蔡　超

我們所知道的PKI

在當(dāng)前各地、各部門電子政務(wù)的規(guī)劃和建設(shè)中，只要提到信息安全保障，就不能不涉及PKI（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施領(lǐng)域，PKI依托非對(duì)稱密碼技術(shù)特有的保密與抗抵賴機(jī)制成為電子政務(wù)網(wǎng)絡(luò)和信息安全建設(shè)的基礎(chǔ)與核心。由于PKI的重要地位，我國(guó)已經(jīng)在幾年前就開始啟動(dòng)PKI建設(shè)，截至目前，金融、政府、電信等部門已經(jīng)建立了數(shù)十家CA認(rèn)證中心（PKI體系的管理和運(yùn)行機(jī)構(gòu)），浙江省政府辦公廳信息中心于2002年作為全國(guó)試點(diǎn)示范單位之一也分別在政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)建立起了CA認(rèn)證中心。

PKI是20世紀(jì)80年代由美國(guó)學(xué)者提出的概念。簡(jiǎn)單地說，PKI技術(shù)就是利用公開密鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。在公開密鑰體制中，通信雙方的加密密鑰與解密密鑰各不相同，信息發(fā)送人利用接收者的公鑰加密信息，接收者再利用自己專有的私鑰進(jìn)行解密，這種方式既保證了信息的機(jī)密性，發(fā)送人用自己的私鑰對(duì)信息進(jìn)行簽名，接收人用發(fā)送人的公鑰進(jìn)行驗(yàn)證，保證了信息具有不可抵賴性。公開密鑰體制的特點(diǎn)決定了PKI能夠從技術(shù)上解決網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，而其核心是解決了信息網(wǎng)絡(luò)空間中的信任問題，確定虛擬網(wǎng)絡(luò)社會(huì)中各種經(jīng)濟(jì)、軍事和管理行為主體（包括組織和個(gè)人）身份的惟一性、真實(shí)性和合法性，在現(xiàn)實(shí)世界與虛擬網(wǎng)絡(luò)的主體間建立了可信的對(duì)應(yīng)關(guān)系。

目前PKI的應(yīng)用模式和存在問題

對(duì)需要信息安全保障的單位而言，依托數(shù)字證書認(rèn)證中心的證書和證書目錄服務(wù)，通過在服務(wù)器端部署密碼機(jī)，調(diào)用各種安全服務(wù)器接口，就可以實(shí)現(xiàn)應(yīng)用系統(tǒng)對(duì)數(shù)字證書的支持，通過數(shù)字簽名、加解密等基本功能來實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)機(jī)密性、完整性、不可否認(rèn)性等信息安全。應(yīng)該說，PKI體系是信任的源點(diǎn)，前所未有的為大規(guī)模的信息安全應(yīng)用開啟了道路。

然而，目前的信息安全解決方案止步于PKI體系的建設(shè)，止步于數(shù)字證書的發(fā)放和使用，這對(duì)于信息化主管部門來講存在不少問題和隱患。

1、“證書+應(yīng)用”的使用模式帶來信任孤島

由于目前基于IP承載網(wǎng)的網(wǎng)絡(luò)環(huán)境存在諸多安全隱患，因此在PKI建成之后，每個(gè)應(yīng)用系統(tǒng)勢(shì)必要集成數(shù)字證書和密碼功能，實(shí)現(xiàn)自我保護(hù)，這種保護(hù)的模式既可以由應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯在其實(shí)現(xiàn)過程中調(diào)用密碼接口，也可以采用各種網(wǎng)關(guān)類設(shè)備在遠(yuǎn)程或本地接入時(shí)進(jìn)行認(rèn)證，并與應(yīng)用系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)單點(diǎn)登錄。

然而在與PKI相關(guān)的系列標(biāo)準(zhǔn)中并沒有對(duì)證書的應(yīng)用模式進(jìn)行規(guī)范，因此各個(gè)應(yīng)用系統(tǒng)采取的模式就各有千秋，再加上我國(guó)政務(wù)領(lǐng)域原本就存在的“條塊分割、各自為政”等特點(diǎn)導(dǎo)致了不同PKI體系簽發(fā)的數(shù)字證書間難以互信，密碼算法難以互通，諸如此類的因素使基于應(yīng)用系統(tǒng)的證書應(yīng)用形成了一個(gè)個(gè)堅(jiān)固的城堡，必須持有對(duì)本應(yīng)用系統(tǒng)有效的數(shù)字證書，采用與本應(yīng)用系統(tǒng)相適應(yīng)的方式才能進(jìn)入城堡。這些城堡實(shí)質(zhì)上在原有的電子政務(wù)“信息孤島”問題上又疊加形成了“信任孤島”，即使在信息能夠互相交換的條件下，也仍然會(huì)由于信任的隔離，使信息不能互相理解和使用。

2、基于API接口調(diào)用的開發(fā)模式存在安全隱患

在“證書+應(yīng)用系統(tǒng)”的模式，使得應(yīng)用系統(tǒng)的安全實(shí)現(xiàn)依賴應(yīng)用開發(fā)過程中對(duì)安全邏輯的實(shí)現(xiàn)，而在大型應(yīng)用軟件開發(fā)時(shí)，不同的開發(fā)人員水平，對(duì)安全實(shí)現(xiàn)的不同理解造成了諸如“安全邏輯在哪個(gè)業(yè)務(wù)環(huán)節(jié)的處理”、“安全邏輯自身的處理是否正確”、甚至是“是否真正進(jìn)行了安全處理”等問題實(shí)際上對(duì)應(yīng)用系統(tǒng)所有者而言是一個(gè)黑匣子，對(duì)于這些隱性的安全實(shí)現(xiàn)，往往無(wú)法從業(yè)務(wù)流程的運(yùn)行過程中直接發(fā)現(xiàn)其漏洞，這使得即使進(jìn)行了大量的安全投資，配置了密碼設(shè)備，進(jìn)行了安全改造的系統(tǒng)反而由于形式上的安全性，往往更加存在致命安全隱患。

3、全網(wǎng)安全如何解決？

綜合上述兩點(diǎn)，“證書+應(yīng)用系統(tǒng)”的模式，適合封閉式、自成一體的應(yīng)用系統(tǒng)，同時(shí)要求應(yīng)用系統(tǒng)開發(fā)人員不僅精通業(yè)務(wù)邏輯，還要對(duì)安全需求、安全技術(shù)、密碼實(shí)現(xiàn)等非常精通，才能真正達(dá)到信息安全的目的。然而，隨著信息化進(jìn)程的推進(jìn)，各級(jí)信息化建設(shè)單位，尤其是各地各部門的信息化主管部門已經(jīng)感受到了“互聯(lián)互通、信息共享、業(yè)務(wù)協(xié)同”的強(qiáng)烈要求，也逐步認(rèn)識(shí)到了越來越多的信息化系統(tǒng)正朝著“跨域、全網(wǎng)”的方向演變，這種演變主要體現(xiàn)在：

? 應(yīng)用系統(tǒng)的用戶分布在一個(gè)廣域的范圍內(nèi)，該應(yīng)用系統(tǒng)所跨越的網(wǎng)絡(luò)域的結(jié)構(gòu)是異構(gòu)的，網(wǎng)絡(luò)的邊界是模糊的，網(wǎng)絡(luò)服務(wù)質(zhì)量是未知的；

? 應(yīng)用系統(tǒng)的用戶規(guī)模不能在系統(tǒng)開發(fā)時(shí)確定，而且用戶可能采用不同的數(shù)字證書，來自不同的PKI體系。

? 應(yīng)用系統(tǒng)的邊界也越來越模糊，應(yīng)用系統(tǒng)更趨向于成為一個(gè)應(yīng)用系統(tǒng)群，分布式部署，松散耦合，而又相互協(xié)同。再也沒有可能是一個(gè)個(gè)孤立的城堡。

在這樣的情況下，各自為政的安全解決方案已經(jīng)不能適應(yīng)信息化的發(fā)展需要，因此，信息安全需要系統(tǒng)化的整體解決方案。

建設(shè)網(wǎng)絡(luò)信任體系是下一步的工作重點(diǎn)

由于目前的信任體系建設(shè)無(wú)法解決政務(wù)業(yè)務(wù)深層次的發(fā)展問題，中辦【2003】27號(hào)文件轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中，明確提出了“網(wǎng)絡(luò)信任體系”建設(shè)的要求。我們通過包括電子政務(wù)試點(diǎn)示范工程在內(nèi)的一系列工作和實(shí)踐認(rèn)為從建設(shè)PKI向建設(shè)網(wǎng)絡(luò)信任體系發(fā)展確實(shí)是下一階段網(wǎng)絡(luò)信息安全方面的工作重點(diǎn)。

(一) 對(duì)網(wǎng)絡(luò)信任體系的理解

1、建立在“網(wǎng)絡(luò)層”的信任體系。

網(wǎng)絡(luò)信任體系的核心內(nèi)容雖然也是“身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定”，但與傳統(tǒng)的信任體系有根本的區(qū)別。

傳統(tǒng)的各自為政的信任體系方案的立足點(diǎn)和出發(fā)點(diǎn)是面向一個(gè)個(gè)應(yīng)用系統(tǒng)的，是堡壘式的局部解決方案，更形象地說是“各人自掃門前雪，休管他人瓦上霜”。因?yàn)橹挥性谖业膽?yīng)用系統(tǒng)的服務(wù)范圍內(nèi)，我的信息安全保障才起作用。

而網(wǎng)絡(luò)信任體系工作在網(wǎng)絡(luò)層，即從網(wǎng)絡(luò)來對(duì)用戶進(jìn)行身份認(rèn)證，對(duì)網(wǎng)絡(luò)上的資源進(jìn)行授權(quán)管理，對(duì)用戶在網(wǎng)絡(luò)上的行為進(jìn)行責(zé)任認(rèn)定。網(wǎng)絡(luò)信任體系的根本任務(wù)是先確保承載網(wǎng)絡(luò)這個(gè)大網(wǎng)的可信、可管、可控，在此基礎(chǔ)上突破信任孤島，確保信息系統(tǒng)的互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同，同時(shí)也要對(duì)跨域業(yè)務(wù)提供無(wú)縫的安全與應(yīng)用支撐。

2、PKI是網(wǎng)絡(luò)信任體系的基礎(chǔ)

網(wǎng)絡(luò)信任體系的建設(shè)是從全程全網(wǎng)的角度提出了構(gòu)建安全可信的業(yè)務(wù)網(wǎng)絡(luò)環(huán)境的思想，在統(tǒng)一的安全策略指導(dǎo)下，將用戶、資源、服務(wù)從具體的應(yīng)用系統(tǒng)中獨(dú)立出來，將它們轉(zhuǎn)變成為業(yè)務(wù)網(wǎng)絡(luò)的屬性，成為所有業(yè)務(wù)系統(tǒng)共性的基礎(chǔ)要素。在此基礎(chǔ)上建設(shè)管理中心，進(jìn)行統(tǒng)一用戶身份管理，并提供對(duì)網(wǎng)絡(luò)用戶的統(tǒng)一身份認(rèn)證，結(jié)合統(tǒng)一的資源管理，進(jìn)行網(wǎng)絡(luò)資源、應(yīng)用資源、數(shù)據(jù)資源的訪問控制，同時(shí)實(shí)現(xiàn)全網(wǎng)范圍內(nèi)的統(tǒng)一的責(zé)任認(rèn)定服務(wù)。

由此可見，網(wǎng)絡(luò)信任體系的基礎(chǔ)是實(shí)體可信，而實(shí)體可信的基礎(chǔ)是全網(wǎng)范圍的可信身份認(rèn)證，因此網(wǎng)絡(luò)信任體系同樣要基于PKI體系，通過數(shù)字證書來唯一標(biāo)識(shí)實(shí)體身份，通過統(tǒng)一身份認(rèn)證來鑒別每一個(gè)接入到網(wǎng)絡(luò)上的實(shí)體，進(jìn)而進(jìn)行授權(quán)管理和責(zé)任認(rèn)定。

然而，以全網(wǎng)為信任服務(wù)的對(duì)象，通過系統(tǒng)建設(shè)網(wǎng)絡(luò)信任體系，不僅可以解決應(yīng)用系統(tǒng)的安全，而且從網(wǎng)絡(luò)層（網(wǎng)絡(luò)的訪問控制、等級(jí)保護(hù)）、資源層（資源的管理和授權(quán)）、應(yīng)用層（應(yīng)用系統(tǒng)的訪問控制和授權(quán)管理）等方方面面提供了信息安全保障。網(wǎng)絡(luò)信任體系基于PKI，又高于PKI，是對(duì)PKI技術(shù)的升華和應(yīng)用。

（二） 網(wǎng)絡(luò)信任體系建設(shè)的“三要素”

1、跨域是目標(biāo)。傳統(tǒng)的信任體系解決方案適合對(duì)局部網(wǎng)絡(luò)中自成一體的應(yīng)用進(jìn)行保護(hù)，但這種面向隔離，通過形成一個(gè)個(gè)獨(dú)立堡壘來解決安全問題的做法嚴(yán)重妨礙了大規(guī)模的互聯(lián)互通和信息共享的真正實(shí)現(xiàn)。而建設(shè)網(wǎng)絡(luò)信任體系的目標(biāo)就是針對(duì)這些問題，在跨網(wǎng)絡(luò)域、跨部門域、跨應(yīng)用域的條件下突破信任孤島，為業(yè)務(wù)的真正互通共享提供支撐和保障。

2、管理是基礎(chǔ)。沒有管理安全將是無(wú)源之水、無(wú)本之木。建設(shè)網(wǎng)絡(luò)信任體系，實(shí)質(zhì)上是構(gòu)建可信的網(wǎng)絡(luò)，即用戶在網(wǎng)絡(luò)上的身份是可知的，該用戶在網(wǎng)絡(luò)上擁有哪些權(quán)限也是可知的，用戶在網(wǎng)絡(luò)中的行為是可追溯的，因此必須對(duì)用戶身份和網(wǎng)絡(luò)資源進(jìn)行注冊(cè)、審核與發(fā)布管理，在此基礎(chǔ)上實(shí)現(xiàn)認(rèn)證策略管理和授權(quán)管理。

3、控制是手段。網(wǎng)絡(luò)上的兩大主體分別是：人和資源，因此控制就包括了對(duì)用戶的準(zhǔn)入控制和對(duì)資源的訪問控制。只有經(jīng)過認(rèn)證的用戶才有可能接入網(wǎng)絡(luò)，這就從源頭上確保了用戶身份的可信。另一方面，對(duì)于網(wǎng)絡(luò)上的各類資源進(jìn)行基于身份的訪問控制，包括了網(wǎng)絡(luò)的準(zhǔn)入權(quán)控制，應(yīng)用系統(tǒng)的訪問權(quán)控制以及業(yè)務(wù)資源的使用權(quán)控制等，這種訪問控制將為信息互通與共享提供有效保障，也為跟蹤用戶在全網(wǎng)中的行為蹤跡奠定了基礎(chǔ)。

作者單位：浙江省行政首腦機(jī)關(guān)信息中心