主流的PKI产品随着网络应用的不断普及深入,PKI的市场正在不断扩大。现在,市场上涌现出了很多PKI产品,在这里,我们选择了三家最具有代表性的PKI产品进行介绍。希望通过对它们的介绍,能够开阔我们的眼界与思路,促进我国PKI产品的发展。Baltimore公司的UniCERT----UniCERT是BaltimoreTechnologies公司推出的PKI产品。这是一家跨国IT企业,总部设在爱尔兰首都都柏林,主要从事网络安全领域的产品开发。UniCERT是目前世界上最先进的PKI产品之一。----1.UniCERT的构成----由于可扩展性的需要,UniCERT的部件分成三个层次:----1核心部件----核心部件包括CA、CAO、RA、RAO、UniCERTGateway和TokenManager。CA是整个PKI的核心,它的主要功能是颁布证书或证书撤销信息(如证书撤销列表);而CAO则是CA的操作客户端,也可以说是CA的图形界面,另外,CAO对整个PKI系统的管理员来说还是一个设计工具,管理员可以用CAO提供的编辑器来确定整个PKI系统的结构和安全策略。RA、RAO和UniCERTGateway一起构成了注册机构,而用户注册的工作在RAO或UniCERTGateway完成,其中RAO用于面对面的注册,Gateway用于远程注册。UniCERTGateway包括WebGateway、EmailGateway和VPNGateway。相对而言,RA模块最小,主要起通信作用,相当于CA和RAO、Gateway之间的“路由器”,每一个RA及与其相连的多个RAO或Gateway一起构成了一个操作域,这个域通过RA与CA相连。TokenManager是一个独立的模块,用于管理令牌以及硬件安全模块(HSM)。----2高级部件----高级部件包括ArchiveServer、AdvancedRegistrationModule(ARM)、WebRAO和WebRAOServer。----ArchiveServer是一个数据安全管理模块,可以用于存储用户的私钥、管理证书及证书撤销信息。ARM是为系统集成商、软件商以及商业CA提供的,用于开发PKI系统的应用并将它们集成在一起。WebRAO允许操作员通过浏览器来认可证书请求,而WebRAOServer则是WebRAO与RA之间的信息传递中介。----3扩展部件----包括TimestampServer(TS)和AttributeCertificateServer(ACS)。其中,TS可验证交易中的时间戳,它提供对时间戳的认证、完整性以及不可否认性要求的支持。ACS是属性证书服务器。属性证书是另外一种形式的证书,区别于普通的证书。----2.UniCERT的特点----总的来说,UniCERT是一个策略驱动、模块化的PKI。依靠CAO上的策略编辑,UniCERT可以使整个PKI系统贯彻同一个安全策略。同时依靠模块化的设计,UniCERT实现了高度的灵活性和可扩展性。其主要特点体现在以下方面:灵活:UniCERT可以有多种不同的注册方式,可以是面对面的,也可以是远程的,还可以是用户自定义的。它也支持多种格式的证书颁发和证书撤销机制,包括CRLv2和OCSP。此外,它还支持第三方软件和加密硬件。易用:全GUI界面,有PKI编辑器和策略编辑器。此外还有详细的报告、审计和备份机制。策略支持:可以编辑整个PKI的安全策略,包括证书颁发条件、证书内容、证书目的以及管理证书生命周期的机制等。支持证书扩展,还可以支持与证书相关但不放在证书里的敏感数据,并保证其安全性。可扩展:UniCERT是一个依规模划分的PKI系统,可以实现从小到大的扩展。它采用模块化的设计,并且能保证模块之间的通信是安全的。它也可以划分操作域,且操作域的大小只受数据库大小的限制。同时,它还支持无限的CA层次和任意的交叉认证,支持CA克隆。开放:支持所有相关的工业标准,实现了多数可行的商业协议,采用了多数流行的加密算法。安全:支持硬件加密模块(HSM)、智能卡以及令牌等;支持灾难恢复,有非常强大的密钥加密存储功能。Entrust/PKI5.0----Entrust/PKI5.0是Entrust公司的PKI产品。该公司总部设在美国得克萨斯州,其产品在电子商务安全产品市场中处于全球领先地位。最新的IDC调查报告表明,Entrust公司在全球PKI市场中占据了35%的份额。Entrust的PKI5.0充分体现了可管理性和安全性,获得了CommonCriteriaEvaluation(CCE)EAL-3andFIPS140-1level1to3的安全认证。----Entrust的CA具有良好的灵活性,它可以向各种设备或应用程序颁发数字证书,包括终端PC用户、Web服务器、Web浏览器、VPN设备、SET用户等。凡是支持X.509证书格式的设备或应用程序都可以获得数字证书,这样就最大限度地利用了PKI所能提供的功能。此外,Entrust的CA的灵活性还表现在它可以针对个别特殊用户定制相应的特殊证书,并在这个特别证书里赋予该用户一些特殊权力。----Entrust的CA有着较完善的CA数据库功能,包括数据库加密、完整性检验、CA专有硬件、对敏感操作的分级权限设定等,它们充分保障了数据的安全性。----Entrust的RA在用户登记方面既保证了安全性又保证了易用性。它将RA管理员角色从功能上划分为不同等级,不同等级的管理员具有不同的操作权限。此外,RA不仅可以用于授权和撤销证书,还具有多项功能以支持整个PKI系统的安全性,如密钥备份、密钥恢复、更新用户注册信息、改变所属CA、自动更新证书等。----为了保障数据的安全性,对用户的签名私钥和解密私钥必须严格保密。为了让他人验证签名或发送密文,还要公开签名验证公钥和加密公钥,这些密钥对和相应的证书都需要定期更新,当然这也包括CA本身的根密钥对。其他PKI产品通常都需要用户手工更新密钥对和证书,这就需要用户掌握一定的证书知识,无形之中增加了系统使用的复杂度和使用成本。Entrust的PKI5.0产品在密钥和证书管理方面采用了自动更新用户和CA密钥对技术,保证系统在密钥对生命期终止之前可以自动、无缝且安全地更新密钥对,从而大大降低了系统的使用成本。----PKI5.0也提供了较为完善的密钥备份和恢复系统。当因意外导致密钥丢失时,用户可以很方便地找回丢失的密钥。用户解密密钥的整个历史都可以安全地恢复,这样用户就可以在自己曾经拥有的解密密钥中自行选择恢复相应的密钥。----在证书撤销系统中,PKI5.0支持所有的证书撤销格式和标准,包括证书撤销列表CRL(CertificateRevocationList)、CRL分布点以及在线证书状态协议OCSP(OnlineCertificateStatusProtocol)。它通过适时自动地发布证书撤销信息,保证被撤销证书的用户立即被隔离,并且不对其他正常用户造成不便。----为了确保公正性,Entrust/PKI5.0提供了较好的签名密钥对和加解密密钥对管理。这两对密钥对是相互隔离的,并且系统不对签名密钥对做备份,只有用户本人才拥有签名密钥对,这就充分保证了加密信息的不可否认性。----在PKI的网络结构方面,Entrust/PKI5.0支持树状和网状两种结构。在树状结构中,顶层的根CA具有最大的管理权限;而在端对端的网状结构中,相邻的CA控制着各自的CA域,它很适合于彼此平等的不同组织。在目录服务方面,它支持任何兼容LDAP的目录,可最大限度地保证安全性和灵活性。----在一个PKI系统中,策略管理是非常重要的核心部分。策略制定得好坏很大程度上影响着整个PKI系统的性能。比如,用户什么情况下需要使用最强的加密算法、用户访问权限的设定以及密钥属性的设定等。CA的策略管理、RA的策略管理、用户的策略管理、PKI网络结构的策略管理等都需要根据整个PKI体系的性能并结合具体应用环境进行详细周密的考虑。PKI5.0产品充分考虑了各项策略的制定和实施,并且给用户提供了相当的选择自由。----在可扩展性方面,Entrust/PKI5.0做到了大容量、高可用性和高级网络带宽管理。大容量体现在每个CA最多可有一百万用户;高可用性表现在提供自动更新密钥和证书,并且有多机备份以防止意外灾难性故障;高级网络带宽管理充分利用了cache技术,减少了网络拥塞的机会。----在互用性方面,Entrust/PKI5.0支持国际上的各项标准,如X.509格式证书、CRL、OCSP、LDAP、PKIX、PKCS、IPSec和SSL等。对其他安全产品也表现出了良好的兼容性,如支持Baltimore、Verisign、Microsoft、Netscape等。VeriSign公司的OnSite----VeriSign公司的名字对许多人来说并不陌生,当我们在网上冲浪时,我们经常遇到由VeriSign颁发证书的插件,在使用OutlookExpress等软件时,如果我们愿意,就可以得到一个由VeriSign公司颁发的证书。VeriSign公司不仅提供认证服务,还提供PKI产品。----OnSite是一个完整的PKI产品,被用来对企业内部互联网、外部网、VPN以及电子商务应用软件提供具有最大限度的灵活性、有效性和可扩展性的安全服务,它可以帮助您高效地建立一个健壮的、满足需求的PKI系统。与纯软件的解决方案和完全由自己建立PKI系统不同,OnSite可以使您权衡自己的力量并发挥自己的优势。使用OnSite,您可以在VeriSign提供的证书处理免费服务的基础上控制证书的颁发和管理。----OnSite提供了安全Web访问、本地主机、密钥管理和恢复、证书确认、应用程序工具包、双钥支持和自动证书恢复等功能,它由如下部件组成:AutomatedAdministration、OnSiteforIPsec(另外提供)、GlobalServerOnSite(另外提供)、GoSecure!forMicrosoftExchange(另外提供)、GoSecure!forWebApplications、CertificateManagementTools、LocalHosting、OnSiteKeyManagementService(另外提供)、PasscodeAuthentication。这里我们分别介绍各部件。AutomatedAdministration:即自动管理,将申请者所提供的证书申请资料与数据库中的数据进行比较,若符合则对申请者颁发证书,反之则拒绝发放。这一过程可由您自行定制的软件来完成,无须管理员手工完成。OnSiteforIPsec:IPsec是在IP网络上确保安全保密通信的公开标准框架。OnSiteforIPsec可以使您的公司向符合IPsec标准的路由器、防火墙等设备颁发证书,这些证书用于在这些设备之间加密和认证数据,从而建立VPN。GlobalServerOnSite:由于美国法律的限制,所有出口到美国和加拿大以外的浏览器所使用的SecureServerID只能用在40位的SSL会晤中,而不是128位的SSL会晤中。为了使美国和加拿大以外的用户也能享受到128位的SSL会晤所带来的安全性,VeriSign联合美国进出口管理局(USBureauofExportAdministration)、Microsoft公司和Netscape公司开发了GlobalServerID。如果客户端软件采用了Step-UP技术或ServerGatedCryptography技术,则GlobalServerID可以使出口版本浏览器的SSL会晤由40位变为128位。GoSecure!forMicrosoftExchange:通过与MicrosoftExchange服务器整合在一起,从而可以向MicrosoftOutlook用户分发证书,并且将发布证书的信息储存在Exchange服务器目录里。GoSecure!for