◆陈冠胜 吴树强

（广东电网有限责任公司肇庆供电局 广东 441200）

数字证书管控系统在能源行业的应用

◆陈冠胜 吴树强

（广东电网有限责任公司肇庆供电局 广东 441200）

在越来越严峻的信息化安全管理的形势下，PKI/CA数字证书管理系统作为能源企业信息安全基础设施，利用技术手段确保证书的可控、可视化的管理要求，保证业务决策的准确开展，从而在用户体现上、业务管理上等方面提供更好的信息安全服务。

PKI; 数字证书; 管控系统; 能源行业

0 前言

随着能源需求的急剧增加和经济信息全球化的逐步加深，能源行业系统（如：电力、石油、钢铁、水利等）也随着信息技术飞速发展。社会经济和信息时代的推进使得安全生产问题越来越成为社会各界关注的焦点，能源行业系统的稳定更是关系到国家安全和社会的稳定。

近年来，随着能源行业的信息化基础建设和应用推广的不断深入，其信息化水平不断提升，PKI数字证书应用的范围越来越广。身份认证技术是保证信息系统安全的第一道屏障，PKI数字证书是一种符合数据传输和身份认证的安全机制，它的安全环境建立在密码学之上，并作为一项有效的工具，提供在Intranet、Extranet及Internet网络环境间交换数据的信任基础。因为PKI体系结构在数据传输的安全性方面独具优势，可以灵活地应用于数据交换和身份认证之中。在保障PKI/CA系统高效、稳定、可靠运行的同时，对于PKI/CA证书的精细化管理要求也显得愈加迫切[1][2]。

基于以上，一方面需要建设一套行之有效的系统进行证书使用业务数据的挖掘分析，加强业务行为的管理; 另一方面也需要完善客户端证书使用情况的监控要求，以最大限度地满足终端用户和管理安全的要求。

1 技术基础与需求分析

1.1 术语定义

（1）[PKI/CA]

PKI：Public Key Infrastructure，公钥基础设施，是采用非对称密码算法和技术来实现和提供安全服务，并具有通用性的安全基础设施，是一种遵循既定标准的安全身份基础管理平台。

CA：Certificate Authority，证书签发中心，发放、管理、废除数字证书的权威机构。

KMC：Key Management Center，密钥管理中心，负责数字证书加密密钥的生成和管理。

RA：Register Authority，证书注册中心，提供证书申请、下载、注销、更新等各项业务的服务。

LDAP：Light Directory Access Protocol，轻型目录访问协议。

（2）[USB-KEY]

USB-KEY是一种通过USB（通用串行总线接口）直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。

（3）[CSP]

英文全称Cryptographic Service Providers，即加密服务提供者，是实现真正的加密服务的独立的模块。

（4）[CPS]

CPS（Certification Practice Statement）也叫认证运作规范，是关于认证机构在全部数字证书服务生命周期中的业务实践（如签发、吊销、更新）所遵循规范的详细描述和声明。

（5）[UAM]

统一用户管理系统是业务单位所有应用系统标准化的用户管理基础设施，它集中管理着所有应用系统的用户，包括用户帐号的统一管理、用户属性的统一管理以及用户整个生命周期的管理，并为各个应用系统提供安全的服务与支持。[3][4]

1.2 需求分析

由于传统的PKI/CA系统存在缺乏管理便捷性和缺少信息统计等功能，给管理工作带来了诸多不便。通过完善PKI系统，可以最大限度地满足业务需求,从而在实质上解决证书混乱的问题。

（1）实现对证书用户客户端的环境的管理和维护，包括环境自检、程序更新、客户端数据采集等;

（2）系统可采集PKI/CA系统的证书业务数据，实现证书全生命周期自主管理;

（3）对证书用户使用情况查询和统计，能自定义查询条件，形成相应的数据报表;

（4）系统可采集证书登陆应用的日志，实现对证书用户使用进行管理，并可取得证书使用的详细报告和审核跟踪;

（5）系统支持客户端的自动化维护，支持相关组件的在指定范围内自动升级与更新;

（6）服务端证书管控平台可实时或周期收集客户端业务信息，并通过相关报表予以展现;

（7）系统可按照单位或部门进行分级分层管理。

2 系统整体方案

2.1 系统结构设计

图1 系统结构设计图

如图1所示，数字证书管控系统的实现依赖于PKI/CA系统，用户端的证书来源于PKI/CA系统。客户端软件需要调用CSP助手程序，包括USBKEY驱动程序。用户名信息来源于用户集中管理UAM系统、LDAP服务器和客户端。

2.2 系统功能架构图

图2 数字证书管控系统架构

如图2所示，系统拓扑主要组件说明如下：

（1）客户端程序

Thanksgiving falls on the fourth Thursday of November, a different date every year.The President must proclaim that date as the official celebration.

客户端程序与USBKEY驱动程序和CSP小助手一起安装在用户客户端上，支持USBKEY环境自动检查、支持USBKEY驱动升级更新和CSP小助手程序的升级更新、支持用户自助进行证书到期提醒和更新、支持USBKEY远程解锁等功能。

（2）服务端平台

服务端为数字证书管控管理软件，该层包含表示层、业务逻辑层和数据接口。

表示层：主要是对系统相关业务数据以报表的形式进行展现，同时提供交互页面进行数据的配置，通过管理页面和查询界面供管理员进行相关业务数据的查询、统计和分析。

业务逻辑层：该层包括USBKEY用户端管理、证书使用的业务信息查询统计分析、系统管理等功能。USBKEY用户端管理包括USBKEY的解锁功能，支持USBKEY故障的管理; 证书使用的业务信息查询统计分析包括发证信息查询、证书客户端查询、用户证书应用查询、证书客户端管理和维护等。

数据访问层：该层主要包括通过与其他业务系统的数据交互接口，对PKI/CA系统的证书数据、客户端的业务数据进行采集，通过数据库进行存储。

（3）数据采集接口

数据采集接口用于收集相关业务数据，该接口包括用户客户端日志、用户集中管理UAM系统、LDAP接口等。根据客户端接口采集登录、密钥使用等情况以及客户端信息收集，UAM接口实现组织关系收集，用户关系收集以及权限情况判定。

3 成果价值

能源行业在PKI/CA平台基础上，通过建设数字证书管控系统，可很好解决PKI数字证书管理混乱的问题，减轻管理人员的工作负担，提高工作效率。数字证书管控平台具有对证书客户端的使用监控、管理和维护功能，实现对证书的使用进行查询、分析和统计，对信息系统整体安全防护和管理水平的提升提供了有效的手段。

（1）实现了用户数字证书监控管理创新建设。数字证书管控平台的用户证书业务查询、统计与分析等功能，给管理人员提供了更直观、可视化的业务展现数据。同时系统提供多角度的数字证书应用情况的分析报表，可动态监控证书应用的薄弱环节、以便有针对性强化信息安全管理,利于对证书业务的管理和决策。

（2）大幅提升了工作效率。通过客户端程序对用户使用环境进行自动检测功能，管理人员可通过管理平台可实时收集客户端的报障信息，及时高效定位和解决故障问题。

（3）提升用户自主解决问题的能力。通过证书管控系统的自检功能，用户在使用证书遇到问题时自主恢复操作的能力得到提高，可保证业务的正常开展，大大减轻系统管理人员工作负担。

（4）数字证书管控系统可实现能源企业内部数据的安全共享，所有证书用户基于USBKEY的业务都在数字证书管控系统得到了体现，提高了PKI/CA系统作为安全基础设施的利用率，充分体现了信息化建设的优势。

（5）通过实践，可总结出了一套行之有效的工程建设组织管理办法，为本行业的安全体系建设提供现实的参考依据。

4 结论

能源行业信息系统是我国重要的信息系统,能源系统的安全问题会直接影响到国计民生,甚至关乎国家安全。在PKI/CA平台基础上,通过建设PKI用户数字证书监控管理系统,可很好解决PKI数字证书目前管理混乱的问题,为信息系统提供有力的安全保障。

通过开发数字证书管控系统，可大范围进行证书业务的集中审计：通过全面、立体的监控手段，完成证书业务整个使用过程的记录和审计，完成各个用户的日志记录和审计，是电力企业信息安全管理要求，同时也具有重大的建设性意义。

[1]吴杰芳.浅谈PKI技术及应用.信息科技，2009.

[2]余勇，林为民，何军.电力数字证书服务系统的设计及应用.电力系统自动化，2005.

[3]刘敬峰.基于目录服务的统一用户管理平台设计与实现.电子科技大学，2009.

[4]常亮.基于工作流的统一账户管理平台.武汉理工大学，2012.