亚洲欧洲精品视频在线观看|精品国产天堂|情侣大尺度激情做爰视频|久久亚洲精品中文|亚洲аv电影天堂网

摘要：分析某單位現有的PKI/CA系統運行情況，針對其存在的問題以及新業務要求，提出一種支持SM2國密算法的PKI/CA系統，可以在不影響業務使用的情況下，實現對基于RSA1024算法的PKI/CA系統進行兼容性平滑升級的目標。描述支持SM2算法的PKI/CA系統的新特性，新PKI/CA系統將全面支持SM2國密證書，從而提升系統安全防護強度；通過PKI/CA系統的升級，實現了應用安全防護體系密碼算法國產化，系統符合相關政策法規要求，提升了單位信息網絡的安全防護能力。

關鍵詞：PKI/CA系統；SM2算法；網絡安全防護

中圖分類號：TP309   文獻標識碼：B     文章編號：1671-2064(2023)20-0057-03

0引言

某單位基于RSA1024算法^[1]的PKI/CA系統支撐已經建成10余年，在多年的使用過程中，逐漸顯現出一些問題和不足。同時，由于軟硬件的快速發展、信息化的持續深入，基于RSA1024算法體系架構的身份認證基礎設施已無法滿足當前新的安全形勢和業務防護要求^[2]。

基于RSA1024算法的PKI/CA系統存在5類問題。第一，業務安全性不足。業務安全性不能得到應用系統的支持，內核心業務應用的業務安全控制能力還需完善。第二，新業務支撐不足。信息系統環境升級對安全服務提出新的需求，需要應對64位操作系統、國產虛擬化、國產操作系統等新的業務訴求。第三，基礎服務仍有缺陷。一些基礎業務應用沒有健全的安全功能，比如門戶系統、郵件系統、安全NAS系統、計算機終端登錄等，依舊存在安全隱患，而這些安全問題是因為缺乏技術支撐導致的。第四，運維管理低效。證書環境和證書介質的正常運行嚴重依賴運維管理人員，一旦出現問題需要運維人員立即前往現場進行排查和解決，效率低下且維護工作量巨大，對運維管理造成很大壓力。第五，審計功能不集中。現有PKI/CA系統中各子系統的審計日志各自為政，并且審計信息和審計內容不全，無法對證書應用情況、終端使用情況和使用效果進行綜合分析及行為軌跡分析。

針對某單位PKI/CA系統問題和新的安全需求，通過建設新PKI/CA系統，實現國產密碼在各個系統中的深度應用，發揮PKI/CA系統在資源訪問控制、數據存儲、數據傳輸、安全審計等方面的支撐作用，建立基于國密的安全生產、調度管理等安全保障體系。

1 PKI/CA技術簡介

PKI的全稱是Public Key Infrastructure，是一種基于公鑰密碼體制的遵循既定標準的安全基礎設施；CA的全稱為Certificate of Authority，是整個證書機構的核心，所有的身份信息都需要通過驗證。PKI/CA可提供密鑰和證書的產生、管理、存儲、分發和撤銷等功能^[3]。PKI/CA作為信息安全基礎設施的一個重要組成部分，是目前解決身份認證、訪問控制、信息保密和抗抵賴性的最好措施，是實現信息安全三要素——保密性、完整性、可靠性的有效手段。

PKI/CA技術的關鍵是公鑰密碼算法，利用非對稱密碼算法實現兩個實體間通信過程的數據加密和身份認證功能^[4]。A想要和B秘密通信時，只需用B的公鑰對明文加密，B接收到密文后，用自己的私鑰解密就可以得到明文。其他人因為不知道B的私鑰，所以無法解密明文，數據加密功能如圖1所示。

圖1 數據加密

身份認證是借助密鑰可實現與手寫簽名作用相同的功能，A使用自己的私鑰對消息進行簽名，然后將結果發送給B，B收到消息以后，使用A的公鑰進行驗證。只有擁有相應私鑰的用戶，才能產生可驗證通過的消息，所以A事后不能否認自己的簽名，身份認證功能如圖2所示。

圖2 身份認證

2基于國密算法的PKI/CA系統

針對現有情況，新系統建設主要通過升級CA基礎設施中心和PKI應用安全支持中心，以提供更全面、更完善的身份認證服務。同時，要充分保護先前的投資，基于國密算法的PKI/CA系統需支持原有的滑動指紋器。升級改造期間，在原有認證系統繼續提供服務的基礎上，逐步實現新老系統的平穩過渡^[5]。

2.1 系統建設部署

（1）在一地建立一套新的、完整的PKI/CA系統，并在另一地部署輔助RA系統、從LDAP系統、OCSP系統，輔助RA系統負責實現該區域本地證書制作。

（2）同步升級CA證書管理中心的加密機，在硬件層面確保新的證書認證系統支持SM2算法。

（3）建設證書在線狀態查詢系統（OCSP），遵循OCSPv1標準協議，通過與LDAP目錄服務系統的連接，實現證書、用戶注冊信息的實時查詢和驗證。

（4）建設證書安全綜合審計系統，該系統能將IT用戶信息、身份信息、訪問信息進行統一收集、集中分析，通過多種方式展現在用戶面前，解決原PKI/CA系統審計困難的問題，降低運維人員日常管理難度的同時，也可以為領導層進行信息化安全規劃提供決策依據。

（5）搭建證書綜合管理服務平臺，平臺可以使用戶在客戶端直接進行證書延期、介質解鎖、證書環境檢查及修復工作。避免用戶因證書介質更換產生不便和業務中斷的問題。

（6）搭建新的安全認證網關，該網關可以同時支持新CA證書鏈和舊CA證書鏈，確保新證書和舊證書都可以訪問應用系統，保證原有業務的連續性。

（7）升級終端安全登錄系統，將某單位現有單機版終端安全登錄系統改造為網絡版，從而通過服務端實現對本園區終端PC保護的全程監管，滿足集中審計、統一策略管理的需求，符合新資質要求。

（8）搭建證書綜合管理服務系統，現有指紋器因年限已久，無法滿足升級后對國產密碼算法的支持。為了充分利用原有資源，采用密鑰分割的方式將國密證書分成兩部分，一部分存放在客戶端，一部分存放在終端密碼安全系統服務器。應用證書時將兩部分組成一張完整的證書，以保證證書的安全性和唯一性。既確保升級后原有指紋可以得到沿用，又能滿足集團公司對國產密碼算法的要求。

為了最大化利用服務器資源，節約運營成本。將CA證書管理中心、主LDAP服務器、KM密鑰管理中心部署到一臺服務器內，負責制作、簽發數字證書和證書注銷列表，管理密鑰等功能；RA和從LDAP部署到一臺服務器內，負責證書申請、發布證書黑名單等功能；將證書安全綜合審計系統、證書在線狀態查詢系統、證書綜合管理服務系統部署至一臺服務器內，提供實時的證書狀態查詢服務、數字證書自助管理服務和面向數字證書的行為審計服務。兩地的PKI/CA基礎設施平臺通過租用的網絡專線進行互聯。新PKI/CA系統部署設計如圖3所示。

圖3 CA架構圖

2.2 SM2算法應用基礎

國家密碼管理局于2010年12月17日發布了SM2橢圓曲線公鑰密碼算法^[6-7]，SM2算法和RSA算法都是PKI/CA系統普遍采用的公鑰密碼算法，SM2算法相較于RSA1024算法是一種更先進安全的算法，在我國商用密碼體系中被用來替換RSA算法。從當前的應用模式分析，算法升級對現有架構的沖擊不只局限于應用層如何支持新算法，更迫切的問題是底層硬件設備如何支持新算法，操作系統調用接口以及中間服務層如何保證在適配新算法的同時，對上層應用提供服務的模式不變。

目前，調用方式為硬件介質通過KEY驅動向上提供RSA算法接口，應用層通過調用操作系統提供的CSP組件即可調用RSA算法接口。新PKI/CA系統仍舊采用“應用-CSP-算法接口-驅動-硬件介質”的調用關系，通過CSP層支持SM2算法接口層，對上層的應用接口保持改變，對于各個應用系統來說，本次升級是“無感”的，這為后續整個體系的升級打下良好基礎。底層算法替換如圖4所示。

圖4 底層算法替換

通過以上方式，從底層完成算法替換的核心工作，但是該方式會使用戶多持有一個支持SM2的指紋key，用戶可能要同時使用兩個指紋器進行工作；鑒于目前用戶的信息化知識參差不齊，且已經習慣一個key通用的使用方式，采用兩個key的方式會增加用戶的使用難度，管理兩個key也會增加遺失的風險。因此，此次升級采用基于雙算法的key實現，同時兼容CSP和SM2接口以解決該問題。支持雙算法key的調用流程如圖5所示。

圖5 支持雙算法key的調用流程

3系統建設收益

某單位建設的基于國密算法的PKI/CA系統上線運行將近一年，在這期間對多項指標進行監控，基于國密算法的PKI/CA系統在業務支撐、基礎服務、運維管理等方面呈現進步趨勢，具體體現如表1所示。

表1 PKI/CA系統升級后指標對比

指標名稱	基于RSA1024算法PKI/CA系統	基于國密算法的PKI/CA系統
支持的算法種類	RSA1024	SM2算法
算法強度	RSA1024密鑰有被暴力破解風險	SM2算法密鑰幾乎無法破解
獲取證書狀態	黑名單（CRL）吊銷列表一個月發布一次，在發布窗口期，應用系統無法及時感知用戶身份的真實狀態，具有安全性風險	支持實時證書狀態查詢，實現即銷即停的安全管理
業務支撐	不支持國產操作系統、國產虛擬化、64位操作系統等	對主流國產操作系統、虛擬化平臺和64位操作系統具有較好的支持
日志審計	各子系統的審計日志各自為政，審計信息以及審計內容不全	采用面向數字證書的行為審計，將發證信息、登錄信息、訪問信息等進行統一收集、集中分析
運維管理	用戶簽發、延期、吊銷證書等操作需要攜帶指紋器至運維機構進行人工方式完成業務，效率低下	支持密鑰的自助簽發、更新、銷毀等操作，降低運維管理難度和工作量
是否符合新標準的要求	不符合	符合

無論是在安全防護能力、新業務支撐能力還是高效運維管理等方面，新建設的基于國密算法的PKI/CA系統相較于基于RSA1024算法的PKI/CA系統有了很大提升。這一套支持SM2密鑰算法的PKI/CA數字證書系統具有高可用、高效運維、高安全防護的特點，并且在升級期間通過多證書鏈技術、支持雙算法指紋器等手段實現了新舊系統的平滑過渡。

4結語

以PKI/CA升級項目為背景，分析了基于RSA1024算法的PKI/CA系統在業務安全、新業務支撐、基礎服務和運維管理等方面的缺陷和不足，有針對性地設計了一套基于國密算法的PKI/CA系統，滿足了國家密碼管理局新標準的要求。通過PKI/CA升級和后續相關安全產品的建設，實現了應用安全防護體系密碼算法的國產化，符合相關政策法規要求。新系統使某單位的信息化系統整體安全性得到提升，安全防護措施邁向自主可控、合規運行的新臺階。

參考文獻

[1] 唐蓉,周瑜平,葉小鶯,等.基于RSA算法特性的安全性研究[J].電子設計工程,2023(2):164-168.

[2] 郁建.CA系統支持國密SM2算法改造研究[J].信息技術與應用, 2013(3):167.

[3] 馬建紅,牛麗萍.PKI技術與應用[J].新鄉師范高等專科學校學報,2003(5):24-26.

[4] 孫美青,王如龍.PKI技術及其在企業中的應用[J].計算機系統應用,2009,18(7):141-145.

[5] 王勇,岑榮偉,郭紅,等.國家電子政務外網電子認證系統SM2國密算法升級改造方案研究[J].理論研究,2012(10):83-85.

[6] 汪朝暉,張振峰.SM2橢圓曲線公鑰密碼算法綜述[J].信息安全研究,2016,2(11):972-982.

[7] 魏珊珊,韓慶敏,郭肖旺,等.基于國密算法的PKI在工控系統中的應用研究[J].計算機與現代化,2018(11):1-6.

PKI/CA System Upgrade Based on National Secret Algorithm

GAN Ying

(China Helicopter Research and Development Institute, Jingdezhen  Jiangxi  333001)

Abstract:Analyze the operation of the existing PKI/CA system of a certain company, in view of its existing problems and the requirements of new services, a PKI/CA system supporting SM2 national secret algorithm is proposed, which can achieve the goal of smoothly upgrading the compatibility of PKI/CA system based on RSA1024 algorithm without affecting business use. The new features of the SM2 algorithm are described, and the new PKI/CA system will fully support the SM2 secret certificate,thereby improving the strength of system security protrction; Through the upgrade of the PKI/CA system, the localization of the application security protection system cayptographic algorithm is realized, and the system meets the relevant policies and regulations, and the security protection capability of the company information network is improved.

Key words:PKI/CA system;SM2 algorithm;network security protection