標(biāo)準(zhǔn)化推動(dòng)PKI發(fā)展

文章出處：http://www.xianjuhong.com 作者：余勇 博士   人氣： 發(fā)表時(shí)間：2011年09月08日

編者按：公鑰基礎(chǔ)設(shè)施（PKI）是建立在公鑰密碼體制上的信息安全基礎(chǔ)設(shè)施，為應(yīng)用提供身份認(rèn)證、加密、數(shù)字簽名等安全服務(wù)。數(shù)字證書(shū)認(rèn)證中心（CA）是PKI的核心部件。但是，分離的PKI標(biāo)準(zhǔn)給它的發(fā)展帶來(lái)了困難，本文對(duì)此進(jìn)行了分析。

　　人們?cè)谙硎芫W(wǎng)絡(luò)和計(jì)算機(jī)帶來(lái)便利的同時(shí)，也品嘗到了安全問(wèn)題的苦澀。病毒的快速傳播、電腦“黑客”的肆虐入侵、重要信息的泄密……這些問(wèn)題已威脅到政府服務(wù)、金融、電信、電力等國(guó)家基礎(chǔ)設(shè)施。為了防范這些隱患，許多新的安全技術(shù)規(guī)范不斷涌現(xiàn)，PKI便是其一。

　　公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）是建立在公鑰密碼體制上的信息安全基礎(chǔ)設(shè)施，為應(yīng)用提供身份認(rèn)證、加密、數(shù)字簽名、時(shí)間戳等安全服務(wù)。數(shù)字證書(shū)認(rèn)證中心（Certificate Authority, CA）是PKI的核心部件，它的主要任務(wù)是數(shù)字證書(shū)、證書(shū)廢除列表CRL的簽發(fā)及管理。PKI已廣泛用于保障電子商務(wù)和電子政務(wù)的安全，可以這樣說(shuō)，PKI之于電子商務(wù)和電子政務(wù)就象高速公路之于其上行駛的汽車。

　　隨著PKI的逐漸普及，為了更好地為社會(huì)提供服務(wù)，不同廠商的PKI產(chǎn)品需要互連互通。如電力用戶要用數(shù)字證書(shū)到銀行去交電費(fèi)，銀行的PKI就要對(duì)電力用戶的證書(shū)進(jìn)行認(rèn)證（確認(rèn)身份）。通常電力PKI和銀行PKI是不同廠商的產(chǎn)品，這就需要兩家PKI產(chǎn)品能互操作，這需要支持相同的標(biāo)準(zhǔn)，如證書(shū)格式及接口規(guī)范等。與此同時(shí)，PKI產(chǎn)品自身的安全性也非常重要，這就需要專門的機(jī)構(gòu)和標(biāo)準(zhǔn)規(guī)范對(duì)產(chǎn)品的安全功能和性能進(jìn)行測(cè)評(píng)認(rèn)定。因此，標(biāo)準(zhǔn)化就成了PKI發(fā)展的必然趨勢(shì)。

　　
兩代PKI標(biāo)準(zhǔn)


　　PKI標(biāo)準(zhǔn)可以分為第一代和第二代標(biāo)準(zhǔn)。

　　第一代PKI標(biāo)準(zhǔn)

　　第一代PKI標(biāo)準(zhǔn)主要包括美國(guó)RSA公司的公鑰加密標(biāo)準(zhǔn)（Public Key Cryptography Standards，PKCS）系列、國(guó)際電信聯(lián)盟的ITU-T X.509、IETF組織的公鑰基礎(chǔ)設(shè)施X.509（Public Key Infrastructure X.509，PKIX）標(biāo)準(zhǔn)系列、無(wú)線應(yīng)用協(xié)議（Wireless Application Protocol ,WAP）論壇的無(wú)線公鑰基礎(chǔ)設(shè)施（Wireless Public Key Infrastructure，WPKI）標(biāo)準(zhǔn)等。

　　第一代PKI標(biāo)準(zhǔn)主要是基于抽象語(yǔ)法符號(hào)（Abstract Syntax Notation One，ASN.1）編碼的，實(shí)現(xiàn)比較困難，這也在一定程度上影響了標(biāo)準(zhǔn)的推廣。

　　第二代PKI標(biāo)準(zhǔn)

　　2001年，由微軟、Versign和webMethods三家公司發(fā)布了XML密鑰管理規(guī)范（XML Key Management Specification，XKMS），被稱為第二代PKI標(biāo)準(zhǔn)。XKMS由兩部分組成：XML密鑰信息服務(wù)規(guī)范（XML Key Information Service Specification，X-KISS）和XML密鑰注冊(cè)服務(wù)規(guī)范（XML Key Registration Service Specification，X-KRSS）。X-KISS定義了包含在XML-SIG元素中的用于驗(yàn)證公鑰信息合法性的信任服務(wù)規(guī)范；使用X-KISS規(guī)范，XML應(yīng)用程序可通過(guò)網(wǎng)絡(luò)委托可信的第三方CA處理有關(guān)認(rèn)證簽名、查詢、驗(yàn)證、綁定公鑰信息等服務(wù)。X-KRSS則定義了一種可通過(guò)網(wǎng)絡(luò)接受公鑰注冊(cè)、撤銷、恢復(fù)的服務(wù)規(guī)范；XML應(yīng)用程序建立的密鑰對(duì)，可通過(guò)X-KRSS規(guī)范將公鑰部分及其它有關(guān)的身份信息發(fā)給可信的第三方CA注冊(cè)。X-KISS和X-KRSS規(guī)范都按照XML Schema 結(jié)構(gòu)化語(yǔ)言定義，使用簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議（SOAP V1.1）進(jìn)行通信，其服務(wù)與消息的語(yǔ)法定義遵循Web服務(wù)定義語(yǔ)言（WSDL V1.0）。

　　目前XKMS已成為W3C的推薦標(biāo)準(zhǔn)，并已被微軟、Versign等公司集成于他們的產(chǎn)品中（微軟已在ASP.net中集成了XKMS，Versign已發(fā)布了基于Java的信任服務(wù)集成工具包TSIK）。

　　
相互分割影響PKI發(fā)展


　　我國(guó)正熱火朝天地進(jìn)行PKI建設(shè)，目前已經(jīng)成功建設(shè)大型的行業(yè)性或是區(qū)域性的PKI/CA就有四十多個(gè)。除此之外，許多企事業(yè)單位內(nèi)部建立的小型PKI/CA還有很多。影響最大的行業(yè)性PKI/CA有：中國(guó)金融認(rèn)證中心（CFCA）、中國(guó)電信認(rèn)證中心（CTCA）；影響最大的區(qū)域性PKI/CA有上海CA認(rèn)證中心和廣東CA認(rèn)證中心。這些CA中心主要用于電子商務(wù)。各級(jí)政府也在建設(shè)PKI/CA，主要用于電子政務(wù)。但是PKI建設(shè)的高速增長(zhǎng)也帶來(lái)了許多問(wèn)題：如數(shù)字簽名、電子文檔及認(rèn)證中心的法律地位問(wèn)題，我國(guó)還沒(méi)有正式頒布有關(guān)這方面的法律法規(guī)。這使得數(shù)字簽名得不到法律的保護(hù)，從而挫傷了人們對(duì)電子交易的熱情；另一方面，國(guó)家缺乏統(tǒng)一的規(guī)范和管理部門來(lái)指導(dǎo)PKI的建設(shè)問(wèn)題，同時(shí)，雖然國(guó)內(nèi)的PKI廠商都稱他們支持X.509證書(shū)格式，但由于證書(shū)的一些擴(kuò)展項(xiàng)選擇不一樣，證書(shū)的接口標(biāo)準(zhǔn)不同，所有這些都使得各家的PKI/CA基本上處于相互分割的狀態(tài)，證書(shū)之間不能進(jìn)行互操作，這嚴(yán)重影響了證書(shū)的應(yīng)用，同時(shí)也制約了PKI/CA的運(yùn)行規(guī)模和效率，在一定程度上影響了人們對(duì)PKI的信任。若這些問(wèn)題得不到解決的話，PKI的發(fā)展將陷入危機(jī)。

　　由于信息安全已上升到國(guó)家安全的高度，各國(guó)都在制定自己的安全標(biāo)準(zhǔn)和規(guī)范。為了加強(qiáng)我國(guó)信息安全標(biāo)準(zhǔn)化工作，經(jīng)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)，2002年4月成立了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(編號(hào)為TC260)，并下設(shè)了若干個(gè)工作組。其中PKI標(biāo)準(zhǔn)的制定由PKI/PMI工作組（WG4）完成。正在制定的PKI標(biāo)準(zhǔn)規(guī)范有：基于X509的國(guó)內(nèi)證書(shū)格式規(guī)范、PKI組件最小互操作規(guī)范、X509在線證書(shū)狀態(tài)查詢協(xié)議、X509證書(shū)管理協(xié)議、PKI產(chǎn)品的安全測(cè)試認(rèn)證規(guī)范、PKI系統(tǒng)安全保護(hù)等級(jí)評(píng)估準(zhǔn)則、PKI系統(tǒng)安全保護(hù)等級(jí)技術(shù)要求等。

　　
PKI標(biāo)準(zhǔn)出臺(tái)誰(shuí)得益？


　　信息安全標(biāo)準(zhǔn)是我國(guó)信息安全保障體系的重要組成部分，是政府進(jìn)行宏觀管理的重要依據(jù)。信息安全標(biāo)準(zhǔn)不僅關(guān)系到國(guó)家安全，同時(shí)也是保護(hù)國(guó)家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段。

　　對(duì)廣大PKI產(chǎn)品提供商來(lái)說(shuō)，可以從兩方面來(lái)看影響：被動(dòng)的角度，標(biāo)準(zhǔn)的出臺(tái)將強(qiáng)制它們規(guī)范行為、改進(jìn)產(chǎn)品，這在開(kāi)始時(shí)廠商不一定認(rèn)可；主動(dòng)的角度，生產(chǎn)出符合標(biāo)準(zhǔn)的PKI產(chǎn)品、通過(guò)相關(guān)的安全測(cè)評(píng)和認(rèn)證，對(duì)于提高廠商的社會(huì)形象、擴(kuò)大市場(chǎng)份額具有重要意義。

　　對(duì)用戶而言，PKI標(biāo)準(zhǔn)可以指導(dǎo)用戶制定合理的PKI策略、選擇更好的PKI產(chǎn)品、衡量并改善PKI工程的實(shí)施、規(guī)范PKI的安全管理。具體就PKI產(chǎn)品選型而言，首先，用戶會(huì)有以下疑問(wèn)：廠商的PKI產(chǎn)品有哪些功能？目前我需要哪些功能？產(chǎn)品的性能如何？上了PKI后我的網(wǎng)絡(luò)系統(tǒng)性能會(huì)不會(huì)有較大的下降？PKI產(chǎn)品自身的安全性怎樣？這些疑問(wèn)可以通過(guò)“PKI產(chǎn)品的安全測(cè)試認(rèn)證規(guī)范”來(lái)給出答案。其次，用戶可能還有一些疑問(wèn)：隨著今后業(yè)務(wù)的擴(kuò)大，我需要與其它的PKI互聯(lián)互通，能實(shí)現(xiàn)嗎？這是PKI產(chǎn)品的互操作性考慮。這可從“基于X509的國(guó)內(nèi)證書(shū)格式規(guī)范及PKI組件最小互操作規(guī)范”得到答案。

　　對(duì)一般技術(shù)人員來(lái)講，了解PKI標(biāo)準(zhǔn)的動(dòng)態(tài)，可以站在PKI的前沿，有助于把握PKI技術(shù)乃至整個(gè)信息安全產(chǎn)業(yè)的發(fā)展方向。

　　
未來(lái)30億美元規(guī)模


　　PKI的發(fā)展前景看好

　　據(jù)IDC調(diào)查顯示：PKI市場(chǎng)正在急劇擴(kuò)大，從1999年開(kāi)始，以年平均增長(zhǎng)率61%的速度迅速擴(kuò)大，到2004年時(shí)有望達(dá)到30億美元的規(guī)模。

　　今年1月，在北京召開(kāi)了中國(guó)PKI戰(zhàn)略發(fā)展與應(yīng)用研討會(huì)，會(huì)議交流了正在擬訂的全面發(fā)展國(guó)內(nèi)PKI建設(shè)的規(guī)范，其中既包括關(guān)系到國(guó)計(jì)民生的國(guó)家電子政務(wù)PKI體系，也包含關(guān)系電子商務(wù)是否能順利進(jìn)行的核心手段——國(guó)家公共PKI體系的建設(shè)。若這些PKI標(biāo)準(zhǔn)和規(guī)范早日發(fā)布，將會(huì)激起另一番PKI建設(shè)的熱潮，因此我國(guó)的PKI必將有一個(gè)美好的未來(lái)。