◆武高峰

PKI 技術(shù)在工業(yè)互聯(lián)網(wǎng)云平臺中的應(yīng)用研究

◆武高峰

(中國航空發(fā)動機(jī)研究院 北京 101304)

本文結(jié)合云計(jì)算網(wǎng)絡(luò)框架，設(shè)計(jì)了一個(gè)基于PKI技術(shù)的工業(yè)互聯(lián)網(wǎng)云平臺安全支撐環(huán)境，并且詳細(xì)闡述了各部分的具體功能。

PKI技術(shù)；工業(yè)互聯(lián)網(wǎng)；云計(jì)算

0 前言

公開密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）是一個(gè)用非對稱密碼算法原理和技術(shù)實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)、電子政務(wù)的開展提供一整套安全的基礎(chǔ)設(shè)施。它是保障大型開放式網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)和信息安全的最可行、最有效的措施。PKI的本質(zhì)是實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題，建立了大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。概括來講，PKI是創(chuàng)建、管理、存儲、分發(fā)和撤銷基于公鑰加密的公鑰證書所需要的一套硬件、軟件、策略和過程的集合。

1 工業(yè)互聯(lián)網(wǎng)云平臺對PKI技術(shù)的需求

我國是有世界工廠之稱的制造大國，但卻不是制造強(qiáng)國。生產(chǎn)效率低、創(chuàng)新不足、科研水平低等仍是制約我國生產(chǎn)力發(fā)展的幾大因素。隨著“互聯(lián)網(wǎng)+技術(shù)”等新型信息技術(shù)在數(shù)字工廠的不斷深入應(yīng)用，中國迎來第四次工業(yè)革命 “彎道超車”的歷史機(jī)遇。中國智能制造2025需要利用新一代信息技術(shù)來提高工業(yè)制造的效率，降低建設(shè)和運(yùn)營成本。云計(jì)算可以最大限度的共享數(shù)據(jù)資源、節(jié)約建設(shè)運(yùn)行成本、提高平臺的負(fù)載能力、降低維護(hù)度,提高中國制造的核心競爭力。但在應(yīng)用安全方面，工業(yè)互聯(lián)網(wǎng)云計(jì)算平臺需要采用基于密碼技術(shù)的PKI/CA來保證身份認(rèn)證、授權(quán)管理，以及信息傳輸?shù)谋Ｃ苄?、完整性和真?shí)性等。

2 PKI在工業(yè)互聯(lián)網(wǎng)云平臺中的應(yīng)用方案

2.1 系統(tǒng)框架設(shè)計(jì)

工業(yè)互聯(lián)網(wǎng)云平臺是一個(gè)基礎(chǔ)設(shè)施，提供基本的運(yùn)算、存儲和網(wǎng)絡(luò)等資源服務(wù)。身份認(rèn)證服務(wù)本身也是一個(gè)安全基礎(chǔ)設(shè)施，為業(yè)務(wù)系統(tǒng)提供密鑰管理、證書發(fā)放的支持[1]。云平臺上的PKI應(yīng)用可以包括以下幾個(gè)方面：

第一是利用PKI基礎(chǔ)設(shè)施，為工業(yè)互聯(lián)網(wǎng)云平臺接入服務(wù)提供電子認(rèn)證服務(wù)，實(shí)現(xiàn)各類用戶證書的申請、審核、頒發(fā)、注銷、更新等服務(wù)，同時(shí)實(shí)現(xiàn)數(shù)字證書的生命周期管理、CRL服務(wù)功能、目錄服務(wù)功能、CA管理功能、證書狀態(tài)在線查詢功能、日志與審計(jì)功能；

第二是提供適用于多種終端設(shè)備的安全中間件，支持主流物聯(lián)網(wǎng)終端設(shè)備，支持IOS、android移動設(shè)備。中間件功能主要包括：證書管理、證書開發(fā)，安全認(rèn)證，簽名驗(yàn)簽，同時(shí)支持SHA256和國產(chǎn)SM2算法；

第三是利用證書應(yīng)用安全平臺，為云上各業(yè)務(wù)系統(tǒng)提供簽名驗(yàn)簽、安全認(rèn)證、SSL加密等功能，提供簽名和校驗(yàn)機(jī)制。

2.2 云端PKI體系私鑰安全設(shè)計(jì)

保障私鑰安全需要從加密機(jī)制和虛擬化環(huán)境校驗(yàn)兩方面進(jìn)行設(shè)計(jì)。

在云端經(jīng)文件加密機(jī)初始化之后，生成兩個(gè)私鑰文件（JKS）和公鑰文件（PUB），其中根據(jù)需要對私鑰文件進(jìn)行加密存儲。加密私鑰文件需要使用三組密碼：一是對稱密鑰(由用戶頁面手動輸入加密密碼)。二是非對稱密鑰A(由程序調(diào)用密碼模塊生成)。三是管理員部署時(shí)生成的非對稱密鑰對B。如圖1。

圖1 云端PKI體系私鑰安全設(shè)計(jì)

文件加密機(jī)初始化完成之后，使用非對稱密鑰A的公鑰對私鑰文件進(jìn)行加密，生成一個(gè)密文的私鑰保存到相應(yīng)位置；使用用戶輸入的對稱密鑰對非對稱密鑰A的私鑰進(jìn)行加密，生成一個(gè)密文的私鑰A保存到相應(yīng)位置；使用管理員的非對稱密鑰B公鑰對非對稱密鑰A的私鑰進(jìn)行加密，生成一個(gè)密文的私鑰A保存到相應(yīng)位置；將非對稱密鑰A的公鑰保以明文的方式保存到相應(yīng)位置。

在部署階段，系統(tǒng)自動收集虛擬化特征信息，并使用自身公鑰加密保存形成虛擬化環(huán)境特征碼，在涉及私鑰使用前，必須檢驗(yàn)比對該特征碼，以保證防止證書私鑰在非法的虛擬化環(huán)境中被合法使用。

2.3 終端設(shè)備服務(wù)協(xié)議設(shè)計(jì)

終端發(fā)證服務(wù)應(yīng)支持多種協(xié)議，包括適用于移動終端、防火墻、路由設(shè)備的簡單證書注冊協(xié)議（SCEP）、適用于終端管理平臺的證書管理協(xié)議（CMP V2）等[2]。 同時(shí)考慮到工業(yè)控制的各類特定場景，終端設(shè)備服務(wù)需要支持自定義協(xié)議，滿足設(shè)備類型受限、帶寬受限等要求。

2.4 終端證書安全存儲設(shè)計(jì)

終端證書安全存儲分為三種層面考慮。

第一種是把對稱密鑰、非對稱密鑰都存儲在安全芯片中，可通過芯片的安全性保障數(shù)據(jù)不被串改、拷貝，有效防止逆向分析。

第二種內(nèi)置可信計(jì)算環(huán)境，實(shí)現(xiàn)外部應(yīng)用與安全應(yīng)用的運(yùn)算環(huán)境相互獨(dú)立，保證證書私鑰運(yùn)算具備較高的安全環(huán)境，利用外層應(yīng)用調(diào)用內(nèi)部可信計(jì)算，確保外部應(yīng)用能獲取最終可信計(jì)算結(jié)果。

第三種是在應(yīng)用層實(shí)現(xiàn)密鑰和硬件綁定，在移除設(shè)備和口令不正確的情況，有效防止設(shè)備的亂用，確保私鑰的安全性。

2.5 證書狀態(tài)查詢設(shè)計(jì)

PKI的可信驗(yàn)證包括證書鏈、有效期、證書狀態(tài)三個(gè)部分，其中證書狀態(tài)驗(yàn)證可采用證書吊銷列表檢查（CRL）和在線證書狀態(tài)查詢檢查（OCSP）二種機(jī)制。

證書吊銷列表檢查（又稱黑名單）是最常用的證書狀態(tài)驗(yàn)證機(jī)制，通過簽發(fā)出包括所有已失效證書（廢除或凍結(jié)）的吊銷列表并發(fā)布到公共訪問區(qū)，提供離線方式的吊銷驗(yàn)證。黑名單為非實(shí)時(shí)驗(yàn)證機(jī)制，最小發(fā)布周期一般不小于1小時(shí)。而在線證書狀態(tài)查詢協(xié)議定義于RFC6960，是一種實(shí)時(shí)的證書狀態(tài)驗(yàn)證機(jī)制，應(yīng)用系統(tǒng)通過在線方式實(shí)時(shí)查詢證書的吊銷狀態(tài)。

由于黑名單文件需要從發(fā)布服務(wù)器下載到本地進(jìn)行驗(yàn)證（目錄發(fā)布服務(wù)器或其它可信來源），對于海量證書系統(tǒng)會有網(wǎng)絡(luò)帶寬的問題，終端系統(tǒng)難于處理如此巨大文件。雖然可以通過黑名單分塊方式來減少單個(gè)文件大小，但對于億級以上終端設(shè)備，黑名單文件的維護(hù)仍就會非常困難。

相比而言，在線證書狀態(tài)查詢（OCSP）采用的在線驗(yàn)證機(jī)制，可根本上規(guī)避黑名單方式所面臨的問題，更適用海量終端設(shè)備、云平臺等工業(yè)應(yīng)用場合。

3 結(jié)語

PKI為工業(yè)互聯(lián)網(wǎng)云平臺提供身份認(rèn)證、數(shù)據(jù)安全傳輸及訪問控制管理等安全機(jī)制，可以較好的解決工業(yè)互聯(lián)網(wǎng)云平臺面臨的安全問題。PKI簽發(fā)的數(shù)字證書，結(jié)合云端PKI體系私鑰安全設(shè)計(jì)，使云平臺用戶之間相互認(rèn)證，通過對稱和非對稱加密技術(shù)，PKI在用戶和云平臺之間建立起安全保密的通信通道，最大限度地保障用戶數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性。

[1]李靜媛.PKI在云平臺中的應(yīng)用探析[J].硅谷，2013.

[2]葉小榕，邵晴.一項(xiàng)結(jié)合云計(jì)算和PKI 的數(shù)字圖書館系統(tǒng)框架設(shè)計(jì)[J].科技導(dǎo)報(bào)，2010.