隨著網(wǎng)絡(luò)應(yīng)用的不斷普及深入,PKI的市場(chǎng)正在不斷擴(kuò)大?，F(xiàn)在,市場(chǎng)上涌現(xiàn)出了很多PKI產(chǎn)品,在這里,我們選擇了三家最具有代表性的PKI產(chǎn)品進(jìn)行介紹。希望通過(guò)對(duì)它們的介紹,能夠開(kāi)闊我們的眼界與思路,促進(jìn)我國(guó)PKI產(chǎn)品的發(fā)展。
　　Baltimore 公司的UniCERT
　　UniCERT 是Baltimore Technologies公司推出的PKI產(chǎn)品。這是一家跨國(guó)IT企業(yè),總部設(shè)在愛(ài)爾蘭首都都柏林,主要從事網(wǎng)絡(luò)安全領(lǐng)域的產(chǎn)品開(kāi)發(fā)。UniCERT是目前世界上最先進(jìn)的PKI產(chǎn)品之一。
　　1. UniCERT的構(gòu)成
　　由于可擴(kuò)展性的需要,UniCERT的部件分成三個(gè)層次:
　　1 核心部件
　　核心部件包括CA、CAO、RA、RAO、UniCERT Gateway和Token Manager。CA是整個(gè)PKI的核心,它的主要功能是頒布證書或證書撤銷信息(如證書撤銷列表);而CAO則是CA的操作客戶端,也可以說(shuō)是CA的圖形界面,另外,CAO對(duì)整個(gè)PKI系統(tǒng)的管理員來(lái)說(shuō)還是一個(gè)設(shè)計(jì)工具,管理員可以用CAO提供的編輯器來(lái)確定整個(gè)PKI系統(tǒng)的結(jié)構(gòu)和安全策略。RA、RAO和UniCERT Gateway一起構(gòu)成了注冊(cè)機(jī)構(gòu),而用戶注冊(cè)的工作在RAO或UniCERT Gateway完成,其中RAO用于面對(duì)面的注冊(cè),Gateway用于遠(yuǎn)程注冊(cè)。UniCERT Gateway包括Web Gateway、E-mail Gateway和VPN Gateway。相對(duì)而言,RA模塊最小,主要起通信作用,相當(dāng)于CA和RAO、Gateway之間的路由器,每一個(gè)RA及與其相連的多個(gè)RAO或Gateway一起構(gòu)成了一個(gè)操作域,這個(gè)域通過(guò)RA與CA相連。Token Manager是一個(gè)獨(dú)立的模塊,用于管理令牌以及硬件安全模塊(HSM)。
　　2 高級(jí)部件
　　高級(jí)部件包括Archive Server、Advanced Registration Module (ARM)、WebRAO和WebRAO Server。
　　Archive Server是一個(gè)數(shù)據(jù)安全管理模塊,可以用于存儲(chǔ)用戶的私鑰、管理證書及證書撤銷信息。ARM是為系統(tǒng)集成商、軟件商以及商業(yè)CA提供的,用于開(kāi)發(fā)PKI系統(tǒng)的應(yīng)用并將它們集成在一起。WebRAO允許操作員通過(guò)瀏覽器來(lái)認(rèn)可證書請(qǐng)求,而WebRAO Server則是WebRAO與RA之間的信息傳遞中介。
　　3 擴(kuò)展部件
　　包括Timestamp Server(TS)和Attribute Certificate Server(ACS)。其中,TS可驗(yàn)證交易中的時(shí)間戳,它提供對(duì)時(shí)間戳的認(rèn)證、完整性以及不可否認(rèn)性要求的支持。ACS是屬性證書服務(wù)器。屬性證書是另外一種形式的證書,區(qū)別于普通的證書。
　　2. UniCERT的特點(diǎn)
　　總的來(lái)說(shuō),UniCERT是一個(gè)策略驅(qū)動(dòng)、模塊化的PKI。依靠CAO上的策略編輯,UniCERT可以使整個(gè)PKI系統(tǒng)貫徹同一個(gè)安全策略。同時(shí)依靠模塊化的設(shè)計(jì),UniCERT實(shí)現(xiàn)了高度的靈活性和可擴(kuò)展性。其主要特點(diǎn)體現(xiàn)在以下方面:
　　* 靈活: UniCERT可以有多種不同的注冊(cè)方式,可以是面對(duì)面的,也可以是遠(yuǎn)程的,還可以是用戶自定義的。它也支持多種格式的證書頒發(fā)和證書撤銷機(jī)制,包括CRL v2和OCSP。此外,它還支持第三方軟件和加密硬件。
　　* 易用:全GUI界面,有PKI編輯器和策略編輯器。此外還有詳細(xì)的報(bào)告、審計(jì)和備份機(jī)制。
　　* 策略支持:可以編輯整個(gè)PKI的安全策略,包括證書頒發(fā)條件、證書內(nèi)容、證書目的以及管理證書生命周期的機(jī)制等。支持證書擴(kuò)展,還可以支持與證書相關(guān)但不放在證書里的敏感數(shù)據(jù),并保證其安全性。
　　* 可擴(kuò)展:UniCERT是一個(gè)依規(guī)模劃分的PKI系統(tǒng),可以實(shí)現(xiàn)從小到大的擴(kuò)展。它采用模塊化的設(shè)計(jì),并且能保證模塊之間的通信是安全的。它也可以劃分操作域,且操作域的大小只受數(shù)據(jù)庫(kù)大小的限制。同時(shí),它還支持無(wú)限的CA層次和任意的交叉認(rèn)證,支持CA克隆。
　　* 開(kāi)放:支持所有相關(guān)的工業(yè)標(biāo)準(zhǔn),實(shí)現(xiàn)了多數(shù)可行的商業(yè)協(xié)議,采用了多數(shù)流行的加密算法。
　　* 安全:支持硬件加密模塊(HSM)、智能卡以及令牌等;支持災(zāi)難恢復(fù),有非常強(qiáng)大的密鑰加密存儲(chǔ)功能。
　　Entrust/PKI 5.0
　　Entrust/PKI 5.0是Entrust公司的PKI產(chǎn)品。該公司總部設(shè)在美國(guó)得克薩斯州,其產(chǎn)品在電子商務(wù)安全產(chǎn)品市場(chǎng)中處于全球領(lǐng)先地位。最新的IDC調(diào)查報(bào)告表明,Entrust公司在全球PKI市場(chǎng)中占據(jù)了35%的份額。Entrust的PKI 5.0充分體現(xiàn)了可管理性和安全性,獲得了Common Criteria Evaluation (CCE) EAL-3 and FIPS 140-1 level 1 to 3 的安全認(rèn)證。
　　Entrust的CA具有良好的靈活性,它可以向各種設(shè)備或應(yīng)用程序頒發(fā)數(shù)字證書,包括終端PC用戶、Web服務(wù)器、Web瀏覽器、VPN設(shè)備、SET用戶等。凡是支持X.509證書格式的設(shè)備或應(yīng)用程序都可以獲得數(shù)字證書,這樣就最大限度地利用了PKI所能提供的功能。此外,Entrust的CA的靈活性還表現(xiàn)在它可以針對(duì)個(gè)別特殊用戶定制相應(yīng)的特殊證書,并在這個(gè)特別證書里賦予該用戶一些特殊權(quán)力。
　　Entrust的CA有著較完善的CA數(shù)據(jù)庫(kù)功能,包括數(shù)據(jù)庫(kù)加密、完整性檢驗(yàn)、CA專有硬件、對(duì)敏感操作的分級(jí)權(quán)限設(shè)定等,它們充分保障了數(shù)據(jù)的安全性。
　　Entrust的RA在用戶登記方面既保證了安全性又保證了易用性。它將RA管理員角色從功能上劃分為不同等級(jí),不同等級(jí)的管理員具有不同的操作權(quán)限。此外,RA不僅可以用于授權(quán)和撤銷證書,還具有多項(xiàng)功能以支持整個(gè)PKI系統(tǒng)的安全性,如密鑰備份、密鑰恢復(fù)、更新用戶注冊(cè)信息、改變所屬CA、自動(dòng)更新證書等。
　　為了保障數(shù)據(jù)的安全性,對(duì)用戶的簽名私鑰和解密私鑰必須嚴(yán)格保密。為了讓他人驗(yàn)證簽名或發(fā)送密文,還要公開(kāi)簽名驗(yàn)證公鑰和加密公鑰,這些密鑰對(duì)和相應(yīng)的證書都需要定期更新,當(dāng)然這也包括CA本身的根密鑰對(duì)。其他PKI產(chǎn)品通常都需要用戶手工更新密鑰對(duì)和證書,這就需要用戶掌握一定的證書知識(shí),無(wú)形之中增加了系統(tǒng)使用的復(fù)雜度和使用成本。Entrust的PKI 5.0產(chǎn)品在密鑰和證書管理方面采用了自動(dòng)更新用戶和CA密鑰對(duì)技術(shù),保證系統(tǒng)在密鑰對(duì)生命期終止之前可以自動(dòng)、無(wú)縫且安全地更新密鑰對(duì),從而大大降低了系統(tǒng)的使用成本。
　　PKI 5.0也提供了較為完善的密鑰備份和恢復(fù)系統(tǒng)。當(dāng)因意外導(dǎo)致密鑰丟失時(shí),用戶可以很方便地找回丟失的密鑰。用戶解密密鑰的整個(gè)歷史都可以安全地恢復(fù),這樣用戶就可以在自己曾經(jīng)擁有的解密密鑰中自行選擇恢復(fù)相應(yīng)的密鑰。
　　在證書撤銷系統(tǒng)中, PKI 5.0支持所有的證書撤銷格式和標(biāo)準(zhǔn),包括證書撤銷列表CRL(Certificate Revocation List)、CRL分布點(diǎn)以及在線證書狀態(tài)協(xié)議OCSP(OnlineCertificate Status Protocol)。它通過(guò)適時(shí)自動(dòng)地發(fā)布證書撤銷信息,保證被撤銷證書的用戶立即被隔離,并且不對(duì)其他正常用戶造成不便。
　　為了確保公正性,Entrust/PKI 5.0提供了較好的簽名密鑰對(duì)和加解密密鑰對(duì)管理。這兩對(duì)密鑰對(duì)是相互隔離的,并且系統(tǒng)不對(duì)簽名密鑰對(duì)做備份,只有用戶本人才擁有簽名密鑰對(duì),這就充分保證了加密信息的不可否認(rèn)性。
　　在PKI的網(wǎng)絡(luò)結(jié)構(gòu)方面,Entrust/PKI 5.0支持樹(shù)狀和網(wǎng)狀兩種結(jié)構(gòu)。在樹(shù)狀結(jié)構(gòu)中,頂層的根CA具有最大的管理權(quán)限;而在端對(duì)端的網(wǎng)狀結(jié)構(gòu)中,相鄰的CA控制著各自的CA域,它很適合于彼此平等的不同組織。在目錄服務(wù)方面,它支持任何兼容LDAP的目錄,可最大限度地保證安全性和靈活性。

　　在一個(gè)PKI系統(tǒng)中,策略管理是非常重要的核心部分。策略制定得好壞很大程度上影響著整個(gè)PKI系統(tǒng)的性能。比如,用戶什么情況下需要使用最強(qiáng)的加密算法、用戶訪問(wèn)權(quán)限的設(shè)定以及密鑰屬性的設(shè)定等。CA的策略管理、RA的策略管理、用戶的策略管理、PKI網(wǎng)絡(luò)結(jié)構(gòu)的策略管理等都需要根據(jù)整個(gè)PKI體系的性能并結(jié)合具體應(yīng)用環(huán)境進(jìn)行詳細(xì)周密的考慮。PKI 5.0產(chǎn)品充分考慮了各項(xiàng)策略的制定和實(shí)施,并且給用戶提供了相當(dāng)?shù)倪x擇自由。
　　在可擴(kuò)展性方面,Entrust/PKI 5.0做到了大容量、高可用性和高級(jí)網(wǎng)絡(luò)帶寬管理。大容量體現(xiàn)在每個(gè)CA最多可有一百萬(wàn)用戶;高可用性表現(xiàn)在提供自動(dòng)更新密鑰和證書,并且有多機(jī)備份以防止意外災(zāi)難性故障;高級(jí)網(wǎng)絡(luò)帶寬管理充分利用了cache技術(shù),減少了網(wǎng)絡(luò)擁塞的機(jī)會(huì)。
　　在互用性方面,Entrust/PKI 5.0支持國(guó)際上的各項(xiàng)標(biāo)準(zhǔn),如X.509格式證書、CRL、OCSP、LDAP、PKIX、PKCS、IPSec和SSL等。對(duì)其他安全產(chǎn)品也表現(xiàn)出了良好的兼容性,如支持Baltimore、Verisign、Microsoft、Netscape等。
　　VeriSign公司的OnSite
　　VeriSign公司的名字對(duì)許多人來(lái)說(shuō)并不陌生,當(dāng)我們?cè)诰W(wǎng)上沖浪時(shí),我們經(jīng)常遇到由VeriSign頒發(fā)證書的插件,在使用Outlook Express等軟件時(shí),如果我們?cè)敢?就可以得到一個(gè)由VeriSign公司頒發(fā)的證書。VeriSign公司不僅提供認(rèn)證服務(wù),還提供PKI產(chǎn)品。
　　OnSite 是一個(gè)完整的PKI產(chǎn)品,被用來(lái)對(duì)企業(yè)內(nèi)部互聯(lián)網(wǎng)、外部網(wǎng)、VPN以及電子商務(wù)應(yīng)用軟件提供具有最大限度的靈活性、有效性和可擴(kuò)展性的安全服務(wù),它可以幫助您高效地建立一個(gè)健壯的、滿足需求的PKI系統(tǒng)。與純軟件的解決方案和完全由自己建立PKI系統(tǒng)不同,OnSite可以使您權(quán)衡自己的力量并發(fā)揮自己的優(yōu)勢(shì)。使用OnSite, 您可以在VeriSign提供的證書處理免費(fèi)服務(wù)的基礎(chǔ)上控制證書的頒發(fā)和管理。
　　OnSite提供了安全Web訪問(wèn)、本地主機(jī)、密鑰管理和恢復(fù)、證書確認(rèn)、應(yīng)用程序工具包、雙鑰支持和自動(dòng)證書恢復(fù)等功能,它由如下部件組成:Automated Administration、OnSite for IPsec (另外提供)、Global Server OnSite (另外提供)、Go Secure! forMicrosoft Exchange (另外提供)、Go Secure! for Web Applications、CertificateManagement Tools、Local Hosting、OnSite Key Management Service (另外提供)、Passcode Authentication。這里我們分別介紹各部件。
　　* Automated Administration:即自動(dòng)管理,將申請(qǐng)者所提供的證書申請(qǐng)資料與數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行比較,若符合則對(duì)申請(qǐng)者頒發(fā)證書,反之則拒絕發(fā)放。這一過(guò)程可由您自行定制的軟件來(lái)完成,無(wú)須管理員手工完成。
　　* OnSite for IPsec:IPsec是在IP網(wǎng)絡(luò)上確保安全保密通信的公開(kāi)標(biāo)準(zhǔn)框架。OnSite for IPsec可以使您的公司向符合IPsec標(biāo)準(zhǔn)的路由器、防火墻等設(shè)備頒發(fā)證書,這些證書用于在這些設(shè)備之間加密和認(rèn)證數(shù)據(jù),從而建立VPN。
　　* Global Server OnSite:由于美國(guó)法律的限制,所有出口到美國(guó)和加拿大以外的瀏覽器所使用的Secure Server ID只能用在40位的SSL會(huì)晤中,而不是128位的SSL會(huì)晤中。為了使美國(guó)和加拿大以外的用戶也能享受到128位的SSL會(huì)晤所帶來(lái)的安全性,VeriSign聯(lián)合美國(guó)進(jìn)出口管理局(US Bureau of Export Administration)、Microsoft公司和Netscape公司開(kāi)發(fā)了Global Server ID。如果客戶端軟件采用了Step-UP技術(shù)或Server Gated Cryptography技術(shù),則Global Server ID可以使出口版本瀏覽器的SSL會(huì)晤由40位變?yōu)?28位。
　　* Go Secure! for Microsoft Exchange:通過(guò)與Microsoft Exchange服務(wù)器整合在一起,從而可以向Microsoft Outlook用戶分發(fā)證書,并且將發(fā)布證書的信息儲(chǔ)存在Exchange服務(wù)器目錄里。
　　* Go Secure! for Web Applications:保證Web應(yīng)用程序通過(guò)內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)或互聯(lián)網(wǎng)訪問(wèn)資源時(shí)的安全性。
　　* Certificate management tools:即證書管理工具,包括證書語(yǔ)法分析模塊(簡(jiǎn)稱CPM)和證書確認(rèn)模塊(簡(jiǎn)稱CVM)。其中,證書語(yǔ)法分析模塊用于從提交給Web服務(wù)器的客戶端證書中提取出各個(gè)域并把所得到的信息提交給處理證書的應(yīng)用程序。證書確認(rèn)模塊則提供了進(jìn)行CRL檢查的可用Web服務(wù)器插件。
　　* Local Hosting:它使您可以在自己的Web站點(diǎn)而不是在VeriSign處理注冊(cè)信息和生命周期頁(yè)(即Lifecycle Pages,證書用戶通過(guò)它可以完成如下一些動(dòng)作:申請(qǐng)一個(gè)證書、跟蹤證書的申請(qǐng)狀態(tài)、檢索已頒發(fā)的證書、確定另一個(gè)用戶的證書、認(rèn)證一個(gè)證書、恢復(fù)自己的證書和撤銷自己的證書)。
　　* OnSite Key Management Service:即OnSite密鑰管理服務(wù)。密鑰對(duì)通常用于三個(gè)目的:加密、確認(rèn)和簽名。因?yàn)槊荑€丟失后,就無(wú)法重新產(chǎn)生相同的密鑰對(duì),因此密鑰應(yīng)該被集中控制。OnSite密鑰管理服務(wù)可以集中產(chǎn)生和保存密鑰對(duì),而不是由每個(gè)用戶的瀏覽器自己產(chǎn)生和保存。由于VeriSign對(duì)設(shè)施的完善保護(hù),使得用戶即使丟失密鑰對(duì)也很容易恢復(fù)。此外,VeriSign保證不會(huì)偷看用戶的密鑰。
　　* Passcode Authentication:它與Automated Administration很相似,同樣用于自動(dòng)鑒別證書申請(qǐng)。它與Automated Administration的主要不同是:它把已經(jīng)收集好的數(shù)據(jù)上載到VeriSign的站點(diǎn),所有證書的產(chǎn)生和維護(hù)操作都是在VeriSign站點(diǎn)上進(jìn)行,從而使您的公司減少在這方面的軟件和硬件開(kāi)銷。