CA认证在电力行业中的应用唐志红(北京天威诚信电子商务服务有限公司)摘要:我国电力行业的信息化建设得到了快速的发展,解决信息化建设过程中的信息安全问题尤为重要,电力行业信息安全关系到国民生产的安全。本文对电力行业信息化建设的信息安全需求进行分析,将CA认证技术应用到电力行业,为电力行业信息化建设提供法律保障的应用安全解决方案。关键词:信息安全认证中心数字证书数字签名1我国电力行业信息化建设现状我国电力行业信息化建设经历三个阶段:20世纪60年代到80年代初期,计算机主体是国产DJ5系列小型机,主要应用科学计算和工程运算上;20世纪80年代中到90年代初期,计算机系统在电力行业业务领域得到应用,如电网调度自动化、发电厂生产自动化控制系统、电力负荷控制预测、计算机辅助设计、计算机电力仿真系统等。同时企业开始注意开发建设管理信息的单项应用系统;20世纪90年代中到21世纪初,开始有计划地开发建设企业管理信息系统,信息技术的应用由操作向管理层延伸,从单机、单项目向网络化、整体化、综合性应用发展。电力行业电子商务和电子政务的应用得到了快速的发展。2电力行业信息化建设的安全需求由于互联网的广泛性、开放性和匿名性,使得基于互联网的应用存在诸多信息安全隐患,如下图所示,包括:如何确认彼此的身份?如何保证信息通过互联网传递时不被窃听,不导致信息泄漏?如何保证信息通过互联网传递时不被篡改,使信息完整传输?如何让不能抵赖自己发送的信息,有怎样的证据?等等。这些都是信息化建设过程中必须解决的问题。PKI/CA在电力行业中的应用第2页1/11/2020随着电力行业信息化的快速发展,信息技术逐步渗入到电力行业的各个领域,不再是单一的、独自的运行个体,需要进行大量的内部交流,和更多同行及外部之间的交流;同时不单单是行业生产方的应用,随着网络浪潮的迅猛普及,电力行业的流通和交易也越来越多的涉及到网络化建设。包括:发电厂自身的网络安全应用需求、配电过程中的安全应用需求以及电力交易过程中的安全应用需求。而且,由于电力行业本身的特殊性,使得电力公司比其它行业有着更多的和政府机关的联系,如申报审批、网上信息监管、各种电力信息的统计和审核等等。这些信息都在不同程度上关系到电力行业的正常运转和统筹安排,如果这些信息一旦失真或被内部人员、不怀好意人士、黑客和间谍窃取将有可能导致严重的后果。因此,采取强有力的安全措施来保障电子政务的信息安全将变得尤为重要。3CA认证技术是保障信息安全的最佳解决方案目前,针对基于互联网应用的信息安全问题,具有一种最佳的解决方案——CA认证技术。CA是CertificationAuthority的缩写,叫做认证中心或认证权威。作为权威的、可信赖的、公正的第三方机构,CA专门负责发放并管理所有参与网上业务实体所需的数字证书。它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体联系在一起。CA认证技术是基于PKI技术的实现。PKI是PublicKeyInfrastructure的缩写,从字面上理解,PKI就是利用公钥理论和技术为网络建立提供安全服务的在线基础设施。通常,一个PKI/CA在电力行业中的应用第3页1/11/2020实用的PKI体系应该是安全、易用、灵活和经济的。它所包含的认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤销系统等功能模块应该有机地结合在一起。PKI技术是互联网信息安全技术的核心,也是电子商务和电子政务的关键和基础技术。举个例子,如现实中的电力基础设施,它提供的服务是电能,任何电器(电灯、电视等等)都是电力系统的一些应用。PKI作为网络安全的基础设施,为各种网络应用提供安全服务。PKI的核心是信任关系的管理。第三方信任和直接信任是所有网络安全产品实现的基础。所谓第三方信任是指两个人可以通过第三方间接地达到彼此信任。当两个陌生人都和同一个第三方彼此信任并且第三方也担保他们的可信度时,这两个陌生人就可以做到彼此信任。在任何大规模的网络里,基于第三方的信任是必要并且有效的。当在很多人中建立第三方信任时,就需要有一个权威中心来确保信任度。CA就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。我们可以把CA看成是一个国家的护照签发中心。护照是由权威中心(护照签发中心)颁发的一种安全文件,它是护照持有者的一种纸质身份证明,任何信任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。由CA签发的网络用户电子身份证明——数字证书,就像护照一样,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。当然,就像护照需要防伪一样,CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活性也是CA能否得到市场认同的一个关键,它必须支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。CA所签发的数字证书是网络世界中的身份证,利用数字证书能够进行身份认证和数字签名,其持有者在网络上的操作具有不可抵赖性,不仅保证了操作的可靠性,而且为事后追踪、明确责任和解决纠纷提供了依据。4法律环境的建立为CA认证技术的应用提供了法律支持从2005年4月1日起《中华人民共和国电子签名法》开始正式施行,这是一部被誉为中国信息化领域的第一部法律。它的实施为电子商务和电子政务的发展打造了一个良好的法律环PKI/CA在电力行业中的应用第4页1/11/2020境。《电子签名法》通过确立电子签名法律效力、规范电子签名行为在法律制度上保障了电子商务和电子政务应用的安全,是中国信息化立法的一个突破。《电子签名法》的出台将很好解决了网络环境中的身份认证、信息传输机密性和完整性以及抗抵赖性等系列问题。使用电子签名之后,按照目前的技术手段,其加密技术极难破解,无法伪造,因而黑客无法破译。因此我们可以说《电子签名法》的实施将大大增强网上应用系统的安全性,提高企业运作效率。CA认证技术是《电子签名法》最为认可、技术最成熟和使用最普遍的一种技术手段,所有这些电子签名应用后的优越功能,势必会给电子商务和电子政务安全建设带来新一轮的高潮。同时,电子签名法的出台,为了CA认证技术的应用提供了强有力的法律保障,将极大的促进CA认证技术在各行各业的应用和推广。5为电力行业定制的应用安全解决方案针对电力行业信息化建设面临的诸多信息安全隐患,基于CA认证技术的、易于实施的、完善的应用安全解决方案如图。PKI/CA在电力行业中的应用第5页1/11/20206CA认证技术在电力行业的应用规划CA认证技术将在电力行业信息化建设过程中得到广泛的应用:(1)安全电子邮件应用对于电力行业信息化建设来说,很多企业都有自己的电子邮件系统,通过电子邮件系统,发送电子邮件。随着电子邮件服务的应用推广和普及,不可避免地涉及到敏感数据的保密问题,如法律文件、重要通知、研究报告和电力价格信息等,邮件信息的保密性、完整性、真实性和不可抵赖性成为人们关注的焦点。传统的电子邮件服务缺乏强有力的安全机制作保障,使得信息在互联网上传递时很容易泄漏或被篡改,无形中给用户带来不可估量的损失。而利用为电力行业建设的PKI/CA平台,为用户颁发的数字证书,可以解决电子邮件的安全问题。电子邮件用户PKI/CA平台申请安全电子邮件证书,使用数字证书来发送加密和签名邮件,保证在网上传输时,邮件是加密传输的,非法用户无法通过公开的互联网获取邮件的明文,同时,邮件是经过发送方签名的,邮件接收方可以通过签名验证,判断邮件的发送方的身份,并判断邮件在发送过程中是完整的,发送方不能对发送的邮件进行抵赖,从而实现了电子邮件传输的安全需求。(2)网上申报与审批系统安全应用电力行业电子政务和电子商务应用都具有各种网上申报与审批业务,如进行行政、财务和人事申报与审批等,是电力行业的重要办公业务,在网上传输的申报与审批数据都是一些非常敏感的数据,因此需要实现网上申报与审批业务系统的身份认证和访问控制,需要实现数据传输的机密性、完整性和抗抵赖性等安全需求。CA认证技术的应用可以解决网上申报与审批业务的安全需求。通过电力行业PKI/CA平台,为参与该业务的用户颁发数字证书,作为访问网上申报与审批的唯一的身份。用户访问业务系统时使用数字证书进行登录,系统通过验证用户的证书,来判断用户的身份,并给予相应的访问授权;在用户进行申报与审批时,使用数字证书,对申报与审批数据进行加密、签名传输。从而可以实现网上申报与审批的身份认证和访问控制,以及数据传输的机密性、完整性和抗抵赖性需求。(3)网上信息发布系统安全应用在使用电力行业电子政务系统或电子商务系统进行网上公告、通知和信息发布时,需要知道访问者的真实身份,需要查看访问者是否具有发布的权限,以防止某些非法用户假冒领导、PKI/CA在电力行业中的应用第6页1/11/2020企业或用户发布公告、通知和信息。同时,网上公告、通知和信息的发布本身还应该具有相应的法律责任或工作责任,因此,发布者不能随意进行发布,查看公告、通知和信息的用户能够通过某种方式判断相关信息的确是某个用户发布的,如的确是某个领导做的批示,的确是相关单位发布的公告等,因此,需要保证发布的信息的完整性和抗抵赖性需求。CA认证技术的应用可以解决网上发布信息的安全需求。通过电力行业PKI/CA平台,为信息发布者颁发数字证书。信息发布者访问业务系统时使用数字证书进行登录,系统通过验证用户的证书,来判断用户的身份,并给予相应的信息发布的授权。在进行信息发布时,使用发布者的数字证书,发布的信息进行数字签名,信息查看者可以通过验证发布信息的数字签名,来判断信息的确是相应的用户发布的,并且发布的信息是真实的、完整的和抗抵赖的。从而实现电力行业网上公告、通知和信息发布的安全需求。(4)网上电子公文流程安全应用电子公文流转也是电力行业开展网上办公的重要组成部分,电力行业会利用网上办公平台流转各种电子公文或通知,而这些电子公文或通知都需要通过各种部门或各级领导的审批和签字。通常,电子公文都是一些Word文档,在互联网上传输存在很多安全隐患,包括:发文者与收文者相互不见面,无法确定对方身份的真实性;不能确保电子公文在传输过程中不被第三方窃取;不能确保电子公文在传输过程中不被第三方窃取并篡改;无确凿的证据证实发文者确实发送过某公文,发文者可能对已发过的信息进行抵赖。北京天威诚信提供了一种对文档数字签章的产品——数字签章产品,结合为电力行业建设的PKI/CA平台,能够在Word文档上生成和传统相似的图形公章和私章,具有很高的易用性。使用该产品能够快捷、有效地解决了电子文档在公文流转过程中的身份认证、领导批示、电子公文传输的完整性等安全问题。(5)电力行业电子政务安全应用通过PKI/CA平台,为电力行业各环节职能部门颁发数字证书,在各自不同的电子政务应用平台中使用数字证书,保障电力行业电子政务应用系统的信息安全需求。在不同电子政务应用系统中,如网上办公、网上申报审批、政务公文流转、网上年检等,用户登录电子政务系统时,通过验证电子政务系统配置的服务器证书来验证系统的身份,然后提交用户的证书让系统验证用户的真实身份,完成用户和应用系统的双向认证;根据用户身份给予相应授权,实现访问控制,并建立安全通道;用户提交办公数据和相应保密信息时,使用PKI/CA在电力行业中的应用第7页1/11/2020用户证书对数据进行数字签名,并通过安全通道进行加密传输,达到传输数据时的机密性和完整性。(6)电力行业电子商务交易安全应用通过为电力行业建设的PKI/CA平台,为涉及到网上电子交易的用户发放数字证书,可以解决网上电力交易的安全需求。对所有涉及网上电子交易的团体和个人,在进行电子交易的时候通过数字证书确认其真实身份;确保网上交易平台发布信息的真实、完整、可靠和可用;确保通过网上交易平台真正实现网上交易;确保建立诚信的交易环境