標準化推動PKI發(fā)展

文章出處：http://www.xujuanpiju.com 作者：余勇 博士   人氣： 發(fā)表時間：2011年09月08日

編者按：公鑰基礎設施（PKI）是建立在公鑰密碼體制上的信息安全基礎設施，為應用提供身份認證、加密、數(shù)字簽名等安全服務。數(shù)字證書認證中心（CA）是PKI的核心部件。但是，分離的PKI標準給它的發(fā)展帶來了困難，本文對此進行了分析。

　　人們在享受網(wǎng)絡和計算機帶來便利的同時，也品嘗到了安全問題的苦澀。病毒的快速傳播、電腦“黑客”的肆虐入侵、重要信息的泄密……這些問題已威脅到政府服務、金融、電信、電力等國家基礎設施。為了防范這些隱患，許多新的安全技術規(guī)范不斷涌現(xiàn)，PKI便是其一。

　　公鑰基礎設施（Public Key Infrastructure，PKI）是建立在公鑰密碼體制上的信息安全基礎設施，為應用提供身份認證、加密、數(shù)字簽名、時間戳等安全服務。數(shù)字證書認證中心（Certificate Authority, CA）是PKI的核心部件，它的主要任務是數(shù)字證書、證書廢除列表CRL的簽發(fā)及管理。PKI已廣泛用于保障電子商務和電子政務的安全，可以這樣說，PKI之于電子商務和電子政務就象高速公路之于其上行駛的汽車。

　　隨著PKI的逐漸普及，為了更好地為社會提供服務，不同廠商的PKI產(chǎn)品需要互連互通。如電力用戶要用數(shù)字證書到銀行去交電費，銀行的PKI就要對電力用戶的證書進行認證（確認身份）。通常電力PKI和銀行PKI是不同廠商的產(chǎn)品，這就需要兩家PKI產(chǎn)品能互操作，這需要支持相同的標準，如證書格式及接口規(guī)范等。與此同時，PKI產(chǎn)品自身的安全性也非常重要，這就需要專門的機構和標準規(guī)范對產(chǎn)品的安全功能和性能進行測評認定。因此，標準化就成了PKI發(fā)展的必然趨勢。

　　
兩代PKI標準


　　PKI標準可以分為第一代和第二代標準。

　　第一代PKI標準

　　第一代PKI標準主要包括美國RSA公司的公鑰加密標準（Public Key Cryptography Standards，PKCS）系列、國際電信聯(lián)盟的ITU-T X.509、IETF組織的公鑰基礎設施X.509（Public Key Infrastructure X.509，PKIX）標準系列、無線應用協(xié)議（Wireless Application Protocol ,WAP）論壇的無線公鑰基礎設施（Wireless Public Key Infrastructure，WPKI）標準等。

　　第一代PKI標準主要是基于抽象語法符號（Abstract Syntax Notation One，ASN.1）編碼的，實現(xiàn)比較困難，這也在一定程度上影響了標準的推廣。

　　第二代PKI標準

　　2001年，由微軟、Versign和webMethods三家公司發(fā)布了XML密鑰管理規(guī)范（XML Key Management Specification，XKMS），被稱為第二代PKI標準。XKMS由兩部分組成：XML密鑰信息服務規(guī)范（XML Key Information Service Specification，X-KISS）和XML密鑰注冊服務規(guī)范（XML Key Registration Service Specification，X-KRSS）。X-KISS定義了包含在XML-SIG元素中的用于驗證公鑰信息合法性的信任服務規(guī)范；使用X-KISS規(guī)范，XML應用程序可通過網(wǎng)絡委托可信的第三方CA處理有關認證簽名、查詢、驗證、綁定公鑰信息等服務。X-KRSS則定義了一種可通過網(wǎng)絡接受公鑰注冊、撤銷、恢復的服務規(guī)范；XML應用程序建立的密鑰對，可通過X-KRSS規(guī)范將公鑰部分及其它有關的身份信息發(fā)給可信的第三方CA注冊。X-KISS和X-KRSS規(guī)范都按照XML Schema 結構化語言定義，使用簡單對象訪問協(xié)議（SOAP V1.1）進行通信，其服務與消息的語法定義遵循Web服務定義語言（WSDL V1.0）。

　　目前XKMS已成為W3C的推薦標準，并已被微軟、Versign等公司集成于他們的產(chǎn)品中（微軟已在ASP.net中集成了XKMS，Versign已發(fā)布了基于Java的信任服務集成工具包TSIK）。

　　
相互分割影響PKI發(fā)展


　　我國正熱火朝天地進行PKI建設，目前已經(jīng)成功建設大型的行業(yè)性或是區(qū)域性的PKI/CA就有四十多個。除此之外，許多企事業(yè)單位內部建立的小型PKI/CA還有很多。影響最大的行業(yè)性PKI/CA有：中國金融認證中心（CFCA）、中國電信認證中心（CTCA）；影響最大的區(qū)域性PKI/CA有上海CA認證中心和廣東CA認證中心。這些CA中心主要用于電子商務。各級政府也在建設PKI/CA，主要用于電子政務。但是PKI建設的高速增長也帶來了許多問題：如數(shù)字簽名、電子文檔及認證中心的法律地位問題，我國還沒有正式頒布有關這方面的法律法規(guī)。這使得數(shù)字簽名得不到法律的保護，從而挫傷了人們對電子交易的熱情；另一方面，國家缺乏統(tǒng)一的規(guī)范和管理部門來指導PKI的建設問題，同時，雖然國內的PKI廠商都稱他們支持X.509證書格式，但由于證書的一些擴展項選擇不一樣，證書的接口標準不同，所有這些都使得各家的PKI/CA基本上處于相互分割的狀態(tài)，證書之間不能進行互操作，這嚴重影響了證書的應用，同時也制約了PKI/CA的運行規(guī)模和效率，在一定程度上影響了人們對PKI的信任。若這些問題得不到解決的話，PKI的發(fā)展將陷入危機。

　　由于信息安全已上升到國家安全的高度，各國都在制定自己的安全標準和規(guī)范。為了加強我國信息安全標準化工作，經(jīng)國家標準化管理委員會批準，2002年4月成立了全國信息安全標準化技術委員會(編號為TC260)，并下設了若干個工作組。其中PKI標準的制定由PKI/PMI工作組（WG4）完成。正在制定的PKI標準規(guī)范有：基于X509的國內證書格式規(guī)范、PKI組件最小互操作規(guī)范、X509在線證書狀態(tài)查詢協(xié)議、X509證書管理協(xié)議、PKI產(chǎn)品的安全測試認證規(guī)范、PKI系統(tǒng)安全保護等級評估準則、PKI系統(tǒng)安全保護等級技術要求等。

　　
PKI標準出臺誰得益？


　　信息安全標準是我國信息安全保障體系的重要組成部分，是政府進行宏觀管理的重要依據(jù)。信息安全標準不僅關系到國家安全，同時也是保護國家利益、促進產(chǎn)業(yè)發(fā)展的一種重要手段。

　　對廣大PKI產(chǎn)品提供商來說，可以從兩方面來看影響：被動的角度，標準的出臺將強制它們規(guī)范行為、改進產(chǎn)品，這在開始時廠商不一定認可；主動的角度，生產(chǎn)出符合標準的PKI產(chǎn)品、通過相關的安全測評和認證，對于提高廠商的社會形象、擴大市場份額具有重要意義。

　　對用戶而言，PKI標準可以指導用戶制定合理的PKI策略、選擇更好的PKI產(chǎn)品、衡量并改善PKI工程的實施、規(guī)范PKI的安全管理。具體就PKI產(chǎn)品選型而言，首先，用戶會有以下疑問：廠商的PKI產(chǎn)品有哪些功能？目前我需要哪些功能？產(chǎn)品的性能如何？上了PKI后我的網(wǎng)絡系統(tǒng)性能會不會有較大的下降？PKI產(chǎn)品自身的安全性怎樣？這些疑問可以通過“PKI產(chǎn)品的安全測試認證規(guī)范”來給出答案。其次，用戶可能還有一些疑問：隨著今后業(yè)務的擴大，我需要與其它的PKI互聯(lián)互通，能實現(xiàn)嗎？這是PKI產(chǎn)品的互操作性考慮。這可從“基于X509的國內證書格式規(guī)范及PKI組件最小互操作規(guī)范”得到答案。

　　對一般技術人員來講，了解PKI標準的動態(tài)，可以站在PKI的前沿，有助于把握PKI技術乃至整個信息安全產(chǎn)業(yè)的發(fā)展方向。

　　
未來30億美元規(guī)模


　　PKI的發(fā)展前景看好

　　據(jù)IDC調查顯示：PKI市場正在急劇擴大，從1999年開始，以年平均增長率61%的速度迅速擴大，到2004年時有望達到30億美元的規(guī)模。

　　今年1月，在北京召開了中國PKI戰(zhàn)略發(fā)展與應用研討會，會議交流了正在擬訂的全面發(fā)展國內PKI建設的規(guī)范，其中既包括關系到國計民生的國家電子政務PKI體系，也包含關系電子商務是否能順利進行的核心手段——國家公共PKI體系的建設。若這些PKI標準和規(guī)范早日發(fā)布，將會激起另一番PKI建設的熱潮，因此我國的PKI必將有一個美好的未來。