PKI，一要发展二要管理

　　信息技术的发展和推广为人类开辟了一个新的生活空间，它正对世界范围内的经济、政治、科教及社会发展各方面产生重大的影响。一方面，信息技术与政府管理、金融、公共服务、教育、医疗和传统商务的结合带来了一个巨大的新市场；另一方面，信息化在带来高效率和友好服务的同时，也带来了威胁、风险和责任，网上信息被窃、被篡改、被破坏的事件时有发生，各种网络攻击程序的广泛传播更使人们忧心忡忡。因此，与人类的物理生存空间类似，网络空间也需要信任和安全，只有在安全和信任的基础上才能建成文明、健康、有序的网络生存空间，才能丰富和繁荣网络应用，发挥网络的优势，推动社会经济和文化的发展。因此，在我国PKI体系建设中必须坚持——

　　PKI：建立网络信任的基础

　　如何建设安全的网络空间呢?世界各国的安全专家们进行了多年的研究，考察了许多不同层次的安全措施与技术，结果发现,大多数安全措施与技术只能解决部分网络空间的安全问题。幸运的是,专家们最终发现,公钥基础设施（Public Key Infrastructure，PKI）似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。

　　作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。但PKI绝不仅仅涉及到技术层面的问题，还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。PKI作为国家信息化的基础设施，是相关技术、应用、组织、规范和法律法规的总和，是一个宏观体系，其本身就体现了强大的国家实力。PKI的核心是要解决信息网络空间中的信任问题，确定信息网络空间中各种经济、军事和管理行为主体（包括组织和个人）身份的惟一性、真实性和合法性，保护信息网络空间中各种主体的安全利益。

　　建立国家级PKI体系

　　信息安全问题涉及到国家安全、社会公共安全和公民个人安全的方方面面， PKI又是国家信息安全基础设施的重要组成部分，因此，建立国家级PKI体系已成为发展信息化的必要战略措施。

　　世界各国都十分重视PKI体系的建设与研究。美国政府在完成大量研究的基础上，提出了带桥接CA模式的联邦PKI（FPKI）体系，其核心由CA、RA、PMA和CSR组成。FPKI用于支持信息资源的安全共享，为联邦政府部门和其他组织机构使用数字证书技术实现信息系统安全、安全电子商务、安全通信等活动提供了设施、规则和政策。FPKI不仅用于联邦政府和机关之间的安全通信与商务活动，同时也支持州政府、地方政府、商业界和大众的安全通信与商务活动。

　　美国联邦政府的PKI体系建设形成了以下信任层次和信任域：

　　● 策略批准机构（PAA）：这是联邦PKI的根节点，负责批准二级节点的安全策略；

　　● 策略产生机构（PCA）：也叫策略认证机构，是联邦PKI的二级节点，定义下级产生公钥证书节点的安全策略；

　　● 认证机构（CA）：是联邦PKI的三级节点，依据PCA定义的安全策略，为下级用户（可能是下级CA）签发和维护数字证书、CRL结构等；

　　● 用户:数字证书及相应私有密钥的持有者，用户利用数字证书和私有密钥完成数据保护、身份鉴别等安全行为。

　　除上述层次外，联邦PKI体系还包含一个目录系统，用于存放有效证书和已经作废的证书。CA在为用户签发证书之前，必须对用户的真实身份进行调查、登记和管理。为此，FPKI的基本组件除CA之外，还有证书注册机构（RA）和管理机构（MA）。注册机构不发放证书，但是替用户向CA注册或担保；管理机构负责批准或协调CA和RA的工作。

　　美国联邦政府在研究众多已建成的PKI体系的基础之上，为解决各种不同认证系统之间的交叉认证问题，于1998年提出了桥接CA的概念。简单地说,联邦桥接CA（FBCA）由联邦策略管理机构（FPMA）控制，其目的是在联邦PKI中不同的可信域之间提供可信路径。经FPMA认可的可信域可以指定一个主CA，该CA负责与桥接CA进行交叉认证。桥接CA的建立解决了不同信任域之间的信息传递问题，避免形成信任孤岛（如图1 所示）。

　　PKI与电子政务安全体系

　　各国政府不仅在电子商务中重视PKI体系的建设，同时更把PKI建设作为电子政务安全体系建设的重要组成部分。图2表示了各级政府在电子政务系统建设中的各类需求。

　　从图中可以看出,信任与授权服务是保证电子政务正常开展的基本安全需求，因此在各国的电子政务系统建设中，都把PKI体系建设置于至关重要的位置。以美国为例，美国政府认为以下的电子政务业务应得到PKI安全措施的保护：

　　● 包含资金转移的业务；

　　● 能够导致经济或法律责任的合同或行动；

　　● 包含受保护信息的业务,包括受个人隐私法保护的个人隐私、有关国家安全的保密信息、限制存取的其他信息，诸如国防部、原子能管理委员会的通信等；

　　● 履行法律责任的交易，诸如选择性服务的登记、提交给环保局的环境报告等。

　　目前，越来越多的国家和地区意识到PKI对国家和社会信息化的重要性，纷纷发展PKI。我国作为一个网络大国，建立自己的PKI体系非常必要，而且刻不容缓。

　　问题与思考

　　自1998年第一家CA认证中心（CTCA）成立以来，全国已经有超过30家CA机构，发放证书约50万份。但是毋庸讳言的是，我国PKI/CA建设还处在起步的阶段，存在不少亟待解决的问题，这些问题主要有以下一些：

　　● 尚未建立服务于电子政务的国家级PKI体系；

　　● 在目前尚未确立国家标准的情况下，各家在建立CA的过程中对技术标准和管理规范的理解有较大差距；

　　● 各家CA基本处于互相分割状态，成为互不关联的信任孤岛，尚未形成完整的国家PKI体系；

　　● 已建成的CA规模小、利用率低且产业有待重组，距离可商业化运作的规模还相差很远；

　　● 有些单位过低地估计了建设CA应负的社会责任和经济责任；

　　● 有些单位过低地估计了建设CA 的难度，一些已经建成的CA对自身的安全性考虑不够全面。

　　是什么原因造成这些问题的存在？经过初步分析，笔者认为以下一些原因可能是主要的：

　　● 缺乏国家统一指导，管理问题突出，至今尚未建立权威的管理部门；

　　● 各种来源不同、层次不齐的技术供应厂商大量涌现，亟待研究具有我国自主知识产权的基础技术和标准体系；

　　● 缺乏有力的法律支持，至今国家尚未出台一个与PKI/CA、数字签名等问题相关的政策和法律法规。

　　如何解决这些问题呢?笔者认为应该从以下两方面着手。

　　“发展是硬道理”是解决我国在PKI/CA建设中面临问题的指导原则。我国信息化建设存在的主要问题之一是缺少核心技术，关键的网络设备和系统软件（如交换机、路由器、操作系统、数据库、服务器等）主要依赖于国外的设备和技术，由此造成我国信息化系统的安全建设存在着先天不足。因此，除了采取防火墙、网络隔离、VPN、入侵检测、漏洞扫描、防病毒等必要的安全保障与安全管理措施来保障网络和系统的安全外，还必须从应用层着手，利用公钥密码技术建立起提供信任和安全服务的基础设施——国家PKI体系，通过加密和数字签名，为信息安全提供强有力的保障，保证通信数据和交易的安全有效。

　　由于PKI涉及重大国家利益，是网络经济的制高点，也是推动互联网发展、保障事务处理安全、推动电子政务、电子商务的支撑点，因此，建立健全国家PKI体系，将有力地促进我国电子政务以及整个国家信息化的发展，否则我国将在新一轮的竞争中处于不利地位。

　　我国PKI系统建设宜采用层次结构和分布式信任结构结合的混合模型。PKI/CA体系建设和应用中的互连互通是一个非常重要的问题，结合我国的管理模式和应用需求，笔者认为我国PKI体系应采用层次结构和分布式信任结构结合的混合模型，特别是我国幅员辽阔、人口众多，将来网络经济发展的空间很大，因而面向公众服务的PKI体系采用分布式信任结构模型（Distributed Trust Architecture Model）可能是比较恰当的，而且这种模型也是目前国际上使用较多的信任模型。

　　当然，在各种技术体制和不同厂家的产品大量涌入中国市场、国内自主研发的系统也纷纷登场的情况下，选择分布式架构就会带来PKI体系建设中最容易发生的不同PKI/CA体系之间难于互操作的问题。但笔者认为，在经济日益全球化的形势下，要解决不同PKI/CA体系之间的互操作问题，必须坚持两条腿走路的方针，既要独立自主地研发具有自有知识产权的PKI技术体系，同时也要坚持面向世界，走开放和与国际接轨的道路。只有这样，才能尽快赶超世界先进水平，在最短的时间里实现跨越式发展。