標準化推動(dòng)PKI發(fā)展

文章出處：http://psychicreadingswithdeb.com 作者：余勇 博士   人氣： 發(fā)表時(shí)間：2011年09月08日

編者按：公鑰基礎設施（PKI）是建立在公鑰密碼體制上的信息安全基礎設施，為應用提供身份認證、加密、數字簽名等安全服務(wù)。數字證書(shū)認證中心（CA）是PKI的核心部件。但是，分離的PKI標準給它的發(fā)展帶來(lái)了困難，本文對此進(jìn)行了分析。

　　人們在享受網(wǎng)絡(luò )和計算機帶來(lái)便利的同時(shí)，也品嘗到了安全問(wèn)題的苦澀。病毒的快速傳播、電腦“黑客”的肆虐入侵、重要信息的泄密……這些問(wèn)題已威脅到政府服務(wù)、金融、電信、電力等國家基礎設施。為了防范這些隱患，許多新的安全技術(shù)規范不斷涌現，PKI便是其一。

　　公鑰基礎設施（Public Key Infrastructure，PKI）是建立在公鑰密碼體制上的信息安全基礎設施，為應用提供身份認證、加密、數字簽名、時(shí)間戳等安全服務(wù)。數字證書(shū)認證中心（Certificate Authority, CA）是PKI的核心部件，它的主要任務(wù)是數字證書(shū)、證書(shū)廢除列表CRL的簽發(fā)及管理。PKI已廣泛用于保障電子商務(wù)和電子政務(wù)的安全，可以這樣說(shuō)，PKI之于電子商務(wù)和電子政務(wù)就象高速公路之于其上行駛的汽車(chē)。

　　隨著(zhù)PKI的逐漸普及，為了更好地為社會(huì )提供服務(wù)，不同廠(chǎng)商的PKI產(chǎn)品需要互連互通。如電力用戶(hù)要用數字證書(shū)到銀行去交電費，銀行的PKI就要對電力用戶(hù)的證書(shū)進(jìn)行認證（確認身份）。通常電力PKI和銀行PKI是不同廠(chǎng)商的產(chǎn)品，這就需要兩家PKI產(chǎn)品能互操作，這需要支持相同的標準，如證書(shū)格式及接口規范等。與此同時(shí)，PKI產(chǎn)品自身的安全性也非常重要，這就需要專(zhuān)門(mén)的機構和標準規范對產(chǎn)品的安全功能和性能進(jìn)行測評認定。因此，標準化就成了PKI發(fā)展的必然趨勢。

　　
兩代PKI標準


　　PKI標準可以分為第一代和第二代標準。

　　第一代PKI標準

　　第一代PKI標準主要包括美國RSA公司的公鑰加密標準（Public Key Cryptography Standards，PKCS）系列、國際電信聯(lián)盟的ITU-T X.509、IETF組織的公鑰基礎設施X.509（Public Key Infrastructure X.509，PKIX）標準系列、無(wú)線(xiàn)應用協(xié)議（Wireless Application Protocol ,WAP）論壇的無(wú)線(xiàn)公鑰基礎設施（Wireless Public Key Infrastructure，WPKI）標準等。

　　第一代PKI標準主要是基于抽象語(yǔ)法符號（Abstract Syntax Notation One，ASN.1）編碼的，實(shí)現比較困難，這也在一定程度上影響了標準的推廣。

　　第二代PKI標準

　　2001年，由微軟、Versign和webMethods三家公司發(fā)布了XML密鑰管理規范（XML Key Management Specification，XKMS），被稱(chēng)為第二代PKI標準。XKMS由兩部分組成：XML密鑰信息服務(wù)規范（XML Key Information Service Specification，X-KISS）和XML密鑰注冊服務(wù)規范（XML Key Registration Service Specification，X-KRSS）。X-KISS定義了包含在XML-SIG元素中的用于驗證公鑰信息合法性的信任服務(wù)規范；使用X-KISS規范，XML應用程序可通過(guò)網(wǎng)絡(luò )委托可信的第三方CA處理有關(guān)認證簽名、查詢(xún)、驗證、綁定公鑰信息等服務(wù)。X-KRSS則定義了一種可通過(guò)網(wǎng)絡(luò )接受公鑰注冊、撤銷(xiāo)、恢復的服務(wù)規范；XML應用程序建立的密鑰對，可通過(guò)X-KRSS規范將公鑰部分及其它有關(guān)的身份信息發(fā)給可信的第三方CA注冊。X-KISS和X-KRSS規范都按照XML Schema 結構化語(yǔ)言定義，使用簡(jiǎn)單對象訪(fǎng)問(wèn)協(xié)議（SOAP V1.1）進(jìn)行通信，其服務(wù)與消息的語(yǔ)法定義遵循Web服務(wù)定義語(yǔ)言（WSDL V1.0）。

　　目前XKMS已成為W3C的推薦標準，并已被微軟、Versign等公司集成于他們的產(chǎn)品中（微軟已在A(yíng)SP.net中集成了XKMS，Versign已發(fā)布了基于Java的信任服務(wù)集成工具包TSIK）。

　　
相互分割影響PKI發(fā)展


　　我國正熱火朝天地進(jìn)行PKI建設，目前已經(jīng)成功建設大型的行業(yè)性或是區域性的PKI/CA就有四十多個(gè)。除此之外，許多企事業(yè)單位內部建立的小型PKI/CA還有很多。影響最大的行業(yè)性PKI/CA有：中國金融認證中心（CFCA）、中國電信認證中心（CTCA）；影響最大的區域性PKI/CA有上海CA認證中心和廣東CA認證中心。這些CA中心主要用于電子商務(wù)。各級政府也在建設PKI/CA，主要用于電子政務(wù)。但是PKI建設的高速增長(cháng)也帶來(lái)了許多問(wèn)題：如數字簽名、電子文檔及認證中心的法律地位問(wèn)題，我國還沒(méi)有正式頒布有關(guān)這方面的法律法規。這使得數字簽名得不到法律的保護，從而挫傷了人們對電子交易的熱情；另一方面，國家缺乏統一的規范和管理部門(mén)來(lái)指導PKI的建設問(wèn)題，同時(shí)，雖然國內的PKI廠(chǎng)商都稱(chēng)他們支持X.509證書(shū)格式，但由于證書(shū)的一些擴展項選擇不一樣，證書(shū)的接口標準不同，所有這些都使得各家的PKI/CA基本上處于相互分割的狀態(tài)，證書(shū)之間不能進(jìn)行互操作，這嚴重影響了證書(shū)的應用，同時(shí)也制約了PKI/CA的運行規模和效率，在一定程度上影響了人們對PKI的信任。若這些問(wèn)題得不到解決的話(huà)，PKI的發(fā)展將陷入危機。

　　由于信息安全已上升到國家安全的高度，各國都在制定自己的安全標準和規范。為了加強我國信息安全標準化工作，經(jīng)國家標準化管理委員會(huì )批準，2002年4月成立了全國信息安全標準化技術(shù)委員會(huì )(編號為T(mén)C260)，并下設了若干個(gè)工作組。其中PKI標準的制定由PKI/PMI工作組（WG4）完成。正在制定的PKI標準規范有：基于X509的國內證書(shū)格式規范、PKI組件最小互操作規范、X509在線(xiàn)證書(shū)狀態(tài)查詢(xún)協(xié)議、X509證書(shū)管理協(xié)議、PKI產(chǎn)品的安全測試認證規范、PKI系統安全保護等級評估準則、PKI系統安全保護等級技術(shù)要求等。

　　
PKI標準出臺誰(shuí)得益？


　　信息安全標準是我國信息安全保障體系的重要組成部分，是政府進(jìn)行宏觀(guān)管理的重要依據。信息安全標準不僅關(guān)系到國家安全，同時(shí)也是保護國家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段。

　　對廣大PKI產(chǎn)品提供商來(lái)說(shuō)，可以從兩方面來(lái)看影響：被動(dòng)的角度，標準的出臺將強制它們規范行為、改進(jìn)產(chǎn)品，這在開(kāi)始時(shí)廠(chǎng)商不一定認可；主動(dòng)的角度，生產(chǎn)出符合標準的PKI產(chǎn)品、通過(guò)相關(guān)的安全測評和認證，對于提高廠(chǎng)商的社會(huì )形象、擴大市場(chǎng)份額具有重要意義。

　　對用戶(hù)而言，PKI標準可以指導用戶(hù)制定合理的PKI策略、選擇更好的PKI產(chǎn)品、衡量并改善PKI工程的實(shí)施、規范PKI的安全管理。具體就PKI產(chǎn)品選型而言，首先，用戶(hù)會(huì )有以下疑問(wèn)：廠(chǎng)商的PKI產(chǎn)品有哪些功能？目前我需要哪些功能？產(chǎn)品的性能如何？上了PKI后我的網(wǎng)絡(luò )系統性能會(huì )不會(huì )有較大的下降？PKI產(chǎn)品自身的安全性怎樣？這些疑問(wèn)可以通過(guò)“PKI產(chǎn)品的安全測試認證規范”來(lái)給出答案。其次，用戶(hù)可能還有一些疑問(wèn)：隨著(zhù)今后業(yè)務(wù)的擴大，我需要與其它的PKI互聯(lián)互通，能實(shí)現嗎？這是PKI產(chǎn)品的互操作性考慮。這可從“基于X509的國內證書(shū)格式規范及PKI組件最小互操作規范”得到答案。

　　對一般技術(shù)人員來(lái)講，了解PKI標準的動(dòng)態(tài)，可以站在PKI的前沿，有助于把握PKI技術(shù)乃至整個(gè)信息安全產(chǎn)業(yè)的發(fā)展方向。

　　
未來(lái)30億美元規模


　　PKI的發(fā)展前景看好

　　據IDC調查顯示：PKI市場(chǎng)正在急劇擴大，從1999年開(kāi)始，以年平均增長(cháng)率61%的速度迅速擴大，到2004年時(shí)有望達到30億美元的規模。

　　今年1月，在北京召開(kāi)了中國PKI戰略發(fā)展與應用研討會(huì )，會(huì )議交流了正在擬訂的全面發(fā)展國內PKI建設的規范，其中既包括關(guān)系到國計民生的國家電子政務(wù)PKI體系，也包含關(guān)系電子商務(wù)是否能順利進(jìn)行的核心手段——國家公共PKI體系的建設。若這些PKI標準和規范早日發(fā)布，將會(huì )激起另一番PKI建設的熱潮，因此我國的PKI必將有一個(gè)美好的未來(lái)。