登录
注册
标准化推动PKI发展
作者:余勇 博士
来源:RFID世界网
日期:2005-06-01 10:18:28
摘要:标准化推动PKI发展
关键词:标准化推动PKI发展
编者按:公钥基础设施(PKI)是建立在公钥密码体制上的信息安全基础设施,为应用提供身份认证、加密、数字签名等安全服务。数字证书认证中心(CA)是PKI的核心部件。但是,分离的PKI标准给它的发展带来了困难,本文对此进行了分析。
人们在享受网络和计算机带来便利的同时,也品尝到了安全问题的苦涩。病毒的快速传播、电脑“黑客”的肆虐入侵、重要信息的泄密……这些问题已威胁到政府服务、金融、电信、电力等国家基础设施。为了防范这些隐患,许多新的安全技术规范不断涌现,PKI便是其一。
公钥基础设施(Public Key Infrastructure,PKI)是建立在公钥密码体制上的信息安全基础设施,为应用提供身份认证、加密、数字签名、时间戳等安全服务。数字证书认证中心(Certificate Authority, CA)是PKI的核心部件,它的主要任务是数字证书、证书废除列表CRL的签发及管理。PKI已广泛用于保障电子商务和电子政务的安全,可以这样说,PKI之于电子商务和电子政务就象高速公路之于其上行驶的汽车。
随着PKI的逐渐普及,为了更好地为社会提供服务,不同厂商的PKI产品需要互连互通。如电力用户要用数字证书到银行去交电费,银行的PKI就要对电力用户的证书进行认证(确认身份)。通常电力PKI和银行PKI是不同厂商的产品,这就需要两家PKI产品能互操作,这需要支持相同的标准,如证书格式及接口规范等。与此同时,PKI产品自身的安全性也非常重要,这就需要专门的机构和标准规范对产品的安全功能和性能进行测评认定。因此,标准化就成了PKI发展的必然趋势。
两代PKI标准
PKI标准可以分为第一代和第二代标准。
第一代PKI标准
第一代PKI标准主要包括美国RSA公司的公钥加密标准(Public Key Cryptography Standards,PKCS)系列、国际电信联盟的ITU-T X.509、IETF组织的公钥基础设施X.509(Public Key Infrastructure X.509,PKIX)标准系列、无线应用协议(Wireless Application Protocol ,WAP)论坛的无线公钥基础设施(Wireless Public Key Infrastructure,WPKI)标准等。
第一代PKI标准主要是基于抽象语法符号(Abstract Syntax Notation One,ASN.1)编码的,实现比较困难,这也在一定程度上影响了标准的推广。
第二代PKI标准
2001年,由微软、Versign和webMethods三家公司发布了XML密钥管理规范(XML Key Management Specification,XKMS),被称为第二代PKI标准。XKMS由两部分组成:XML密钥信息服务规范(XML Key Information Service Specification,X-KISS)和XML密钥注册服务规范(XML Key Registration Service Specification,X-KRSS)。X-KISS定义了包含在XML-SIG元素中的用于验证公钥信息合法性的信任服务规范;使用X-KISS规范,XML应用程序可通过网络委托可信的第三方CA处理有关认证签名、查询、验证、绑定公钥信息等服务。X-KRSS则定义了一种可通过网络接受公钥注册、撤销、恢复的服务规范;XML应用程序建立的密钥对,可通过X-KRSS规范将公钥部分及其它有关的身份信息发给可信的第三方CA注册。X-KISS和X-KRSS规范都按照XML Schema 结构化语言定义,使用简单对象访问协议(SOAP V1.1)进行通信,其服务与消息的语法定义遵循Web服务定义语言(WSDL V1.0)。
目前XKMS已成为W3C的推荐标准,并已被微软、Versign等公司集成于他们的产品中(微软已在ASP.net中集成了XKMS,Versign已发布了基于Java的信任服务集成工具包TSIK)。
相互分割影响PKI发展
我国正热火朝天地进行PKI建设,目前已经成功建设大型的行业性或是区域性的PKI/CA就有四十多个。除此之外,许多企事业单位内部建立的小型PKI/CA还有很多。影响最大的行业性PKI/CA有:中国金融认证中心(CFCA)、中国电信认证中心(CTCA);影响最大的区域性PKI/CA有上海CA认证中心和广东CA认证中心。这些CA中心主要用于电子商务。各级政府也在建设PKI/CA,主要用于电子政务。但是PKI建设的高速增长也带来了许多问题:如数字签名、电子文档及认证中心的法律地位问题,我国还没有正式颁布有关这方面的法律法规。这使得数字签名得不到法律的保护,从而挫伤了人们对电子交易的热情;另一方面,国家缺乏统一的规范和管理部门来指导PKI的建设问题,同时,虽然国内的PKI厂商都称他们支持X.509证书格式,但由于证书的一些扩展项选择不一样,证书的接口标准不同,所有这些都使得各家的PKI/CA基本上处于相互分割的状态,证书之间不能进行互操作,这严重影响了证书的应用,同时也制约了PKI/CA的运行规模和效率,在一定程度上影响了人们对PKI的信任。若这些问题得不到解决的话,PKI的发展将陷入危机。
由于信息安全已上升到国家安全的高度,各国都在制定自己的安全标准和规范。为了加强我国信息安全标准化工作,经国家标准化管理委员会批准,2002年4月成立了全国信息安全标准化技术委员会(编号为TC260),并下设了若干个工作组。其中PKI标准的制定由PKI/PMI工作组(WG4)完成。正在制定的PKI标准规范有:基于X509的国内证书格式规范、PKI组件最小互操作规范、X509在线证书状态查询协议、X509证书管理协议、PKI产品的安全测试认证规范、PKI系统安全保护等级评估准则、PKI系统安全保护等级技术要求等。
PKI标准出台谁得益?
信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。信息安全标准不仅关系到国家安全,同时也是保护国家利益、促进产业发展的一种重要手段。
对广大PKI产品提供商来说,可以从两方面来看影响:被动的角度,标准的出台将强制它们规范行为、改进产品,这在开始时厂商不一定认可;主动的角度,生产出符合标准的PKI产品、通过相关的安全测评和认证,对于提高厂商的社会形象、扩大市场份额具有重要意义。
对用户而言,PKI标准可以指导用户制定合理的PKI策略、选择更好的PKI产品、衡量并改善PKI工程的实施、规范PKI的安全管理。具体就PKI产品选型而言,首先,用户会有以下疑问:厂商的PKI产品有哪些功能?目前我需要哪些功能?产品的性能如何?上了PKI后我的网络系统性能会不会有较大的下降?PKI产品自身的安全性怎样?这些疑问可以通过“PKI产品的安全测试认证规范”来给出答案。其次,用户可能还有一些疑问:随着今后业务的扩大,我需要与其它的PKI互联互通,能实现吗?这是PKI产品的互操作性考虑。这可从“基于X509的国内证书格式规范及PKI组件最小互操作规范”得到答案。
对一般技术人员来讲,了解PKI标准的动态,可以站在PKI的前沿,有助于把握PKI技术乃至整个信息安全产业的发展方向。
未来30亿美元规模
PKI的发展前景看好
据IDC调查显示:PKI市场正在急剧扩大,从1999年开始,以年平均增长率61%的速度迅速扩大,到2004年时有望达到30亿美元的规模。
今年1月,在北京召开了中国PKI战略发展与应用研讨会,会议交流了正在拟订的全面发展国内PKI建设的规范,其中既包括关系到国计民生的国家电子政务PKI体系,也包含关系电子商务是否能顺利进行的核心手段——国家公共PKI体系的建设。若这些PKI标准和规范早日发布,将会激起另一番PKI建设的热潮,因此我国的PKI必将有一个美好的未来。
人们在享受网络和计算机带来便利的同时,也品尝到了安全问题的苦涩。病毒的快速传播、电脑“黑客”的肆虐入侵、重要信息的泄密……这些问题已威胁到政府服务、金融、电信、电力等国家基础设施。为了防范这些隐患,许多新的安全技术规范不断涌现,PKI便是其一。
公钥基础设施(Public Key Infrastructure,PKI)是建立在公钥密码体制上的信息安全基础设施,为应用提供身份认证、加密、数字签名、时间戳等安全服务。数字证书认证中心(Certificate Authority, CA)是PKI的核心部件,它的主要任务是数字证书、证书废除列表CRL的签发及管理。PKI已广泛用于保障电子商务和电子政务的安全,可以这样说,PKI之于电子商务和电子政务就象高速公路之于其上行驶的汽车。
随着PKI的逐渐普及,为了更好地为社会提供服务,不同厂商的PKI产品需要互连互通。如电力用户要用数字证书到银行去交电费,银行的PKI就要对电力用户的证书进行认证(确认身份)。通常电力PKI和银行PKI是不同厂商的产品,这就需要两家PKI产品能互操作,这需要支持相同的标准,如证书格式及接口规范等。与此同时,PKI产品自身的安全性也非常重要,这就需要专门的机构和标准规范对产品的安全功能和性能进行测评认定。因此,标准化就成了PKI发展的必然趋势。
两代PKI标准
PKI标准可以分为第一代和第二代标准。
第一代PKI标准
第一代PKI标准主要包括美国RSA公司的公钥加密标准(Public Key Cryptography Standards,PKCS)系列、国际电信联盟的ITU-T X.509、IETF组织的公钥基础设施X.509(Public Key Infrastructure X.509,PKIX)标准系列、无线应用协议(Wireless Application Protocol ,WAP)论坛的无线公钥基础设施(Wireless Public Key Infrastructure,WPKI)标准等。
第一代PKI标准主要是基于抽象语法符号(Abstract Syntax Notation One,ASN.1)编码的,实现比较困难,这也在一定程度上影响了标准的推广。
第二代PKI标准
2001年,由微软、Versign和webMethods三家公司发布了XML密钥管理规范(XML Key Management Specification,XKMS),被称为第二代PKI标准。XKMS由两部分组成:XML密钥信息服务规范(XML Key Information Service Specification,X-KISS)和XML密钥注册服务规范(XML Key Registration Service Specification,X-KRSS)。X-KISS定义了包含在XML-SIG元素中的用于验证公钥信息合法性的信任服务规范;使用X-KISS规范,XML应用程序可通过网络委托可信的第三方CA处理有关认证签名、查询、验证、绑定公钥信息等服务。X-KRSS则定义了一种可通过网络接受公钥注册、撤销、恢复的服务规范;XML应用程序建立的密钥对,可通过X-KRSS规范将公钥部分及其它有关的身份信息发给可信的第三方CA注册。X-KISS和X-KRSS规范都按照XML Schema 结构化语言定义,使用简单对象访问协议(SOAP V1.1)进行通信,其服务与消息的语法定义遵循Web服务定义语言(WSDL V1.0)。
目前XKMS已成为W3C的推荐标准,并已被微软、Versign等公司集成于他们的产品中(微软已在ASP.net中集成了XKMS,Versign已发布了基于Java的信任服务集成工具包TSIK)。
相互分割影响PKI发展
我国正热火朝天地进行PKI建设,目前已经成功建设大型的行业性或是区域性的PKI/CA就有四十多个。除此之外,许多企事业单位内部建立的小型PKI/CA还有很多。影响最大的行业性PKI/CA有:中国金融认证中心(CFCA)、中国电信认证中心(CTCA);影响最大的区域性PKI/CA有上海CA认证中心和广东CA认证中心。这些CA中心主要用于电子商务。各级政府也在建设PKI/CA,主要用于电子政务。但是PKI建设的高速增长也带来了许多问题:如数字签名、电子文档及认证中心的法律地位问题,我国还没有正式颁布有关这方面的法律法规。这使得数字签名得不到法律的保护,从而挫伤了人们对电子交易的热情;另一方面,国家缺乏统一的规范和管理部门来指导PKI的建设问题,同时,虽然国内的PKI厂商都称他们支持X.509证书格式,但由于证书的一些扩展项选择不一样,证书的接口标准不同,所有这些都使得各家的PKI/CA基本上处于相互分割的状态,证书之间不能进行互操作,这严重影响了证书的应用,同时也制约了PKI/CA的运行规模和效率,在一定程度上影响了人们对PKI的信任。若这些问题得不到解决的话,PKI的发展将陷入危机。
由于信息安全已上升到国家安全的高度,各国都在制定自己的安全标准和规范。为了加强我国信息安全标准化工作,经国家标准化管理委员会批准,2002年4月成立了全国信息安全标准化技术委员会(编号为TC260),并下设了若干个工作组。其中PKI标准的制定由PKI/PMI工作组(WG4)完成。正在制定的PKI标准规范有:基于X509的国内证书格式规范、PKI组件最小互操作规范、X509在线证书状态查询协议、X509证书管理协议、PKI产品的安全测试认证规范、PKI系统安全保护等级评估准则、PKI系统安全保护等级技术要求等。
PKI标准出台谁得益?
信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。信息安全标准不仅关系到国家安全,同时也是保护国家利益、促进产业发展的一种重要手段。
对广大PKI产品提供商来说,可以从两方面来看影响:被动的角度,标准的出台将强制它们规范行为、改进产品,这在开始时厂商不一定认可;主动的角度,生产出符合标准的PKI产品、通过相关的安全测评和认证,对于提高厂商的社会形象、扩大市场份额具有重要意义。
对用户而言,PKI标准可以指导用户制定合理的PKI策略、选择更好的PKI产品、衡量并改善PKI工程的实施、规范PKI的安全管理。具体就PKI产品选型而言,首先,用户会有以下疑问:厂商的PKI产品有哪些功能?目前我需要哪些功能?产品的性能如何?上了PKI后我的网络系统性能会不会有较大的下降?PKI产品自身的安全性怎样?这些疑问可以通过“PKI产品的安全测试认证规范”来给出答案。其次,用户可能还有一些疑问:随着今后业务的扩大,我需要与其它的PKI互联互通,能实现吗?这是PKI产品的互操作性考虑。这可从“基于X509的国内证书格式规范及PKI组件最小互操作规范”得到答案。
对一般技术人员来讲,了解PKI标准的动态,可以站在PKI的前沿,有助于把握PKI技术乃至整个信息安全产业的发展方向。
未来30亿美元规模
PKI的发展前景看好
据IDC调查显示:PKI市场正在急剧扩大,从1999年开始,以年平均增长率61%的速度迅速扩大,到2004年时有望达到30亿美元的规模。
今年1月,在北京召开了中国PKI战略发展与应用研讨会,会议交流了正在拟订的全面发展国内PKI建设的规范,其中既包括关系到国计民生的国家电子政务PKI体系,也包含关系电子商务是否能顺利进行的核心手段——国家公共PKI体系的建设。若这些PKI标准和规范早日发布,将会激起另一番PKI建设的热潮,因此我国的PKI必将有一个美好的未来。
