PKI推动力是应用
来源:本站 发布时间:2008/3/16 12:07:04 浏览量:
今年3月,信息产业部确定了电子信息产业的17项研究课题,其中一项是:《大力推动电子政务、企业信息化、电子商务等发展,做好信息化推进各项工作》。信息产业部对信息化的高度重视和积极推进,使我国电子政务、企业信息化、电子商务发展飞速。无论是电子商务也好,电子政务也罢,都有一个共同的特点,就是都离不开对PKI(公用密钥体系,Public Key Infrastructure)的建设。可以说,PKI必将成为保障电子商务和电子政务安全的基石。
PKI的主要功能是确保信息传输、存储的完整性和机密性,但最重要的还是当出现欺诈风险时,PKI可以作为防止抵赖的工具而提供证据。PKI通常由公钥加密技术、服务器证书、证书发放机构和安全策略四部份组成。其中,数字证书认证中心(Certificate Authority,简称 CA)是PKI的核心部件,它的主要任务是数字证书、证书废除列表CRL的签发及管理。
目前我国正热火朝天地进行着PKI建设,已经成功建设大型的行业性或是区域性的PKI/CA机构就有60多个。除此之外,许多企事业单位内部建立的小型PKI/CA还有很多。影响最大的行业性PKI/CA有:中国金融认证中心(CFCA)、中国电信认证中心(CTCA);影响最大的区域性PKI/CA有上海CA认证中心和广东CA认证中心。这些PKI/CA中心主要用于电子商务。各级政府也在积极建设PKI/CA系统,主要是为了用于电子政务。近年来,PKI技术无论在理论上还是应用上,以及开发各种配套产品上,都已经走向成熟,以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组(IETF)、国际标准化组织(ISO)和国际电信联盟(ITU)等国际权威机构批准颁发实施。有调查显示,PKI市场今年有望达到30亿美元的规模。
PKI并不是一种产品,也不仅仅是一张证书,而是一套安全机制。虽然国家在大力倡导开放的PKI架构,但单独谈论PKI毫无意义,它只有深入到应用的骨髓,与应用连为一体,才能产生真正的价值。在PKI的应用领域中,最主要的应用就是在电子商务和电子政务领域。
电子商务力促PKI发展
全球的电子商务大环境令人振奋,据Gartner Group估计:2001年有14%的B2B交易是网上支付的,而到2009年这一数字将超过50%。网上支付是电子商务的核心,而安全又是网上支付的焦点问题。据美国联邦贸易委员会(FTC)统计,2002年网上欺骗所造成的贸易损失超过3.43亿美元。解决网上支付的安全问题已经成了当务之急。于是,PKI就在这种商业背景下发展起来了。可以说,电子商务、网上支付、PKI是捆绑在一起共同发展的,谁也离不开谁,相辅相成,互相促进。
欧美国家的网上交易非常普遍,个人外出几乎不用带现金,刷卡消费随处可见。这对网上交易的安全保障体系提出了很高的要求。亚洲国家这方面建设步伐没有欧美国家快,网上商务也是近几年才逐渐被广泛应用起来,但是安全问题同样摆上了桌面,甚至成为制约网上商务发展的绊脚石。面对电子商务将是IT产业未来发展重点的不争事实,如何保障交易的安全性,成为日益凸现的焦点问题。
于是,一些网上支付系统开始采用PKI架构,这是在公用密钥技术基础上发展起来的一种综合安全平台,或者说是一种基础设施。使用PKI安全基础设施正如将电器插入墙上的插座一样简单。对于网上银行/网上支付而言,PKI是安全交易的“保护网”。关于网上支付的流程,消费者首先到网站选购商品→商家网站将消费者订单信息发送给支付系统进行处理→支付系统向银行发送支付请求→银行进行处理→银行反馈支付信息→支付系统向商家发送支付信息→并通知商家送货→商家根据信息进行订单处理→最后消费者接收商品。这个过程其实包含了很多加密技术,像用SSL证书保证应用层安全,防火墙保障网络层安全,防黑客入侵、防病毒、漏洞扫描等保证系统层安全等,不过对于交易本身来讲,网上支付的安全性主要还是由银行方面保障,关键数据传输使用国际流行的SSL128位加密通道并配合PKI密钥体系。国内各大银行的支付网关,基本都采用国际流行的SSL或SET方式加密。交易系统并不收集用户的信用卡资料。当用户需要填写信用卡资料时,实际上已经离开交易服务器,到达银行的支付网关。
银行在电子商务过程中的作用不容忽视,毕竟人们对银行是信任的。银行在保障用户资金安全方面也起到了应该发挥的作用。人行、工行和中行等银行都积极参与了“首都电子商务工程”的建设。人民银行联合各家商业银行共同出资、共同建设统一的金融品牌CA,并授权银行卡总中心负责CA的运作和管理。另外,人民银行也组织力量对电子商务中有关的立法和法规进行研究,特别是波及金融的立法。只有让更多的银行参与进来,为电子商务提供银行安全的支付服务,防范支付风险,努力研究与推进、完善有关的金融法规,就一定能为电子商务的顺利开展创造良好的环境,以促进电子商务在我国健康、稳妥、有序地发展。
电子政务为PKI引路。
另一个对PKI技术有极大拉动潜力的领域是电子政务。PKI技术解决了网络世界中权限分配问题,使网络上的权限划分与实际政府机构中的权限对应起来,行政级别也在网络世界中体现,使一直困扰电子政务发展的网络系统管理人员权力过大的问题得以彻底解决。因此,PKI成为电子政务主动寻求的安全技术。
国务院电子政务示范工程总体专家组成员、国家行政学院教授汪玉凯在《我国电子政务2004年新趋势》一文中曾提出:电子政务的外部环境建设将有较大进展,特别是有关电子政务的立法将有实质性进展,比如信息公开条例、电子签名、电子签章等方面的相关法律、法规都可能在2004年出台。与此同时,围绕行政审批制度改革,有关电子网络状态的行政程序、流程的调整,也会被提到重要议程,并在推动电子政务产品的标准化、政务管理的标准化等方面都可能取得重要进展。电子政务总体解决方案,包括国家对政务外网公用密钥(PKI)建设的规划等,将电子政务系统的整合放在了非常重要的地位。从汪玉凯教授的报告中我们可以看出,PKI已经成为电子政务建设中重要的一环。那么,政府相关机构又是如何指导PKI发展的呢?
政府指导PKI发展。
我国电子签章法草案于2002年12月通过,正式的电子签章法目前尚在草拟中,预计今年将可发布。其他相关法规包括:2002年11月发布“上海数字认证管理法”、“电子商务凭证价格制度通报法”、2002年12月发布的“广东省电子交易法”、2003年10月发布的“山东省凭证机构管理法”,以及同年12月发布的“山西省凭证机构管理法”。我国自2003年10月开始规划国家层级BCA架构,并将成立国家PKI协调管理委员会,作为最上层的管理单位。大陆凭证可分为两种类型,一为政府凭证,一为商业凭证(地区性CA、企业CA、产业CA),第一家CA(China Telecom CA)于1998年成立,目前已有超过60家CA,约58%的省份拥有自己省份的CA,而凭证发放数约计超过150万张。
随着PKI的逐渐普及,为了更好地为社会提供服务,不同厂商的PKI产品需要互连互通。如电力用户要用数字证书到银行去交电费,银行的PKI就要对电力用户的证书进行认证(确认身份)。通常电力PKI和银行PKI是不同厂商的产品,这就需要两家PKI产品能互操作,这需要支持相同的标准,如证书格式及接口规范等。与此同时,PKI产品自身的安全性也非常重要,这就需要专门的机构和标准规范对产品的安全功能和性能进行测评认定。因此,标准化就成了PKI发展的必然趋势。
由于信息安全已上升到国家安全的高度,各国都在制定自己的安全标准和规范。为了加强我国信息安全标准化工作,经国家标准化管理委员会批准,2002年4月成立了全国信息安全标准化技术委员会(编号为TC260),并下设了若干个工作组。其中PKI标准的制定由PKI/PMI工作组(WG4)完成。已经制定的PKI标准规范有:基于X509的国内证书格式规范、PKI组件最小互操作规范、X509在线证书状态查询协议、X509证书管理协议、PKI产品的安全测试认证规范、PKI系统安全保护等级评估准则、PKI系统安全保护等级技术要求等。
按道理,在互联网上的公信证明应该完全比照现实世界,由统一的部门颁发“网上身份证”,这样才能防止出现一个人持有多个“身份证”,且各个“身份证”之间彼此不能“互认”的窘境。但现实情况是,多数CA机构是由市场经济发展起来的产物,政府的统一管理相对滞后,客观上造成了各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”;此外,虽然各家的证书执行统一的X.509标准,但此标准只定义了证书原语言基本要素,而其中的选项各不相同,各家发放的CA证书的密码长度、格式的完全不一致,造成了各家发放的CA证书彼此不能互认。这极大地增加了PKI应用的风险,成为阻碍建立网络身份信任体制的棘手难题。
中国PKI论坛目前正积极解决其中的重要环节:筹划建立各CA机构之间的“桥中心”,从抓 CA互连互通的示范工程着手,然后,逐渐推广,解决各CA“互不相认”的现状。 建立“互连互通”技术体系的根本在于标准化,为此,全国信息安全标准化技术委员会于2002年8月正式成立了PKI/PMI工作组(即信安标委第四工作组,简称WG4工作组),主要负责PKI/PMI标准体系的研究。在政府的努力下,阻碍PKI发展的互联互通、技术标准、组织架构、法律法规等绊脚石正逐一被搬除。
PKI外包化难题。
PKI技术在我国还处在初级阶段,欧美和日本在一些涉及网上交易/支付的特殊行业,如:金融、网上购物等都有了比较成熟的应用。不过欧美和日本的大企业在开始实施自己的PKI时,都遇到了一些瓶颈,这些值得我们加以注意。瓶颈主要来自三个方面:
初期实施的投资较高,特别是比那些普通的安全解决方案的投资要高很多:
由于技术人员缺乏PKI的专业知识,使得PKI这一安全基础设施难于与现存的IT基础构架互连互通或整合起来,于是造成了更高的维护费用,甚至这种高昂的费用在两年甚至两年以上的时间里也不能看到明显的回报;
缺乏成熟的PKI产品,特别是能够与企业业务流程非常吻合的产品;
PKI实施还有几个难题:政策与导向,包括技术标准和法律问题在内的若干领域缺乏明确的定义;资金,除技术的价位高之外,缺乏编制预算的成本模式;标准的不确定性,进一步增加了系统设计成本;互操作,当PKI系统与网络、安全、操作系统等其他系统整合时,往往需要对原有系统作很大改动或替换;培训和管理,对用户和管理人员需要培训,为PKI的运行增加很大管理负担。
考虑到实施PKI的种种难题,有些企业开始考虑PKI外包的问题。内建PKI需要设备、咨询、培训和测试的先期投入,当系统运行起来后,每个证书的成本才开始降低。外包PKI主要的优点是它能很快地运用于市场。同时进一步减少与开发和发行复杂的PKI基础设施相关花费的不确定性。同时,降低了前期的投资,使得可以在获得应用成功的同时增加证书的数量。网管人员可以将关注放在公司最重要的事情,例如证书应用和商业功能的首场发布会等,而不需要紧紧跟着技术。于是许多客户选择外包那些自己不能很好内建和维护的部分,同时根据自己的战略再内部开发一部分。另外,由于许多IT人员对PKI没有什么经验,花冤枉钱的风险是很现实的。所以和一个PKI厂商或者一个能根据购买者的企业大小和类型提出PKI规划的咨询顾问一起工作是很值得的。
应用集成是关键。
还有一个突出的问题是,从技术上讲,PKI技术如何与应用真正紧密集成?从目前来看,CA证书由各类CA中心发放,而应用系统往往由第三方软件开发商或系统集成商开发,应用系统的千差万别,注定了与PKI的接口也千差万别,那么,应该由谁来开发这一重要的接口程序呢?
CA中心作为PKI体系中的重要组成部分和PKI体系的积极倡导者,似乎义无返顾地承担起开发应用接口程序的重任。事实上,几乎每一家CA机构都为应用程序提供了标准的API接口。但遗憾的是,很多CA中心在开发应用接口方面显得漫不经心。
很多CA中心的证书为应用软件提供的安全内容并不充分,他们一般在证书中添加自定义的私有扩展项解决这一问题,但带来的麻烦是,这些扩展项可能不被应用软件识别,无法得到有效利用。
另外,证书的安装及配置等操作过程可能会过于复杂,难免产生误操作,而企业的安全风险与操作人员对PKI知识的掌握程度及相关的操作直接相关,由此会影响应用开发商基于证书开发应用的热情;
第三,证书中私有扩展项的解析和证书颁发操作的烦琐带来的额外工作可能会增加应用软件开发的成本和负担;
第四,应用系统的安全性很大程度上取决于对CA中心的信任,因此,用户存在着双重风险——自身的安全性和所信任的CA中心的安全性。
另一个与应用密切相关的问题是,在PKI应用中,如何兼顾安全与易用的关系?这两者之间天然是一种矛盾关系,安全性上升、易用性必然下降;反之亦然。由于采用了PKI安全措施,对用户的原有使用习惯造成了一定冲击,比如,用户在使用证书时要输入证书的保护密码,所以当用户的USB Key遗失时就相当危险。这些问题极大地阻碍了CA中心本身的发展和运营,使大部分CA中心发证量难以上去,而很多CA中心很难独立存活,在依靠政府的“扶植”艰难生存。许多人呼吁要求独立的第三方加入到应用接口的开发中来,但从目前状况来看,这并不现实,毕竟,既懂PKI技术又懂应用系统的开发者更加凤毛麟角。
PKI与业务系统的集成至关重要,业务系统开发商对PKI不甚了解,造成业务系统开发商出于自身考虑而忽视了系统安全的建设; 而安全厂商对业务系统不了解,无法很好地将PKI集成到业务系统中去。解决的方法应该由安全厂商提供可直接应用于业务系统中的ActiveX、JavaBean等高级别安全接口,由业务系统开发商根据业务流程需要将PKI应用集成到业务系统中去。实践证明,只有充分发挥PKI供应商、业务系统开发商以及用户的各方面优势,才能真正使PKI无缝地集成在应用系统中。
