標準化推動PKI發(fā)展
作者:余勇 博士
來源:RFID世界網
日期:2005-06-01 10:18:28
摘要:標準化推動PKI發(fā)展
關鍵詞:標準化推動PKI發(fā)展
編者按:公鑰基礎設施(PKI)是建立在公鑰密碼體制上的信息安全基礎設施,為應用提供身份認證、加密、數(shù)字簽名等安全服務。數(shù)字證書認證中心(CA)是PKI的核心部件。但是,分離的PKI標準給它的發(fā)展帶來了困難,本文對此進行了分析。
人們在享受網絡和計算機帶來便利的同時,也品嘗到了安全問題的苦澀。病毒的快速傳播、電腦“黑客”的肆虐入侵、重要信息的泄密……這些問題已威脅到政府服務、金融、電信、電力等國家基礎設施。為了防范這些隱患,許多新的安全技術規(guī)范不斷涌現(xiàn),PKI便是其一。
公鑰基礎設施(Public Key Infrastructure,PKI)是建立在公鑰密碼體制上的信息安全基礎設施,為應用提供身份認證、加密、數(shù)字簽名、時間戳等安全服務。數(shù)字證書認證中心(Certificate Authority, CA)是PKI的核心部件,它的主要任務是數(shù)字證書、證書廢除列表CRL的簽發(fā)及管理。PKI已廣泛用于保障電子商務和電子政務的安全,可以這樣說,PKI之于電子商務和電子政務就象高速公路之于其上行駛的汽車。
隨著PKI的逐漸普及,為了更好地為社會提供服務,不同廠商的PKI產品需要互連互通。如電力用戶要用數(shù)字證書到銀行去交電費,銀行的PKI就要對電力用戶的證書進行認證(確認身份)。通常電力PKI和銀行PKI是不同廠商的產品,這就需要兩家PKI產品能互操作,這需要支持相同的標準,如證書格式及接口規(guī)范等。與此同時,PKI產品自身的安全性也非常重要,這就需要專門的機構和標準規(guī)范對產品的安全功能和性能進行測評認定。因此,標準化就成了PKI發(fā)展的必然趨勢。
兩代PKI標準
PKI標準可以分為第一代和第二代標準。
第一代PKI標準
第一代PKI標準主要包括美國RSA公司的公鑰加密標準(Public Key Cryptography Standards,PKCS)系列、國際電信聯(lián)盟的ITU-T X.509、IETF組織的公鑰基礎設施X.509(Public Key Infrastructure X.509,PKIX)標準系列、無線應用協(xié)議(Wireless Application Protocol ,WAP)論壇的無線公鑰基礎設施(Wireless Public Key Infrastructure,WPKI)標準等。
第一代PKI標準主要是基于抽象語法符號(Abstract Syntax Notation One,ASN.1)編碼的,實現(xiàn)比較困難,這也在一定程度上影響了標準的推廣。
第二代PKI標準
2001年,由微軟、Versign和webMethods三家公司發(fā)布了XML密鑰管理規(guī)范(XML Key Management Specification,XKMS),被稱為第二代PKI標準。XKMS由兩部分組成:XML密鑰信息服務規(guī)范(XML Key Information Service Specification,X-KISS)和XML密鑰注冊服務規(guī)范(XML Key Registration Service Specification,X-KRSS)。X-KISS定義了包含在XML-SIG元素中的用于驗證公鑰信息合法性的信任服務規(guī)范;使用X-KISS規(guī)范,XML應用程序可通過網絡委托可信的第三方CA處理有關認證簽名、查詢、驗證、綁定公鑰信息等服務。X-KRSS則定義了一種可通過網絡接受公鑰注冊、撤銷、恢復的服務規(guī)范;XML應用程序建立的密鑰對,可通過X-KRSS規(guī)范將公鑰部分及其它有關的身份信息發(fā)給可信的第三方CA注冊。X-KISS和X-KRSS規(guī)范都按照XML Schema 結構化語言定義,使用簡單對象訪問協(xié)議(SOAP V1.1)進行通信,其服務與消息的語法定義遵循Web服務定義語言(WSDL V1.0)。
目前XKMS已成為W3C的推薦標準,并已被微軟、Versign等公司集成于他們的產品中(微軟已在ASP.net中集成了XKMS,Versign已發(fā)布了基于Java的信任服務集成工具包TSIK)。
相互分割影響PKI發(fā)展
我國正熱火朝天地進行PKI建設,目前已經成功建設大型的行業(yè)性或是區(qū)域性的PKI/CA就有四十多個。除此之外,許多企事業(yè)單位內部建立的小型PKI/CA還有很多。影響最大的行業(yè)性PKI/CA有:中國金融認證中心(CFCA)、中國電信認證中心(CTCA);影響最大的區(qū)域性PKI/CA有上海CA認證中心和廣東CA認證中心。這些CA中心主要用于電子商務。各級政府也在建設PKI/CA,主要用于電子政務。但是PKI建設的高速增長也帶來了許多問題:如數(shù)字簽名、電子文檔及認證中心的法律地位問題,我國還沒有正式頒布有關這方面的法律法規(guī)。這使得數(shù)字簽名得不到法律的保護,從而挫傷了人們對電子交易的熱情;另一方面,國家缺乏統(tǒng)一的規(guī)范和管理部門來指導PKI的建設問題,同時,雖然國內的PKI廠商都稱他們支持X.509證書格式,但由于證書的一些擴展項選擇不一樣,證書的接口標準不同,所有這些都使得各家的PKI/CA基本上處于相互分割的狀態(tài),證書之間不能進行互操作,這嚴重影響了證書的應用,同時也制約了PKI/CA的運行規(guī)模和效率,在一定程度上影響了人們對PKI的信任。若這些問題得不到解決的話,PKI的發(fā)展將陷入危機。
由于信息安全已上升到國家安全的高度,各國都在制定自己的安全標準和規(guī)范。為了加強我國信息安全標準化工作,經國家標準化管理委員會批準,2002年4月成立了全國信息安全標準化技術委員會(編號為TC260),并下設了若干個工作組。其中PKI標準的制定由PKI/PMI工作組(WG4)完成。正在制定的PKI標準規(guī)范有:基于X509的國內證書格式規(guī)范、PKI組件最小互操作規(guī)范、X509在線證書狀態(tài)查詢協(xié)議、X509證書管理協(xié)議、PKI產品的安全測試認證規(guī)范、PKI系統(tǒng)安全保護等級評估準則、PKI系統(tǒng)安全保護等級技術要求等。
PKI標準出臺誰得益?
信息安全標準是我國信息安全保障體系的重要組成部分,是政府進行宏觀管理的重要依據(jù)。信息安全標準不僅關系到國家安全,同時也是保護國家利益、促進產業(yè)發(fā)展的一種重要手段。
對廣大PKI產品提供商來說,可以從兩方面來看影響:被動的角度,標準的出臺將強制它們規(guī)范行為、改進產品,這在開始時廠商不一定認可;主動的角度,生產出符合標準的PKI產品、通過相關的安全測評和認證,對于提高廠商的社會形象、擴大市場份額具有重要意義。
對用戶而言,PKI標準可以指導用戶制定合理的PKI策略、選擇更好的PKI產品、衡量并改善PKI工程的實施、規(guī)范PKI的安全管理。具體就PKI產品選型而言,首先,用戶會有以下疑問:廠商的PKI產品有哪些功能?目前我需要哪些功能?產品的性能如何?上了PKI后我的網絡系統(tǒng)性能會不會有較大的下降?PKI產品自身的安全性怎樣?這些疑問可以通過“PKI產品的安全測試認證規(guī)范”來給出答案。其次,用戶可能還有一些疑問:隨著今后業(yè)務的擴大,我需要與其它的PKI互聯(lián)互通,能實現(xiàn)嗎?這是PKI產品的互操作性考慮。這可從“基于X509的國內證書格式規(guī)范及PKI組件最小互操作規(guī)范”得到答案。
對一般技術人員來講,了解PKI標準的動態(tài),可以站在PKI的前沿,有助于把握PKI技術乃至整個信息安全產業(yè)的發(fā)展方向。
未來30億美元規(guī)模
PKI的發(fā)展前景看好
據(jù)IDC調查顯示:PKI市場正在急劇擴大,從1999年開始,以年平均增長率61%的速度迅速擴大,到2004年時有望達到30億美元的規(guī)模。
今年1月,在北京召開了中國PKI戰(zhàn)略發(fā)展與應用研討會,會議交流了正在擬訂的全面發(fā)展國內PKI建設的規(guī)范,其中既包括關系到國計民生的國家電子政務PKI體系,也包含關系電子商務是否能順利進行的核心手段——國家公共PKI體系的建設。若這些PKI標準和規(guī)范早日發(fā)布,將會激起另一番PKI建設的熱潮,因此我國的PKI必將有一個美好的未來。
人們在享受網絡和計算機帶來便利的同時,也品嘗到了安全問題的苦澀。病毒的快速傳播、電腦“黑客”的肆虐入侵、重要信息的泄密……這些問題已威脅到政府服務、金融、電信、電力等國家基礎設施。為了防范這些隱患,許多新的安全技術規(guī)范不斷涌現(xiàn),PKI便是其一。
公鑰基礎設施(Public Key Infrastructure,PKI)是建立在公鑰密碼體制上的信息安全基礎設施,為應用提供身份認證、加密、數(shù)字簽名、時間戳等安全服務。數(shù)字證書認證中心(Certificate Authority, CA)是PKI的核心部件,它的主要任務是數(shù)字證書、證書廢除列表CRL的簽發(fā)及管理。PKI已廣泛用于保障電子商務和電子政務的安全,可以這樣說,PKI之于電子商務和電子政務就象高速公路之于其上行駛的汽車。
隨著PKI的逐漸普及,為了更好地為社會提供服務,不同廠商的PKI產品需要互連互通。如電力用戶要用數(shù)字證書到銀行去交電費,銀行的PKI就要對電力用戶的證書進行認證(確認身份)。通常電力PKI和銀行PKI是不同廠商的產品,這就需要兩家PKI產品能互操作,這需要支持相同的標準,如證書格式及接口規(guī)范等。與此同時,PKI產品自身的安全性也非常重要,這就需要專門的機構和標準規(guī)范對產品的安全功能和性能進行測評認定。因此,標準化就成了PKI發(fā)展的必然趨勢。
兩代PKI標準
PKI標準可以分為第一代和第二代標準。
第一代PKI標準
第一代PKI標準主要包括美國RSA公司的公鑰加密標準(Public Key Cryptography Standards,PKCS)系列、國際電信聯(lián)盟的ITU-T X.509、IETF組織的公鑰基礎設施X.509(Public Key Infrastructure X.509,PKIX)標準系列、無線應用協(xié)議(Wireless Application Protocol ,WAP)論壇的無線公鑰基礎設施(Wireless Public Key Infrastructure,WPKI)標準等。
第一代PKI標準主要是基于抽象語法符號(Abstract Syntax Notation One,ASN.1)編碼的,實現(xiàn)比較困難,這也在一定程度上影響了標準的推廣。
第二代PKI標準
2001年,由微軟、Versign和webMethods三家公司發(fā)布了XML密鑰管理規(guī)范(XML Key Management Specification,XKMS),被稱為第二代PKI標準。XKMS由兩部分組成:XML密鑰信息服務規(guī)范(XML Key Information Service Specification,X-KISS)和XML密鑰注冊服務規(guī)范(XML Key Registration Service Specification,X-KRSS)。X-KISS定義了包含在XML-SIG元素中的用于驗證公鑰信息合法性的信任服務規(guī)范;使用X-KISS規(guī)范,XML應用程序可通過網絡委托可信的第三方CA處理有關認證簽名、查詢、驗證、綁定公鑰信息等服務。X-KRSS則定義了一種可通過網絡接受公鑰注冊、撤銷、恢復的服務規(guī)范;XML應用程序建立的密鑰對,可通過X-KRSS規(guī)范將公鑰部分及其它有關的身份信息發(fā)給可信的第三方CA注冊。X-KISS和X-KRSS規(guī)范都按照XML Schema 結構化語言定義,使用簡單對象訪問協(xié)議(SOAP V1.1)進行通信,其服務與消息的語法定義遵循Web服務定義語言(WSDL V1.0)。
目前XKMS已成為W3C的推薦標準,并已被微軟、Versign等公司集成于他們的產品中(微軟已在ASP.net中集成了XKMS,Versign已發(fā)布了基于Java的信任服務集成工具包TSIK)。
相互分割影響PKI發(fā)展
我國正熱火朝天地進行PKI建設,目前已經成功建設大型的行業(yè)性或是區(qū)域性的PKI/CA就有四十多個。除此之外,許多企事業(yè)單位內部建立的小型PKI/CA還有很多。影響最大的行業(yè)性PKI/CA有:中國金融認證中心(CFCA)、中國電信認證中心(CTCA);影響最大的區(qū)域性PKI/CA有上海CA認證中心和廣東CA認證中心。這些CA中心主要用于電子商務。各級政府也在建設PKI/CA,主要用于電子政務。但是PKI建設的高速增長也帶來了許多問題:如數(shù)字簽名、電子文檔及認證中心的法律地位問題,我國還沒有正式頒布有關這方面的法律法規(guī)。這使得數(shù)字簽名得不到法律的保護,從而挫傷了人們對電子交易的熱情;另一方面,國家缺乏統(tǒng)一的規(guī)范和管理部門來指導PKI的建設問題,同時,雖然國內的PKI廠商都稱他們支持X.509證書格式,但由于證書的一些擴展項選擇不一樣,證書的接口標準不同,所有這些都使得各家的PKI/CA基本上處于相互分割的狀態(tài),證書之間不能進行互操作,這嚴重影響了證書的應用,同時也制約了PKI/CA的運行規(guī)模和效率,在一定程度上影響了人們對PKI的信任。若這些問題得不到解決的話,PKI的發(fā)展將陷入危機。
由于信息安全已上升到國家安全的高度,各國都在制定自己的安全標準和規(guī)范。為了加強我國信息安全標準化工作,經國家標準化管理委員會批準,2002年4月成立了全國信息安全標準化技術委員會(編號為TC260),并下設了若干個工作組。其中PKI標準的制定由PKI/PMI工作組(WG4)完成。正在制定的PKI標準規(guī)范有:基于X509的國內證書格式規(guī)范、PKI組件最小互操作規(guī)范、X509在線證書狀態(tài)查詢協(xié)議、X509證書管理協(xié)議、PKI產品的安全測試認證規(guī)范、PKI系統(tǒng)安全保護等級評估準則、PKI系統(tǒng)安全保護等級技術要求等。
PKI標準出臺誰得益?
信息安全標準是我國信息安全保障體系的重要組成部分,是政府進行宏觀管理的重要依據(jù)。信息安全標準不僅關系到國家安全,同時也是保護國家利益、促進產業(yè)發(fā)展的一種重要手段。
對廣大PKI產品提供商來說,可以從兩方面來看影響:被動的角度,標準的出臺將強制它們規(guī)范行為、改進產品,這在開始時廠商不一定認可;主動的角度,生產出符合標準的PKI產品、通過相關的安全測評和認證,對于提高廠商的社會形象、擴大市場份額具有重要意義。
對用戶而言,PKI標準可以指導用戶制定合理的PKI策略、選擇更好的PKI產品、衡量并改善PKI工程的實施、規(guī)范PKI的安全管理。具體就PKI產品選型而言,首先,用戶會有以下疑問:廠商的PKI產品有哪些功能?目前我需要哪些功能?產品的性能如何?上了PKI后我的網絡系統(tǒng)性能會不會有較大的下降?PKI產品自身的安全性怎樣?這些疑問可以通過“PKI產品的安全測試認證規(guī)范”來給出答案。其次,用戶可能還有一些疑問:隨著今后業(yè)務的擴大,我需要與其它的PKI互聯(lián)互通,能實現(xiàn)嗎?這是PKI產品的互操作性考慮。這可從“基于X509的國內證書格式規(guī)范及PKI組件最小互操作規(guī)范”得到答案。
對一般技術人員來講,了解PKI標準的動態(tài),可以站在PKI的前沿,有助于把握PKI技術乃至整個信息安全產業(yè)的發(fā)展方向。
未來30億美元規(guī)模
PKI的發(fā)展前景看好
據(jù)IDC調查顯示:PKI市場正在急劇擴大,從1999年開始,以年平均增長率61%的速度迅速擴大,到2004年時有望達到30億美元的規(guī)模。
今年1月,在北京召開了中國PKI戰(zhàn)略發(fā)展與應用研討會,會議交流了正在擬訂的全面發(fā)展國內PKI建設的規(guī)范,其中既包括關系到國計民生的國家電子政務PKI體系,也包含關系電子商務是否能順利進行的核心手段——國家公共PKI體系的建設。若這些PKI標準和規(guī)范早日發(fā)布,將會激起另一番PKI建設的熱潮,因此我國的PKI必將有一個美好的未來。