日本PKI趋势调查结果报告(doc 27页).doc

2002年10月日本PKI趋势调查结果报告一、 绪论调查背景宽带的普及使得因特网上的服务趋向更多样化，同时也增加了对安全性的需求。另外，IC卡的应用向也不断增加，增进公开金钥基础建设（Public Key Infrastructure，PKI）的扩展程度。此外，由于各国相继制定电子签章法，且国际间的交易量也不断增加，使得国际间交互认证的需求也相对提升。为深入了解国内PKI（Public Key Infrastructure, PKI）使用整体现况，日本PKI论坛于本（91）年度发起，进行亚洲地区2002年PKI趋势调查，调查对象包括日本、韩国、新加坡以及我国等四个国家，调查内涵则包括了企业之PKI建置现况与模式、面临的困境与挑战、采取的PKI应用领域，和跨国PKI相互承认等议题。本调查报告为日本之调查结果分析，内容分为受访者背景数据、受访者组织导入PKI状况、受访者组织导入PKI过程与使用情况、跨国PKI互通议题、未建置PKI系统之组织等七个项目；结论则归纳本问卷调查之主要发现。这份问卷调查报告的目的在观察日本国内的公司和组织使用PKI的现况。二、 资料分析（一） 调查方法 本次调查所针对的对象列于 中，日本PKI Forum以电子邮件的方式邀请日本当地的企业在网页上作问卷调查。问卷内容共有40个题目，与其它亚洲国家所进行的问卷调查内容类似。（备注：日本PKI Forum稍微修正了问卷的题目数、回答的格式和一些参数，以符合网页问卷系统，但是在回答的内容、分析项目和相关因素均与其它国家的问卷相同。） 问卷调查的方法 （二） 公司规模与型态为受访者所属的组织的雇员数分布图，如图所示，受访的组织中，雇员数超过500人以上的组织占最多数，有61.3%；其次为雇员数在101至500人间，占19.4%。 公司/组织的雇员数 分析受访者的组织型态后发现，超过八成（83.9%）的组织为日本国内一般公司；其次为政府机关和教育机构（包括学校和学术研究机关）各占了3.2%；其它则有司法机关下的法律部门和研究机关，如所示。 公司/组织型态分布图 组织之产业类别 三、 调查结果调查结果将针对下列五个方面来分析回复的问卷（一） PKI在日本主要的应用（二） PKI导入的状况和面临的困难（三） PKI导入计划的现况（四） 日本和其它国家跨国交互认证的应用（五） 交互认证在日本的认证基础 （一） 日本国内公司和组织的PKI应用状况 1. PKI的应用类型 以PKI为基础的安全应用已经推展到日本国内的组织。不论是国内外的厂商都有提供很多种的PKI应用产品。根据问卷调查的结果，最常使用的PKI的安全应用为交互认证的SSL，占使用项目比率的69.2%的。其次为虚拟私有网络VPN（39.5%）、网站应用（39.5%），和安全电子邮件（30.0%），如所示。而其它类则有一位受访者提到使用https服务器。 组织使用PKI的应用领域（可复选） 列出每一项PKI应用所使用的产品名称。除了一些特定的应用产品名称外，其它还有如安全电子邮件、认证发布和其它的商业服务。 使用PKI的应用产品 另外也询问受访者，在导入PKI时会采用哪些功能。由于PKI提供的功能的定义可以有很多种叙述方式，故本问卷以的四种定义为准。 PKI功能使用范例 显示所有的受访者都希望采用认证功能。另外，机密性的功能则有八成（84.6%）以上的受访者都会采用。 受访者组织采用PKI功能（可复选） 汇整受访者举例说明其公司或组织运用PKI功能的用途。 PKI功能 2. 使用PKI系统的产品品牌 我们询问受访者，知道哪些PKI的品牌，结果如所示，多数日本企业或组织都知道Verisign、Baltimore和Entrust等国外大厂。其它尚有一些提供认证或安全性相关服务的厂商，及某些制造业和通讯谢业，还有制造IC卡的厂商。 则显示受访组织所使用的PKI产品的品牌。其它类则包括有两位受访者提到NEC，以及另两位受访者提到Hitachi品牌。这显示出，日本企业在选择PKI产品时，会优先使用国外的厂商。不过，国内品牌的PKI产品也有进步。 12个较熟悉的PKI品牌（可复选） 使用PKI系统或产品品牌（可复选） 3. PKI应用的开发方法 PKI应用产品的开发方法可以被分成自行开发和没有自行开发两类。根据问卷调查结果显示自行开发PKI应用产品的比率较没有自行开发的比率要低。 PKI应用系统开发方式 在自行开发PKI应用的组织中，提到需使用Keytools（Baltimore）和PKI Driver（Dai Nippon Printing Co., Ltd），包括运用开发工具和其它开发工作上需要的设备。 在自行PKI应用系统对浏览器的依赖度方面，61.5%的受访者表示没有依赖特定的浏览器。使用IE浏览器和同时支持IE与Netscape Navigator浏览器则各占15.4%，另外只使用Netscape Navigator的浏览器则占7.7%。IE与Netscape Navigator浏览器都以SSL（Secure Socket Layer）作为标准配备（需为Navigator4.06或更新版本，IE4.0或更新版本）。 PKI应用产品的浏览器依赖度三、 调查结果（二） 组织导入PKI的状况和面临的困难 1. 组织导入PKI的状况 显示42%的受访者表示他们的组织已经使用PKI系统，低于没有使用PKI系统的受访组织。事实上，这份问卷调查主要针对日本PKI论坛的会员，以及出席日本PKI论坛于2001年举办的2001 PKI论坛的成员。由于尚有超过一半的受访者组织尚未使用PKI系统，所以PKI在日本推展的规模还有待加强。 已使用PKI系统的组织 依产业类别分类调查组织导入PKI系统的状况，包括因特网、金融、制造业、IT产业和通讯业，且每一种产业都有超过一家的公司已经采用PKI系统。根据调查结果，无法看出组织的规模大小和是否导入PKI的明显关系，但大公司（超过500人）的比率较高。 依产业类别分类导入PKI系统状况 依雇员数量分类之组织导入PKI系统状况 针对已经在使用PKI系统的公司或组织，调查他们导入PKI系统的时间。由显示所有的公司至少都已使用超过一年，并且有30%已经使用3年以上的时间。综合两项结果可知，超过一半的国内公司和组织尚未导入PKI系统，而已导入PKI系统的公司都已经使用超过一年。 导入PKI的时间 在中列出了影响公司和组织采用PKI应用的转折点和动机并举出代表性的例子。 采用PKI的原因 调查已使用PKI的公司和组织为何采用PKI的原因，结果如所示，因为安全性而采用PKI系统的组织占最高比率（92.3%），可见安全性为多数公司或组织的第一考虑。在其它类型中，则有较高的比率是因为顾客的需求（30.8%），还有商业流程现代化和节省开支（23.1%）。 另外，还有一些原因是为了电子应用、电子拍卖交易、电子管理还有与自治团体（Self-governing bodies）的往来，由此可见，为了跟政府组织或自治团体往来也是驱使采用PKI系统的原因。 受访组织导入或使用PKI的原因（可复选）2. 组织PKI采用的形式的特征 组织采用PKI的形式的特征有范围、运作方向、适合的技术等。组织采用PKI的范围可分为只在公司内操作应用，和与公司的顾客和供货商作安全的交易环境用，或两者都有。 如所示，作为公司内部和外部所用的比率最高，有46.2%，其次为作为公司外部使用（38.5%）。由此可知，与客户交易是主要的原因。 组织采用PKI的范围在发送凭证给使用者方面，使用磁盘（46.2%）的比率占最高，再来是使用IC卡。虽然目前磁盘较被广泛的使用，是因为其便宜和容易使用的特性，然而，未来分布式系统的安全性将会很重要，所以IC卡的使用程度将可大幅提高。其它类别包含在浏览器的SSL功能。 电子凭证储存格式（可复选）PKI技术提供的功能包括“认证”、“数据整合性”、“机密性”和“不可否认性”。调查结果显示使用PKI的公司和组织对“认证”和“机密性”有较高的需求。 在传送给使用者的技术方面，显示超过半数的受访公司使用单金钥对。以双金钥对的技术来说，由一只金钥做签名和认证，另一只金钥做加密和解密的动作，可以提供更强的认证功能和安全通讯的需求。另一方面，使用双金钥对会增加较多的运作负担，但是却可提供叫严格的个人认证功能和因特网上的安全性服务。 使用金钥的技术3. 组织建置PKI面临的困难 调查结果指出国内的公司和组织在导入PKI时会面临的问题主要为： 管理人员缺乏足够的技术上的知识 导入和运作的花费 缺乏成熟的PKI技术和产品 显示缺乏PKI的专业知识和训练员工、顾客、和供货商时发生困难各占最高的比率（46.2%）。安全性的考虑和训练员工具备足够的技能和知识，不论是对公司内部或对外部，都是导入PKI技术时的最大瓶颈。PKI也包含了解密技术、电子签章技术和其它先进的技术。训练这些技术都需要大量的时间，也加重了困难度。 组织导入PKI所面临的困难在对于商业上可用的PKI产品、服务和解决方案方面，许多受访者都提到共同的一点，就是可供选择的产品太少。对于一个成熟的PKI市场来说，产品的选择、服务和其它切合使用者需求的项目都是十分重要的。 在某些意见中，另一个会PKI的瓶颈是整合PKI至现有的公司的信息基础建设的困难性，例如难以与既有业务流程整合与难以与既有IT系统整合。 显示公司和组织导入PKI技术花费的时间。表示在一年以内和半年内的组织占60%，超过一年的则有14%的比率。因为PKI计划的导入与企业和组织的安全性有关，因此从计划到发展运作阶段需花费较长的时间。的结果也显示将近一半的公司和组织花费半年至一年的时间来导入PKI技术，表示导入PKI技术需要较长的时间。 组织导入PKI技术所花费的时间另外，我们询问尚未采用PKI技术的公司和组织，是什么原因以致于他们还未采用PKI技术。 未导入PKI的原因（可复选）由所示，导入成本为最主要的原因（52.9%），紧接着是维护成本（46.2%），而排第五的是训练和教育成本（23.5%）。可见，在尚未导入PKI的公司和组织中，高额的成本是最大的因素。 另外，排第三的是无法评估系统导入后的投资报酬率（35.6%）。而缺乏产业环境的共同标准（35.6%）也有很高的比率。组织希望导入PKI技术，但得发展自己的系统的原因，是因为没有一个共同的标准，因此必须花费较高的成本，而且，将来会有更多的系统连上网络，也会提供更多的服务，而互通性将是一个重要的因素。 外部影响建置PKI的因素包括做生意的模式及法律环境的影响。答因为竞争者也没有使用PKI技术和生意伙伴也没有用PKI技术的受访组织分别占23.5%和17.6%。 表示因为法律问题，所以尚未建置PKI技术的受访者有17.6%。而电子签章和认证法将于2001年4月生效。在这个阶段，管理应用和服务例如电子应用和电子拍卖交易也正在进行中。可以预见的，在未来使用这些应用和服务的公司和组织将会不断增加，使得采用PKI技术的组织越来越多。（三） 公司和组织采用PKI计划的现况 1. 没有采用PKI技术的公司和组织未来使用PKI的计划 对尚未使用PKI技术的受访组织调查是否计划采用PKI，由显示，超过8成的受访者表示他们的公司有计划要采用PKI。 尚未使用PKI的组织未来使用PKI计划另外针对企业类别和规模大小的调查指出，这些跟是否要采用PKI技术没有明显的差异。 依企业类别尚未使用PKI的组织未来使用PKI计划 依雇员数量分类尚未使用PKI的组织未来使用PKI计划 关于未来采用PKI的时间表，表示3年内的比率最高（40%），其次是5年以上、5年以内和1年内各占13.3%。许多尚未采用PKI技术的公司和组织会考虑将PKI技术作为公司的中程计划。 尚未使用PKI的组织未来采用PKI的时间表综合和，许多尚未使用PKI技术的组织都计划在未来将采用PKI技术，由此可见，未来几年PKI技术将会不断扩展。 2. 组织采用PKI系统后将实行的应用领域 组织采用PKI系统后将实行的应用领域，在尚未使用PKI的组织和已经采用PKI的组织，可以看出明显的差异。 显示出已使用PKI的受访者组织，最有兴趣使用虚拟私有网络VPN（84.6%），其次是网站应用（76.9%）和安全网站（53.8%）。另一方面，显示尚未采用PKI的公司和组织，其顺序为安全网站（64.7%）、安全电子邮件（58.8%）和虚拟私有网络VPN（52.9%）。 这显示已经采用PKI技术的公司和组织较趋向虚拟私有网络和其它动态的服务的应用，而没有采用PKI技术的公司和组织则对金钥的应用有较高的需求，如安全网站和安全电子邮件。 已导入PKI的组织未来实行的应用（可复选） 尚未导入PKI的组织未来实行的应用（可复选）针对没有使用PKI的公司和组织，在未来计划采用PKI的方法。显示超过一半的受访者提到将使用外部厂商的PKI服务，且不控制服务器和其它设备，低于20%的受访者表示会由公司自己采用或发展PKI系统，且在公司内设定和操作服务器。 建置PKI计划的方法显示出为何受访者组织采用方法的理由。选择对外采购的理由有高安全性、减少建置和运作的花费和系统支持能力。另一方面，选择由内部管理的优点有适合组织本身的系统服务和可以和组织的生意协调。 为何采用此种建置PKI计划的方法 （四） 跨国PKI互通议题 在未来PKI的扩展方面，可以预期在与海外的单位进行交易时，用PKI的交互认证技术将会更为需要。调查与外国交易伙伴间的PKI实际应用状况显示，有使用PKI技术的组织占21%，显示这项比率并不高。 与外国交易伙伴间的PKI实际应用状况