佟強

關(guān)鍵詞：PKI；信息安全；系統(tǒng)部署；網(wǎng)絡(luò)規(guī)劃

1引言

大數(shù)據(jù)技術(shù)在各個領(lǐng)域的持續(xù)深入使用，給人們在海量數(shù)據(jù)中進(jìn)行數(shù)據(jù)挖掘、形成科學(xué)決策、創(chuàng)造數(shù)據(jù)的附加價值帶來便利，但同日寸對于數(shù)據(jù)訪問的安全性，尤其是對一些敏感數(shù)據(jù)的訪問和使用是否合法合規(guī)，也越來越被人們所重視。人們已經(jīng)意識到，需要通過某種方式，驗證需要訪問數(shù)據(jù)用戶身份的真實性，確定其是否具備對數(shù)據(jù)訪問和操作的權(quán)限，并通過對身份的追蹤實現(xiàn)對數(shù)據(jù)訪問和操作行為的審計，以及對傳遞過程中的信息進(jìn)行加密解密。證書簽發(fā)和管理系統(tǒng)以及與之完成對接并配套使用的零信任系統(tǒng)．安全管理中心等可以很好地實現(xiàn)對用戶身份的標(biāo)識、認(rèn)證、鑒權(quán)、審計，以及信息的保密性、完整性、抗否認(rèn)性等功能。其中，證書簽發(fā)和管理系統(tǒng)是所有功能實現(xiàn)的基礎(chǔ)和前提，所以證書簽發(fā)和管理系統(tǒng)的功能性、健壯性、安全性又是整個認(rèn)證加密鑒權(quán)審計體系的重中之重。本文介紹了基于PKI技術(shù)構(gòu)建證書簽發(fā)和管理系統(tǒng)，并采用了一種通過適當(dāng)?shù)陌踩雷o(hù)措施完善其自身安全性的實踐方式。

2證書簽發(fā)和管理系統(tǒng)的構(gòu)成

一套完整的PKI體系證書簽發(fā)和管理系統(tǒng)一般可拆解為數(shù)字證書認(rèn)證中心CA子系統(tǒng)（以下簡稱CA）、用于支撐數(shù)據(jù)審核的注冊中心RA子系統(tǒng)（以下簡稱RA）、密鑰管理中心KMC子系統(tǒng)（以下簡稱KMC）、對外服務(wù)子系統(tǒng)4個關(guān)鍵組成模塊。其中，對外服務(wù)子系統(tǒng)包含基于目錄訪問服務(wù)（LDAP）的證書及吊銷列表（CRL）發(fā)布機(jī)構(gòu)（以下簡稱LDAP）和證書在線管理機(jī)構(gòu)（以下簡稱PKOM）等部分。具體如圖1所示。

鑒于各功能模塊的開銷，考慮到證書簽發(fā)和管理系統(tǒng)的整體性能，KMC，CA，RA以及PKOM可以分別單獨部署在1臺高性能服務(wù)器上，LDAP可以和數(shù)據(jù)庫軟件安裝在同一臺高性能服務(wù)器上，供幾個功能模塊連接使用。KMC，CA，RA三臺服務(wù)器各自通過一塊網(wǎng)卡連接只用于本模塊的1臺加密機(jī)，用以生成和存儲頒發(fā)證書時使用的密鑰對。僅從實現(xiàn)系統(tǒng)的功能和性能要求的角度，5臺服務(wù)器只需接人同一網(wǎng)絡(luò)即可實現(xiàn)證書整個生命周期的各項功能和管理流程。

3網(wǎng)絡(luò)拓?fù)湟?guī)劃

實際應(yīng)用中的生產(chǎn)環(huán)境由于需要考慮安全因素，引入縱深防御機(jī)制，部署了配合各服務(wù)器的多臺防火墻、交換機(jī)，組成按照安全等級和使用頻率劃分的4個子網(wǎng)區(qū)域，由內(nèi)向外分別為密鑰區(qū)、安全區(qū)、管理區(qū)和服務(wù)區(qū)。其中，最內(nèi)層子網(wǎng)僅包含只跟CA服務(wù)器進(jìn)行交互，提供密鑰托管服務(wù)的KMC服務(wù)器；而系統(tǒng)的核心部分CA和LDAP兩臺服務(wù)器位于第2層的安全區(qū)：用于用戶提交注冊信息的RA服務(wù)器則位于第3層的管理區(qū)：為便于業(yè)務(wù)系統(tǒng)從LDAP同步吊銷列表等信息，在服務(wù)區(qū)設(shè)置了從屬LDAP服務(wù)器，后者可以從位于安全區(qū)的主LDAP服務(wù)器自動同步相關(guān)信息，該區(qū)域還包含PKOM服務(wù)器，以向業(yè)務(wù)系統(tǒng)提供證書的在線查詢和管理等服務(wù)。PKI體系證書簽發(fā)和管理系統(tǒng)拓?fù)鋱D如圖2所示。

系統(tǒng)每個區(qū)域通過1臺交換機(jī)把本區(qū)域的服務(wù)器和管理終端等設(shè)設(shè)備連接起來相鄰的2個區(qū)域之間設(shè)立1臺防火墻。系統(tǒng)最外層通過防火墻實現(xiàn)與大數(shù)據(jù)中心及業(yè)務(wù)專網(wǎng)的隔離。

4系統(tǒng)部署及安全實現(xiàn)

4.1防火墻的應(yīng)用

通過在各個服務(wù)器上部署相應(yīng)的程序安裝包，以實現(xiàn)各模塊功能，并根據(jù)各模塊之間的調(diào)用關(guān)系和對外服務(wù)，開放各子網(wǎng)區(qū)域之間和系統(tǒng)與專網(wǎng)之間防火墻的端口和可訪問地址，訪問關(guān)系如表1所列。

基于上述訪問需求，對3臺防火墻分別開啟白名單方式的定向訪問策略。通過采用防火墻的包過濾、NAT等技術(shù)，可以保證各子網(wǎng)區(qū)域的可用服務(wù)最小化，授權(quán)訪問最小化以及隱藏真實服務(wù)地址端口等安全目的的實現(xiàn)。

4.2通信加密

系統(tǒng)內(nèi)部署了3臺國產(chǎn)加密機(jī)，分別獨立連接到KMC，CA，RA三臺服務(wù)器并提供加密服務(wù)。加密機(jī)可根據(jù)需求選擇SM2，SM4等國產(chǎn)算法或者RSA，3DES等國際通用算法，生成、管理并存儲簽名密鑰對和加密密鑰對，私鑰部分接受加密機(jī)自身的加密保護(hù)。同時，加密機(jī)也提供數(shù)據(jù)加密和解密、消息鑒別碼的產(chǎn)生和驗證、數(shù)據(jù)摘要的產(chǎn)生和驗證、數(shù)字簽名的產(chǎn)生和驗證、數(shù)字信封、物理隨機(jī)數(shù)的產(chǎn)生以及密鑰備份及恢復(fù)等服務(wù)[1]。

系統(tǒng)內(nèi)部主要服務(wù)器之間的通信采用SPKM加密協(xié)議進(jìn)行加密。系統(tǒng)內(nèi)部通信示意圖如圖3所示。

4.3管理／操作終端的安全

在服務(wù)區(qū)、安全區(qū)和密鑰區(qū)3個區(qū)域分別配備1臺管理終端，位于機(jī)房內(nèi)服務(wù)器所在機(jī)柜或附近，平時非必要不開啟，通過機(jī)房門禁，機(jī)柜加鎖，機(jī)房設(shè)備使用記錄等措施進(jìn)行安全管理。RA服務(wù)器由于需要進(jìn)行發(fā)證，需要配備信息錄入、申請審核以及證書簽發(fā)3臺終端，且都可以作為服務(wù)區(qū)的管理終端，可供系統(tǒng)的日常運維使用，將其部署在運維室中，可以通過AD域登錄控制、錄屏錄像、登錄審計等措施進(jìn)行安全管理[2-4]。

4.4管理員權(quán)限

系統(tǒng)遵循國際標(biāo)準(zhǔn)，根據(jù)職責(zé)分離、最小授權(quán)的原則，CA，KMC和RA分別設(shè)置可用于業(yè)務(wù)、審計、審核3大類權(quán)限的共6類管理員。每類管理員各司其職，有自己獨立的權(quán)限和從屬關(guān)系，使整個系統(tǒng)達(dá)到分級管理的目的，從而提高系統(tǒng)效率與安全性。具體如圖4所示。

5結(jié)束語

本文通過對在實際生產(chǎn)運行中的PKI體系證書簽發(fā)和管理系統(tǒng)的部署實現(xiàn)了安全防護(hù)方式的介紹，討論了基于PKI技術(shù)的證書簽發(fā)和管理系統(tǒng)在大數(shù)據(jù)、智慧云基礎(chǔ)上，更加關(guān)注系統(tǒng)和數(shù)據(jù)安全的重要性、必要性和可行性。

基于PKI技術(shù)構(gòu)建的證書簽發(fā)和管理平臺，作為業(yè)務(wù)信息系統(tǒng)安全保障體系的重要組成部分，為大數(shù)據(jù)安全邊界，內(nèi)網(wǎng)各類應(yīng)用系統(tǒng)的身份認(rèn)證、訪問控制、安全審計，信息傳輸過程中的密鑰管理等安全服務(wù)提供了有力支持。作為未來最重要的安全基礎(chǔ)設(shè)施之一．PKI體系在各個行業(yè)的建立和推廣必將為我國信息化、信息安全建設(shè)以及業(yè)務(wù)實體的正常生產(chǎn)和運作做出重要貢獻(xiàn)。