中文字幕在线亚洲_少妇一级婬片免费放_少妇高潮无码自拍_男人和女人免费视频大全播放_久久人妻内射无码一区三区

歡迎您訪問鄭州興邦電子股份有限公司官方網站!
阿里巴巴誠信通企業
全國咨詢熱線:40000-63966
興邦電子,中國水控機第一品牌

聯系興邦電子

全國咨詢熱線:40000-63966

售后:0371-55132951/55132952

工廠:河南省 鄭州市 高新區蓮花街電子電器產業園

標準化推動PKI發展

文章出處:http://hz-huyue.com 作者:余勇 博士   人氣: 發表時間:2011年09月08日

[文章內容簡介]:標準化推動PKI發展

編者按:公鑰基礎設施(PKI)是建立在公鑰密碼體制上的信息安全基礎設施,為應用提供身份認證、加密、數字簽名等安全服務。數字證書認證中心(CA)是PKI的核心部件。但是,分離的PKI標準給它的發展帶來了困難,本文對此進行了分析。

  人們在享受網絡和計算機帶來便利的同時,也品嘗到了安全問題的苦澀。病毒的快速傳播、電腦“黑客”的肆虐入侵、重要信息的泄密……這些問題已威脅到政府服務、金融、電信、電力等國家基礎設施。為了防范這些隱患,許多新的安全技術規范不斷涌現,PKI便是其一。

  公鑰基礎設施(Public Key Infrastructure,PKI)是建立在公鑰密碼體制上的信息安全基礎設施,為應用提供身份認證、加密、數字簽名、時間戳等安全服務。數字證書認證中心(Certificate Authority, CA)是PKI的核心部件,它的主要任務是數字證書、證書廢除列表CRL的簽發及管理。PKI已廣泛用于保障電子商務和電子政務的安全,可以這樣說,PKI之于電子商務和電子政務就象高速公路之于其上行駛的汽車。

  隨著PKI的逐漸普及,為了更好地為社會提供服務,不同廠商的PKI產品需要互連互通。如電力用戶要用數字證書到銀行去交電費,銀行的PKI就要對電力用戶的證書進行認證(確認身份)。通常電力PKI和銀行PKI是不同廠商的產品,這就需要兩家PKI產品能互操作,這需要支持相同的標準,如證書格式及接口規范等。與此同時,PKI產品自身的安全性也非常重要,這就需要專門的機構和標準規范對產品的安全功能和性能進行測評認定。因此,標準化就成了PKI發展的必然趨勢。

  
兩代PKI標準


  PKI標準可以分為第一代和第二代標準。

  第一代PKI標準

  第一代PKI標準主要包括美國RSA公司的公鑰加密標準(Public Key Cryptography Standards,PKCS)系列、國際電信聯盟的ITU-T X.509、IETF組織的公鑰基礎設施X.509(Public Key Infrastructure X.509,PKIX)標準系列、無線應用協議(Wireless Application Protocol ,WAP)論壇的無線公鑰基礎設施(Wireless Public Key Infrastructure,WPKI)標準等。

  第一代PKI標準主要是基于抽象語法符號(Abstract Syntax Notation One,ASN.1)編碼的,實現比較困難,這也在一定程度上影響了標準的推廣。

  第二代PKI標準

  2001年,由微軟、Versign和webMethods三家公司發布了XML密鑰管理規范(XML Key Management Specification,XKMS),被稱為第二代PKI標準。XKMS由兩部分組成:XML密鑰信息服務規范(XML Key Information Service Specification,X-KISS)和XML密鑰注冊服務規范(XML Key Registration Service Specification,X-KRSS)。X-KISS定義了包含在XML-SIG元素中的用于驗證公鑰信息合法性的信任服務規范;使用X-KISS規范,XML應用程序可通過網絡委托可信的第三方CA處理有關認證簽名、查詢、驗證、綁定公鑰信息等服務。X-KRSS則定義了一種可通過網絡接受公鑰注冊、撤銷、恢復的服務規范;XML應用程序建立的密鑰對,可通過X-KRSS規范將公鑰部分及其它有關的身份信息發給可信的第三方CA注冊。X-KISS和X-KRSS規范都按照XML Schema 結構化語言定義,使用簡單對象訪問協議(SOAP V1.1)進行通信,其服務與消息的語法定義遵循Web服務定義語言(WSDL V1.0)。

  目前XKMS已成為W3C的推薦標準,并已被微軟、Versign等公司集成于他們的產品中(微軟已在ASP.net中集成了XKMS,Versign已發布了基于Java的信任服務集成工具包TSIK)。

  
相互分割影響PKI發展


  我國正熱火朝天地進行PKI建設,目前已經成功建設大型的行業性或是區域性的PKI/CA就有四十多個。除此之外,許多企事業單位內部建立的小型PKI/CA還有很多。影響最大的行業性PKI/CA有:中國金融認證中心(CFCA)、中國電信認證中心(CTCA);影響最大的區域性PKI/CA有上海CA認證中心和廣東CA認證中心。這些CA中心主要用于電子商務。各級政府也在建設PKI/CA,主要用于電子政務。但是PKI建設的高速增長也帶來了許多問題:如數字簽名、電子文檔及認證中心的法律地位問題,我國還沒有正式頒布有關這方面的法律法規。這使得數字簽名得不到法律的保護,從而挫傷了人們對電子交易的熱情;另一方面,國家缺乏統一的規范和管理部門來指導PKI的建設問題,同時,雖然國內的PKI廠商都稱他們支持X.509證書格式,但由于證書的一些擴展項選擇不一樣,證書的接口標準不同,所有這些都使得各家的PKI/CA基本上處于相互分割的狀態,證書之間不能進行互操作,這嚴重影響了證書的應用,同時也制約了PKI/CA的運行規模和效率,在一定程度上影響了人們對PKI的信任。若這些問題得不到解決的話,PKI的發展將陷入危機。

  由于信息安全已上升到國家安全的高度,各國都在制定自己的安全標準和規范。為了加強我國信息安全標準化工作,經國家標準化管理委員會批準,2002年4月成立了全國信息安全標準化技術委員會(編號為TC260),并下設了若干個工作組。其中PKI標準的制定由PKI/PMI工作組(WG4)完成。正在制定的PKI標準規范有:基于X509的國內證書格式規范、PKI組件最小互操作規范、X509在線證書狀態查詢協議、X509證書管理協議、PKI產品的安全測試認證規范、PKI系統安全保護等級評估準則、PKI系統安全保護等級技術要求等。

  
PKI標準出臺誰得益?


  信息安全標準是我國信息安全保障體系的重要組成部分,是政府進行宏觀管理的重要依據。信息安全標準不僅關系到國家安全,同時也是保護國家利益、促進產業發展的一種重要手段。

  對廣大PKI產品提供商來說,可以從兩方面來看影響:被動的角度,標準的出臺將強制它們規范行為、改進產品,這在開始時廠商不一定認可;主動的角度,生產出符合標準的PKI產品、通過相關的安全測評和認證,對于提高廠商的社會形象、擴大市場份額具有重要意義。

  對用戶而言,PKI標準可以指導用戶制定合理的PKI策略、選擇更好的PKI產品、衡量并改善PKI工程的實施、規范PKI的安全管理。具體就PKI產品選型而言,首先,用戶會有以下疑問:廠商的PKI產品有哪些功能?目前我需要哪些功能?產品的性能如何?上了PKI后我的網絡系統性能會不會有較大的下降?PKI產品自身的安全性怎樣?這些疑問可以通過“PKI產品的安全測試認證規范”來給出答案。其次,用戶可能還有一些疑問:隨著今后業務的擴大,我需要與其它的PKI互聯互通,能實現嗎?這是PKI產品的互操作性考慮。這可從“基于X509的國內證書格式規范及PKI組件最小互操作規范”得到答案。

  對一般技術人員來講,了解PKI標準的動態,可以站在PKI的前沿,有助于把握PKI技術乃至整個信息安全產業的發展方向。

  
未來30億美元規模


  PKI的發展前景看好

  據IDC調查顯示:PKI市場正在急劇擴大,從1999年開始,以年平均增長率61%的速度迅速擴大,到2004年時有望達到30億美元的規模。

  今年1月,在北京召開了中國PKI戰略發展與應用研討會,會議交流了正在擬訂的全面發展國內PKI建設的規范,其中既包括關系到國計民生的國家電子政務PKI體系,也包含關系電子商務是否能順利進行的核心手段——國家公共PKI體系的建設。若這些PKI標準和規范早日發布,將會激起另一番PKI建設的熱潮,因此我國的PKI必將有一個美好的未來。

本文關鍵詞:標準化推動PKI發展
上一篇:JAVA卡技術概述[ 09-07 ] 下一篇:智能卡與指紋識別技術[ 09-08 ]
回到頂部