网络安全：PKI/CA数字认证中心建设的八大原则

http://www.GridTeam.com 2008年10月2日网格工场

随着网络技术和计算机技术的飞速发展,信息网络已经渗透到各行各业和人民的生活中，网络正逐步改变着人们的生产和生活方式，推动着社会进步和机制、体制的不断改革。然而，伴随着信息化建设高潮而来的计算机和网络犯罪也不断出现，信息安全问题日益突显出来：如病毒的快速传播、电脑“黑客”的肆虐入侵、重要信息的泄密等。信息网络的安全一旦遭受破坏，其影响或损失将十分巨大。信息安全已经成为一个关系到国家经济、政治、军事等多方面的重要问题。目前，很多企业和政府都已完成或正在建设PKI，来保障电子商务和电子政务的信息安全。公钥基础设施（Public Key Infrastructure，PKI）是信息安全的核心，它是通过公钥密码体制中用户私钥的机密性来提供用户身份的唯一性验证，并通过公钥数字证书的方式为每个合法用户的公钥提供一个合法性的证明。PKI是一套软硬件系统和安全策略的组合，是一种安全基础设施。数字证书认证中心CA、审核注册中心RA、密钥管理中心KM、证书发布系统LDAP都是PKI的重要组成部份。CA的主要功能是数字证书、证书废除列表CRL的签发及对它们的管理；RA主要负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书；KM主要提供密钥生成、存储备份、撤消、恢复、托管等服务；LDAP系统的主要功能是数字证书、证书废除列表CRL的发布、更新、查询。PKI能有效地解决电子商务和电子政务应用中的机密性、完整性、可用性、认证性、不可否认性等安全问题。
但是PKI建设的高速增长也带来了许多问题：如国家缺乏统一的规范和管理部门来指导PKI的建设问题，同时，虽然国内的PKI厂商都称他们支持X.509证书格式，但由于证书的一些扩展项选择不一样，证书的接口标准不同，所有这些都使得各家的PKI/CA基本上处于相互分割的状态，证书之间不能进行互操作，这严重影响了证书的应用，同时也制约了PKI/CA的运行规模和效率，这也在一定程度影响了人们对PKI的信任。
由于PKI是电子政务和电子商务信息安全体系的核心，因此PKI系统的建设一直引人注目。为了提高PKI系统的互操作性及安全性，在PKI的建设过程中应该遵循统一规划、分步实施、开放性、应用至上、可扩展性、安全性、先进与实用性、可靠性和稳定性、易操作、易维护等原则。这些原则对将要进行PKI建设的单位的方案设计和产品选型具有一定的指导意义。
1．统一规划、分步实施原则
针对PKI建设涉及的技术新、投资大等特性，可以采用“统一规划、分步实施”的原则。具体而言，先对网络及应用系统做一个比较全面的安全体系规划，然后根据实际应用状况，可以先建立一个基础的安全防护体系，保证基本的应用安全。随着今后应用的种类和复杂程度的增加，再在原来基础防护体系之上，建立增强的安全防护体系。
2．开放性原则
PKI的开放性体现如下：
（1）数字证书及CRL的格式要求。证书的格式要求遵循X.509
V3，证书撤消列表（CRL）的格式要求遵循同X.509 V3证书对应的X.509 v2 CRL。
（2）支持多种证书载体类型。数字证书可以存储在硬盘、软盘、光盘、IC卡、USB
Key等载体上。若采用硬件形式如USB
Key载体，把用户的私钥存于其中，在进行各种操作时，私钥始终不出USB
Key，它具有抗读取、抗复制、便于携带等优点，这是最安全的方法，也是笔者推荐的证书载体形式。
（3）支持多种证书操作协议和管理协议。证书操作协议定义证书及CRL分发给应用系统的方式，包括基于DNS,
LDAP, HTTP,
FTP和X.500等多种手段，协议包括RFC2559、RFC2560、RFC2585、RFC2587、RFC2875等；证书管理协议定义PKI实体之间的在线交互协议，包括消息格式和消息传输协议，包括RFC2510、RFC2511、RFC2797等。
（4）支持交叉认证。CA产品本身应具有交叉认证的功能，这样PKI建成后才能与其它PKI进行交叉认证。
3．应用至上的原则
PKI建设应坚持应用至上的原则，没有应用的PKI是毫无意义的，这正如高速公路上没有汽车行驶一样。因此建设PKI只是一种手段，应注重PKI与本单位的具体应用业务相结合，并对应用系统进行安全改造。
4．可扩展性原则
可扩展性原则体现如下：
（1）PKI在体系结构上应具有可伸缩性，以适应扩大业务范围和增加多种应用的需要。PKI/CA应至少为两层结构：根CA和操作CA。根CA负责制定和审批总体安全策略、签发并管理操作CA的证书、与其它根CA进行交叉认证等；操作CA的职责是直接给最终用户签发支持各种应用的数字证书，并管理下级证书受理机构和其所发证书和CRL。如今后需要扩大业务，则可以从根CA下面建立新的操作CA。
（2）算法可扩展性。在国家有关密码政策规定下能够嵌入新的加密算法。
（3）支持分布式的目录服务体系。在单位总部建立总的主、从目录服务器，存放所有的证书和CRL；在单位的分部建立分的主、从目录服务器，作为总目录服务器的一个子集，这样就可以实现证书的逐级查询。
（4）支持人员证书、机构证书和设备证书。能对人员、机构和设备（路由器、防火墙、Web服务器等）发放证书，以实现身份认证。
5．安全性原则
在PKI的建设中，安全问题是重中之重。必须对威胁系统安全的各方面因素综合考虑，制定切实可行的安全策略和防范手段，建立完善的安全体系，确保PKI/CA系统运行在一个安全可靠的环境中。主要包括：
（1）物理环境安全
PKI/CA系统的物理安全和环境安全是整个系统安全的基础，要把CA系统的危险减至最低限度，应在机房选址、机房装修、配电、空调系统、火灾报警及消防设施、门禁监测系统、防雷击、防电磁波等提出严格要求。
（2）网络安全
网络安全是保证PKI/CA系统安全可靠运行的必要条件，可以采用成熟、可靠的网络产品和技术，构建CA系统架构；合理划分网络安全区（公共区、DMZ区、操作区、安全区），实现各区的安全层次；各安全层次之间采用不同类型的防火墙和入侵检测系统进行防护，并进行病毒防治。
（3）目录服务器的安全
在PKI/CA系统建设时，目录服务器要达到以下安全目标：防止外部黑客对数据的篡改、删除；防止内部未授权人员对数据的篡改、删除；如果目录服务器的数据遭到侵害，可以及时、有效地恢复所有数据。
（4）人员安全管理
为保证PKI/CA系统的安全，人员信息及访问控制列表（ACL）要以加密的方式存贮在安全区的数据库系统中，由系统管理员负责维护及更新，集中式的ACL管理能够有效地防止非授权人员的非法访问。并定期对有关人员进行信息安全方面的培训，对新出现的安全问题和解决方法要及时通知给系统管理员。
6．先进与实用性原则
在PKI/CA建设时，既要采用先进的技术和标准使建成后的系统具有先进水平，同时又要保护现有的投资，充分利用现有的软硬件条件，以避免不必要的浪费。
7．可靠性和稳定性原则
在PKI/CA系统建设时，要充分考虑系统的可靠性及稳定性。对于关键设备需要冗余配置，以避免单点故障；关键服务器采用双机热备，出现问题时能够及时恢复；并采用十分成熟的产品。所有这些能保证PKI/CA系统工作的高可靠性和高稳定性，保证其常年的不间断运行。
8．易操作、易维护原则
由于任何的安全措施都需要人去完成，如果措施过于复杂，对人的要求太高，这本身就降低了安全性，而且安全措施的采用不能影响系统的正常运行。因此，在PKI/CA建设时，产品的选择应具有友好的用户界面，并且可以进行相应的客户化定制工作，使用户在管理、开发、使用、维护上尽量简单、直观。
(作者：国电自动化研究院信息所余勇)

网格应用提升企业效率	PKI建设的八大原则	网格计算:全世界计算机联合起来！
商用网格将沿Linux之路发展	数字证书、安全协议、PKI	分布式网络化研究中心及应用
网格计算的现状和挑战	走下神坛的真实网格	网格计算开发入门基本概念
网格计算与分布式超级计算	网格与公用计算中的自动化	网格---未来的Internet应用
什么是p2p －－P2P启蒙	数字证书(CA)基本概念	利用Public Key实现ssh的认证

网络人才网络创业网站建设网上开店网络营销电子商务广告服务网格联盟