神马文学网PKI陷入僵局? CIO俱乐部
来源:百度文库 编辑:神马文学网 时间:2024/04/25 09:54:02
PKI陷入僵局?
胡英(http://www.ccw.com.cn/applic/tech/htm2003/20030411_14ECM.htm)
PKI的发展似乎陷入了一场僵局!
在铺天盖地的CA中心建设热潮后,全国建立起了40多家CA中心,但总发证量仅徘徊在50万份左右!进一步,发证量很难突破,退一步,意味着巨额的
投资打了水漂,CA中心进退维谷。
单独谈论PKI毫无意义,PKI不再是技术问题,PKI只有深入到应用的骨髓,与应用连为一体,才能真正产生价值!
PKI应用的不顺畅,导致了人们对整体PKI架构的重新思考:是继续建立庞大的“胖PKI”体系还是为应用专门“裁剪”成“瘦PKI”?是维持独立的PKI还是发展“嵌入式”PKI?
技术体系稳定
经过几年发展,PKI体系结构和技术并没有太大的变化,尤其是在公钥技术方面,但为了适应新技术的发展及易用性考虑,私钥的形式和内容在悄悄地发生着演变。
人们从现实世界进入由网络构筑的虚拟世界时,面临的主要问题是如何确认各自的身份、建立彼此间的信任关系以及保证信息的真实性、完整性、机密性和不可否认性。公钥基础设施(PKI)正是在这样的环境中出生并发育起来。
既然是一套基础设施,PKI就并不是一种产品,也不仅仅是一张证书,而是一套机制。就像现实生活中的身份证一样,对一般人而言,看到的只是一个身份证,但是,在一张薄薄的卡片后面,是强大的机制在支撑,如发证机构、管理机构、验证机构等等。
在网络上,必须用技术实现这套机制,于是,早在几年前,PKI就被全球技术专家设计成利用“公钥+私钥”的方式,这一技术发展至今,在全球获得了毫无争议的认可,全球几乎所有PKI技术提供商及广泛的应用均采用这一体系结构。作为证书的颁发者,CA(certificate authority)机构在PKI体系中扮演着一个公信的“第三方”的角色,是PKI基础设施的主要组成部分,其所颁发的公钥证书,就是目前人们非常熟悉的CA证书。
中国PKI论坛秘书长吴亚非先生介绍,几年发展下来,PKI体系结构和技术并没有太大的变化,尤其是在公钥技术方面,但为了适应各类新的应用技术及为了易用性考虑,私钥的形式和内容却在悄悄地发生着演变。
虽然各类不同的CA机构都遵循X.509的标准颁发CA证书,但证书的格式和形式都在变化,其中,使用得最多的客户端证书分别派生出了硬件证书(如USB证书、IC卡证书)、软件证书(如安装在电脑中的软件证书)、漫游证书(可从网络上直接下载,方便异地漫游用户)等三类证书,它们的安全性和成本从高到低排列,而易用性则反之,从低向高排列。
其他新出现的证书还有无线证书及属性证书等,这些变化,都是为了使用者的易用性或更进一步的安全性而进行的技术改造。
国家级PKI体系
各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”,使各证书之间缺乏“互通性”,严重阻碍了PKI的发展。国家认识到这一发展的滞障,开始从技术标准、组织架构、法律法规等方面一步步着手解决问题!
在一阵铺天盖地的CA中心建设热潮后,目前,全国建立起了40多家CA中心(这还是官方统计数据,据悉,实际情况远远大于这一数字),其总发证量为50万份左右。
但是,比起中国6000万的上网人群,50万的证书数实在是微乎其微!
按道理,在互联网上的公信证明应该完全比照现实世界,由统一的部门颁发“网上身份证”,这样才能防止出现一个人持有多个“身份证”,且各个“身份证”之间彼此不能“互认”的窘境。但现实情况是,多数CA机构是由市场经济发展起来的产物,政府的统一管理相对滞后,客观上造成了各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”;此外,虽然各家的证书执行统一的X.509标准,但此标准只定义了证书原语言基本要素,而其中的选项各不相同,换言之,标准定义太“粗”,导致各家发放的CA证书的密码长度、格式的完全不一致,由此造成了各家发放的CA证书彼此不能互认。这极大地增加了PKI应用的风险,成为阻碍建立网络身份信任体制的棘手难题。
为了解决这一问题,2002年1月,由国务院信息办组织各方面的PKI专家,成立了《国家PKI体系研究》课题小组,2002年6月,该课题结束,向国家提交了《国家PKI体系总体框架》研究报告。
今年1月7日,在由中国PKI论坛主办的中国公钥基础设施(中国PKI)战略发展与应用研讨会上,《国家PKI体系研究》课题专家组成员詹榜华博士首次公布了该报告规划出的国家级PKI体系结构:从行政上,规划成立国家PKI协调管理委员会(NPCMC),负责制定国家PKI管理政策、国家PKI体系发展规划;监督、指导国家电子政务PKI体系和国家公共PKI体系的建设、运行和应用;具体负责审批CA机构的成立和撤消。
其中,电子政务PKI体系是服务于国家各级机构、组织和部门的内部电子政务业务(如公文流转、权威信息发布等)的PKI体系,负责向参与这些业务的各实体(包括人员、机构和设备)提供信任和安全服务。
国家公共PKI体系是服务于各种公众网上业务(包括电子商务、政府面向公众服务的电子政务业务和其他信息化应用)的PKI体系,这就是我们前面描述的商业CA中心,它采用网状信任模型,由国家桥中心(NBCA)、地区桥中心(LBCA)、公众服务认证中心(SCA)和注册机构组成。NBCA是沟通各地方、各行业CA认证中心的桥梁,它只与CA进行交叉认证,不向最终用户发放证书。
吴亚非介绍,这一体系架构目前得到了国务院信息化领导小组专家咨询委员会以及其他行业主管部门的的大力支持。有关组织管理体系、技术体系、标准体系和法律体系各个环节的建设工作正在紧锣密鼓地展开。
中国PKI论坛目前正积极解决其中的重要环节:筹划建立各CA机构之间的“桥中心”,从抓 CA互连互通的示范工程着手,然后,逐渐推广,解决各CA“互不相认”的现状。
建立“互连互通”技术体系的根本在于标准化,为此,全国信息安全标准化技术委员会于2002年8月正式成立了PKI/PMI工作组(即信安标委第四工作组,简称WG4工作组),主要负责PKI/PMI标准体系的研究。据该委员会副秘书长吴志刚介绍,目前,WG4工作组在充分考虑我国自己的PKI应用特色后,已研究制订了《信息技术 开放系统互连 目录 公钥和属性证书框架》等5种标准规范,目前,该工作组正在着手制定PKI建设中的其他标准。
在政府的努力下,阻碍PKI发展的互联互通、技术标准、组织架构、法律法规等绊脚石正逐一被搬除!
“胖PKI”的通病
CA机构提供的服务过多而无法“扎根”个性化应用内,使公众PKI体系遇到了极大的应用障碍!单独谈论PKI毫无意义,PKI不再是技术问题,它只有深入到应用的
骨髓,与应用连为一体,才能真正产生价值!
吴亚非说,PKI作为信息安全的基础架构,更像是一种操作系统,就像微软Windows操作系统,正因为有了大批的应用,才能茁壮成长起来,而以前的DOS操作系统或Novell网络操作系统,是因为在其上跑的应用越来越少,最终被淘汰出局。
但近距离审视公共PKI体系与应用的捆绑,现实情况非常不容乐观。
一个突出的问题是,从技术上讲,PKI技术如何与应用真正紧密集成?从目前来看,CA证书由各类CA中心发放,而应用系统往往由第三方软件开发商或系统集成商开发,应用系统的千差万别,注定了与PKI的接口也千差万别,那么,应该由谁来开发这一重要的接口程序呢?
CA中心作为PKI体系中的重要组成部分和PKI体系的积极倡导者,似乎义无返顾地承担起开发应用接口程序的重任,事实上,几乎每一家CA机构都为应用程序提供了标准的API接口,但遗憾的是,很多CA中心在开发应用接口方面显得漫不经心。从事CA认证服务的天威诚信公司市场总监李延昭说,这也许是因为,很多CA机构提供的PKI服务过于“庞大”而无法照顾到与应用的“个性化”接口; 此外,某些CA中心只忙于发证,却并不具备帮助用户开发接口程序的技术实力;更让人不理解的是,很多CA中心对那些向应用程序开放的接口居然还要向用户收取额外费用,这实在是非常不明智和短视的行为。
专门提供PKI技术的北京安软科技公司工程师王胜从技术角度分析了应用与公众PKI体系之间存在的矛盾,他说,很多CA中心的证书为应用软件提供的安全内容并不充分,他们一般在证书中添加自定义的私有扩展项解决这一问题,但带来的麻烦是,这些扩展项可能不被应用软件识别,无法得到有效利用; 第二,证书的安装及配置等操作过程可能会过于复杂,难免产生误操作,而企业的安全风险与操作人员对PKI知识的掌握程度及相关的操作直接相关,由此会影响应用开发商基于证书开发应用的热情; 第三,证书中的私有扩展项的解析和证书颁发操作的烦琐带来的额外工作可能会增加应用软件开发的成本和负担; 第四,应用系统的安全性很大程度上取决于对CA中心的信任,因此,用户存在着双重风险——自身的安全性和所信任的CA中心的安全性。
安软公司开发副总裁何清法说,另一个与应用密切相关的问题是,在PKI应用中,如何兼顾安全与易用的关系?这两者之间天然是一种矛盾关系,安全性上升、易用性必然下降;反之亦然。由于采用了PKI安全措施,对用户的原有使用习惯造成了一定冲击,比如,用户在使用证书时要输入证书的保护密码,而当用户的USB Key遗失时则相当危险。
这些问题极大地阻碍了CA中心本身的发展和运营,使大部分CA中心发证量难以上去,而很多CA中心很难独立存活,在依靠政府的“扶植”艰难生存。
许多人呼吁要求独立的第三方加入到应用接口的开发中来,但从目前状况来看,这并不现实,毕竟,既懂PKI技术又懂应用系统的开发者更加微乎其微。
庞大的PKI体系似乎很难与应用“零距离贴近”,联想集团基础平台及信息安全服务事业部产品经理王署将之称为“胖PKI”的通病——提供的服务过多而无法“扎根”个性化的应用!
虽然国家在大力倡导开放的PKI架构,但单独谈论PKI毫无意义,它只有深入到应用的骨髓,与应用连为一体,才能真正产生价值!但在与应用的结合方面,PKI似乎陷入了僵局!
挑战CA经营模式
电子商务本身发展的迟缓是PKI发展的致命“硬伤”!PKI与应用的捆绑模式超越了纯粹的技术概念,而上升为商业模式之争,找到一种新的捆绑模式,比技术本身更重要。
开放的PKI体系中的CA中心生存机会在哪里?如何让更多的应用接受PKI?
综观当前各CA中心的生存状况,虽然许多CA机构经营陷入困境,但一些与行业应用捆绑紧密的CA中心则非常健康,比如,面向金融系统的CFCA,金融业务本身对网络的依赖性导致更大程度上对网络信息安全的严重依赖,因此,像金融一类的行业对高安全性的需求主动拉动了PKI技术的发展。
另一个对PKI技术有极大拉动潜力的领域是电子政务,PKI技术解决了网络世界中权限分配问题,使网络上的权限划分与实际政府机构中的权限对应起来,行政级别也在网络世界中体现,使一直困扰电子政务发展的网络系统管理人员权力过大的问题得以彻底解决,因此,PKI成为电子政务主动寻求的安全技术。
以上这些领域也是中国PKI技术应用最广泛的领域。但是,除此而外呢?
吴亚非说,从PKI技术在全球诞生的初衷来看,是为了在电子商务中建立安全信任机制。但从我国现实情况看,电子商务并没有预期中的高速发展,很多企业对电子商务的理解仅限于一些商业信息的发布,对这些信息,根本没有必要采用昂贵又复杂的PKI技术进行保护。我国电子商务本身发展的迟缓,是制约PKI技术应用和发展的致命“硬伤”!
从2000年开始,亚洲范围内大规模铺设开放的PKI体系建设,被国外称为“导航工程”,宣告着PKI基础架构的正式起航。但在达到电子商务的规模应用之前,必将经历一段漫长的时期,联想的王署认为这一时期至少在10年以上。那么,在导航期内,CA中心该如何寻找到与应用结合的突破口呢?
天威诚信的李延昭说,PKI与应用的捆绑并不是纯粹的技术问题,而是商业模式问题。毕竟CA机构要发展,需要长期源源不断的资金来源,找到一种新的捆绑模式,比技术本身更重要。
作为一家开放的PKI体系中提供CA证书服务的公司,天威诚信目前正尝试与新浪网在企业邮箱上捆绑PKI进行技术和商业上的合作,新浪企业邮箱通过捆绑PKI可实现安全身份识别,双方的合作不仅仅是“买方与卖方”的关系,而是在共同发展企业邮箱用户中寻找到了共同的商业利益。此外,天威诚信公司与微软网站在对用户从网上下载程序代码时进行完整性检验的“代码证书”也出自同样的思路。
与应用的捆绑方式多种多样,关键是要找到合作双方利益的契合点,他反复强调。
“瘦PKI”投向应用怀抱
现实不总是按照预测的道路中规中矩地发展,在采用公信的“第三方”颁发CA证书逐渐成为PKI应用的主流,并大有一统江湖之势时,近年来,企业自建CA系统
却开始悄悄复苏。
一段时间以来,关于企业自建CA中心具有优势还是采用公信的“第三方”颁发证书具有优势的争议似乎尘埃落定,前者由于用户的总体投入大、技术支持难度高不被专家看好,许多专家预测它会日渐衰落,逐渐被后者全权取代。但现实不总是按照预测的道路中规中矩地发展,在后者逐渐占据主流,大有一统江湖之势时,从去年开始,企业自建CA系统却开始悄悄复苏。
北京安软公司何清法说,“胖PKI”无法贴近应用,而根据应用的需求,选择几项需要的内容经过“裁剪”后的“瘦PKI”则很容易为用户接受,这使得企业自建CA系统市场呈翻番的速度发展。
他说,主要原因在于许多应用非常特别,开放的PKI服务无法进一步深入,再加上从成本核算角度,当企业内部所需要的证书数超过一定数量时,自建CA系统更有成本和管理优势,这使得像安软这样的公司有了巨大的发展空间。
某省科技厅在电子政务系统中采用了安软公司的PKI体系结构,一位负责人说,PKI与业务系统的集成至关重要,他说,业务系统开发商对PKI不甚了解,造成业务系统开发商出于自身考虑而忽视了系统安全的建设; 而安全厂商对业务系统不了解,无法很好地将PKI集成到业务系统中去。为了解决这一问题,我们将双方的技术人员集中到一起,经充分讨论后,形成一致意见:由安全厂商提供可直接应用于业务系统中的ActiveX、JavaBean等高级别安全接口,由业务系统开发商根据业务流程需要将PKI应用集成到业务系统中去。
他说,实践证明,只有充分发挥PKI供应商、业务系统开发商以及用户的各方面优势,才能真正使PKI无缝地集成在应用系统中。
“瘦PKI”贴近应用的“细微服务”,使得企业自建CA市场逐渐反弹,很多曾专注于CA中心建设的PKI技术提供商在这一需求面前都在转型。虽然许多专家对此现象依然不置可否,但市场的需求显然是决定一切的力量。
“嵌入式PKI”呼之欲出
市场发展的必然结果是产生更多的PKI新应用模式。无论如何,我们看到了PKI的新希望。
许多专家还提出了PKI的另一种应用模式,联想的王署提出了建立“嵌入式PKI”的构思——即将PKI体系纳入到应用系统中,让“应用软件中PKI Ready”成为一种通用的标准,这一构思源自在IBM的Lotus Domino中已经嵌入了“裁剪”后的PKI体系,而用户在使用中没有任何察觉。
安软公司何清法也提出,WindowsXP中也嵌入了一种PKI体系,这难道不是PKI应用的另一种突破吗?
他说,应用系统不仅仅指那些专用的系统,还包括那些通用的系统,如通用操作系统、通用财务系统、通用办公系统等等,这要求对应用系统本身进行技术改造,而对应用系统开发商而言,这并非难事。天威诚信目前正试图与用友、金蝶等通用财务软件公司合作,在通用的财务软件中纳入PKI认证体系。
但是,“嵌入式PKI”在真正应用中也必将面临一些问题,联想的王署说,商业利益的驱动可能会让很多应用软件开发商积极起来,但同样从商业利益考虑,他们很可能不愿意将这部分利益与安全厂商分享,结果很可能是他们自己开发PKI技术,而PKI厂商要发展,也很可能涉足各类应用的开发中。这很可能对现有的公共PKI体系产生冲击。
市场发展的必然结果是产生更多的PKI新应用模式!无论如何,我们看到了PKI的新希望。
紧紧拥抱我吧!PKI对应用充满了渴望。
胡英(http://www.ccw.com.cn/applic/tech/htm2003/20030411_14ECM.htm)
PKI的发展似乎陷入了一场僵局!
在铺天盖地的CA中心建设热潮后,全国建立起了40多家CA中心,但总发证量仅徘徊在50万份左右!进一步,发证量很难突破,退一步,意味着巨额的
投资打了水漂,CA中心进退维谷。
单独谈论PKI毫无意义,PKI不再是技术问题,PKI只有深入到应用的骨髓,与应用连为一体,才能真正产生价值!
PKI应用的不顺畅,导致了人们对整体PKI架构的重新思考:是继续建立庞大的“胖PKI”体系还是为应用专门“裁剪”成“瘦PKI”?是维持独立的PKI还是发展“嵌入式”PKI?
技术体系稳定
经过几年发展,PKI体系结构和技术并没有太大的变化,尤其是在公钥技术方面,但为了适应新技术的发展及易用性考虑,私钥的形式和内容在悄悄地发生着演变。
人们从现实世界进入由网络构筑的虚拟世界时,面临的主要问题是如何确认各自的身份、建立彼此间的信任关系以及保证信息的真实性、完整性、机密性和不可否认性。公钥基础设施(PKI)正是在这样的环境中出生并发育起来。
既然是一套基础设施,PKI就并不是一种产品,也不仅仅是一张证书,而是一套机制。就像现实生活中的身份证一样,对一般人而言,看到的只是一个身份证,但是,在一张薄薄的卡片后面,是强大的机制在支撑,如发证机构、管理机构、验证机构等等。
在网络上,必须用技术实现这套机制,于是,早在几年前,PKI就被全球技术专家设计成利用“公钥+私钥”的方式,这一技术发展至今,在全球获得了毫无争议的认可,全球几乎所有PKI技术提供商及广泛的应用均采用这一体系结构。作为证书的颁发者,CA(certificate authority)机构在PKI体系中扮演着一个公信的“第三方”的角色,是PKI基础设施的主要组成部分,其所颁发的公钥证书,就是目前人们非常熟悉的CA证书。
中国PKI论坛秘书长吴亚非先生介绍,几年发展下来,PKI体系结构和技术并没有太大的变化,尤其是在公钥技术方面,但为了适应各类新的应用技术及为了易用性考虑,私钥的形式和内容却在悄悄地发生着演变。
虽然各类不同的CA机构都遵循X.509的标准颁发CA证书,但证书的格式和形式都在变化,其中,使用得最多的客户端证书分别派生出了硬件证书(如USB证书、IC卡证书)、软件证书(如安装在电脑中的软件证书)、漫游证书(可从网络上直接下载,方便异地漫游用户)等三类证书,它们的安全性和成本从高到低排列,而易用性则反之,从低向高排列。
其他新出现的证书还有无线证书及属性证书等,这些变化,都是为了使用者的易用性或更进一步的安全性而进行的技术改造。
国家级PKI体系
各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”,使各证书之间缺乏“互通性”,严重阻碍了PKI的发展。国家认识到这一发展的滞障,开始从技术标准、组织架构、法律法规等方面一步步着手解决问题!
在一阵铺天盖地的CA中心建设热潮后,目前,全国建立起了40多家CA中心(这还是官方统计数据,据悉,实际情况远远大于这一数字),其总发证量为50万份左右。
但是,比起中国6000万的上网人群,50万的证书数实在是微乎其微!
按道理,在互联网上的公信证明应该完全比照现实世界,由统一的部门颁发“网上身份证”,这样才能防止出现一个人持有多个“身份证”,且各个“身份证”之间彼此不能“互认”的窘境。但现实情况是,多数CA机构是由市场经济发展起来的产物,政府的统一管理相对滞后,客观上造成了各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”;此外,虽然各家的证书执行统一的X.509标准,但此标准只定义了证书原语言基本要素,而其中的选项各不相同,换言之,标准定义太“粗”,导致各家发放的CA证书的密码长度、格式的完全不一致,由此造成了各家发放的CA证书彼此不能互认。这极大地增加了PKI应用的风险,成为阻碍建立网络身份信任体制的棘手难题。
为了解决这一问题,2002年1月,由国务院信息办组织各方面的PKI专家,成立了《国家PKI体系研究》课题小组,2002年6月,该课题结束,向国家提交了《国家PKI体系总体框架》研究报告。
今年1月7日,在由中国PKI论坛主办的中国公钥基础设施(中国PKI)战略发展与应用研讨会上,《国家PKI体系研究》课题专家组成员詹榜华博士首次公布了该报告规划出的国家级PKI体系结构:从行政上,规划成立国家PKI协调管理委员会(NPCMC),负责制定国家PKI管理政策、国家PKI体系发展规划;监督、指导国家电子政务PKI体系和国家公共PKI体系的建设、运行和应用;具体负责审批CA机构的成立和撤消。
其中,电子政务PKI体系是服务于国家各级机构、组织和部门的内部电子政务业务(如公文流转、权威信息发布等)的PKI体系,负责向参与这些业务的各实体(包括人员、机构和设备)提供信任和安全服务。
国家公共PKI体系是服务于各种公众网上业务(包括电子商务、政府面向公众服务的电子政务业务和其他信息化应用)的PKI体系,这就是我们前面描述的商业CA中心,它采用网状信任模型,由国家桥中心(NBCA)、地区桥中心(LBCA)、公众服务认证中心(SCA)和注册机构组成。NBCA是沟通各地方、各行业CA认证中心的桥梁,它只与CA进行交叉认证,不向最终用户发放证书。
吴亚非介绍,这一体系架构目前得到了国务院信息化领导小组专家咨询委员会以及其他行业主管部门的的大力支持。有关组织管理体系、技术体系、标准体系和法律体系各个环节的建设工作正在紧锣密鼓地展开。
中国PKI论坛目前正积极解决其中的重要环节:筹划建立各CA机构之间的“桥中心”,从抓 CA互连互通的示范工程着手,然后,逐渐推广,解决各CA“互不相认”的现状。
建立“互连互通”技术体系的根本在于标准化,为此,全国信息安全标准化技术委员会于2002年8月正式成立了PKI/PMI工作组(即信安标委第四工作组,简称WG4工作组),主要负责PKI/PMI标准体系的研究。据该委员会副秘书长吴志刚介绍,目前,WG4工作组在充分考虑我国自己的PKI应用特色后,已研究制订了《信息技术 开放系统互连 目录 公钥和属性证书框架》等5种标准规范,目前,该工作组正在着手制定PKI建设中的其他标准。
在政府的努力下,阻碍PKI发展的互联互通、技术标准、组织架构、法律法规等绊脚石正逐一被搬除!
“胖PKI”的通病
CA机构提供的服务过多而无法“扎根”个性化应用内,使公众PKI体系遇到了极大的应用障碍!单独谈论PKI毫无意义,PKI不再是技术问题,它只有深入到应用的
骨髓,与应用连为一体,才能真正产生价值!
吴亚非说,PKI作为信息安全的基础架构,更像是一种操作系统,就像微软Windows操作系统,正因为有了大批的应用,才能茁壮成长起来,而以前的DOS操作系统或Novell网络操作系统,是因为在其上跑的应用越来越少,最终被淘汰出局。
但近距离审视公共PKI体系与应用的捆绑,现实情况非常不容乐观。
一个突出的问题是,从技术上讲,PKI技术如何与应用真正紧密集成?从目前来看,CA证书由各类CA中心发放,而应用系统往往由第三方软件开发商或系统集成商开发,应用系统的千差万别,注定了与PKI的接口也千差万别,那么,应该由谁来开发这一重要的接口程序呢?
CA中心作为PKI体系中的重要组成部分和PKI体系的积极倡导者,似乎义无返顾地承担起开发应用接口程序的重任,事实上,几乎每一家CA机构都为应用程序提供了标准的API接口,但遗憾的是,很多CA中心在开发应用接口方面显得漫不经心。从事CA认证服务的天威诚信公司市场总监李延昭说,这也许是因为,很多CA机构提供的PKI服务过于“庞大”而无法照顾到与应用的“个性化”接口; 此外,某些CA中心只忙于发证,却并不具备帮助用户开发接口程序的技术实力;更让人不理解的是,很多CA中心对那些向应用程序开放的接口居然还要向用户收取额外费用,这实在是非常不明智和短视的行为。
专门提供PKI技术的北京安软科技公司工程师王胜从技术角度分析了应用与公众PKI体系之间存在的矛盾,他说,很多CA中心的证书为应用软件提供的安全内容并不充分,他们一般在证书中添加自定义的私有扩展项解决这一问题,但带来的麻烦是,这些扩展项可能不被应用软件识别,无法得到有效利用; 第二,证书的安装及配置等操作过程可能会过于复杂,难免产生误操作,而企业的安全风险与操作人员对PKI知识的掌握程度及相关的操作直接相关,由此会影响应用开发商基于证书开发应用的热情; 第三,证书中的私有扩展项的解析和证书颁发操作的烦琐带来的额外工作可能会增加应用软件开发的成本和负担; 第四,应用系统的安全性很大程度上取决于对CA中心的信任,因此,用户存在着双重风险——自身的安全性和所信任的CA中心的安全性。
安软公司开发副总裁何清法说,另一个与应用密切相关的问题是,在PKI应用中,如何兼顾安全与易用的关系?这两者之间天然是一种矛盾关系,安全性上升、易用性必然下降;反之亦然。由于采用了PKI安全措施,对用户的原有使用习惯造成了一定冲击,比如,用户在使用证书时要输入证书的保护密码,而当用户的USB Key遗失时则相当危险。
这些问题极大地阻碍了CA中心本身的发展和运营,使大部分CA中心发证量难以上去,而很多CA中心很难独立存活,在依靠政府的“扶植”艰难生存。
许多人呼吁要求独立的第三方加入到应用接口的开发中来,但从目前状况来看,这并不现实,毕竟,既懂PKI技术又懂应用系统的开发者更加微乎其微。
庞大的PKI体系似乎很难与应用“零距离贴近”,联想集团基础平台及信息安全服务事业部产品经理王署将之称为“胖PKI”的通病——提供的服务过多而无法“扎根”个性化的应用!
虽然国家在大力倡导开放的PKI架构,但单独谈论PKI毫无意义,它只有深入到应用的骨髓,与应用连为一体,才能真正产生价值!但在与应用的结合方面,PKI似乎陷入了僵局!
挑战CA经营模式
电子商务本身发展的迟缓是PKI发展的致命“硬伤”!PKI与应用的捆绑模式超越了纯粹的技术概念,而上升为商业模式之争,找到一种新的捆绑模式,比技术本身更重要。
开放的PKI体系中的CA中心生存机会在哪里?如何让更多的应用接受PKI?
综观当前各CA中心的生存状况,虽然许多CA机构经营陷入困境,但一些与行业应用捆绑紧密的CA中心则非常健康,比如,面向金融系统的CFCA,金融业务本身对网络的依赖性导致更大程度上对网络信息安全的严重依赖,因此,像金融一类的行业对高安全性的需求主动拉动了PKI技术的发展。
另一个对PKI技术有极大拉动潜力的领域是电子政务,PKI技术解决了网络世界中权限分配问题,使网络上的权限划分与实际政府机构中的权限对应起来,行政级别也在网络世界中体现,使一直困扰电子政务发展的网络系统管理人员权力过大的问题得以彻底解决,因此,PKI成为电子政务主动寻求的安全技术。
以上这些领域也是中国PKI技术应用最广泛的领域。但是,除此而外呢?
吴亚非说,从PKI技术在全球诞生的初衷来看,是为了在电子商务中建立安全信任机制。但从我国现实情况看,电子商务并没有预期中的高速发展,很多企业对电子商务的理解仅限于一些商业信息的发布,对这些信息,根本没有必要采用昂贵又复杂的PKI技术进行保护。我国电子商务本身发展的迟缓,是制约PKI技术应用和发展的致命“硬伤”!
从2000年开始,亚洲范围内大规模铺设开放的PKI体系建设,被国外称为“导航工程”,宣告着PKI基础架构的正式起航。但在达到电子商务的规模应用之前,必将经历一段漫长的时期,联想的王署认为这一时期至少在10年以上。那么,在导航期内,CA中心该如何寻找到与应用结合的突破口呢?
天威诚信的李延昭说,PKI与应用的捆绑并不是纯粹的技术问题,而是商业模式问题。毕竟CA机构要发展,需要长期源源不断的资金来源,找到一种新的捆绑模式,比技术本身更重要。
作为一家开放的PKI体系中提供CA证书服务的公司,天威诚信目前正尝试与新浪网在企业邮箱上捆绑PKI进行技术和商业上的合作,新浪企业邮箱通过捆绑PKI可实现安全身份识别,双方的合作不仅仅是“买方与卖方”的关系,而是在共同发展企业邮箱用户中寻找到了共同的商业利益。此外,天威诚信公司与微软网站在对用户从网上下载程序代码时进行完整性检验的“代码证书”也出自同样的思路。
与应用的捆绑方式多种多样,关键是要找到合作双方利益的契合点,他反复强调。
“瘦PKI”投向应用怀抱
现实不总是按照预测的道路中规中矩地发展,在采用公信的“第三方”颁发CA证书逐渐成为PKI应用的主流,并大有一统江湖之势时,近年来,企业自建CA系统
却开始悄悄复苏。
一段时间以来,关于企业自建CA中心具有优势还是采用公信的“第三方”颁发证书具有优势的争议似乎尘埃落定,前者由于用户的总体投入大、技术支持难度高不被专家看好,许多专家预测它会日渐衰落,逐渐被后者全权取代。但现实不总是按照预测的道路中规中矩地发展,在后者逐渐占据主流,大有一统江湖之势时,从去年开始,企业自建CA系统却开始悄悄复苏。
北京安软公司何清法说,“胖PKI”无法贴近应用,而根据应用的需求,选择几项需要的内容经过“裁剪”后的“瘦PKI”则很容易为用户接受,这使得企业自建CA系统市场呈翻番的速度发展。
他说,主要原因在于许多应用非常特别,开放的PKI服务无法进一步深入,再加上从成本核算角度,当企业内部所需要的证书数超过一定数量时,自建CA系统更有成本和管理优势,这使得像安软这样的公司有了巨大的发展空间。
某省科技厅在电子政务系统中采用了安软公司的PKI体系结构,一位负责人说,PKI与业务系统的集成至关重要,他说,业务系统开发商对PKI不甚了解,造成业务系统开发商出于自身考虑而忽视了系统安全的建设; 而安全厂商对业务系统不了解,无法很好地将PKI集成到业务系统中去。为了解决这一问题,我们将双方的技术人员集中到一起,经充分讨论后,形成一致意见:由安全厂商提供可直接应用于业务系统中的ActiveX、JavaBean等高级别安全接口,由业务系统开发商根据业务流程需要将PKI应用集成到业务系统中去。
他说,实践证明,只有充分发挥PKI供应商、业务系统开发商以及用户的各方面优势,才能真正使PKI无缝地集成在应用系统中。
“瘦PKI”贴近应用的“细微服务”,使得企业自建CA市场逐渐反弹,很多曾专注于CA中心建设的PKI技术提供商在这一需求面前都在转型。虽然许多专家对此现象依然不置可否,但市场的需求显然是决定一切的力量。
“嵌入式PKI”呼之欲出
市场发展的必然结果是产生更多的PKI新应用模式。无论如何,我们看到了PKI的新希望。
许多专家还提出了PKI的另一种应用模式,联想的王署提出了建立“嵌入式PKI”的构思——即将PKI体系纳入到应用系统中,让“应用软件中PKI Ready”成为一种通用的标准,这一构思源自在IBM的Lotus Domino中已经嵌入了“裁剪”后的PKI体系,而用户在使用中没有任何察觉。
安软公司何清法也提出,WindowsXP中也嵌入了一种PKI体系,这难道不是PKI应用的另一种突破吗?
他说,应用系统不仅仅指那些专用的系统,还包括那些通用的系统,如通用操作系统、通用财务系统、通用办公系统等等,这要求对应用系统本身进行技术改造,而对应用系统开发商而言,这并非难事。天威诚信目前正试图与用友、金蝶等通用财务软件公司合作,在通用的财务软件中纳入PKI认证体系。
但是,“嵌入式PKI”在真正应用中也必将面临一些问题,联想的王署说,商业利益的驱动可能会让很多应用软件开发商积极起来,但同样从商业利益考虑,他们很可能不愿意将这部分利益与安全厂商分享,结果很可能是他们自己开发PKI技术,而PKI厂商要发展,也很可能涉足各类应用的开发中。这很可能对现有的公共PKI体系产生冲击。
市场发展的必然结果是产生更多的PKI新应用模式!无论如何,我们看到了PKI的新希望。
紧紧拥抱我吧!PKI对应用充满了渴望。
PKI陷入僵局? CIO俱乐部
PKI陷入僵局? CIO俱乐部
PKI陷入僵局? CIO俱乐部-计世网
PKI陷入僵局? CIO俱乐部-计世网
ERP上台阶工程 CIO俱乐部
TITAN GIS 地理信息系统 CIO俱乐部
界定信息资源产业 CIO俱乐部
V2 Conference视频会议系统 CIO俱乐部
中小企业视频会议解决方案 CIO俱乐部
CIO围棋战略进行排兵布阵 CIO俱乐部
使CIO的作用变得可行 CIO俱乐部
CIO围棋战略进行排兵布阵 CIO俱乐部-计世网
使CIO的作用变得可行 CIO俱乐部-计世网
cio的职责、条件及价值 cio俱乐部-计世网
软件外包的中国式误会 CIO俱乐部
内容管理的发展趋势、挑战、热点 CIO俱乐部
内容管理再造企业竞争优势 CIO俱乐部
内容管理呈现四大发展趋势 CIO俱乐部
内容管理的发展趋势、挑战、热点 CIO俱乐部
知识管理规划方法 CIO俱乐部
中美企业信息化战略比较 CIO俱乐部
中国信息产业警惕全球化幻想 CIO俱乐部
IT销售对垒政府用户 CIO俱乐部
商业智能与知识管理 CIO俱乐部