机制,通过发送消息队列、接收消息队列机制实现通讯功能。
●证书模板定制功能提供人员证书、设备证书及机构证书模版,用户根据需求,增加扩展属性。
●流程定制功能可以根据业务的需要定制不同的操作流程。
●操作员管理查询、修改RA操作员信息,增加或注销操作员,设置、修改操作员权限。
对RA的管理员(包括系统管理员,业务管理员,业务操作员)信息进行查询、修改、增加、注销、设置权限等。
(5)证书查询验证服务系统证书查询验证服务系统为安全与应用支撑平台、业务应用系统及用户提供证书查询验证服务,包括目录查询服务和证书在线状态查询服务。
证书查询验证服务系统应具备以下功能:●证书和证书撤销列表的发布、更新服务由证书签发系统向证书查询验证服务系统发布、更新证书和证书撤销列表。
●基于LDAP协议的目录访问服务证书查询验证服务系统基于LDAP协议,直接面向用户提供证书查询、证书下载、证书有效性查询及证书撤销列表的下载等功能。
●基于OCSP技术的证书在线状态查询服务用户或应用系统采用OCSP协议,在线查询证书的实时状态,支持各分布式证书查询验证服务系统的数据同步。
图1-8 信任服务体系工作原理图1-9 证书构成4、第二代信任服务体系典型应用目前在电子政务、电子商务和企业信息化建设中,以第二代信任服务体系建设为主,国内有不少以第二代信任服务体系为基础的成功案例,构建了一批网上政府、网上工商、网上银行、网上证券等。