標(biāo)準(zhǔn)化推動(dòng)PKI發(fā)展
文章出處:http://m.compasssalessolutions.com 作者:余勇 博士 人氣: 發(fā)表時(shí)間:2011年09月08日
[文章內(nèi)容簡(jiǎn)介]:標(biāo)準(zhǔn)化推動(dòng)PKI發(fā)展
編者按:公鑰基礎(chǔ)設(shè)施(PKI)是建立在公鑰密碼體制上的信息安全基礎(chǔ)設(shè)施,為應(yīng)用提供身份認(rèn)證、加密、數(shù)字簽名等安全服務(wù)。數(shù)字證書認(rèn)證中心(CA)是PKI的核心部件。但是,分離的PKI標(biāo)準(zhǔn)給它的發(fā)展帶來了困難,本文對(duì)此進(jìn)行了分析。
人們?cè)谙硎芫W(wǎng)絡(luò)和計(jì)算機(jī)帶來便利的同時(shí),也品嘗到了安全問題的苦澀。病毒的快速傳播、電腦“黑客”的肆虐入侵、重要信息的泄密……這些問題已威脅到政府服務(wù)、金融、電信、電力等國家基礎(chǔ)設(shè)施。為了防范這些隱患,許多新的安全技術(shù)規(guī)范不斷涌現(xiàn),PKI便是其一。
公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)是建立在公鑰密碼體制上的信息安全基礎(chǔ)設(shè)施,為應(yīng)用提供身份認(rèn)證、加密、數(shù)字簽名、時(shí)間戳等安全服務(wù)。數(shù)字證書認(rèn)證中心(Certificate Authority, CA)是PKI的核心部件,它的主要任務(wù)是數(shù)字證書、證書廢除列表CRL的簽發(fā)及管理。PKI已廣泛用于保障電子商務(wù)和電子政務(wù)的安全,可以這樣說,PKI之于電子商務(wù)和電子政務(wù)就象高速公路之于其上行駛的汽車。
隨著PKI的逐漸普及,為了更好地為社會(huì)提供服務(wù),不同廠商的PKI產(chǎn)品需要互連互通。如電力用戶要用數(shù)字證書到銀行去交電費(fèi),銀行的PKI就要對(duì)電力用戶的證書進(jìn)行認(rèn)證(確認(rèn)身份)。通常電力PKI和銀行PKI是不同廠商的產(chǎn)品,這就需要兩家PKI產(chǎn)品能互操作,這需要支持相同的標(biāo)準(zhǔn),如證書格式及接口規(guī)范等。與此同時(shí),PKI產(chǎn)品自身的安全性也非常重要,這就需要專門的機(jī)構(gòu)和標(biāo)準(zhǔn)規(guī)范對(duì)產(chǎn)品的安全功能和性能進(jìn)行測(cè)評(píng)認(rèn)定。因此,標(biāo)準(zhǔn)化就成了PKI發(fā)展的必然趨勢(shì)。
兩代PKI標(biāo)準(zhǔn)
PKI標(biāo)準(zhǔn)可以分為第一代和第二代標(biāo)準(zhǔn)。
第一代PKI標(biāo)準(zhǔn)
第一代PKI標(biāo)準(zhǔn)主要包括美國RSA公司的公鑰加密標(biāo)準(zhǔn)(Public Key Cryptography Standards,PKCS)系列、國際電信聯(lián)盟的ITU-T X.509、IETF組織的公鑰基礎(chǔ)設(shè)施X.509(Public Key Infrastructure X.509,PKIX)標(biāo)準(zhǔn)系列、無線應(yīng)用協(xié)議(Wireless Application Protocol ,WAP)論壇的無線公鑰基礎(chǔ)設(shè)施(Wireless Public Key Infrastructure,WPKI)標(biāo)準(zhǔn)等。
第一代PKI標(biāo)準(zhǔn)主要是基于抽象語法符號(hào)(Abstract Syntax Notation One,ASN.1)編碼的,實(shí)現(xiàn)比較困難,這也在一定程度上影響了標(biāo)準(zhǔn)的推廣。
第二代PKI標(biāo)準(zhǔn)
2001年,由微軟、Versign和webMethods三家公司發(fā)布了XML密鑰管理規(guī)范(XML Key Management Specification,XKMS),被稱為第二代PKI標(biāo)準(zhǔn)。XKMS由兩部分組成:XML密鑰信息服務(wù)規(guī)范(XML Key Information Service Specification,X-KISS)和XML密鑰注冊(cè)服務(wù)規(guī)范(XML Key Registration Service Specification,X-KRSS)。X-KISS定義了包含在XML-SIG元素中的用于驗(yàn)證公鑰信息合法性的信任服務(wù)規(guī)范;使用X-KISS規(guī)范,XML應(yīng)用程序可通過網(wǎng)絡(luò)委托可信的第三方CA處理有關(guān)認(rèn)證簽名、查詢、驗(yàn)證、綁定公鑰信息等服務(wù)。X-KRSS則定義了一種可通過網(wǎng)絡(luò)接受公鑰注冊(cè)、撤銷、恢復(fù)的服務(wù)規(guī)范;XML應(yīng)用程序建立的密鑰對(duì),可通過X-KRSS規(guī)范將公鑰部分及其它有關(guān)的身份信息發(fā)給可信的第三方CA注冊(cè)。X-KISS和X-KRSS規(guī)范都按照XML Schema 結(jié)構(gòu)化語言定義,使用簡(jiǎn)單對(duì)象訪問協(xié)議(SOAP V1.1)進(jìn)行通信,其服務(wù)與消息的語法定義遵循Web服務(wù)定義語言(WSDL V1.0)。
目前XKMS已成為W3C的推薦標(biāo)準(zhǔn),并已被微軟、Versign等公司集成于他們的產(chǎn)品中(微軟已在ASP.net中集成了XKMS,Versign已發(fā)布了基于Java的信任服務(wù)集成工具包TSIK)。
相互分割影響PKI發(fā)展
我國正熱火朝天地進(jìn)行PKI建設(shè),目前已經(jīng)成功建設(shè)大型的行業(yè)性或是區(qū)域性的PKI/CA就有四十多個(gè)。除此之外,許多企事業(yè)單位內(nèi)部建立的小型PKI/CA還有很多。影響最大的行業(yè)性PKI/CA有:中國金融認(rèn)證中心(CFCA)、中國電信認(rèn)證中心(CTCA);影響最大的區(qū)域性PKI/CA有上海CA認(rèn)證中心和廣東CA認(rèn)證中心。這些CA中心主要用于電子商務(wù)。各級(jí)政府也在建設(shè)PKI/CA,主要用于電子政務(wù)。但是PKI建設(shè)的高速增長(zhǎng)也帶來了許多問題:如數(shù)字簽名、電子文檔及認(rèn)證中心的法律地位問題,我國還沒有正式頒布有關(guān)這方面的法律法規(guī)。這使得數(shù)字簽名得不到法律的保護(hù),從而挫傷了人們對(duì)電子交易的熱情;另一方面,國家缺乏統(tǒng)一的規(guī)范和管理部門來指導(dǎo)PKI的建設(shè)問題,同時(shí),雖然國內(nèi)的PKI廠商都稱他們支持X.509證書格式,但由于證書的一些擴(kuò)展項(xiàng)選擇不一樣,證書的接口標(biāo)準(zhǔn)不同,所有這些都使得各家的PKI/CA基本上處于相互分割的狀態(tài),證書之間不能進(jìn)行互操作,這嚴(yán)重影響了證書的應(yīng)用,同時(shí)也制約了PKI/CA的運(yùn)行規(guī)模和效率,在一定程度上影響了人們對(duì)PKI的信任。若這些問題得不到解決的話,PKI的發(fā)展將陷入危機(jī)。
由于信息安全已上升到國家安全的高度,各國都在制定自己的安全標(biāo)準(zhǔn)和規(guī)范。為了加強(qiáng)我國信息安全標(biāo)準(zhǔn)化工作,經(jīng)國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn),2002年4月成立了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(編號(hào)為TC260),并下設(shè)了若干個(gè)工作組。其中PKI標(biāo)準(zhǔn)的制定由PKI/PMI工作組(WG4)完成。正在制定的PKI標(biāo)準(zhǔn)規(guī)范有:基于X509的國內(nèi)證書格式規(guī)范、PKI組件最小互操作規(guī)范、X509在線證書狀態(tài)查詢協(xié)議、X509證書管理協(xié)議、PKI產(chǎn)品的安全測(cè)試認(rèn)證規(guī)范、PKI系統(tǒng)安全保護(hù)等級(jí)評(píng)估準(zhǔn)則、PKI系統(tǒng)安全保護(hù)等級(jí)技術(shù)要求等。
PKI標(biāo)準(zhǔn)出臺(tái)誰得益?
信息安全標(biāo)準(zhǔn)是我國信息安全保障體系的重要組成部分,是政府進(jìn)行宏觀管理的重要依據(jù)。信息安全標(biāo)準(zhǔn)不僅關(guān)系到國家安全,同時(shí)也是保護(hù)國家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段。
對(duì)廣大PKI產(chǎn)品提供商來說,可以從兩方面來看影響:被動(dòng)的角度,標(biāo)準(zhǔn)的出臺(tái)將強(qiáng)制它們規(guī)范行為、改進(jìn)產(chǎn)品,這在開始時(shí)廠商不一定認(rèn)可;主動(dòng)的角度,生產(chǎn)出符合標(biāo)準(zhǔn)的PKI產(chǎn)品、通過相關(guān)的安全測(cè)評(píng)和認(rèn)證,對(duì)于提高廠商的社會(huì)形象、擴(kuò)大市場(chǎng)份額具有重要意義。
對(duì)用戶而言,PKI標(biāo)準(zhǔn)可以指導(dǎo)用戶制定合理的PKI策略、選擇更好的PKI產(chǎn)品、衡量并改善PKI工程的實(shí)施、規(guī)范PKI的安全管理。具體就PKI產(chǎn)品選型而言,首先,用戶會(huì)有以下疑問:廠商的PKI產(chǎn)品有哪些功能?目前我需要哪些功能?產(chǎn)品的性能如何?上了PKI后我的網(wǎng)絡(luò)系統(tǒng)性能會(huì)不會(huì)有較大的下降?PKI產(chǎn)品自身的安全性怎樣?這些疑問可以通過“PKI產(chǎn)品的安全測(cè)試認(rèn)證規(guī)范”來給出答案。其次,用戶可能還有一些疑問:隨著今后業(yè)務(wù)的擴(kuò)大,我需要與其它的PKI互聯(lián)互通,能實(shí)現(xiàn)嗎?這是PKI產(chǎn)品的互操作性考慮。這可從“基于X509的國內(nèi)證書格式規(guī)范及PKI組件最小互操作規(guī)范”得到答案。
對(duì)一般技術(shù)人員來講,了解PKI標(biāo)準(zhǔn)的動(dòng)態(tài),可以站在PKI的前沿,有助于把握PKI技術(shù)乃至整個(gè)信息安全產(chǎn)業(yè)的發(fā)展方向。
未來30億美元規(guī)模
PKI的發(fā)展前景看好
據(jù)IDC調(diào)查顯示:PKI市場(chǎng)正在急劇擴(kuò)大,從1999年開始,以年平均增長(zhǎng)率61%的速度迅速擴(kuò)大,到2004年時(shí)有望達(dá)到30億美元的規(guī)模。
今年1月,在北京召開了中國PKI戰(zhàn)略發(fā)展與應(yīng)用研討會(huì),會(huì)議交流了正在擬訂的全面發(fā)展國內(nèi)PKI建設(shè)的規(guī)范,其中既包括關(guān)系到國計(jì)民生的國家電子政務(wù)PKI體系,也包含關(guān)系電子商務(wù)是否能順利進(jìn)行的核心手段——國家公共PKI體系的建設(shè)。若這些PKI標(biāo)準(zhǔn)和規(guī)范早日發(fā)布,將會(huì)激起另一番PKI建設(shè)的熱潮,因此我國的PKI必將有一個(gè)美好的未來。
本文關(guān)鍵詞:標(biāo)準(zhǔn)化推動(dòng)PKI發(fā)展
上一篇:JAVA卡技術(shù)概述[ 09-07 ]
下一篇:智能卡與指紋識(shí)別技術(shù)[ 09-08 ]