數(shù)字證書管控系統(tǒng)在能源行業(yè)的應(yīng)用

◆陳冠勝 吳樹強

（廣東電網(wǎng)有限責(zé)任公司肇慶供電局 廣東 441200）

數(shù)字證書管控系統(tǒng)在能源行業(yè)的應(yīng)用

◆陳冠勝 吳樹強

（廣東電網(wǎng)有限責(zé)任公司肇慶供電局 廣東 441200）

在越來越嚴(yán)峻的信息化安全管理的形勢下，PKI/CA數(shù)字證書管理系統(tǒng)作為能源企業(yè)信息安全基礎(chǔ)設(shè)施，利用技術(shù)手段確保證書的可控、可視化的管理要求，保證業(yè)務(wù)決策的準(zhǔn)確開展，從而在用戶體現(xiàn)上、業(yè)務(wù)管理上等方面提供更好的信息安全服務(wù)。

PKI; 數(shù)字證書; 管控系統(tǒng); 能源行業(yè)

0 前言

隨著能源需求的急劇增加和經(jīng)濟信息全球化的逐步加深，能源行業(yè)系統(tǒng)（如：電力、石油、鋼鐵、水利等）也隨著信息技術(shù)飛速發(fā)展。社會經(jīng)濟和信息時代的推進使得安全生產(chǎn)問題越來越成為社會各界關(guān)注的焦點，能源行業(yè)系統(tǒng)的穩(wěn)定更是關(guān)系到國家安全和社會的穩(wěn)定。

近年來，隨著能源行業(yè)的信息化基礎(chǔ)建設(shè)和應(yīng)用推廣的不斷深入，其信息化水平不斷提升，PKI數(shù)字證書應(yīng)用的范圍越來越廣。身份認(rèn)證技術(shù)是保證信息系統(tǒng)安全的第一道屏障，PKI數(shù)字證書是一種符合數(shù)據(jù)傳輸和身份認(rèn)證的安全機制，它的安全環(huán)境建立在密碼學(xué)之上，并作為一項有效的工具，提供在Intranet、Extranet及Internet網(wǎng)絡(luò)環(huán)境間交換數(shù)據(jù)的信任基礎(chǔ)。因為PKI體系結(jié)構(gòu)在數(shù)據(jù)傳輸?shù)陌踩苑矫妾毦邇?yōu)勢，可以靈活地應(yīng)用于數(shù)據(jù)交換和身份認(rèn)證之中。在保障PKI/CA系統(tǒng)高效、穩(wěn)定、可靠運行的同時，對于PKI/CA證書的精細化管理要求也顯得愈加迫切[1][2]。

基于以上，一方面需要建設(shè)一套行之有效的系統(tǒng)進行證書使用業(yè)務(wù)數(shù)據(jù)的挖掘分析，加強業(yè)務(wù)行為的管理; 另一方面也需要完善客戶端證書使用情況的監(jiān)控要求，以最大限度地滿足終端用戶和管理安全的要求。

1 技術(shù)基礎(chǔ)與需求分析

1.1 術(shù)語定義

（1）[PKI/CA]

PKI：Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施，是采用非對稱密碼算法和技術(shù)來實現(xiàn)和提供安全服務(wù)，并具有通用性的安全基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的安全身份基礎(chǔ)管理平臺。

CA：Certificate Authority，證書簽發(fā)中心，發(fā)放、管理、廢除數(shù)字證書的權(quán)威機構(gòu)。

KMC：Key Management Center，密鑰管理中心，負(fù)責(zé)數(shù)字證書加密密鑰的生成和管理。

RA：Register Authority，證書注冊中心，提供證書申請、下載、注銷、更新等各項業(yè)務(wù)的服務(wù)。

LDAP：Light Directory Access Protocol，輕型目錄訪問協(xié)議。

（2）[USB-KEY]

USB-KEY是一種通過USB（通用串行總線接口）直接與計算機相連、具有密碼驗證功能、可靠高速的小型存儲設(shè)備。

（3）[CSP]

英文全稱Cryptographic Service Providers，即加密服務(wù)提供者，是實現(xiàn)真正的加密服務(wù)的獨立的模塊。

（4）[CPS]

CPS（Certification Practice Statement）也叫認(rèn)證運作規(guī)范，是關(guān)于認(rèn)證機構(gòu)在全部數(shù)字證書服務(wù)生命周期中的業(yè)務(wù)實踐（如簽發(fā)、吊銷、更新）所遵循規(guī)范的詳細描述和聲明。

（5）[UAM]

統(tǒng)一用戶管理系統(tǒng)是業(yè)務(wù)單位所有應(yīng)用系統(tǒng)標(biāo)準(zhǔn)化的用戶管理基礎(chǔ)設(shè)施，它集中管理著所有應(yīng)用系統(tǒng)的用戶，包括用戶帳號的統(tǒng)一管理、用戶屬性的統(tǒng)一管理以及用戶整個生命周期的管理，并為各個應(yīng)用系統(tǒng)提供安全的服務(wù)與支持。[3][4]

1.2 需求分析

由于傳統(tǒng)的PKI/CA系統(tǒng)存在缺乏管理便捷性和缺少信息統(tǒng)計等功能，給管理工作帶來了諸多不便。通過完善PKI系統(tǒng)，可以最大限度地滿足業(yè)務(wù)需求,從而在實質(zhì)上解決證書混亂的問題。

（1）實現(xiàn)對證書用戶客戶端的環(huán)境的管理和維護，包括環(huán)境自檢、程序更新、客戶端數(shù)據(jù)采集等;

（2）系統(tǒng)可采集PKI/CA系統(tǒng)的證書業(yè)務(wù)數(shù)據(jù)，實現(xiàn)證書全生命周期自主管理;

（3）對證書用戶使用情況查詢和統(tǒng)計，能自定義查詢條件，形成相應(yīng)的數(shù)據(jù)報表;

（4）系統(tǒng)可采集證書登陸應(yīng)用的日志，實現(xiàn)對證書用戶使用進行管理，并可取得證書使用的詳細報告和審核跟蹤;

（5）系統(tǒng)支持客戶端的自動化維護，支持相關(guān)組件的在指定范圍內(nèi)自動升級與更新;

（6）服務(wù)端證書管控平臺可實時或周期收集客戶端業(yè)務(wù)信息，并通過相關(guān)報表予以展現(xiàn);

（7）系統(tǒng)可按照單位或部門進行分級分層管理。

2 系統(tǒng)整體方案

2.1 系統(tǒng)結(jié)構(gòu)設(shè)計

圖1 系統(tǒng)結(jié)構(gòu)設(shè)計圖

如圖1所示，數(shù)字證書管控系統(tǒng)的實現(xiàn)依賴于PKI/CA系統(tǒng)，用戶端的證書來源于PKI/CA系統(tǒng)?？蛻舳塑浖枰{(diào)用CSP助手程序，包括USBKEY驅(qū)動程序。用戶名信息來源于用戶集中管理UAM系統(tǒng)、LDAP服務(wù)器和客戶端。

2.2 系統(tǒng)功能架構(gòu)圖

圖2 數(shù)字證書管控系統(tǒng)架構(gòu)

如圖2所示，系統(tǒng)拓?fù)渲饕M件說明如下：

（1）客戶端程序

Thanksgiving falls on the fourth Thursday of November, a different date every year.The President must proclaim that date as the official celebration.

客戶端程序與USBKEY驅(qū)動程序和CSP小助手一起安裝在用戶客戶端上，支持USBKEY環(huán)境自動檢查、支持USBKEY驅(qū)動升級更新和CSP小助手程序的升級更新、支持用戶自助進行證書到期提醒和更新、支持USBKEY遠程解鎖等功能。

（2）服務(wù)端平臺

服務(wù)端為數(shù)字證書管控管理軟件，該層包含表示層、業(yè)務(wù)邏輯層和數(shù)據(jù)接口。

表示層：主要是對系統(tǒng)相關(guān)業(yè)務(wù)數(shù)據(jù)以報表的形式進行展現(xiàn)，同時提供交互頁面進行數(shù)據(jù)的配置，通過管理頁面和查詢界面供管理員進行相關(guān)業(yè)務(wù)數(shù)據(jù)的查詢、統(tǒng)計和分析。

業(yè)務(wù)邏輯層：該層包括USBKEY用戶端管理、證書使用的業(yè)務(wù)信息查詢統(tǒng)計分析、系統(tǒng)管理等功能。USBKEY用戶端管理包括USBKEY的解鎖功能，支持USBKEY故障的管理; 證書使用的業(yè)務(wù)信息查詢統(tǒng)計分析包括發(fā)證信息查詢、證書客戶端查詢、用戶證書應(yīng)用查詢、證書客戶端管理和維護等。

數(shù)據(jù)訪問層：該層主要包括通過與其他業(yè)務(wù)系統(tǒng)的數(shù)據(jù)交互接口，對PKI/CA系統(tǒng)的證書數(shù)據(jù)、客戶端的業(yè)務(wù)數(shù)據(jù)進行采集，通過數(shù)據(jù)庫進行存儲。

（3）數(shù)據(jù)采集接口

數(shù)據(jù)采集接口用于收集相關(guān)業(yè)務(wù)數(shù)據(jù)，該接口包括用戶客戶端日志、用戶集中管理UAM系統(tǒng)、LDAP接口等。根據(jù)客戶端接口采集登錄、密鑰使用等情況以及客戶端信息收集，UAM接口實現(xiàn)組織關(guān)系收集，用戶關(guān)系收集以及權(quán)限情況判定。

3 成果價值

能源行業(yè)在PKI/CA平臺基礎(chǔ)上，通過建設(shè)數(shù)字證書管控系統(tǒng)，可很好解決PKI數(shù)字證書管理混亂的問題，減輕管理人員的工作負(fù)擔(dān)，提高工作效率。數(shù)字證書管控平臺具有對證書客戶端的使用監(jiān)控、管理和維護功能，實現(xiàn)對證書的使用進行查詢、分析和統(tǒng)計，對信息系統(tǒng)整體安全防護和管理水平的提升提供了有效的手段。

（1）實現(xiàn)了用戶數(shù)字證書監(jiān)控管理創(chuàng)新建設(shè)。數(shù)字證書管控平臺的用戶證書業(yè)務(wù)查詢、統(tǒng)計與分析等功能，給管理人員提供了更直觀、可視化的業(yè)務(wù)展現(xiàn)數(shù)據(jù)。同時系統(tǒng)提供多角度的數(shù)字證書應(yīng)用情況的分析報表，可動態(tài)監(jiān)控證書應(yīng)用的薄弱環(huán)節(jié)、以便有針對性強化信息安全管理,利于對證書業(yè)務(wù)的管理和決策。

（2）大幅提升了工作效率。通過客戶端程序?qū)τ脩羰褂铆h(huán)境進行自動檢測功能，管理人員可通過管理平臺可實時收集客戶端的報障信息，及時高效定位和解決故障問題。

（3）提升用戶自主解決問題的能力。通過證書管控系統(tǒng)的自檢功能，用戶在使用證書遇到問題時自主恢復(fù)操作的能力得到提高，可保證業(yè)務(wù)的正常開展，大大減輕系統(tǒng)管理人員工作負(fù)擔(dān)。

（4）數(shù)字證書管控系統(tǒng)可實現(xiàn)能源企業(yè)內(nèi)部數(shù)據(jù)的安全共享，所有證書用戶基于USBKEY的業(yè)務(wù)都在數(shù)字證書管控系統(tǒng)得到了體現(xiàn)，提高了PKI/CA系統(tǒng)作為安全基礎(chǔ)設(shè)施的利用率，充分體現(xiàn)了信息化建設(shè)的優(yōu)勢。

（5）通過實踐，可總結(jié)出了一套行之有效的工程建設(shè)組織管理辦法，為本行業(yè)的安全體系建設(shè)提供現(xiàn)實的參考依據(jù)。

4 結(jié)論

能源行業(yè)信息系統(tǒng)是我國重要的信息系統(tǒng),能源系統(tǒng)的安全問題會直接影響到國計民生,甚至關(guān)乎國家安全。在PKI/CA平臺基礎(chǔ)上,通過建設(shè)PKI用戶數(shù)字證書監(jiān)控管理系統(tǒng),可很好解決PKI數(shù)字證書目前管理混亂的問題,為信息系統(tǒng)提供有力的安全保障。

通過開發(fā)數(shù)字證書管控系統(tǒng)，可大范圍進行證書業(yè)務(wù)的集中審計：通過全面、立體的監(jiān)控手段，完成證書業(yè)務(wù)整個使用過程的記錄和審計，完成各個用戶的日志記錄和審計，是電力企業(yè)信息安全管理要求，同時也具有重大的建設(shè)性意義。

[1]吳杰芳.淺談PKI技術(shù)及應(yīng)用.信息科技，2009.

[2]余勇，林為民，何軍.電力數(shù)字證書服務(wù)系統(tǒng)的設(shè)計及應(yīng)用.電力系統(tǒng)自動化，2005.

[3]劉敬峰.基于目錄服務(wù)的統(tǒng)一用戶管理平臺設(shè)計與實現(xiàn).電子科技大學(xué)，2009.

[4]常亮.基于工作流的統(tǒng)一賬戶管理平臺.武漢理工大學(xué)，2012.