PKI應用的不順暢,，導致了人們對整體PKI架構的重新思考：是繼續(xù)建立龐大的“胖PKI”體系還是為應用專門“裁剪”成“瘦PKI”？是維持獨立的PKI還是發(fā)展“嵌入式”PKI,？

技術體系穩(wěn)定

經(jīng)過幾年發(fā)展,，PKI體系結構和技術并沒有太大的變化，尤其是在公鑰技術方面,，但為了適應新技術的發(fā)展及易用性考慮,，私鑰的形式和內容在悄悄地發(fā)生著演變,。

人們從現(xiàn)實世界進入由網(wǎng)絡構筑的虛擬世界時,，面臨的主要問題是如何確認各自的身份,、建立彼此間的信任關系以及保證信息的真實性、完整性,、機密性和不可否認性,。公鑰基礎設施（PKI）正是在這樣的環(huán)境中出生并發(fā)育起來。

既然是一套基礎設施,，PKI就并不是一種產(chǎn)品,，也不僅僅是一張證書，而是一套機制。就像現(xiàn)實生活中的身份證一樣，對一般人而言,，看到的只是一個身份證,，但是，在一張薄薄的卡片后面,，是強大的機制在支撐,，如發(fā)證機構、管理機構,、驗證機構等等,。

在網(wǎng)絡上，必須用技術實現(xiàn)這套機制,，于是,，早在幾年前，PKI就被全球技術專家設計成利用“公鑰+私鑰”的方式,，這一技術發(fā)展至今,，在全球獲得了毫無爭議的認可，全球幾乎所有PKI技術提供商及廣泛的應用均采用這一體系結構。作為證書的頒發(fā)者,，CA（certificate authority）機構在PKI體系中扮演著一個公信的“第三方”的角色,，是PKI基礎設施的主要組成部分，其所頒發(fā)的公鑰證書,，就是目前人們非常熟悉的CA證書,。

中國PKI論壇秘書長吳亞非先生介紹，幾年發(fā)展下來,，PKI體系結構和技術并沒有太大的變化,，尤其是在公鑰技術方面，但為了適應各類新的應用技術及為了易用性考慮,，私鑰的形式和內容卻在悄悄地發(fā)生著演變,。

雖然各類不同的CA機構都遵循X.509的標準頒發(fā)CA證書，但證書的格式和形式都在變化,，其中,，使用得最多的客戶端證書分別派生出了硬件證書（如USB證書、IC卡證書）,、軟件證書（如安裝在電腦中的軟件證書）、漫游證書（可從網(wǎng)絡上直接下載,，方便異地漫游用戶）等三類證書,，它們的安全性和成本從高到低排列，而易用性則反之,，從低向高排列,。

其他新出現(xiàn)的證書還有無線證書及屬性證書等，這些變化,，都是為了使用者的易用性或更進一步的安全性而進行的技術改造,。

國家級PKI體系

各家CA機構彼此獨立，成為彼此互不相連的“信任孤島”,，使各證書之間缺乏“互通性”,，嚴重阻礙了PKI的發(fā)展。國家認識到這一發(fā)展的滯障,，開始從技術標準,、組織架構、法律法規(guī)等方面一步步著手解決問題,！

在一陣鋪天蓋地的CA中心建設熱潮后,，目前，全國建立起了40多家CA中心（這還是官方統(tǒng)計數(shù)據(jù),，據(jù)悉,，實際情況遠遠大于這一數(shù)字），其總發(fā)證量為50萬份左右。

但是,，比起中國6000萬的上網(wǎng)人群,，50萬的證書數(shù)實在是微乎其微！

按道理,，在互聯(lián)網(wǎng)上的公信證明應該完全比照現(xiàn)實世界,，由統(tǒng)一的部門頒發(fā)“網(wǎng)上身份證”，這樣才能防止出現(xiàn)一個人持有多個“身份證”,，且各個“身份證”之間彼此不能“互認”的窘境,。但現(xiàn)實情況是，多數(shù)CA機構是由市場經(jīng)濟發(fā)展起來的產(chǎn)物,，政府的統(tǒng)一管理相對滯后,，客觀上造成了各家CA機構彼此獨立，成為彼此互不相連的“信任孤島”,；此外,，雖然各家的證書執(zhí)行統(tǒng)一的X.509標準，但此標準只定義了證書原語言基本要素,，而其中的選項各不相同,，換言之，標準定義太“粗”,，導致各家發(fā)放的CA證書的密碼長度,、格式的完全不一致，由此造成了各家發(fā)放的CA證書彼此不能互認,。這極大地增加了PKI應用的風險,，成為阻礙建立網(wǎng)絡身份信任體制的棘手難題。

為了解決這一問題,，2002年1月,，由國務院信息辦組織各方面的PKI專家，成立了《國家PKI體系研究》課題小組,，2002年6月,，該課題結束，向國家提交了《國家PKI體系總體框架》研究報告,。

今年1月7日,，在由中國PKI論壇主辦的中國公鑰基礎設施（中國PKI）戰(zhàn)略發(fā)展與應用研討會上，《國家PKI體系研究》課題專家組成員詹榜華博士首次公布了該報告規(guī)劃出的國家級PKI體系結構：從行政上,，規(guī)劃成立國家PKI協(xié)調管理委員會（NPCMC）,，負責制定國家PKI管理政策、國家PKI體系發(fā)展規(guī)劃,；監(jiān)督,、指導國家電子政務PKI體系和國家公共PKI體系的建設、運行和應用；具體負責審批CA機構的成立和撤消,。

其中,，電子政務PKI體系是服務于國家各級機構、組織和部門的內部電子政務業(yè)務（如公文流轉,、權威信息發(fā)布等）的PKI體系,，負責向參與這些業(yè)務的各實體（包括人員、機構和設備）提供信任和安全服務,。

國家公共PKI體系是服務于各種公眾網(wǎng)上業(yè)務（包括電子商務,、政府面向公眾服務的電子政務業(yè)務和其他信息化應用）的PKI體系，這就是我們前面描述的商業(yè)CA中心,，它采用網(wǎng)狀信任模型,，由國家橋中心（NBCA）、地區(qū)橋中心（LBCA）,、公眾服務認證中心（SCA）和注冊機構組成,。NBCA是溝通各地方、各行業(yè)CA認證中心的橋梁,，它只與CA進行交叉認證,，不向最終用戶發(fā)放證書。

吳亞非介紹,，這一體系架構目前得到了國務院信息化領導小組專家咨詢委員會以及其他行業(yè)主管部門的的大力支持,。有關組織管理體系、技術體系,、標準體系和法律體系各個環(huán)節(jié)的建設工作正在緊鑼密鼓地展開,。

中國PKI論壇目前正積極解決其中的重要環(huán)節(jié)：籌劃建立各CA機構之間的“橋中心”,，從抓 CA互連互通的示范工程著手,，然后，逐漸推廣,，解決各CA“互不相認”的現(xiàn)狀,。

建立“互連互通”技術體系的根本在于標準化，為此,，全國信息安全標準化技術委員會于2002年8月正式成立了PKI/PMI工作組（即信安標委第四工作組,，簡稱WG4工作組），主要負責PKI/PMI標準體系的研究,。據(jù)該委員會副秘書長吳志剛介紹,，目前，WG4工作組在充分考慮我國自己的PKI應用特色后,，已研究制訂了《信息技術 開放系統(tǒng)互連 目錄 公鑰和屬性證書框架》等5種標準規(guī)范,，目前，該工作組正在著手制定PKI建設中的其他標準。

“胖PKI”的通病

CA機構提供的服務過多而無法“扎根”個性化應用內，使公眾PKI體系遇到了極大的應用障礙,！單獨談論PKI毫無意義,，PKI不再是技術問題，它只有深入到應用的

吳亞非說,，PKI作為信息安全的基礎架構,，更像是一種操作系統(tǒng)，就像微軟Windows操作系統(tǒng),，正因為有了大批的應用,，才能茁壯成長起來，而以前的DOS操作系統(tǒng)或Novell網(wǎng)絡操作系統(tǒng),，是因為在其上跑的應用越來越少,，最終被淘汰出局。

但近距離審視公共PKI體系與應用的捆綁,，現(xiàn)實情況非常不容樂觀,。

一個突出的問題是，從技術上講,，PKI技術如何與應用真正緊密集成,？從目前來看，CA證書由各類CA中心發(fā)放,，而應用系統(tǒng)往往由第三方軟件開發(fā)商或系統(tǒng)集成商開發(fā),，應用系統(tǒng)的千差萬別，注定了與PKI的接口也千差萬別,，那么,，應該由誰來開發(fā)這一重要的接口程序呢？

CA中心作為PKI體系中的重要組成部分和PKI體系的積極倡導者,，似乎義無返顧地承擔起開發(fā)應用接口程序的重任,，事實上，幾乎每一家CA機構都為應用程序提供了標準的API接口,，但遺憾的是,，很多CA中心在開發(fā)應用接口方面顯得漫不經(jīng)心,。從事CA認證服務的天威誠信公司市場總監(jiān)李延昭說，這也許是因為,，很多CA機構提供的PKI服務過于“龐大”而無法照顧到與應用的“個性化”接口; 此外,，某些CA中心只忙于發(fā)證，卻并不具備幫助用戶開發(fā)接口程序的技術實力,；更讓人不理解的是,，很多CA中心對那些向應用程序開放的接口居然還要向用戶收取額外費用，這實在是非常不明智和短視的行為,。

專門提供PKI技術的北京安軟科技公司工程師王勝從技術角度分析了應用與公眾PKI體系之間存在的矛盾,，他說，很多CA中心的證書為應用軟件提供的安全內容并不充分,，他們一般在證書中添加自定義的私有擴展項解決這一問題,，但帶來的麻煩是，這些擴展項可能不被應用軟件識別,，無法得到有效利用; 第二,，證書的安裝及配置等操作過程可能會過于復雜，難免產(chǎn)生誤操作,，而企業(yè)的安全風險與操作人員對PKI知識的掌握程度及相關的操作直接相關,，由此會影響應用開發(fā)商基于證書開發(fā)應用的熱情; 第三，證書中的私有擴展項的解析和證書頒發(fā)操作的煩瑣帶來的額外工作可能會增加應用軟件開發(fā)的成本和負擔; 第四,，應用系統(tǒng)的安全性很大程度上取決于對CA中心的信任,，因此，用戶存在著雙重風險——自身的安全性和所信任的CA中心的安全性,。

安軟公司開發(fā)副總裁何清法說,，另一個與應用密切相關的問題是，在PKI應用中,，如何兼顧安全與易用的關系,？這兩者之間天然是一種矛盾關系，安全性上升,、易用性必然下降,；反之亦然,。由于采用了PKI安全措施,，對用戶的原有使用習慣造成了一定沖擊，比如,，用戶在使用證書時要輸入證書的保護密碼,，而當用戶的USB Key遺失時則相當危險。

這些問題極大地阻礙了CA中心本身的發(fā)展和運營,，使大部分CA中心發(fā)證量難以上去,，而很多CA中心很難獨立存活,，在依靠政府的“扶植”艱難生存。

許多人呼吁要求獨立的第三方加入到應用接口的開發(fā)中來,，但從目前狀況來看,，這并不現(xiàn)實，畢竟,，既懂PKI技術又懂應用系統(tǒng)的開發(fā)者更加微乎其微,。

龐大的PKI體系似乎很難與應用“零距離貼近”，聯(lián)想集團基礎平臺及信息安全服務事業(yè)部產(chǎn)品經(jīng)理王署將之稱為“胖PKI”的通病——提供的服務過多而無法“扎根”個性化的應用,！

雖然國家在大力倡導開放的PKI架構,，但單獨談論PKI毫無意義，它只有深入到應用的骨髓,，與應用連為一體,，才能真正產(chǎn)生價值！但在與應用的結合方面,，PKI似乎陷入了僵局,！

挑戰(zhàn)CA經(jīng)營模式

電子商務本身發(fā)展的遲緩是PKI發(fā)展的致命“硬傷”！PKI與應用的捆綁模式超越了純粹的技術概念,，而上升為商業(yè)模式之爭,，找到一種新的捆綁模式，比技術本身更重要,。

開放的PKI體系中的CA中心生存機會在哪里,？如何讓更多的應用接受PKI？

綜觀當前各CA中心的生存狀況,，雖然許多CA機構經(jīng)營陷入困境,，但一些與行業(yè)應用捆綁緊密的CA中心則非常健康，比如,，面向金融系統(tǒng)的CFCA,，金融業(yè)務本身對網(wǎng)絡的依賴性導致更大程度上對網(wǎng)絡信息安全的嚴重依賴，因此,，像金融一類的行業(yè)對高安全性的需求主動拉動了PKI技術的發(fā)展,。

另一個對PKI技術有極大拉動潛力的領域是電子政務，PKI技術解決了網(wǎng)絡世界中權限分配問題,，使網(wǎng)絡上的權限劃分與實際政府機構中的權限對應起來,，行政級別也在網(wǎng)絡世界中體現(xiàn)，使一直困擾電子政務發(fā)展的網(wǎng)絡系統(tǒng)管理人員權力過大的問題得以徹底解決,，因此,，PKI成為電子政務主動尋求的安全技術。

以上這些領域也是中國PKI技術應用最廣泛的領域,。但是,，除此而外呢,？

吳亞非說，從PKI技術在全球誕生的初衷來看,，是為了在電子商務中建立安全信任機制,。但從我國現(xiàn)實情況看，電子商務并沒有預期中的高速發(fā)展,，很多企業(yè)對電子商務的理解僅限于一些商業(yè)信息的發(fā)布,，對這些信息，根本沒有必要采用昂貴又復雜的PKI技術進行保護,。我國電子商務本身發(fā)展的遲緩,，是制約PKI技術應用和發(fā)展的致命“硬傷”！

從2000年開始,，亞洲范圍內大規(guī)模鋪設開放的PKI體系建設,，被國外稱為“導航工程”，宣告著PKI基礎架構的正式起航,。但在達到電子商務的規(guī)模應用之前,，必將經(jīng)歷一段漫長的時期，聯(lián)想的王署認為這一時期至少在10年以上,。那么,，在導航期內，CA中心該如何尋找到與應用結合的突破口呢,？

天威誠信的李延昭說,，PKI與應用的捆綁并不是純粹的技術問題，而是商業(yè)模式問題,。畢竟CA機構要發(fā)展,，需要長期源源不斷的資金來源，找到一種新的捆綁模式,，比技術本身更重要,。

作為一家開放的PKI體系中提供CA證書服務的公司，天威誠信目前正嘗試與新浪網(wǎng)在企業(yè)郵箱上捆綁PKI進行技術和商業(yè)上的合作,，新浪企業(yè)郵箱通過捆綁PKI可實現(xiàn)安全身份識別,，雙方的合作不僅僅是“買方與賣方”的關系，而是在共同發(fā)展企業(yè)郵箱用戶中尋找到了共同的商業(yè)利益,。此外,，天威誠信公司與微軟網(wǎng)站在對用戶從網(wǎng)上下載程序代碼時進行完整性檢驗的“代碼證書”也出自同樣的思路。

“瘦PKI”投向應用懷抱

現(xiàn)實不總是按照預測的道路中規(guī)中矩地發(fā)展,，在采用公信的“第三方”頒發(fā)CA證書逐漸成為PKI應用的主流,，并大有一統(tǒng)江湖之勢時，近年來,，企業(yè)自建CA系統(tǒng)

一段時間以來，關于企業(yè)自建CA中心具有優(yōu)勢還是采用公信的“第三方”頒發(fā)證書具有優(yōu)勢的爭議似乎塵埃落定,，前者由于用戶的總體投入大,、技術支持難度高不被專家看好，許多專家預測它會日漸衰落,，逐漸被后者全權取代,。但現(xiàn)實不總是按照預測的道路中規(guī)中矩地發(fā)展，在后者逐漸占據(jù)主流,，大有一統(tǒng)江湖之勢時,，從去年開始，企業(yè)自建CA系統(tǒng)卻開始悄悄復蘇,。

北京安軟公司何清法說,，“胖PKI”無法貼近應用，而根據(jù)應用的需求,，選擇幾項需要的內容經(jīng)過“裁剪”后的“瘦PKI”則很容易為用戶接受,，這使得企業(yè)自建CA系統(tǒng)市場呈翻番的速度發(fā)展。

他說,，主要原因在于許多應用非常特別,，開放的PKI服務無法進一步深入，再加上從成本核算角度,，當企業(yè)內部所需要的證書數(shù)超過一定數(shù)量時,，自建CA系統(tǒng)更有成本和管理優(yōu)勢，這使得像安軟這樣的公司有了巨大的發(fā)展空間,。

某省科技廳在電子政務系統(tǒng)中采用了安軟公司的PKI體系結構,，一位負責人說，PKI與業(yè)務系統(tǒng)的集成至關重要,，他說,，業(yè)務系統(tǒng)開發(fā)商對PKI不甚了解，造成業(yè)務系統(tǒng)開發(fā)商出于自身考慮而忽視了系統(tǒng)安全的建設; 而安全廠商對業(yè)務系統(tǒng)不了解,，無法很好地將PKI集成到業(yè)務系統(tǒng)中去,。為了解決這一問題，我們將雙方的技術人員集中到一起,，經(jīng)充分討論后,，形成一致意見：由安全廠商提供可直接應用于業(yè)務系統(tǒng)中的ActiveX、JavaBean等高級別安全接口,，由業(yè)務系統(tǒng)開發(fā)商根據(jù)業(yè)務流程需要將PKI應用集成到業(yè)務系統(tǒng)中去,。

他說,，實踐證明，只有充分發(fā)揮PKI供應商,、業(yè)務系統(tǒng)開發(fā)商以及用戶的各方面優(yōu)勢,，才能真正使PKI無縫地集成在應用系統(tǒng)中。

“瘦PKI”貼近應用的“細微服務”,，使得企業(yè)自建CA市場逐漸反彈,，很多曾專注于CA中心建設的PKI技術提供商在這一需求面前都在轉型。雖然許多專家對此現(xiàn)象依然不置可否,，但市場的需求顯然是決定一切的力量,。

“嵌入式PKI”呼之欲出

市場發(fā)展的必然結果是產(chǎn)生更多的PKI新應用模式。無論如何,，我們看到了PKI的新希望,。

許多專家還提出了PKI的另一種應用模式，聯(lián)想的王署提出了建立“嵌入式PKI”的構思——即將PKI體系納入到應用系統(tǒng)中,，讓“應用軟件中PKI Ready”成為一種通用的標準,，這一構思源自在IBM的Lotus Domino中已經(jīng)嵌入了“裁剪”后的PKI體系，而用戶在使用中沒有任何察覺,。

安軟公司何清法也提出,，Windows XP中也嵌入了一種PKI體系，這難道不是PKI應用的另一種突破嗎,？

他說,，應用系統(tǒng)不僅僅指那些專用的系統(tǒng)，還包括那些通用的系統(tǒng),，如通用操作系統(tǒng),、通用財務系統(tǒng)、通用辦公系統(tǒng)等等,，這要求對應用系統(tǒng)本身進行技術改造,，而對應用系統(tǒng)開發(fā)商而言，這并非難事,。天威誠信目前正試圖與用友,、金蝶等通用財務軟件公司合作，在通用的財務軟件中納入PKI認證體系,。

但是,，“嵌入式PKI”在真正應用中也必將面臨一些問題，聯(lián)想的王署說,，商業(yè)利益的驅動可能會讓很多應用軟件開發(fā)商積極起來,，但同樣從商業(yè)利益考慮，他們很可能不愿意將這部分利益與安全廠商分享，結果很可能是他們自己開發(fā)PKI技術,，而PKI廠商要發(fā)展,，也很可能涉足各類應用的開發(fā)中。這很可能對現(xiàn)有的公共PKI體系產(chǎn)生沖擊,。

市場發(fā)展的必然結果是產(chǎn)生更多的PKI新應用模式,！無論如何,，我們看到了PKI的新希望,。