蔡　超

我們所知道的PKI

在當(dāng)前各地、各部門電子政務(wù)的規(guī)劃和建設(shè)中，只要提到信息安全保障，就不能不涉及PKI（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施領(lǐng)域，PKI依托非對稱密碼技術(shù)特有的保密與抗抵賴機(jī)制成為電子政務(wù)網(wǎng)絡(luò)和信息安全建設(shè)的基礎(chǔ)與核心。由于PKI的重要地位，我國已經(jīng)在幾年前就開始啟動PKI建設(shè)，截至目前，金融、政府、電信等部門已經(jīng)建立了數(shù)十家CA認(rèn)證中心（PKI體系的管理和運行機(jī)構(gòu)），浙江省政府辦公廳信息中心于2002年作為全國試點示范單位之一也分別在政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)建立起了CA認(rèn)證中心。

PKI是20世紀(jì)80年代由美國學(xué)者提出的概念。簡單地說，PKI技術(shù)就是利用公開密鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。在公開密鑰體制中，通信雙方的加密密鑰與解密密鑰各不相同，信息發(fā)送人利用接收者的公鑰加密信息，接收者再利用自己專有的私鑰進(jìn)行解密，這種方式既保證了信息的機(jī)密性，發(fā)送人用自己的私鑰對信息進(jìn)行簽名，接收人用發(fā)送人的公鑰進(jìn)行驗證，保證了信息具有不可抵賴性。公開密鑰體制的特點決定了PKI能夠從技術(shù)上解決網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，而其核心是解決了信息網(wǎng)絡(luò)空間中的信任問題，確定虛擬網(wǎng)絡(luò)社會中各種經(jīng)濟(jì)、軍事和管理行為主體（包括組織和個人）身份的惟一性、真實性和合法性，在現(xiàn)實世界與虛擬網(wǎng)絡(luò)的主體間建立了可信的對應(yīng)關(guān)系。

目前PKI的應(yīng)用模式和存在問題

對需要信息安全保障的單位而言，依托數(shù)字證書認(rèn)證中心的證書和證書目錄服務(wù)，通過在服務(wù)器端部署密碼機(jī)，調(diào)用各種安全服務(wù)器接口，就可以實現(xiàn)應(yīng)用系統(tǒng)對數(shù)字證書的支持，通過數(shù)字簽名、加解密等基本功能來實現(xiàn)身份認(rèn)證、數(shù)據(jù)機(jī)密性、完整性、不可否認(rèn)性等信息安全。應(yīng)該說，PKI體系是信任的源點，前所未有的為大規(guī)模的信息安全應(yīng)用開啟了道路。

然而，目前的信息安全解決方案止步于PKI體系的建設(shè)，止步于數(shù)字證書的發(fā)放和使用，這對于信息化主管部門來講存在不少問題和隱患。

1、“證書+應(yīng)用”的使用模式帶來信任孤島

由于目前基于IP承載網(wǎng)的網(wǎng)絡(luò)環(huán)境存在諸多安全隱患，因此在PKI建成之后，每個應(yīng)用系統(tǒng)勢必要集成數(shù)字證書和密碼功能，實現(xiàn)自我保護(hù)，這種保護(hù)的模式既可以由應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯在其實現(xiàn)過程中調(diào)用密碼接口，也可以采用各種網(wǎng)關(guān)類設(shè)備在遠(yuǎn)程或本地接入時進(jìn)行認(rèn)證，并與應(yīng)用系統(tǒng)聯(lián)動實現(xiàn)單點登錄。

然而在與PKI相關(guān)的系列標(biāo)準(zhǔn)中并沒有對證書的應(yīng)用模式進(jìn)行規(guī)范，因此各個應(yīng)用系統(tǒng)采取的模式就各有千秋，再加上我國政務(wù)領(lǐng)域原本就存在的“條塊分割、各自為政”等特點導(dǎo)致了不同PKI體系簽發(fā)的數(shù)字證書間難以互信，密碼算法難以互通，諸如此類的因素使基于應(yīng)用系統(tǒng)的證書應(yīng)用形成了一個個堅固的城堡，必須持有對本應(yīng)用系統(tǒng)有效的數(shù)字證書，采用與本應(yīng)用系統(tǒng)相適應(yīng)的方式才能進(jìn)入城堡。這些城堡實質(zhì)上在原有的電子政務(wù)“信息孤島”問題上又疊加形成了“信任孤島”，即使在信息能夠互相交換的條件下，也仍然會由于信任的隔離，使信息不能互相理解和使用。

2、基于API接口調(diào)用的開發(fā)模式存在安全隱患

在“證書+應(yīng)用系統(tǒng)”的模式，使得應(yīng)用系統(tǒng)的安全實現(xiàn)依賴應(yīng)用開發(fā)過程中對安全邏輯的實現(xiàn)，而在大型應(yīng)用軟件開發(fā)時，不同的開發(fā)人員水平，對安全實現(xiàn)的不同理解造成了諸如“安全邏輯在哪個業(yè)務(wù)環(huán)節(jié)的處理”、“安全邏輯自身的處理是否正確”、甚至是“是否真正進(jìn)行了安全處理”等問題實際上對應(yīng)用系統(tǒng)所有者而言是一個黑匣子，對于這些隱性的安全實現(xiàn)，往往無法從業(yè)務(wù)流程的運行過程中直接發(fā)現(xiàn)其漏洞，這使得即使進(jìn)行了大量的安全投資，配置了密碼設(shè)備，進(jìn)行了安全改造的系統(tǒng)反而由于形式上的安全性，往往更加存在致命安全隱患。

3、全網(wǎng)安全如何解決？

綜合上述兩點，“證書+應(yīng)用系統(tǒng)”的模式，適合封閉式、自成一體的應(yīng)用系統(tǒng)，同時要求應(yīng)用系統(tǒng)開發(fā)人員不僅精通業(yè)務(wù)邏輯，還要對安全需求、安全技術(shù)、密碼實現(xiàn)等非常精通，才能真正達(dá)到信息安全的目的。然而，隨著信息化進(jìn)程的推進(jìn)，各級信息化建設(shè)單位，尤其是各地各部門的信息化主管部門已經(jīng)感受到了“互聯(lián)互通、信息共享、業(yè)務(wù)協(xié)同”的強(qiáng)烈要求，也逐步認(rèn)識到了越來越多的信息化系統(tǒng)正朝著“跨域、全網(wǎng)”的方向演變，這種演變主要體現(xiàn)在：

? 應(yīng)用系統(tǒng)的用戶分布在一個廣域的范圍內(nèi)，該應(yīng)用系統(tǒng)所跨越的網(wǎng)絡(luò)域的結(jié)構(gòu)是異構(gòu)的，網(wǎng)絡(luò)的邊界是模糊的，網(wǎng)絡(luò)服務(wù)質(zhì)量是未知的；

? 應(yīng)用系統(tǒng)的用戶規(guī)模不能在系統(tǒng)開發(fā)時確定，而且用戶可能采用不同的數(shù)字證書，來自不同的PKI體系。

? 應(yīng)用系統(tǒng)的邊界也越來越模糊，應(yīng)用系統(tǒng)更趨向于成為一個應(yīng)用系統(tǒng)群，分布式部署，松散耦合，而又相互協(xié)同。再也沒有可能是一個個孤立的城堡。

在這樣的情況下，各自為政的安全解決方案已經(jīng)不能適應(yīng)信息化的發(fā)展需要，因此，信息安全需要系統(tǒng)化的整體解決方案。

建設(shè)網(wǎng)絡(luò)信任體系是下一步的工作重點

由于目前的信任體系建設(shè)無法解決政務(wù)業(yè)務(wù)深層次的發(fā)展問題，中辦【2003】27號文件轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中，明確提出了“網(wǎng)絡(luò)信任體系”建設(shè)的要求。我們通過包括電子政務(wù)試點示范工程在內(nèi)的一系列工作和實踐認(rèn)為從建設(shè)PKI向建設(shè)網(wǎng)絡(luò)信任體系發(fā)展確實是下一階段網(wǎng)絡(luò)信息安全方面的工作重點。

(一) 對網(wǎng)絡(luò)信任體系的理解

1、建立在“網(wǎng)絡(luò)層”的信任體系。

網(wǎng)絡(luò)信任體系的核心內(nèi)容雖然也是“身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定”，但與傳統(tǒng)的信任體系有根本的區(qū)別。

傳統(tǒng)的各自為政的信任體系方案的立足點和出發(fā)點是面向一個個應(yīng)用系統(tǒng)的，是堡壘式的局部解決方案，更形象地說是“各人自掃門前雪，休管他人瓦上霜”。因為只有在我的應(yīng)用系統(tǒng)的服務(wù)范圍內(nèi)，我的信息安全保障才起作用。

而網(wǎng)絡(luò)信任體系工作在網(wǎng)絡(luò)層，即從網(wǎng)絡(luò)來對用戶進(jìn)行身份認(rèn)證，對網(wǎng)絡(luò)上的資源進(jìn)行授權(quán)管理，對用戶在網(wǎng)絡(luò)上的行為進(jìn)行責(zé)任認(rèn)定。網(wǎng)絡(luò)信任體系的根本任務(wù)是先確保承載網(wǎng)絡(luò)這個大網(wǎng)的可信、可管、可控，在此基礎(chǔ)上突破信任孤島，確保信息系統(tǒng)的互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同，同時也要對跨域業(yè)務(wù)提供無縫的安全與應(yīng)用支撐。

2、PKI是網(wǎng)絡(luò)信任體系的基礎(chǔ)

網(wǎng)絡(luò)信任體系的建設(shè)是從全程全網(wǎng)的角度提出了構(gòu)建安全可信的業(yè)務(wù)網(wǎng)絡(luò)環(huán)境的思想，在統(tǒng)一的安全策略指導(dǎo)下，將用戶、資源、服務(wù)從具體的應(yīng)用系統(tǒng)中獨立出來，將它們轉(zhuǎn)變成為業(yè)務(wù)網(wǎng)絡(luò)的屬性，成為所有業(yè)務(wù)系統(tǒng)共性的基礎(chǔ)要素。在此基礎(chǔ)上建設(shè)管理中心，進(jìn)行統(tǒng)一用戶身份管理，并提供對網(wǎng)絡(luò)用戶的統(tǒng)一身份認(rèn)證，結(jié)合統(tǒng)一的資源管理，進(jìn)行網(wǎng)絡(luò)資源、應(yīng)用資源、數(shù)據(jù)資源的訪問控制，同時實現(xiàn)全網(wǎng)范圍內(nèi)的統(tǒng)一的責(zé)任認(rèn)定服務(wù)。

由此可見，網(wǎng)絡(luò)信任體系的基礎(chǔ)是實體可信，而實體可信的基礎(chǔ)是全網(wǎng)范圍的可信身份認(rèn)證，因此網(wǎng)絡(luò)信任體系同樣要基于PKI體系，通過數(shù)字證書來唯一標(biāo)識實體身份，通過統(tǒng)一身份認(rèn)證來鑒別每一個接入到網(wǎng)絡(luò)上的實體，進(jìn)而進(jìn)行授權(quán)管理和責(zé)任認(rèn)定。

然而，以全網(wǎng)為信任服務(wù)的對象，通過系統(tǒng)建設(shè)網(wǎng)絡(luò)信任體系，不僅可以解決應(yīng)用系統(tǒng)的安全，而且從網(wǎng)絡(luò)層（網(wǎng)絡(luò)的訪問控制、等級保護(hù)）、資源層（資源的管理和授權(quán)）、應(yīng)用層（應(yīng)用系統(tǒng)的訪問控制和授權(quán)管理）等方方面面提供了信息安全保障。網(wǎng)絡(luò)信任體系基于PKI，又高于PKI，是對PKI技術(shù)的升華和應(yīng)用。

（二） 網(wǎng)絡(luò)信任體系建設(shè)的“三要素”

1、跨域是目標(biāo)。傳統(tǒng)的信任體系解決方案適合對局部網(wǎng)絡(luò)中自成一體的應(yīng)用進(jìn)行保護(hù)，但這種面向隔離，通過形成一個個獨立堡壘來解決安全問題的做法嚴(yán)重妨礙了大規(guī)模的互聯(lián)互通和信息共享的真正實現(xiàn)。而建設(shè)網(wǎng)絡(luò)信任體系的目標(biāo)就是針對這些問題，在跨網(wǎng)絡(luò)域、跨部門域、跨應(yīng)用域的條件下突破信任孤島，為業(yè)務(wù)的真正互通共享提供支撐和保障。

2、管理是基礎(chǔ)。沒有管理安全將是無源之水、無本之木。建設(shè)網(wǎng)絡(luò)信任體系，實質(zhì)上是構(gòu)建可信的網(wǎng)絡(luò)，即用戶在網(wǎng)絡(luò)上的身份是可知的，該用戶在網(wǎng)絡(luò)上擁有哪些權(quán)限也是可知的，用戶在網(wǎng)絡(luò)中的行為是可追溯的，因此必須對用戶身份和網(wǎng)絡(luò)資源進(jìn)行注冊、審核與發(fā)布管理，在此基礎(chǔ)上實現(xiàn)認(rèn)證策略管理和授權(quán)管理。

3、控制是手段。網(wǎng)絡(luò)上的兩大主體分別是：人和資源，因此控制就包括了對用戶的準(zhǔn)入控制和對資源的訪問控制。只有經(jīng)過認(rèn)證的用戶才有可能接入網(wǎng)絡(luò)，這就從源頭上確保了用戶身份的可信。另一方面，對于網(wǎng)絡(luò)上的各類資源進(jìn)行基于身份的訪問控制，包括了網(wǎng)絡(luò)的準(zhǔn)入權(quán)控制，應(yīng)用系統(tǒng)的訪問權(quán)控制以及業(yè)務(wù)資源的使用權(quán)控制等，這種訪問控制將為信息互通與共享提供有效保障，也為跟蹤用戶在全網(wǎng)中的行為蹤跡奠定了基礎(chǔ)。

作者單位：浙江省行政首腦機(jī)關(guān)信息中心