◆武高峰

PKI 技术在工业互联网云平台中的应用研究

◆武高峰

(中国航空发动机研究院 北京 101304)

本文结合云计算网络框架，设计了一个基于PKI技术的工业互联网云平台安全支撑环境，并且详细阐述了各部分的具体功能。

PKI技术；工业互联网；云计算

0 前言

公开密钥基础设施（Public Key Infrastructure，PKI）是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。它是保障大型开放式网络环境下网络和信息安全的最可行、最有效的措施。PKI的本质是实现了大规模网络中的公钥分发问题，建立了大规模网络中的信任基础。概括来讲，PKI是创建、管理、存储、分发和撤销基于公钥加密的公钥证书所需要的一套硬件、软件、策略和过程的集合。

1 工业互联网云平台对PKI技术的需求

我国是有世界工厂之称的制造大国，但却不是制造强国。生产效率低、创新不足、科研水平低等仍是制约我国生产力发展的几大因素。随着“互联网+技术”等新型信息技术在数字工厂的不断深入应用，中国迎来第四次工业革命 “弯道超车”的历史机遇。中国智能制造2025需要利用新一代信息技术来提高工业制造的效率，降低建设和运营成本。云计算可以最大限度的共享数据资源、节约建设运行成本、提高平台的负载能力、降低维护度,提高中国制造的核心竞争力。但在应用安全方面，工业互联网云计算平台需要采用基于密码技术的PKI/CA来保证身份认证、授权管理，以及信息传输的保密性、完整性和真实性等。

2 PKI在工业互联网云平台中的应用方案

2.1 系统框架设计

工业互联网云平台是一个基础设施，提供基本的运算、存储和网络等资源服务。身份认证服务本身也是一个安全基础设施，为业务系统提供密钥管理、证书发放的支持[1]。云平台上的PKI应用可以包括以下几个方面：

第一是利用PKI基础设施，为工业互联网云平台接入服务提供电子认证服务，实现各类用户证书的申请、审核、颁发、注销、更新等服务，同时实现数字证书的生命周期管理、CRL服务功能、目录服务功能、CA管理功能、证书状态在线查询功能、日志与审计功能；

第二是提供适用于多种终端设备的安全中间件，支持主流物联网终端设备，支持IOS、android移动设备。中间件功能主要包括：证书管理、证书开发，安全认证，签名验签，同时支持SHA256和国产SM2算法；

第三是利用证书应用安全平台，为云上各业务系统提供签名验签、安全认证、SSL加密等功能，提供签名和校验机制。

2.2 云端PKI体系私钥安全设计

保障私钥安全需要从加密机制和虚拟化环境校验两方面进行设计。

在云端经文件加密机初始化之后，生成两个私钥文件（JKS）和公钥文件（PUB），其中根据需要对私钥文件进行加密存储。加密私钥文件需要使用三组密码：一是对称密钥(由用户页面手动输入加密密码)。二是非对称密钥A(由程序调用密码模块生成)。三是管理员部署时生成的非对称密钥对B。如图1。

图1 云端PKI体系私钥安全设计

文件加密机初始化完成之后，使用非对称密钥A的公钥对私钥文件进行加密，生成一个密文的私钥保存到相应位置；使用用户输入的对称密钥对非对称密钥A的私钥进行加密，生成一个密文的私钥A保存到相应位置；使用管理员的非对称密钥B公钥对非对称密钥A的私钥进行加密，生成一个密文的私钥A保存到相应位置；将非对称密钥A的公钥保以明文的方式保存到相应位置。

在部署阶段，系统自动收集虚拟化特征信息，并使用自身公钥加密保存形成虚拟化环境特征码，在涉及私钥使用前，必须检验比对该特征码，以保证防止证书私钥在非法的虚拟化环境中被合法使用。

2.3 终端设备服务协议设计

终端发证服务应支持多种协议，包括适用于移动终端、防火墙、路由设备的简单证书注册协议（SCEP）、适用于终端管理平台的证书管理协议（CMP V2）等[2]。 同时考虑到工业控制的各类特定场景，终端设备服务需要支持自定义协议，满足设备类型受限、带宽受限等要求。

2.4 终端证书安全存储设计

终端证书安全存储分为三种层面考虑。

第一种是把对称密钥、非对称密钥都存储在安全芯片中，可通过芯片的安全性保障数据不被串改、拷贝，有效防止逆向分析。

第二种内置可信计算环境，实现外部应用与安全应用的运算环境相互独立，保证证书私钥运算具备较高的安全环境，利用外层应用调用内部可信计算，确保外部应用能获取最终可信计算结果。

第三种是在应用层实现密钥和硬件绑定，在移除设备和口令不正确的情况，有效防止设备的乱用，确保私钥的安全性。

2.5 证书状态查询设计

PKI的可信验证包括证书链、有效期、证书状态三个部分，其中证书状态验证可采用证书吊销列表检查（CRL）和在线证书状态查询检查（OCSP）二种机制。

证书吊销列表检查（又称黑名单）是最常用的证书状态验证机制，通过签发出包括所有已失效证书（废除或冻结）的吊销列表并发布到公共访问区，提供离线方式的吊销验证。黑名单为非实时验证机制，最小发布周期一般不小于1小时。而在线证书状态查询协议定义于RFC6960，是一种实时的证书状态验证机制，应用系统通过在线方式实时查询证书的吊销状态。

由于黑名单文件需要从发布服务器下载到本地进行验证（目录发布服务器或其它可信来源），对于海量证书系统会有网络带宽的问题，终端系统难于处理如此巨大文件。虽然可以通过黑名单分块方式来减少单个文件大小，但对于亿级以上终端设备，黑名单文件的维护仍就会非常困难。

相比而言，在线证书状态查询（OCSP）采用的在线验证机制，可根本上规避黑名单方式所面临的问题，更适用海量终端设备、云平台等工业应用场合。

3 结语

PKI为工业互联网云平台提供身份认证、数据安全传输及访问控制管理等安全机制，可以较好的解决工业互联网云平台面临的安全问题。PKI签发的数字证书，结合云端PKI体系私钥安全设计，使云平台用户之间相互认证，通过对称和非对称加密技术，PKI在用户和云平台之间建立起安全保密的通信通道，最大限度地保障用户数据的机密性、完整性和不可否认性。

[1]李静媛.PKI在云平台中的应用探析[J].硅谷，2013.

[2]叶小榕，邵晴.一项结合云计算和PKI 的数字图书馆系统框架设计[J].科技导报，2010.