PKI发展篇――PKI现状与未来（AMT研究院 张丽锋）

自1976年第一个正式的公共密钥加密算法诞生后，上世纪八十年代初期出现了非对称密钥密码体制，即公钥基础设施（PKI），但是前期一直处于探索发展阶段，直到最近几年，国外的PKI应用才开始快速的发展。我国引入PKI已经有五六年时间，作为一项与电子商务电子政务的发展密切相关的信息安全的新技术和基础设施，PKI受到业界的青睐和关注，在短期内涌现了大批以PKI技术产品为主业的安全技术企业，PKI的概念和应用得到了一定范围的普及，PKI建设取得的一定成就。引用中国金融认证中心总经理刘大隆的话是“奠定了技术基础，形成了一定的规模，积累了运营管理经验，探索了应用模式，培育了专业人才” 。然而，随着网络经济的回归理性，PKI建设也暴露了不少问题。用一句话来描述PKI的现状与未来就是：前途是光明的，道路是曲折的。 

国外PKI应用现状 

PKI是建立公钥加密技术基础之上的，PKI随着加密技术的发展而前进。1976年，美国的密码学专家Diffie和Hellman提出了著名的D—H密钥分发体制，第一次解决了不依赖秘密信道的密钥分发问题，允许在不安全的媒体上双方交换信息，安全地获取相同的用于对称加密的密钥，公钥则在电话簿中公布。1978年Kohnfelder提出了Certificate Agency(CA认证机构)的概念，在CA集中式管理的模式下，公钥以CA证书形式公布于目录库，私钥仍以秘密(物理)信道分发。1991年相继出现了PGP、PEM，第一次提出密钥由个人生成的分散式体制，以不传递私钥的方式避开了秘密信道。1996年出现SPKI解决方案。PKI设立了CA认证中心，以第三方证明的方式将公钥和标识绑定，并创立了层次化CA架构。 

美国作为最早提出PKI概念的国家，于1996年成立了美国联邦PKI筹委会，其PKI技术在世界上处于领先地位，与PKI相关的绝大部分标准都由美国制定。2000年6月30日，美国总统克林顿正式签署美国《全球及全国商业电子签名法》，给予电子签名、数字证书以法律上的保护，这一决定使电子认证问题迅速成为各国政府关注的热点。美国联邦政府的PKI体系建设形成了以下信任层次和信任域： 

· 策略批准机构(PAA)：这是联邦PKI的根节点，负责批准二级节点的安全策略； 

· 策略产生机构(PCA)：也叫策略认证机构，是联邦PKI的二级节点，定义下级产生公钥证书节点的安全策略； 

· 认证机构(CA)：是联邦PKI的三级节点，依据PCA定义的安全策略，为下级用户(可能是下级CA)签发和维护数字证书、CRI‘结构等； 

· 用户：数字证书及相应私有密钥的持有害，用户利用数字证书和私有密钥进行数据保护、身份鉴别等安全行为。 

除上述层次外，联邦PKI体系还包含一个目录系统，用于存放有效证书和已经作废的证书。美国联邦政府在研究各联邦政府已建成的PKI体系的基础之上，为解决各种不同认证系统之间的交叉认证问题，于1998年提出了桥接CA的概念，旨在解决了不同信任域之间的信息传递问题，避免形成信任孤岛。  

加拿大在1993就已经开始了政府PKI体系雏形的研究工作，到2000年已在PKI体系方面获得重要的进展，已建成的政府PKI体系为联邦政府与公众机构、商业机构等进行电子数据交换时提供信息安全的保障，推动了政府内部管理电子化的进程。加拿大与美国代表了发达国家PKI发展的主流。 

欧洲在PKI基础建设方面也成绩显著。已颁布了93／1999EC法规，强调技术中立、隐私权保护、国内与国外相互认证以及无歧视等原则。为了解决各国PKI之间的协同工作问题，它采取了一系列措施：积极资助相关研究所、大学和企业研究PKI相关技术；资助PKI互操作性相关技术研究，并建立CA网络及其顶级CA。并于2000年10月成立了欧洲桥CA指导委员会，于2001年3月23日成立了欧洲桥CA。 

在亚洲，韩国是最早开发PKI体系的国家。韩国的认证架构主要分三个等级：最上一层是信息通讯部，中间是由信息通讯部设立的国家CA中心，最下一级是由信息通讯部指定的下级授权认证机构(LCA)。日本的PKI应用体系按公众和私人两大类领域来划分，而且在公众领域的市场还要进一步细分，主要分为商业、政府以及公众管理内务、电信、邮政三大块。PKI技术在整个亚洲虽然有了一定的发展，但处于一个相对落后的水平，还存在着许多亟需解决的问题。 

此外，许多国外的企业开展了PKI的研究。较有影响力的企是有Baltimore和Entrust，其产品如Entrust／PKI 5．0，已经能较好地满足商业企业的实际需求。VeriSign公司也已经开始提供PKI服务，Internet上很多软件的签名认证都来自VeriSign公司。    

国内PKI建设现状 

我国的PKI技术从1998年开始起步，由于政府和各有关部门近年来对PKI产业的发展给予了高度重视，2001年PKI技术被列为“十五”863计划信息安全主题重大项目，并于同年10月成立了国家863计划信息安全基础设施研究中心。国家计委也在制定新的计划来支持PKI产业的发展，在国家电子政务工程中明确提出了要构建PKI体系。目前，我国已全面推动PKI技术研究与应用。2004年8月28日，十届全国人大常委会第十一次会议28日表决通过了电子签名法，规定电子签名与手写签名或者盖章具有同等的法律效力。这部法律的诞生将极大的推动我国的PKI建设。 

自从1998年国内第一家以实体形式运营的上海CA中心(SHECA)成立以来，PKI技术在我国的商业银行、政府采购以及网上购物中得到广泛应用。目前，国内的CA机构分为区域型、行业型、商业型和企业型四类；截至2002年底，前三种CA机构已有60余家，58％的省市建立了区域CA，部分部委建立了行业CA。其中全国性的行业CA中心有中国金融认证中心CFCA、中国电信认证中心CTCA等。区域型CA有上海CA中心、广东电子商务认证中心等。但是，我国的PKI建设还是处于起步阶段，存在不少亟需解决的问题，主要是以下几个方面： 

·缺乏国家统一指导，管理问题突出，至今尚未建立权威的管理部门。分散的CA规模小，利用率低，低估了建设CA的社会责任和经济责任。 

·各种来源不同、层次不齐的技术供应厂商大量涌现，亟待研究具有我国自主知识产权的基础技术和标准体系。在尚未确立国家标准的情况下，各家在建立CA的过程中对技术标准和管理规范的理解有较大差距，并且各家CA基本处于互相分割状态，成为互不关联的信任孤岛，尚未形成完整的国家PKI体系。 

·缺乏有力的法律支持。可喜的是电子签名法的确立让我们看到了希望。

 我国正在拟订全面发展国内PKI建设的规则，其中包括国家电子政务PKI体系和国家公共PKI体系的建设。从2003年1月7日在京召开的中国PKI战略发展与应用研讨会可知，我国将组建一个国家PKI协调管理委员会来统管国内的PKI建设，由它来负责制订国家PKI管理政策、国家PKI体系发展规划，监督、指导国家电子政务PKI体系和国家公共PKI体系的建设、运行和应用。据有关机构预测，电子政务的外网PKI体系建设即将展开，在电子政务之后，将迎来电子商务这个PKI建设的更大商机，中国的PKI建设即将迎来大发展。 

PKI应用前景 

由于PKI是重大国家利益和网络经济的发展的制高点，也是推动互联网发展、保障事务处理安全、推动电子政务、电子商务的支撑点。因此，建立健全的国家PKI体系，将有力地促进我国电子政务以及整个国家信息化的发展。这样，政府和企业都十分重视PKI建设，PKI应用有着巨大的发展前景。  

PKI支持SSL、IP over VPN、S／MIME等协议，这使得它可以支持加密Web、VPN、安全邮件等应用。而且，PKI支持不同CA间的交叉认证，并能实现证书、密钥对的自动更换，这扩展了它的应用范畴。一个完整的PKI产品除主要功能外，还包括交叉认证、支持LDAP协议、支持用于认证的智能卡等。此外，PKI的特性融入各种应用(如防火墙、浏览器、电子邮件、群件、网络操作系统)也正在成为趋势。基于PKI技术的IPSec协议，现在已经成为架构VPN的基础。它可以为路由器之间、防火墙之间，或者路由器和防火墙之间提供经过加密和认证的通信。目前，发展很快的安全电子邮件协议是S／MIME，S／MIME是一个用于发送安全报文的IETF标准。它采用了PKI数字签名技术并支持消息和附件的加密，无须收发双方共享相同密钥。目前该标准包括密码报文语法、报文规范、证书处理以及证书申请语法等方面的内容。基于PKI技术的SSL／TLS是互连网中访问WEB服务器最重要的安全协议。当然，他们也可以应用于基于客户机／服务器模型的非WEB类型的应用系统。SSL／TLS都利用PKI的数字证书来认证客户和服务器的身份。    

随着Internet应用的不断普及和深入，政府部门需要PKI支持管理；商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI的技术和解决方案；大企业需要建立自己的PKI平台；小企业需要社会提供商业PKI服务。此外，作为PKI的一种应用，基于PKI和虚拟专用网市场也随着B2B电子商务的发展而迅速膨胀。总的来说，PKI的市场需求非常巨大，基于PKI和应用包括了许多内容，如WWW安全、电子邮件安全、电子数据交换、信用卡交易安全、VPN。从行业应用来看，电子商务、电子政务、远程教育等方面都离不开PKI技术。  

随着PKI技术应用的不断深入，PKI技术本身也在不断发展与变化，比如近年来比较重要的变化有属性证书、漫游证书、无线PKI（WPKI）等。随着PKI技术的应用与发展，无论是在有线网络，还在无线世界，PKI必将发挥巨大作用。