蔡　超

我们所知道的PKI

在当前各地、各部门电子政务的规划和建设中，只要提到信息安全保障，就不能不涉及PKI（Public Key Infrastructure）公钥基础设施领域，PKI依托非对称密码技术特有的保密与抗抵赖机制成为电子政务网络和信息安全建设的基础与核心。由于PKI的重要地位，我国已经在几年前就开始启动PKI建设，截至目前，金融、政府、电信等部门已经建立了数十家CA认证中心（PKI体系的管理和运行机构），浙江省政府办公厅信息中心于2002年作为全国试点示范单位之一也分别在政务内网和政务外网建立起了CA认证中心。

PKI是20世纪80年代由美国学者提出的概念。简单地说，PKI技术就是利用公开密钥理论和技术建立的提供信息安全服务的基础设施。在公开密钥体制中，通信双方的加密密钥与解密密钥各不相同，信息发送人利用接收者的公钥加密信息，接收者再利用自己专有的私钥进行解密，这种方式既保证了信息的机密性，发送人用自己的私钥对信息进行签名，接收人用发送人的公钥进行验证，保证了信息具有不可抵赖性。公开密钥体制的特点决定了PKI能够从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，而其核心是解决了信息网络空间中的信任问题，确定虚拟网络社会中各种经济、军事和管理行为主体（包括组织和个人）身份的惟一性、真实性和合法性，在现实世界与虚拟网络的主体间建立了可信的对应关系。

目前PKI的应用模式和存在问题

对需要信息安全保障的单位而言，依托数字证书认证中心的证书和证书目录服务，通过在服务器端部署密码机，调用各种安全服务器接口，就可以实现应用系统对数字证书的支持，通过数字签名、加解密等基本功能来实现身份认证、数据机密性、完整性、不可否认性等信息安全。应该说，PKI体系是信任的源点，前所未有的为大规模的信息安全应用开启了道路。

然而，目前的信息安全解决方案止步于PKI体系的建设，止步于数字证书的发放和使用，这对于信息化主管部门来讲存在不少问题和隐患。

1、“证书+应用”的使用模式带来信任孤岛

由于目前基于IP承载网的网络环境存在诸多安全隐患，因此在PKI建成之后，每个应用系统势必要集成数字证书和密码功能，实现自我保护，这种保护的模式既可以由应用系统的业务逻辑在其实现过程中调用密码接口，也可以采用各种网关类设备在远程或本地接入时进行认证，并与应用系统联动实现单点登录。

然而在与PKI相关的系列标准中并没有对证书的应用模式进行规范，因此各个应用系统采取的模式就各有千秋，再加上我国政务领域原本就存在的“条块分割、各自为政”等特点导致了不同PKI体系签发的数字证书间难以互信，密码算法难以互通，诸如此类的因素使基于应用系统的证书应用形成了一个个坚固的城堡，必须持有对本应用系统有效的数字证书，采用与本应用系统相适应的方式才能进入城堡。这些城堡实质上在原有的电子政务“信息孤岛”问题上又叠加形成了“信任孤岛”，即使在信息能够互相交换的条件下，也仍然会由于信任的隔离，使信息不能互相理解和使用。

2、基于API接口调用的开发模式存在安全隐患

在“证书+应用系统”的模式，使得应用系统的安全实现依赖应用开发过程中对安全逻辑的实现，而在大型应用软件开发时，不同的开发人员水平，对安全实现的不同理解造成了诸如“安全逻辑在哪个业务环节的处理”、“安全逻辑自身的处理是否正确”、甚至是“是否真正进行了安全处理”等问题实际上对应用系统所有者而言是一个黑匣子，对于这些隐性的安全实现，往往无法从业务流程的运行过程中直接发现其漏洞，这使得即使进行了大量的安全投资，配置了密码设备，进行了安全改造的系统反而由于形式上的安全性，往往更加存在致命安全隐患。

3、全网安全如何解决？

综合上述两点，“证书+应用系统”的模式，适合封闭式、自成一体的应用系统，同时要求应用系统开发人员不仅精通业务逻辑，还要对安全需求、安全技术、密码实现等非常精通，才能真正达到信息安全的目的。然而，随着信息化进程的推进，各级信息化建设单位，尤其是各地各部门的信息化主管部门已经感受到了“互联互通、信息共享、业务协同”的强烈要求，也逐步认识到了越来越多的信息化系统正朝着“跨域、全网”的方向演变，这种演变主要体现在：

 应用系统的用户分布在一个广域的范围内，该应用系统所跨越的网络域的结构是异构的，网络的边界是模糊的，网络服务质量是未知的；

 应用系统的用户规模不能在系统开发时确定，而且用户可能采用不同的数字证书，来自不同的PKI体系。

 应用系统的边界也越来越模糊，应用系统更趋向于成为一个应用系统群，分布式部署，松散耦合，而又相互协同。再也没有可能是一个个孤立的城堡。

在这样的情况下，各自为政的安全解决方案已经不能适应信息化的发展需要，因此，信息安全需要系统化的整体解决方案。

建设网络信任体系是下一步的工作重点

由于目前的信任体系建设无法解决政务业务深层次的发展问题，中办【2003】27号文件转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中，明确提出了“网络信任体系”建设的要求。我们通过包括电子政务试点示范工程在内的一系列工作和实践认为从建设PKI向建设网络信任体系发展确实是下一阶段网络信息安全方面的工作重点。

(一) 对网络信任体系的理解

1、建立在“网络层”的信任体系。

网络信任体系的核心内容虽然也是“身份认证、授权管理、责任认定”，但与传统的信任体系有根本的区别。

传统的各自为政的信任体系方案的立足点和出发点是面向一个个应用系统的，是堡垒式的局部解决方案，更形象地说是“各人自扫门前雪，休管他人瓦上霜”。因为只有在我的应用系统的服务范围内，我的信息安全保障才起作用。

而网络信任体系工作在网络层，即从网络来对用户进行身份认证，对网络上的资源进行授权管理，对用户在网络上的行为进行责任认定。网络信任体系的根本任务是先确保承载网络这个大网的可信、可管、可控，在此基础上突破信任孤岛，确保信息系统的互联互通、信息共享和业务协同，同时也要对跨域业务提供无缝的安全与应用支撑。

2、PKI是网络信任体系的基础

网络信任体系的建设是从全程全网的角度提出了构建安全可信的业务网络环境的思想，在统一的安全策略指导下，将用户、资源、服务从具体的应用系统中独立出来，将它们转变成为业务网络的属性，成为所有业务系统共性的基础要素。在此基础上建设管理中心，进行统一用户身份管理，并提供对网络用户的统一身份认证，结合统一的资源管理，进行网络资源、应用资源、数据资源的访问控制，同时实现全网范围内的统一的责任认定服务。

由此可见，网络信任体系的基础是实体可信，而实体可信的基础是全网范围的可信身份认证，因此网络信任体系同样要基于PKI体系，通过数字证书来唯一标识实体身份，通过统一身份认证来鉴别每一个接入到网络上的实体，进而进行授权管理和责任认定。

然而，以全网为信任服务的对象，通过系统建设网络信任体系，不仅可以解决应用系统的安全，而且从网络层（网络的访问控制、等级保护）、资源层（资源的管理和授权）、应用层（应用系统的访问控制和授权管理）等方方面面提供了信息安全保障。网络信任体系基于PKI，又高于PKI，是对PKI技术的升华和应用。

（二） 网络信任体系建设的“三要素”

1、跨域是目标。传统的信任体系解决方案适合对局部网络中自成一体的应用进行保护，但这种面向隔离，通过形成一个个独立堡垒来解决安全问题的做法严重妨碍了大规模的互联互通和信息共享的真正实现。而建设网络信任体系的目标就是针对这些问题，在跨网络域、跨部门域、跨应用域的条件下突破信任孤岛，为业务的真正互通共享提供支撑和保障。

2、管理是基础。没有管理安全将是无源之水、无本之木。建设网络信任体系，实质上是构建可信的网络，即用户在网络上的身份是可知的，该用户在网络上拥有哪些权限也是可知的，用户在网络中的行为是可追溯的，因此必须对用户身份和网络资源进行注册、审核与发布管理，在此基础上实现认证策略管理和授权管理。

3、控制是手段。网络上的两大主体分别是：人和资源，因此控制就包括了对用户的准入控制和对资源的访问控制。只有经过认证的用户才有可能接入网络，这就从源头上确保了用户身份的可信。另一方面，对于网络上的各类资源进行基于身份的访问控制，包括了网络的准入权控制，应用系统的访问权控制以及业务资源的使用权控制等，这种访问控制将为信息互通与共享提供有效保障，也为跟踪用户在全网中的行为踪迹奠定了基础。

作者单位：浙江省行政首脑机关信息中心