开篇:润墨网以专业的文秘视角,为您筛选了一篇数字认证体系在电力企业中的建设实践范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 通过在电力企业推广使用PKI数字认证技术,有效防止信息系统中假冒身份、篡改信息、越权操作、否定责任等问题,构建电力企业可信网络环境。本文以内蒙古电力公司建立数字认证体系为例,阐述了PKI基础技术和数字认证体系的组成部分,重点分析了CA基础设施、PKI应用支撑体系和运行服务体系的内容。
【 关键词 】 电力企业信息化;PKI;CA基础设施
Digital Certification System in the Construction Practices Power Enterprises
Ao Wei Guo Wei
[1. Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner Mongolia Hohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080]
【 Abstract 】 PKI digital certification technology used in the power enterprises to promote,that prevent fake identity, tampering with information,ultra vires action to deny responsibility in the information system,in order to build a trusted network environment.Inner Mongolia Power Company to establish digital certification system as the example,elaborated PKI technology and digital certification system, focusing on analysis of CA infrastructure, PKI application system and run service system.
【 Keywords 】 power enterprise information; PKI; CA infrastructure
1 引言
电力行业是关系到国计民生的基础性行业。我国电力行业的信息化建设得到了快速的发展,解决信息化建设过程中的信息安全问题尤为重要。
内蒙古电力公司是国家电力基础设施的重要组成部分,信息系统在内蒙古电力公司业务运转中的应用越来越广泛,在业务运作过程中生成大量的数据,信息安全成为内蒙古电力公司信息化建设中的重要组成部分。
2 电力企业信息化建设现状
电力企业信息化是指计算机技术、信息技术及自动化技术等现代科学技术在电力企业应用全过程的统称。我国电力行业的信息化建设从20世纪60年代初开始到目前已经成为电力生产、建设、经营、管理、科研、设计等领域的重要组成部分。内蒙古电力公司IT系统经历多年的建设,已经完成覆盖全区各供电企业的广域网系统、网络安全系统等通信平台的建设。
3 电力企业信息化建设的安全需求
内蒙古电力公司在企业各个应用系统的互通互联趋势下,尤其在局域网接入广域网后,基于网络的众多电力信息应用系统面临着巨大的网络信息安全威胁包括:如何确认彼此的身份?如何保证信息通过互联网传递时不被窃听,不导致信息泄漏?如何保证信息通过网络传递时不被篡改,使信息完整传输?如何让不能抵赖自己发送的信息,有怎样的证据?这些都是电力企业信息化建设过程中必须解决的问题。
为应对解决上述信息安全问题,内蒙古电力公司需要通过建设基于PKI的数字认证系统,为内蒙古电力公司的信息化建设提供CA基础设施安全基础保障,提供强身份认证以及加密、解密、签名、验签等PKI应用支撑体系的安全功能。最终达到有效防止假冒身份、篡改信息、越权操作、否定责任等问题,构建企业网络信任体系的目的。
4 基于PKI的电力企业数字认证体系建设
4.1 相关技术
4.1.1 PKI基础技术
PKI是“Public Key Infrastructure”(公钥基础设施)的缩写,PKI技术是在公开密钥理论和技术基础上发展起来的一种综合安全台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI基础技术包括信息加密、数字签名、数字证书认证、数字信封等。
4.1.2 信息加密技术
密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如DES算法)和非对称密钥技术(也叫公开密钥技术,如RAS算法)。
4.1.3 数字签名技术
数字签名(Digital Signature)技术是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。
4.1.4 数字证书认证技术
数字证书是由证书授权中心即CA中心分发并签名,能够提供在网络上进行身份验证的一种权威性电子文档,人们可以在网络交往中用它来证明自己的身份和识别对方的身份。CA是Certificate Authority的缩写,即证书授权,是证书的签发机构,它是PKI的核心。
4.1.5 数字信封技术
数字信封是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中,信息发送方采用对称密钥来加密信息内容,然后将此对称密钥用接收方的公开密钥来加密之后,将它和加密后的信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开加密信息。
4.2 数字认证系统建设
4.2.1 系统总体框架
内蒙电力公司数字认证体系的框架包括CA基础设施、PKI应用支撑体系、运行服务体系、组织管理体系及管理规范和安全管理体系五部分组成,如图1所示。
(1) CA基础设施:CA基础设施是数字认证系统面向其内部用户提供服务的基础,它提供数字证书的生产、运营、管理等基础服务。
(2)运行服务体系:包括建立内蒙古电力公司数字证书服务平台、数字证书服务和CA基础设施运维。数字证书服务平台为公司用户提供方便、快捷、高效的数字证书全生命周期服务;数字证书服务方案包括建立服务交付和服务支持两方面的业务支撑系统运行。
(3)PKI应用支撑体系:PKI应用支撑体系包括数字身份管理系统和PKI应用中间件系统。数字身份管理系统主要实现内蒙古电力公司的数字身份的全生命周期管理以及基于数字身份的授权管理; PKI应用中间件系统主要为内蒙古电力公司各业务应用系统提供强身份认证、签名、验证等应用服务。
(4)组织管理体系及管理规范:根据内蒙电力公司的组织结构制定数字认证系统运行服务的组织管理体系,确定服务管理的人员、组织架构、职责等;然后根据系统运行服务的实际需要,制定出一整套能够满足内蒙古电力公司业务开展需要的管理规范。
(5)安全管理体系: CA中心从物理环境、网络通信、人员权限管理、日志审计、数据安全、设备安全、策略安全等各个方面入手,建立具有高可靠性、高安全性、能够有效应对危机的数字认证服务。
以下重点对前三个部分作详细介绍。
4.2.2 CA基础设施
(1) 认证体系规划
CA认证体系划分的依据是不同信任等级的不同信任域。信任的级别的区分来自于客户群、鉴证手段、应用范围、互联互通、责任风险等多种因素影响。划分认证体系中的根CA和二级CA,目的是将不同安全信任等级的用户群区分开来,在应用端可以依据证书颁发者根CA/二级CA的不同,区别对待不同信任等级的用户。
内蒙古电力公司数字认证体系在公司内部服务根CA下,由于分别需要针对内部员工、部门、内部设备签发证书,而这二者用户群不同,应用范围不同,受信任的程度也不同,因此划分为两个二级CA。
内部信任域规划为一个内部RootCA,两个二级CA:
* 内部CA为内部员工及部门签发证书;
* 内部设备CA签发的证书类型包括邮件安全证书、Web服务器证书、VPN设备证书、程序代码签名证书、时间戳服务器证书等。
(2) 数字证书
①证书种类 系统发放的证书类型包括CSS/RA证书、系统管理员证书、加密证书、签名证书、邮件安全证书、Web服务器证书、VPN设备证书、程序代码签名证书、时间戳服务器证书、交叉认证证书以及用户自定义的各类证书。
②证书格式 证书符合ITU X.509 V3格式,证书撤消列表符合ITU X.509 V2标准,证书存储格式支持Base64、DER、PKCS#7等格式。
③证书载体 Usb Key:基于PIN码认证的Usb Key自带算法、CPU计算单元,保证保存在Usb Key中的私钥不被拷贝,支持指纹验证。
(3) CA系统总体结构
CA系统主要包括根CA、CA签发系统、RA注册管理系统、KM系统、证书状态查询系统和LDAP目录服务系统。
①根CA:内蒙古电力公司CA系统的信任源头。负责签发运行CA,制定整体的认证策略。
②CA签发系统:提供CA认证系统的核心服务,负责数字证书的签发。
③RA注册管理系统:主要负责提供用户证书业务服务,进行录入、申请、审核及制作证书。
④KM系统:主要负责密钥生成、密钥分发、密钥更新、密钥撤销、密钥恢复、密钥归档、密钥备份和恢复等用户加密密钥生命周期管理功能。
⑤证书状态查询系统:负责接受OCSP服务请求,并将服务请求转发到CA管理系统,CA管理系统根据请求到CA数据库查找用户证书即时状态,并使用CA加密机对返回的消息进行数字签名,通过证书状态查询系统返回到请求者。
⑥目录服务系统(LDAP):为用户提供证书和证书撤销列表查询服务。
4.2.3 PKI应用支撑体系
PKI应用支撑体系包括数字身份管理系统、PKI应用中间件系统和PKI应用集成规范。数字身份管理系统主要实现内蒙古电力公司的数字身份的全生命周期管理以及基于数字身份的授权管理; PKI应用中间件系统主要为内蒙古电力公司各业务应用系统提供强身份认证、签名、验证等应用服务;PKI应用集成规范包括规范CA数字证书应用框架,规范认证服务、信息加密、数字签名在应用系统中的使用方式、数据格式、接口规范及应用流程。
在内蒙古电力公司的门户系统、OA系统、电子签章系统、生产系统等关键业务系统业务应用系统中集成上述系统,并与内蒙古电力公司统一认证授权系统实现整合,实现PKI系统和已建应用系统的无缝结合,在内蒙古电力公司建立起完整的认证体系,提供强身份认证以及加密、解密、签名、验签等安全功能。
4.2.4 运行服务体系
内蒙古电力公司内部电子认证服务体系包括数字证书服务平台、数字证书服务、CA基础设施运维和电子认证体系培训等内容。
数字证书服务平台主要为内蒙古电力公司内部领导、系统管理员和用户提供数字证书服务。用户可通过该平台获取数字证书,并接受统一的证书全生命周期服务。另外管理员可通过该平台对全集团内部数字证书进行粗粒度和细粒度相结合的备案管理和查询统计。
数字证书服务主要包括服务交付和服务支持。服务交付方案针对面对证书用户提供的证书生命周期服务和面对系统管理员提供的证书业务查询统计服务。
CA基础设施的运维主要包括CA系统的运行管理、CA系统的访问管理、CA系统的开发和维护、业务可持续性管理和CA审计等方面,保障CA基础设施的正常运转。
电子认证体系的培训包括包括数字认证系统基础知识,运行管理和使用维护方面的培训。
5 结束语
通过在内蒙古电力公司推广使用PKI数字认证技术,有效防止了信息系统中假冒身份、篡改信息、越权操作、否定责任等问题,成功构建了电力企业可信网络环境。因此,建立数字认证体系是保证电力企业信息系统安全运行的必要措施。
作者简介:
奥伟(1980-),男,毕业于内蒙古工业大学计算机科学与技术专业,内蒙古电力信通中心,工程师,专业从事信息安全工作。
郭维(1982-),男,毕业于吉林大学信息管理与信息系统专业,北京数字认证股份有限公司高级安全顾问,专业从事信息安全、数字认证、数字签名、PKI应用支撑相关系统的建设咨询工作。