摘 要:随着新型电力系统的建设,海量终端的安全接入认证需求日趋增多,电力行业原有的密码应用情况复杂且使用不合规现象频繁,因此,亟需加速推广商用密码体系架构的建设,从而支撑安全互信的行业建设发展。本文首先概括了电力行业商用密码基础设施建设的基本情况和国密算法的应用情况,选取了商用密码应用最频繁的场景:数字证书和电子签章,并从技术层面分析了商用密码在数字证书和电子签章服务中的实际应用。
关键词:电力行业;商用密码;国密算法;数字证书;电子签章
电力系统作为国家重要的基础设施之一,关系国计民生,其安全性直接关系到国家安全和社会稳定。随着新型电力系统的加速建设,电力物联网终端设备日趋增多,安全接入日趋频繁,而现有的认证方法单一,难以满足电力物联网海量终端的安全接入认证需求。虽然现阶段电力行业中不同专业领域都建立了自主的证书认证体系,但彼此无法可信互认,这为密码统一管理工作带来较大困难。同时,电力行业中各专业密码应用情况复杂,密码使用不合规现象频繁,已无法满足《网络安全法》、《密码法》等国家法律法规要求。
密码作为是网络安全中核心技术,是保护国家安全和根本利益的战略性资源,是保障网络安全最有效、最可靠、最经济的手段。商用密码特指保护不属于国家秘密信息的密码,相比涉密领域的密码,商用密码的服务范围广,且应用场景也复杂多变。因此,为全面贯彻国家关于加强金融和重要领域密码应用与创新发展的决策部署,实现密码与电力行业战略和新技术新应用深度融合发展,充分发挥密码在保障电网安全生产经营中的重要作用,电力行业正加速推进商用密码在行业内的应用。本文先介绍了商用密码目前在电力行业中的一个整体应用情 况,接着从技术层面分别研究了商用密码在数字证书服务和电子签章服务中的应用。
1 .1 商用密码基础设施建设
电力行业涉及发、输、配、调度、用电等环节,各环节均涉及重要信息系统,各重要信息安全防护系统自成体系,缺乏统一的管理和控制机制,各系统在密码应用实践过程中应用的密码算法、协议也不尽相同,密码应用的安全水平参差不齐。为了转变原有各专业分散运营管理模式为集中运营模式,规范公司商用密码运营和应用管理,电力行业正推进建设符合国家法律法规要求且有特色的商用密码基础设施,为行业典型业务提供统一密码服务,提高密码产品自主化水平和密码应用标准化程度,从而构建规范化运营的商用密码应用服务保障体系。
商用密码基础设施主要包含数字证书系统、电子签章系统和商用密码基础设施监控与灾备环境。
1 .2 商用密码服务架构
电力行业中的商用密码服务为行业各专业应用提供密码类运算功能,典型业务包括业务系统证书申请、证书验证服务、对称密钥申请和对称密钥加解密申请。密码服务主要包括上层微服务组件及密码机集群两大部分,如图 1 所示。
图 1 密码服务架构
微服务组件包括原子服务、密码机调度服务、通道密钥服务、管理服务四部分,所有微服务模块均由云平台统一调度管理,其中原子服务是根据业务需求定义的原子类密码运算服务接口;密码机调度服务负责维护业务系统密码机信息,并根据规则对密码机进行调度,实现密码机的负载均衡、监控信息采集等功能;通道密钥服务主要提供业务报文加解密及 MAC 生成验证功能;管理服务主要为管理端提供密码服务部分的管理接口,例如密码设备管理等。
1 .3 国密算法概述
电力行业商用密码多采用国家密码管理局批准的国产标准算法,包括密码算法编程、算法芯片、加密卡实现等一系列技术,从而提供对称密码算法、非对称密码算法、消息认证等服务。
商用密码基础设施中所使用的对称加解密算法为SM1 和 SM4 分组加解密算法,主要用于加密传输数据和存储数据。例如,当业务系统与商用密码基础设施进行业务交互时,会使用 SM4 算法进行会话初始化验证保证通道安全,并当传输涉及到鉴别信息和证书信息等重要业务数据,同样会采用 SM4 算法加密传输来保证传输保密性。商用密码基础设施使用的非对称密码算法为 SM2 椭圆曲线公钥密码算 法和 SM9 标识密码算法,主要用于身份鉴别与认证,以及交换对称算法加密密钥。 在身份鉴别方面,用来鉴别所需的设备证书、登录认证的用户证书等; 在交易验证方面,用来验证用户交易抗抵赖签名所用证书; 在存储方面,用于加密存储口令数据和数据库链接等重要配置数据。 商用密码基础设施使用的消息认证算法为 SM3 杂凑算法,主要对传输数据、存储数据生成随机数进行验证,从而保证数据完整性。 国密算法在电力行业的应用总结如表 1 所示。
表 1 国密算法列表
数字证书是各类实体的数字身份证书,实质上是一个经认证中心用私有密钥进行数字签名的,包含所有者信息以及所有者公开密钥的文件。数字证书系统主要负责数字证书管理,包含数字证书签发、查询、更新和吊销等业务。
2.1 数字证书全生命周期管理
证书管理是数字证书系统的主要功能之一,系统围绕数字证书的全生命周期进行对应的流程管理,为各业务系统提供稳定、高效、安全的证书服务。本文主要介绍证书全生命周期中的申请、签发和验证节点。
2.1.1 证书申请与签发
证书申请提供在线和离线两种方式,当业务系统选择在线申请方式时,业务系统首先需通过集成系统的 jar 包,与数字证书系统建立一个通道完成初始化操作后,证书申请方便可直接在业务系统的操作页面上提出证书申请,业务系统的服务端直接调用数字证书系统的接口进行签发证书,证书返回给业务系统后转发给申请方即可;而离线的方式是证书申请方通过邮件把证书请求文件CSR(Certificate Signing Request)和相关序列号发到管理部门,管理人员根据邮件的内容,手动在数字证书系统管理界面进行签发证书。
2.1.2 证书验证
数字证书系统在进行证书验证时会进行证书有效期验证、证书信任链查询验证和吊销列表查询验证,若三种验证措施的结果都为有效,便会给证书验证请求方返回证书验证通过的结果。
1、有效期:证书的有效期验证是指验证当前证书的使用时间是否在证书起始和结束日期之间,签发证书时数字证书系统会保存用户侧提交的证书请求与个人信息,这些信息中包含证书的有效期。
2、证书信任链:当需在数字证书系统中验证一份证书的真伪时,其实就是在验证数字证书系统对该证书信息的签名是否有效,即要寻找数字证书系统的公钥来对签名做验证。在寻找的过程中,会产 生一个有级别的数字证书链条, 也就是证书信任链。
证书信任链验证的原理采用的是 SM2 椭圆曲线公钥密码算法的数字签名验证算法,首先利用子证书A的签名集合(r, S),计算
其中M是待验证的消息,ZA 是关于A的可辨别标识、部分椭圆曲线系统参数和A公钥的杂凑值,再计算t = (r + S),若t = 0,则验证不通过;然后计算椭圆曲线点
其中G为椭圆曲线的一个基点,其阶为素数,PA 为A的公钥;最后计算R = (e + X1 )mod n,其中n 是椭圆曲线所在的有限域的阶。若R = r,则根证书与子证书A的关系验证成功,否则验证失败。
3、吊销列表查询:CRL 吊销列表是由证书签发系统按固定周期签发的,数字证书系统会将已经吊销的证书的序列号增加到最新的吊销列表中,系统提供接口供用户下载有效的吊销列表,从而验证证书是否被吊销。
2.2 数字证书应用场景
电力行业的数字证书主要用于证明用户、设备等在电子化环境中所进行的身份认证和电子签名,以及数据加密等服务。
根据业务场景和用户终端的不同,一般会有多种不同类型的数字证书,如 USBkey 证书、设备证书、托管证书、事件性证书、移动端证书、Https 证书。
其中,USBkey 证书以USBkey 作为载体进行保存,可应用在电力系统许多业务场景中,如用户身份鉴别、电子合同、招投标业务、流程审批等。设备证书代表设备身份,包含设备基本信息和在业务系统内的唯一属性,可与设备实体进行绑定,主要用于设备身份认证,并建立基于设备证书构建设备与中心业务系统之间的安全传输通道,保证数据传输的加密性。托管证书存储于数字证书系统中,主要针对企业、个人不方便携带 USBkey 的情形,依附于业务系统进行调用,多应用在电力系统印章使用频次较高的场景中。事件型证书也称一次性证书,代表 签名主体在某一次特定电子签署活动中的数字身份。移动端证书即通过智能手机申请并存储数字证书,通过手机扫描二维码便可使用存储在手机内的数字证书,从而带来方便快捷,安全可靠的应用体验。
电子签章主要由数字签名生成的加密文档摘要、传统印章图片、PKI 提供的数字证书组成,可有效确认电子文档来源、确保文档的完整性、不可篡改与签名行为的不可否认性。
电子签章功能目前主要由电子签章系统负责实现,电子签章系统会和数字证书系统联动,共同完成电子签章服务流程。系统根据签章存在的形式不同提供三种不同的电子签章类别,分别是手写签名、托管签章、USBkey 签章。手写签名结合了事件型证书与手写电子签名,其中事件型证书也可以称一次性证书,系统使用的是基于一次性密钥的数字证书;托管签章是与用户身份进行绑定后保存在服务端加密设备中的电子签章,签章业务可通过具备权限的不同人员使用电子章及私钥对文件盖章和签名;USBkey 签章指电子签章存储在唯一的USBkey,只有掌握 USBkey 和口令的人员能够使用电子签章及私钥对文件盖章和签名。
3.1 电子签章服务流程
图 2 电子签章服务流程
电子签章服务主要分为 3 个阶段,分别是电子签章制作、电子签章使用和电子签章验证。在电子签章制作阶段,电子签章系统会根据提供的唯一赋码和数字证书生成电子印章,并对印章进行状态信息发布和备案。电子签章使用阶段则是根据签章的具体形式而定,如手写签名是一次性使用,托管签章是调用系统接口请求使用,USBkey 签章则是通过USBkey 认证后即可使用。电子签章验证阶段则是可以通过系统相关服务验证,也可通过第三方平台、机构查询。
由于不同形式的电子签章主要是保存和使用不同,因此以托管签章举例,介绍电子签章的应用流程,如图 2 所示。
3.2电子签章生成、使用与验证
3.2.1电子签章生成与使用
电子签章制作主体接受使用单位的制章凭证,并进行核实,依据实物印章印模规格要求生成电子印章印模,按照印章制作信息通过电子印章制作系统制作电子印章。电子印章制作系统检查信息完整性,申请唯一赋码和数字证书,并生成电子印章,想电子印章状态发布服务发布该印章状态信息,对电子印章进行备案,最后将新生成的电子签章安全写入用章单位密码机或密码服务、Ukey 等密码设备中。
3.2.2 电子签章验证
电子签章验证在系统中使用的是融合在用户业务数据流程中的业务验章过程。首先系统会校验电子签章数据格式是否符合要求,接着提取电子签章中的签名值,使用国密 SM3 算法进行验签,如验签失败则该电子签章安全性被破坏,直接退出即可。若验证通过,即调用数字证书系统完成签章人证书的验证,证书校验通过后系统会提取签章证书有效时间范围和电子签章有效时间范围进行对比来验证签章的时间有效性。签章时间有效性验证通过后,系统会验证原文的杂凑值,主要是获取待验证摘要信息同电子签章存放的摘要值进行比对。最后,系统会对电子印章数据的有效性进行校验,主要包括印章格式的合规性、印章签名值正确性、制章者证 书的有效性等。
3.3 电子签章应用场景
电子签章系统提供的电子签章服务在电力行业的应用场景主要有三处。一是一般性电力客户签章,主要涉及手写签章,通过实时生成的事件证书与手写电子签名的有效结合,完成文件的签字签名,如客户在营业厅使用相关终端办理业务需手写签名;二是电力公司业务人员签章,主要用于完成相关业务的审批,如内部文件审核签章;三是企业客户签章,主要涉及托管签章,将代表企业的私钥、证书、带签名的电子章托管到系统的服务端,当业务系统需进行签章业务时,通过多种技术验证使用者权限后,业务系统即可调用系统签章服务完成电子签章,如市场化售电业务。
随着电力行业新型业务的加速建设,各专业领域对密码应用的需求增大,传统技术架构体系已难以支撑新业务的快速发展,亟需加强商用密码体系的建设,以提供身份认证、密码运算、电子签章等服务,进一步统筹行业商用密码应用发展规划,建设密码应用责任、技术支撑、运营服务、制度标准、评估检测、风险管控体系。在未来的工作中,商用密码将不断被应用到更多的场景中,如为满足未来业务发展带来的敏感数据安全诉求提升行业数据安全能力,为保证终端设备的本体安全提升固件安全能力等。
参考文献
[1] 廖会敏,玄佳兴,甄平,李丽丽.泛在电力物联网信息安全综述[J].电力信息与通信技术,2019,17(08):18-23.
[2] 陈梅.商用密码技术在电力行业中的应用研究[J].信息安全与通信保密,2018(05):50-56.
[3] 向新宇,姚海燕,於志渊,惠以轩,王德君.电力物联网安全分析与国密算法应用[J].网络安全技术与应用,2021(07):37-39.
[4] 廖会敏,俞果,班国民,李长青,陈绍真.基于国密SM9 算法的电力物联网身份认证技术研究[J].山东电力技术,2020,47(10):1-5.
[5] 罗江酃.基于 PKI 的数字证书管理研究[J].信息系统工程,2015(03):25.
[6] 陈卓.PDF 电子签章关键技术研究与应用[D].宁波大学,2019.
[7] 李文.基于一次性数字证书的电子签名系统研究与实 现[D].西南科技大学, 2017.
[8] 陈中林,蒋雪梅.安全可信的电子印章体系与关键技术研究[J].中国人民公安大学学报(自然科学版), 2019,25(03):52-59.
[9] 周明.基于国产算法的 OFD 版式文件电子签章系统的设计与实现[D].战略支援部队信息工程大学,2019.
声明:本文来自密码头条,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
