扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
PKI的发展似乎陷入了一场僵局!
在铺天盖地的CA中心建设热潮后,全国建立起了40多家CA中心,但总发证量仅徘徊在50万份左右!进一步,发证量很难突破,退一步,意味着巨额的投资打了水漂,CA中心进退维谷。
单独谈论PKI毫无意义,PKI不再是技术问题,PKI只有深入到应用的骨髓,与应用连为一体,才能真正产生价值!
PKI应用的不顺畅,导致了人们对整体PKI架构的重新思考:是继续建立庞大的“胖PKI”体系还是为应用专门“裁剪”成“瘦PKI”?是维持独立的PKI还是发展“嵌入式”PKI?
技术体系稳定
经过几年发展,PKI体系结构和技术并没有太大的变化,尤其是在公钥技术方面,但为了适应新技术的发展及易用性考虑,私钥的形式和内容在悄悄地发生着演变。
人们从现实世界进入由网络构筑的虚拟世界时,面临的主要问题是如何确认各自的身份、建立彼此间的信任关系以及保证信息的真实性、完整性、机密性和不可否认性。公钥基础设施(PKI)正是在这样的环境中出生并发育起来。
既然是一套基础设施,PKI就并不是一种产品,也不仅仅是一张证书,而是一套机制。就像现实生活中的身份证一样,对一般人而言,看到的只是一个身份证,但是,在一张薄薄的卡片后面,是强大的机制在支撑,如发证机构、管理机构、验证机构等等。
在网络上,必须用技术实现这套机制,于是,早在几年前,PKI就被全球技术专家设计成利用“公钥+私钥”的方式,这一技术发展至今,在全球获得了毫无争议的认可,全球几乎所有PKI技术提供商及广泛的应用均采用这一体系结构。作为证书的颁发者,CA(certificate authority)机构在PKI体系中扮演着一个公信的“第三方”的角色,是PKI基设施的主要组成部分,其所颁发的公钥证书,就是目前人们非常熟悉的CA证书。
中国PKI论坛秘书长吴亚非先生介绍,几年发展下来,PKI体系结构和技术并没有太大的变化,尤其是在公钥技术方面,但为了适应各类新的应用技术及为了易用性考虑,私钥的形式和内容却在悄悄地发生着演变。
虽然各类不同的CA机构都遵循X.509的标准颁发CA证书,但证书的格式和形式都在变化,其中,使用得最多的客户端证书分别派生出了硬件证书(如USB证书、IC卡证书)、软件证书(如安装在电脑中的软件证书)、漫游证书(可从网络上直接下载,方便异地漫游用户)等三类证书,它们的安全性和成本从高到低排列,而易用性则反之,从低向高排列。
其他新出现的证书还有无线证书及属性证书等,这些变化,都是为了使用者的易用性或更进一步的安全性而进行的技术改造。
国家级PKI体系
各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”,使各证书之间缺乏“互通性”,严重阻碍了PKI的发展。国家认识到这一发展的滞障,开始从技术标准、组织架构、法律法规等方面一步步着手解决问题!
在一阵铺天盖地的CA中心建设热潮后,目前,全国建立起了40多家CA中心(这还是官方统计数据,据悉,实际情况远远大于这一数字),其总发证量为50万份左右。
但是,比起中国6000万的上网人群,50万的证书数实在是微乎其微!
按道理,在互联网上的公信证明应该完全比照现实世界,由统一的部门颁发“网上身份证”,这样才能防止出现一个人持有多个“身份证”,且各个“身份证”之间彼此不能“互认”的窘境。但现实情况是,多数CA机构是由市场经济发展起来的产物,政府的统一管理相对滞后,客观上造成了各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”;此外,虽然各家的证书执行统一的X.509标准,但此标准只定义了证书原语言基本要素,而其中的选项各不相同,换言之,标准定义太“粗”,导致各家发放的CA证书的密码长度、格式的完全不一致,由此造成了各家发放的CA证书彼此不能互认。这极大地增加了PKI应用的风险,成为阻碍建立网络身份信任体制的棘手难题。
为了解决这一问题,2002年1月,由国务院信息办组织各方面的PKI专家,成立了《国家PKI体系研究》课题小组,2002年6月,该课题结束,向国家提交了《国家PKI体系总体框架》研究报告。
今年1月7日,在由中国PKI论坛主办的中国公钥基础设施(中国PKI)战略发展与应用研讨会上,《国家PKI体系研究》课题专家组成员詹榜华博士首次公布了该报告规划出的国家级PKI体系结构:从行政上,规划成立国家PKI协调管理委员会(NPCMC),负责制定国家PKI管理政策、国家PKI体系发展规划;监督、指导国家电子政务PKI体系和国家公共PKI体系的建设、运行和应用;具体负责审批CA机构的成立和撤消。
其中,电子政务PKI体系是服务于国家各级机构、组织和部门的内部电子政务业务(如公文流转、权威信息发布等)的PKI体系,负责向参与这些业务的各实体(包括人员、机构和设备)提供信任和安全服务。
国家公共PKI体系是服务于各种公众网上业务(包括电子商务、政府面向公众服务的电子政务业务和其他信息化应用)的PKI体系,这就是我们前面描述的商业CA中心,它采用网状信任模型,由国家桥中心(NBCA)、地区桥中心(LBCA)、公众服务认证中心(SCA)和注册机构组成。NBCA是沟通各地方、各行业CA认证中心的桥梁,它只与CA进行交叉认证,不向最终用户发放证书。
吴亚非介绍,这一体系架构目前得到了国务院信息化领导小组专家咨询委员会以及其他行业主管部门的的大力支持。有关组织管理体系、技术体系、标准体系和法律体系各个环节的建设工作正在紧锣密鼓地展开。
中国PKI论坛目前正积极解决其中的重要环节:筹划建立各CA机构之间的“桥中心”,从抓 CA互连互通的示范工程着手,然后,逐渐推广,解决各CA“互不相认”的现状。
建立“互连互通”技术体系的根本在于标准化,为此,全国信息安全标准化技术委员会于2002年8月正式成立了PKI/PMI工作组(即信安标委第四工作组,简称WG4工作组),主要负责PKI/PMI标准体系的研究。据该委员会副秘书长吴志刚介绍,目前,WG4工作组在充分考虑我国自己的PKI应用特色后,已研究制订了《信息技术 开放系统互连 目录 公钥和属性证书框架》等5种标准规范,目前,该工作组正在着手制定PKI建设中的其他标准。
在政府的努力下,阻碍PKI发展的互联互通、技术标准、组织架构、法律法规等绊脚石正逐一被搬除!
“胖PKI”的通病
CA机构提供的服务过多而无法“扎根”个性化应用内,使公众PKI体系遇到了极大的应用障碍!单独谈论PKI毫无意义,PKI不再是技术问题,它只有深入到应用的骨髓,与应用连为一体,才能真正产生价值!
吴亚非说,PKI作为信息安全的基础架构,更像是一种操作系统,就像微软Windows操作系统,正因为有了大批的应用,才能茁壮成长起来,而以前的DOS操作系统或Novell网络操作系统,是因为在其上跑的应用越来越少,最终被淘汰出局。
但近距离审视公共PKI体系与应用的捆绑,现实情况非常不容乐观。
一个突出的问题是,从技术上讲,PKI技术如何与应用真正紧密集成?从目前来看,CA证书由各类CA中心发放,而应用系统往往由第三方软件开发商或系统集成商开发,应用系统的千差万别,注定了与PKI的接口也千差万别,那么,应该由谁来开发这一重要的接口程序呢?
CA中心作为PKI体系中的重要组成部分和PKI体系的积极倡导者,似乎义无返顾地承担起开发应用接口程序的重任,事实上,几乎每一家CA机构都为应用程序提供了标准的API接口,但遗憾的是,很多CA中心在开发应用接口方面显得漫不经心。从事CA认证服务的天威诚信公司市场总监李延昭说,这也许是因为,很多CA机构提供的PKI服务过于“庞大”而无法照顾到与应用的“个性化”接口; 此外,某些CA中心只忙于发证,却并不具备帮助用户开发接口程序的技术实力;更让人不理解的是,很多CA中心对那些向应用程序开放的接口居然还要向用户收取额外费用,这实在是非常不明智和短视的行为。
专门提供PKI技术的北京安软科技公司工程师王胜从技术角度分析了应用与公众PKI体系之间存在的矛盾,他说,很多CA中心的证书为应用软件提供的安全内容并不充分,他们一般在证书中添加自定义的私有扩展项解决这一问题,但带来的麻烦是,这些扩展项可能不被应用软件识别,无法得到有效利用; 第二,证书的安装及配置等操作过程可能会过于复杂,难免产生误操作,而企业的安全风险与操作人员对PKI知识的掌握程度及相关的操作直接相关,由此会影响应用开发商基于证书开发应用的热情; 第三,证书中的私有扩展项的解析和证书颁发操作的烦琐带来的额外工作可能会增加应用软件开发的成本和负担; 第四,应用系统的安全性很大程度上取决于对CA中心的信任,因此,用户存在着双重风险——自身的安全性和所信任的CA中心的安全性。
安软公司开发副总裁何清法说,另一个与应用密切相关的问题是,在PKI应用中,如何兼顾安全与易用的关系?这两者之间天然是一种矛盾关系,安全性上升、易用性必然下降;反之亦然。由于采用了PKI安全措施,对用户的原有使用习惯造成了一定冲击,比如,用户在使用证书时要输入证书的保护密码,而当用户的USB Key遗失时则相当危险。
这些问题极大地阻碍了CA中心本身的发展和运营,使大部分CA中心发证量难以上去,而很多CA中心很难独立存活,在依靠政府
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。