對于ＰＫＩ建設的思考

蔡　超

我們所知道的PKI

在當前各地、各部門電子政務的規劃和建設中，只要提到信息安全保障，就不能不涉及PKI（Public Key Infrastructure）公鑰基礎設施領域，PKI依托非對稱密碼技術特有的保密與抗抵賴機制成為電子政務網絡和信息安全建設的基礎與核心。由于PKI的重要地位，我國已經在幾年前就開始啟動PKI建設，截至目前，金融、政府、電信等部門已經建立了數十家CA認證中心（PKI體系的管理和運行機構），浙江省政府辦公廳信息中心于2002年作為全國試點示范單位之一也分別在政務內網和政務外網建立起了CA認證中心。

PKI是20世紀80年代由美國學者提出的概念。簡單地說，PKI技術就是利用公開密鑰理論和技術建立的提供信息安全服務的基礎設施。在公開密鑰體制中，通信雙方的加密密鑰與解密密鑰各不相同，信息發送人利用接收者的公鑰加密信息，接收者再利用自己專有的私鑰進行解密，這種方式既保證了信息的機密性，發送人用自己的私鑰對信息進行簽名，接收人用發送人的公鑰進行驗證，保證了信息具有不可抵賴性。公開密鑰體制的特點決定了PKI能夠從技術上解決網上身份認證、信息完整性和抗抵賴等安全問題，而其核心是解決了信息網絡空間中的信任問題，確定虛擬網絡社會中各種經濟、軍事和管理行為主體（包括組織和個人）身份的惟一性、真實性和合法性，在現實世界與虛擬網絡的主體間建立了可信的對應關系。

目前PKI的應用模式和存在問題

對需要信息安全保障的單位而言，依托數字證書認證中心的證書和證書目錄服務，通過在服務器端部署密碼機，調用各種安全服務器接口，就可以實現應用系統對數字證書的支持，通過數字簽名、加解密等基本功能來實現身份認證、數據機密性、完整性、不可否認性等信息安全。應該說，PKI體系是信任的源點，前所未有的為大規模的信息安全應用開啟了道路。

然而，目前的信息安全解決方案止步于PKI體系的建設，止步于數字證書的發放和使用，這對于信息化主管部門來講存在不少問題和隱患。

1、“證書+應用”的使用模式帶來信任孤島

由于目前基于IP承載網的網絡環境存在諸多安全隱患，因此在PKI建成之后，每個應用系統勢必要集成數字證書和密碼功能，實現自我保護，這種保護的模式既可以由應用系統的業務邏輯在其實現過程中調用密碼接口，也可以采用各種網關類設備在遠程或本地接入時進行認證，并與應用系統聯動實現單點登錄。

然而在與PKI相關的系列標準中并沒有對證書的應用模式進行規范，因此各個應用系統采取的模式就各有千秋，再加上我國政務領域原本就存在的“條塊分割、各自為政”等特點導致了不同PKI體系簽發的數字證書間難以互信，密碼算法難以互通，諸如此類的因素使基于應用系統的證書應用形成了一個個堅固的城堡，必須持有對本應用系統有效的數字證書，采用與本應用系統相適應的方式才能進入城堡。這些城堡實質上在原有的電子政務“信息孤島”問題上又疊加形成了“信任孤島”，即使在信息能夠互相交換的條件下，也仍然會由于信任的隔離，使信息不能互相理解和使用。

2、基于API接口調用的開發模式存在安全隱患

在“證書+應用系統”的模式，使得應用系統的安全實現依賴應用開發過程中對安全邏輯的實現，而在大型應用軟件開發時，不同的開發人員水平，對安全實現的不同理解造成了諸如“安全邏輯在哪個業務環節的處理”、“安全邏輯自身的處理是否正確”、甚至是“是否真正進行了安全處理”等問題實際上對應用系統所有者而言是一個黑匣子，對于這些隱性的安全實現，往往無法從業務流程的運行過程中直接發現其漏洞，這使得即使進行了大量的安全投資，配置了密碼設備，進行了安全改造的系統反而由于形式上的安全性，往往更加存在致命安全隱患。

3、全網安全如何解決？

綜合上述兩點，“證書+應用系統”的模式，適合封閉式、自成一體的應用系統，同時要求應用系統開發人員不僅精通業務邏輯，還要對安全需求、安全技術、密碼實現等非常精通，才能真正達到信息安全的目的。然而，隨著信息化進程的推進，各級信息化建設單位，尤其是各地各部門的信息化主管部門已經感受到了“互聯互通、信息共享、業務協同”的強烈要求，也逐步認識到了越來越多的信息化系統正朝著“跨域、全網”的方向演變，這種演變主要體現在：

? 應用系統的用戶分布在一個廣域的范圍內，該應用系統所跨越的網絡域的結構是異構的，網絡的邊界是模糊的，網絡服務質量是未知的；

? 應用系統的用戶規模不能在系統開發時確定，而且用戶可能采用不同的數字證書，來自不同的PKI體系。

? 應用系統的邊界也越來越模糊，應用系統更趨向于成為一個應用系統群，分布式部署，松散耦合，而又相互協同。再也沒有可能是一個個孤立的城堡。

在這樣的情況下，各自為政的安全解決方案已經不能適應信息化的發展需要，因此，信息安全需要系統化的整體解決方案。

建設網絡信任體系是下一步的工作重點

由于目前的信任體系建設無法解決政務業務深層次的發展問題，中辦【2003】27號文件轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》中，明確提出了“網絡信任體系”建設的要求。我們通過包括電子政務試點示范工程在內的一系列工作和實踐認為從建設PKI向建設網絡信任體系發展確實是下一階段網絡信息安全方面的工作重點。

(一) 對網絡信任體系的理解

1、建立在“網絡層”的信任體系。

網絡信任體系的核心內容雖然也是“身份認證、授權管理、責任認定”，但與傳統的信任體系有根本的區別。

傳統的各自為政的信任體系方案的立足點和出發點是面向一個個應用系統的，是堡壘式的局部解決方案，更形象地說是“各人自掃門前雪，休管他人瓦上霜”。因為只有在我的應用系統的服務范圍內，我的信息安全保障才起作用。

而網絡信任體系工作在網絡層，即從網絡來對用戶進行身份認證，對網絡上的資源進行授權管理，對用戶在網絡上的行為進行責任認定。網絡信任體系的根本任務是先確保承載網絡這個大網的可信、可管、可控，在此基礎上突破信任孤島，確保信息系統的互聯互通、信息共享和業務協同，同時也要對跨域業務提供無縫的安全與應用支撐。

2、PKI是網絡信任體系的基礎

網絡信任體系的建設是從全程全網的角度提出了構建安全可信的業務網絡環境的思想，在統一的安全策略指導下，將用戶、資源、服務從具體的應用系統中獨立出來，將它們轉變成為業務網絡的屬性，成為所有業務系統共性的基礎要素。在此基礎上建設管理中心，進行統一用戶身份管理，并提供對網絡用戶的統一身份認證，結合統一的資源管理，進行網絡資源、應用資源、數據資源的訪問控制，同時實現全網范圍內的統一的責任認定服務。

由此可見，網絡信任體系的基礎是實體可信，而實體可信的基礎是全網范圍的可信身份認證，因此網絡信任體系同樣要基于PKI體系，通過數字證書來唯一標識實體身份，通過統一身份認證來鑒別每一個接入到網絡上的實體，進而進行授權管理和責任認定。

然而，以全網為信任服務的對象，通過系統建設網絡信任體系，不僅可以解決應用系統的安全，而且從網絡層（網絡的訪問控制、等級保護）、資源層（資源的管理和授權）、應用層（應用系統的訪問控制和授權管理）等方方面面提供了信息安全保障。網絡信任體系基于PKI，又高于PKI，是對PKI技術的升華和應用。

（二） 網絡信任體系建設的“三要素”

1、跨域是目標。傳統的信任體系解決方案適合對局部網絡中自成一體的應用進行保護，但這種面向隔離，通過形成一個個獨立堡壘來解決安全問題的做法嚴重妨礙了大規模的互聯互通和信息共享的真正實現。而建設網絡信任體系的目標就是針對這些問題，在跨網絡域、跨部門域、跨應用域的條件下突破信任孤島，為業務的真正互通共享提供支撐和保障。

2、管理是基礎。沒有管理安全將是無源之水、無本之木。建設網絡信任體系，實質上是構建可信的網絡，即用戶在網絡上的身份是可知的，該用戶在網絡上擁有哪些權限也是可知的，用戶在網絡中的行為是可追溯的，因此必須對用戶身份和網絡資源進行注冊、審核與發布管理，在此基礎上實現認證策略管理和授權管理。

3、控制是手段。網絡上的兩大主體分別是：人和資源，因此控制就包括了對用戶的準入控制和對資源的訪問控制。只有經過認證的用戶才有可能接入網絡，這就從源頭上確保了用戶身份的可信。另一方面，對于網絡上的各類資源進行基于身份的訪問控制，包括了網絡的準入權控制，應用系統的訪問權控制以及業務資源的使用權控制等，這種訪問控制將為信息互通與共享提供有效保障，也為跟蹤用戶在全網中的行為蹤跡奠定了基礎。

作者單位：浙江省行政首腦機關信息中心