信息安全公钥基础设施基础知识介绍

1、信任服务体系（PKI 部分）建设维豪信息技术有限公司博士 王 于一、信任服务体系基础知识（一）信任服务体系概述1、信任服务的概念“可信”是电子政务的基本属性，可信的人、可信的服务、可信的应用、可信的设备共同构成可信的电子政务网络。信任服务的基本特征：信息的机密性各级政府机关之间信息传输的安全保密性，即使别人截获 数据也无法得到其内容； 政府机密信息存储的安全保密性；信息的完整性政府机关之间传输的信息不被篡改； 政府发布的信息不被篡改，保证信息的权威性；信息的不可抵赖性用户访问过某个网络要签名； 用户访问过某个应用要签名； 用户修改了某个文件要签名； 用户关键行为要作为责任认定的依据；有效授权整

2、个电子政务网上，用户能访问哪些厅委办局的局域网；用户能访问哪些厅委办局的应用系统； 局长、处长分别能访问哪些文件；身份认证为了实现安全通信，首先需要确认对方的身份；为了实现信息分发，首先需求确认对方的身份；为了实现责任认定，首先需求确认对方的身份。2、信任服务在信息化中的地位和作用信任服务是信息化建设的基础设施， 为便于理解基础设施，以下 是电力基础设施和信任服务体系基础设施的比较。”人干刖呐刀也用苜力、图1-1电力基础设施各类信息应用图1-2信任服务体系基础设施信任服务作用：信任服务解决信息的机密性、完整性、不可抵赖性、有效授权和身份认证问题；信任服务解决IP 网络“无中心、无管理、不可信、

3、不可控、不安全”的问题；信任服务解决信息孤岛和安全孤岛的问题;信任服务是实现应用可信互联互通的必要条件；信任服务是实现信息可信共享和交换的必要条件；信任服务是实现“全程全网全业务”的必要条件；因此，信任服务是信息化建设的基本保障。3、信任服务体系建设的必要性信任服务体系是基础设施，是信息化建设顺利实施的基本保障；信任服务体系建设是提升政府行政能力的需要；实现与国办和其他部委/省市可信互联的需要；国家推动力度之大前所未有；黑龙江省多个厅委办局电子业务发展迅速，认为由于缺乏信任服务体系已经在一定程度上限制了本部门业务的发展；黑龙江省在网络、应用、网站建设等方面已经有非常好的信息化建设基础，如果与信

4、任服务体系结合，将使本省电子政务建设迈上一个新台阶，并为其他省市电子政务建设提供示范。4、信任服务体系的发展趋势第一代信任服务体系的回顾第一代信任服务体系以对称密码技术为基础，以预共享密钥为手 段，主要用于通信的机密性、完整性和身份识别等问题。第一代信任服务体系在非对称密码技术出现以前的一段漫长过程，在政治、军事、金融等重要领域发挥了重大作用，但它无法解决行为的不可抵赖性等问题，只能在一个相对较小的范围和领域内使用，就其安全特性而言，无法满足大规模应用的需求。第二代信任服务体系的回顾第二代信任服务体系在继承第一代信任服务体系的基础上，以CA 为核心 ,解决了面向局部应用的身份认证问题，以及信息

5、的机密性完整性，不可抵赖性等问题。第二代信任服务体系在电子商务领域有许多成功应用，如以第二代信任服务体系为基础提出了网上工商、网上银行、网上证券等概念；但其与应用深耦合，且无法彻底解决“两无三不”问题(无中心、无管理、不可信、不可控、不安全)，无法满足全程全网全业务的需求。第三代信任服务体系面向“全程全网全业务”， 构建一个真正的基础设施，对网络提供可信接入支撑，使之成为可信的网络，对应用提供可信注册支撑，使之成为可信的应用。5、国外信任服务体系现状分析国外部署最多的是以CA 为核心的信任服务体系VeriSign公司、Entrust公司等在很多地区建设了以 CA为核 心的电子商务信任服务体系联

6、合身份管理( Federated Identity Managemen，t FIM ) 类似于第三代信任服务体系联合身份管理是在用户越来越频繁的在属于不同组织的信息系统之间移动的背景下出现的，其目标是减少组织与大量合作组织之间建立信任关系所需的开销，从而以较低的成本来满足用户对于跨越组 织边界的单点登录需求。6、国内信任服务体系现状分析中办发200327号文件针对信息安全保障，明确提出要“加强以密码技术为基础的信息保护和网络信任体系建设，要建立协调管理机制， 规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信 任体系建设”，其原理如下图所示。图1-3网络信任体系原理本文主要介绍信任服

7、务体系中的公钥基础设施（PKI）。国内已建设信任服务体系绝大部分属于第一代和第二代信任服务体系部分领域（如政务内网）正在部署第三代信任服务体系；第三代信任服务体系建设正在成为我国信息安全发展的方向。75（二）第一代信任服务体系1、第一代信任服务体系的概念第一代信任服务体系是以对称密码技术为基础， 以预共享密钥为 手段，主要用于解决外交、军事等方面通信信息的机密性和完整性问 题，在一定时间、空间范围内，可以在某种程度上满足用户对信任的 需求。2、第一代信任服务体系的基本特征以对称密码技术为基础；信息传输采用同一密钥进行加密和解密；要求发送者和接收者在安全通信之前共享一个密钥；安全性依赖于密钥，传

8、输通信的密钥必须保密；在保证密钥安全前提下，可以部分解决信任的问题。3、第一代信任服务体系的典型应用协商密钥一共享密钥一明文加密一密文发送 接收密文一密文解密4、第一代信任服体系需要进一步解决的问题行为的不可抵赖性问题；密钥的大规模安全分发问题；密钥的安全管理问题；对用户身份进行强认证的需求。（三）第二代信任服务体系1、第二代信任服务体系产生背景第一代信任服务体系在使用范围、使用领域上的限制，无法适应网络信息安全发展的需要；随着公开密钥技术的发展，为信任服务的进一步发展提供了契机；网上业务的发展需要解决信息的不可抵赖性问题；需要解决网上用户的可信身份鉴别等问题。2、第二代信任服务体系概念（ 1

9、）第二代信任服务体系总体描述第二代信任服务体系继承第一代信任服务体系的优势成果，以CA 为核心，提供实体的可鉴别性、信息的安全机密性、信息的完整性、行为的不可抵赖性等信任服务。（ 2）第二代信任服务体系提供的服务提供数字证书的签发和管理服务；提供基于数字证书的身份认证服务，包括验证身份的真实性、合法性、有效性；提供信息的加解密服务。77(3)第二代信任服务体系的基本原理非对称密钥技术数字信封技术图1-5非对称密钥技术对称算法密钥一KeyAI Y 签名公钥一一KeyA2AiKeyA1数字信封签名私钥KeyA3J 加密公钥一KeyBI EB |加密私钥一KeyB2 vV图1-6数字信封技术#3、第

10、二代信任服务体系典型结构(1)典型体系结构证书查询验证LDAP/ OCSP验证95图1-7第二代信任服务体系典型结构(2)证书签发系统证书签发系统CA是基于密码技术，以PKI安全中间件提供的安 全操作服务为基础，实现数字证书/证书撤销列表的签发、发布以及 相关的管理功能。证书签发系统应具备以下功能：证书业务服务接收证书审核注册系统的业务请求，提供证书及证书撤销列表的 发布、更新查询、暂停、注销和归档等业务服务，提供证书策略配置 功能。证书签发功能提供证书及证书撤销列表的签发功能。根 CA系统的数字证书/证书撤销列表由根CA 自己签发；用户数字证书/证书撤销列表由本系统的 CA 签发； 下级 C

11、A 的数字证书/证书撤销列表由上级CA 签发。源 LDAP 服务功能提供证书及证书撤销列表的发布功能。证书管理功能主要是对系统中各种数字证书及内部设备证书的有关操作进行管理。提供对证书操作策略的管理，人员证书、设备证书、机构证书的统一管理。机构管理功能完成对 RA、 KM 机构配置管理功能，包括机构信息注册、服务URL 配置和通讯证书签发等。（ 3）密钥管理系统密钥管理系统为密码技术和产品的大规模应用提供支持，主要负责向证书签发系统以及电子政务应用系统提供非对称密钥的管理服务，同时提供特殊密钥恢复功能。密钥管理系统与证书签发系统按照“统一规划、同步建设、独立设置、分别管理、有机结合”的原则进行

12、建设和管理。密钥管理系统应具备以下功能：密钥管理策略的制订与本系统的安全维护。密钥的生成、发送、存储、撤销、恢复、查询；密钥库管理；密钥管理系统的运行管理，包括密钥管理系统的审计、认证、恢复、统计等系统管理。（ 4）证书审核注册系统证书审核注册系统RA 接受用户注册审核请求，完成用户数字证书申请的注册受理、管理用户资料，用户数字证书下载、数字证书的撤销、数字证书的暂停与暂停恢复、数字证书的更新等业务操作。证书审核注册系统RA的核心职责是将用户的证书请求安全可信 地提交到证书签发系统CA,等待其签发证书。证书审核注册系统应具备以下功能：业务请求受理功能主要包括：证书申请受理、用户证书注销受理、用

13、户证书更新受理等，并将合法申请转发至 CA,请求CA为合法用户签发证书。用户证书申请注册的身份审核审核内容包括：用户注册信息、证书信息等。当审核不通过时，自动给用户反馈不成功消息。进行审核的功能是人工与自动相结合的，若是自动的，则采用的是实时触发机制。对每次审核记录日志，提供工作量统计，处理跟踪分析，处理异常情况分析。证书下载服务用户到注册机构下载证书，支持个别处理和批处理方式发放数字证书。证书管理功能提供对证书操作策略的管理，对自身证书、内部管理员数字证书、操作员数字证书的统一管理。用户管理完成用户信息注册功能。用户的基本信息存储在证书审核注册系统中， 作为原始档案。记录用户的业务受理信息，

14、并进行跟踪、监控。采用消息机制在证书审核注册系统与证书签发系统之间的通讯采用异步消息机制，通过发送消息队列、接收消息队列机制实现通讯功能。证书模板定制功能提供人员证书、设备证书及机构证书模版，用户根据需求，增加扩展属性。流程定制功能可以根据业务的需要定制不同的操作流程。操作员管理查询、修改RA 操作员信息，增加或注销操作员，设置、修改操作员权限。对RA 的管理员（包括系统管理员，业务管理员，业务操作员）信息进行查询、修改、增加、注销、设置权限等。（ 5）证书查询验证服务系统证书查询验证服务系统为安全与应用支撑平台、业务应用系统及用户提供证书查询验证服务，包括目录查询服务和证书在线状态查询服务。

15、证书查询验证服务系统应具备以下功能：证书和证书撤销列表的发布、更新服务由证书签发系统向证书查询验证服务系统发布、更新证书和证书撤销列表。基于 LDAP 协议的目录访问服务证书查询验证服务系统基于LDAP 协议， 直接面向用户提供证书查询、证书下载、证书有效性查询及证书撤销列表的下载等功能。基于OCSP技术的证书在线状态查询服务用户或应用系统采用OCSP 协议，在线查询证书的实时状态，支持各分布式证书查询验证服务系统的数据同步。图1-8信任服务体系工作原理实体基 本信息与实体私钥唯一对应的公钥信息 与实体相貌身体特征唯一对应的相片权威机 构盖章 （公安局）图1-9证书构成4、第二代信任服务体系典

16、型应用目前在电子政务、电子商务和企业信息化建设中，以第二代信任 服务体系建设为主，国内有不少以第二代信任服务体系为基础的成功 案例，构建了一批网上政府、网上工商、网上银行、网上证券等。但 是，由于第二代信任服务体系与应用系统深耦合的特点，使第二代信 任服务体系的建设数量和使用情况不成正比。APPServerDBServerCAKMRA2:要求用户出示证书1:用户访问业务系统:出示用户证书客户端实体鉴别器客户端4:验证证书的真实性和有效性。LAN实体鉴别器生日 实体客尸师鉴别器客户端实体鉴别器LDAP5:返回验证结果图1-10第二代信任服务体系典型应用5、第二代信任服务体系需要进一步解决的问题第

17、二代信任服务体系只能对局部应用提供信任服务，不能提 供支持全程全网的信任服务；不能有效控制网络设备和服务器的可信接入，无法构建可信 的网络；与应用深度耦合，不利于快速部署；多个CA之间的数字证书格式不同，相互认证困难。(四)第三代信任服务体系1、第三代信任服务体系产生背景(1)要成为基础设施在电子商务中，CA只在一定应用范畴内作为可信任的第二方， 提供的信任服务是局部的、特定的，即 CA本身是属于应用层的一个 应用，没有成为基础设施。电子政务中，CA就是政府的CA,不存在第三方认证问题，全网信任服务体系必须按照统一标准，作为基础设施来建设；要成为基础设施，信任服务体系需要具有独立于应用提供信任

18、服务的能力；要成为基础设施，信任服务体系需要统一解决身份认证、实体鉴权等问题。（ 2）要支持全程全网全业务要解决“信任服务体系的统一”的问题；要解决“一次认证，全网通行”的问题；要解决“私有网络可信互联”的问题；要解决“端到端的信任服务支撑”的问题。（ 3）要支持继承与发展面向应用的继承与发展；面向网络的继承与发展；面向第一、二代信任服务的继承与发展。（ 4）要支持快速部署快速部署就是在应用系统少改动，甚至不改动的前提下，能为用户提供身份认证、访问控制等信任服务，需要支持以下几点：要支持身份认证的快速部署要支持访问控制的快速部署要支持网络可信互联的快速部署2、第三代信任服务体系概念第三代信任服

19、务体系在继承第二代信任服务体系优势成果的基础上，结合下一代网络/下一代服务的关键技术，融合第一代和第二代信任服务体系的功能和服务，构建可信的网络和可信的服务，解决了 “唯一注册全网通行”问题、可信的私有网互联问题、信任服务的快速部署等问题，将整个网络成为一个有中心，有管理，可信、可控、安全的、支持全程全网全业务的网络提供支撑。3、第三代信任服务体系提供的服务（ 1）继承第二代信任服务体系的可信服务第三代信任服务体系充分继承第二代信任服务体系的优势技术，提供加解密服务、签名/签名验证服务、身份认证服务等。（2）可信的注册和鉴权服务可信的注册和鉴权包括：实体注册和鉴权，服务注册和鉴权；可信网络注册

20、和鉴权服务技术突破了传统认证模式下由各个应用对用户进行频繁身份认证和有限范围权限管理的思路，实现面向全网的单点登录；在可信的网络层实现了“注册才能上网、鉴权才能通行”的全新的网络信任模式；解决原有信任服务与业务逻辑深度耦合的问题；为实现全程全网全业务奠定基础。（3）可信的私有网互联服务统一的信任体系建立跨域私有网络的信任关系；可信网络设备为私有网络互联提供基础环境；统一的注册提供穿透私有网络的必要条件；统一的鉴权使用户只能访问其被授权访问的资源。4、第三代信任服务体系典型结构(1)典型体系结构图1-11第三代信任服务体系典型结构图(2)注册服务系统注册服务系统响应智能终端的呼叫请求， 为用户和

21、业务系统提供 注册、代理、定位、重定向服务；实现了用户在同一信任域中次注册，全网通行”；解决了私有网络的可信互联问题。注册服务系统应具备以下功能：用户注册提供用户注册服务，无论用户在何时何地登录，都能通过客户端 在注册域的注册服务系统上注册自己的当前位置，从而使其它用户能够在希望通信的时候找到他们，并且对用户进行身份认证，合法的用户才能进入网络。用户定位向用户提供定位呼叫对象的服务，确保用户在希望与其它用户通信时能迅速、便捷的找到呼叫对象。用户重定向向用户提供将呼叫请求重新定向到其它目标地址的服务，当定位服务器不能提供定位时，或用户地址信息发生变化需要重定向时，系统自动启动重定向服务。呼叫处理

22、包括建立呼叫、呼叫转移、终止呼叫等。建立端到端的通信为希望通信的双方获得并传递通信地址及通信参数，建立端到端的通信。支持异地办公使用户可以通过一个单一的、位置无关的地址来到达被呼叫用户，即使被呼叫用户改变了终端或位置。（ 3）鉴权服务系统鉴权服务系统对用户、网络设备以及业务系统提供统一的权限管理服务， 确保只有享有权限的用户或网络设备之间才能进行通信，各业务系统只接受享有访问权限的用户的访问。鉴权服务系统的主要功能包括：权限注册鉴权服务系统向用户及业务系统提供权限注册服务，用户可以通过业务受理系统注册与其他用户互通的权限，业务系统可以通过资源整合系统注册系统资源的访问权限。实体鉴权实体鉴权服务

23、负责管理网络实体的互通权限，并向网络实体提供鉴权服务。互通权限指用户可以和其他哪些用户通信，业务系统可以和其他哪些业务系统互通。服务鉴权服务鉴权服务负责管理业务系统发布的资源授权列表，并向用户和业务系统访问提供鉴权服务。权限信息维护管理对网络实体及业务系统的权限配置信息进行管理和维护。日志管理对鉴权活动进行记录，形成日志，并对日志进行存储和管理。（ 4）资源整合系统资源整合系统为应用资源提供注册代理和访问控制服务。资源整合系统是实现可信业务注册和对业务系统资源进行访问控制的重要设备。资源整合系统应具备以下功能：代理业务系统进行资源注册业务系统资源提供对外服务时，须先通过资源整合系统在注册服务系

24、统上注册。应用代理的功能资源整合系统提供代理机制，代理应用系统发布信息、发布服务等。访问控制功能越权的资源整合系统对注册的资源执行访问控制，访问。支持单点登录在设定的安全策略时间内，无需重复进行验证身份即可访问该用户所有被授权的业务系统资源。（ 5）认证网关认证网关部署于局域网或应用系统对外出口处，在IP 层基于认证和授权技术实现了对进入（出）局域网或应用系统的IP 数据报文的源（目标）地址的监控和身份认证，与业务应用无关，适合快速部署。认证网关应具备以下功能：IP 层认证基于密码技术，对用户进行基于证书的身份认证。通过自定义的认证协议在网上完成IP 层的身份认证功能。IP 层监控功能能够解析

25、出源地址，并在授权服务器支持下，按照授权服务器的裁决结果实现在IP 层访问控制功能。路由转发功能认证网关提供在IP 层的数据路由转发功能，保证应用数据报文能够在 IP 层转发，从而提供对应用的透明支持。管理配置功能认证网关的日常管理，主要包括：用户基本信息和证书管理，提供系统配置、日志查询功能。审计功能对用户进行监管，提供完整的用户登录日志记录。5、第三代信任服务体系典型应用图1-12第三代信任服务体系典型应用6、三代信任服务体系的关系第三代信任服务体系全程全网应用环境在继承第一代和第二代信任服务体系 基础上的新型信任服务模式以“注册、认证、鉴权”为核心统一的信任体系（基础设施）信任服务与应用

26、分离归还用户对信任关系的控制权适合应用的快速部署适合用户的异地办公和移动办公更多新特性.第二代信任服务体系继承第一代信任服务体系以CM核心解决了身份认证、信息的机密性、完 整性、不可抵赖性相互独立的信任体系（非基础设施）信任与应用深耦合部署周期长企业级应用环境第一代信任服务体系以对称密钥机制为基础信任关系通过获得共享密钥建立 实现信息的机密性和完整性单项事务应用环境图1-13三代信任服务体系的关系（一）机密性对称密码技术浦荣公钥密码技术身份识别完整性机密性不可抵赖性向部身认面局的份、第二代信任服务体系机 密 性完 整 性不可抵赖性网一份证 全唯身认唯一 注 册统一 鉴 权对称 密码 技术公钥

27、密码 技术独立于应用的信任支持技术可信的鉴权服务技术可信的注册服务技术可信的私有网互联技术第三代信任服务体系图1-14三代信任服务体系的关系（二）二、维豪公司的成功案例（一）公司承担的工程项目电子党务试点示范工程（中办）电子政务试点示范工程（国办）国家工商总局红盾工程（二期）上海工商行政管理局电子政务项目上海证券交易所新网站项目上海证券交易所大宗交易系统江苏电力信息安全应用支撑平台联合证券安全的网上证券交易系统电子政务试点示范工程（南海市）13家电子政务试点示范工程及其与国办互联（图 2-1）国务院办公厅图2-1 13家电子政务试点示范工程及其与国办互联（二）国务院办公厅成功案例国务院办公厅制

28、定了全国办公业务资源网安全体系架构， 并在国 务院办公厅内部建设了安全与应用支撑平台， 作为全网的安全和业务 源点，其中第三代信任服务体系是安全与应用支撑平台的部分内容。国务院办公厅安全与应用支撑平台对内为国办应用和用户构造 了一个有中心、可管理、可信、可控、安全的信息化环境；对外对全 国电子政务办公业务资源网提供支撑和服务，目前，实现与8个部委、 5个副省级城市的可信互联互通和协同办公。密蚂服务图2-2安全支撑平台体系结构基本安全防护系境图2-3应用支撑平台体系结构我献最加佯问汨"班上需 岂£ * 僭任号：6篁皿姓名：王朝.豆口:吐士-£史,归:，击互总I”士J

29、交的任哲中币肝，箫卢市函t II）二IJE花田炉苜更新，声点击看看I" ；球13专刊匕品.直击笔喏1。,1 irt . " dF®r* m J! PI巳-口，£修信J&技术硒艮立句 （T，5可上 =m ”三1及lit 飞二瓶1口小蜩克巾后七唾1签.Hf.T? 7,bd） 口/至就春t：归他苑1T3.3 2 33.L«：mOJi侯I际曲：年】T 5 3至上客 U 土慢口融疏132 i4T 3图上加 田口单 «9«（W：】忆 1* 312010； : 誉华昊（WL国宜 14T. LJ1T±|： IWSGFft）

30、- 因由本Hik跄 冯:H京决 芬和中不在沈 小不衽件1 用文创灯.在曲？ 王安3立此1 事也小在瑛 n W供Tri需）：,置*二3在或 小， 方飞卬也涉 Kfi饰（不在求I,1：.ri R工皿17婚卜ZJ-j-nrfsfi马期现it 韩舰T心逐统S，01“清息一1电延串片成空怦他同施另 口用用白皮1二方送咽（ 小字应用 1些空空台E.工1邱先儿图2-4电子政务客户端（三）工商系统成功案例国家工商总局根据国家863计划”阶段性成果，制定了工商系统 安全体系架构，并在总局、北京、上海、浙江、贵州工商局分别构建 安全与应用支撑平台相关设备，探索出一条两级工商局安全互联互通 的应用模式。上海市工商行政管理局安全支撑平台实现与国家工商总局互联， 完成在全市22个区县RA的部署，通过与企业登记系统结合，截至 2005年2月底，为企业成功颁发30万余张电子营业执照，并以每天 7000余张的数量增长。基于安全支撑平台和电子营业执照，上海市工商行政管理局为企业开展了网上年检、网上变更、网上咨询、企业邮箱、网上亮照、网上预约等工商服务。在2004年底工商年检中，有10万企业参加工商网上年检，2005年底将有15万企业参加网上年检。rb T南行曲者部外带学业,记索馨（3.31第本收伴成受理绿色圄道囹口探沱田