現(xiàn)階段PKI建設(shè)狀況以及交叉認(rèn)證的問(wèn)題

現(xiàn)階段國(guó)內(nèi)外PKI建設(shè)狀況美國(guó)的PKI建設(shè)現(xiàn)狀國(guó)防部PKI建設(shè)聯(lián)邦政府的PKI華盛頓州PKI建設(shè)國(guó)內(nèi)PKI建設(shè)現(xiàn)狀PKI/CA認(rèn)證中心建設(shè)的現(xiàn)狀

PKI/CA交叉認(rèn)證技術(shù)

PKI交叉認(rèn)證所面臨的問(wèn)題美國(guó)防部PKI進(jìn)展美國(guó)國(guó)防部1999年3月開(kāi)始醞釀國(guó)防PKI之事，并制訂了國(guó)防部PKI行程圖和DoDX509證書(shū)策略，于1999年10月和12月分別公布，方案于2002年完工。DoDPKI的目標(biāo)是：提供或支持：1〕標(biāo)準(zhǔn)化的；2〕多用途和多進(jìn)程；3〕國(guó)防部和聯(lián)邦政府，盟國(guó)，商業(yè)伙伴之間的平安互操作性；4〕數(shù)字簽名和密鑰交換;5)商業(yè)化的；6〕聯(lián)邦信息進(jìn)程標(biāo)準(zhǔn)FIFS相關(guān)要求。DoDPKI采用集中式證書(shū)管理和分散式注冊(cè)，采用共同的進(jìn)程和部件，以節(jié)省經(jīng)費(fèi)和資源。美國(guó)防部PKIDoDPKI根CA互相證明聯(lián)邦/盟國(guó)PKI根CACADoDCA地區(qū)網(wǎng)站NSA集中式分散式外部CA〔將來(lái)〕地區(qū)注冊(cè)機(jī)構(gòu)國(guó)防部用戶注冊(cè)工作站美國(guó)防部PKIPKI是美國(guó)防部密鑰管理構(gòu)架KMI〔KeyManagementInfrastructure〕的重要組成局部。KMI密鑰管理構(gòu)架，包括傳統(tǒng)的密鑰管理系統(tǒng)，電子密鑰管理系統(tǒng)〔EKMS〕以及物理產(chǎn)品〔如密碼本和認(rèn)證器〕。KMI負(fù)責(zé)提供密鑰產(chǎn)品，包括對(duì)稱密鑰和非對(duì)稱密鑰，為軍事，情報(bào)，政府，盟國(guó)，合同企業(yè)，商務(wù)伙伴提供密碼效勞。PKI先在非密系統(tǒng)中試點(diǎn)，測(cè)試，選型.美國(guó)防部的PKI的研發(fā)，將遵循國(guó)防部層次化平安等級(jí)。美國(guó)防部指定國(guó)家平安局〔NSA〕和國(guó)防信息系統(tǒng)局〔DISA〕負(fù)責(zé)實(shí)施DoDPKI,為國(guó)防部網(wǎng)絡(luò)應(yīng)用提供用戶不可否認(rèn)，數(shù)據(jù)保密，加密和數(shù)字簽名等效勞。PKI的運(yùn)行：國(guó)防部DoDPKI布局ROOTCALRARAIDCACA目錄托管根CA當(dāng)?shù)刈?cè)注冊(cè)機(jī)構(gòu)身份CA郵件CA身份/郵件目錄密鑰托管M/SCLIENTLOTUSNESCAPENOVELLACTIVENESCAPEM/SSERVERCLIENTCLIENTNDSDIRECTORYLDAPv3PROTOCOLDNSMAILSISCOSISCOSNIFFERSERVERSERVERROUTERROUTERR美國(guó)聯(lián)邦政府PKI美國(guó)聯(lián)邦政府成立了聯(lián)邦PKI促進(jìn)委員會(huì)，并在整個(gè)聯(lián)邦政府中已批準(zhǔn)了50多個(gè)與PKI 相關(guān)的試點(diǎn)。2000年12月公布了聯(lián)邦搭橋證明機(jī)構(gòu)〔FBCA〕的X.509證書(shū)策略。本策略并非定稿，仍是草稿或聽(tīng)取意見(jiàn)稿。FBCA支持聯(lián)邦政府PKI中同等實(shí)體之間的互操作。FBCA只向?qū)儆谥鞴蹸A的各CA簽發(fā)證書(shū)，F(xiàn)BCA或與FBCA互操作的各CA向運(yùn)行FBCA的個(gè)人簽發(fā)證書(shū)。FBCA向部局主管CA簽發(fā)證書(shū)起信任的轉(zhuǎn)移作用。FBCA的最終目標(biāo)是支持聯(lián)邦和非聯(lián)邦實(shí)體之間的互操作。但目前的版本還不能通過(guò)FBCA建立聯(lián)邦機(jī)構(gòu)和政府外機(jī)構(gòu)的互操作。FBCA將采用“集線器〞式的非層次化工作方式。美國(guó)聯(lián)邦政府PKIFBCA主管CA主管CACACACACA個(gè)人個(gè)人個(gè)人個(gè)人華盛頓州PKI在華盛頓州法律下制定的PKI策略，允許發(fā)放CA許可證，不在華盛頓州的署名用戶和依賴方可以獲得或使用本策略下發(fā)放的證書(shū)，可以在華盛頓州外進(jìn)行交易，應(yīng)用，通信，除非被聯(lián)邦法律禁止。得到許可的CA，對(duì)其雇傭人員必須通過(guò)背景平安檢查和測(cè)試，如證書(shū)管理知識(shí)，包括證書(shū)發(fā)放，證書(shū)系統(tǒng)運(yùn)行，以及CA運(yùn)行機(jī)制的采用和平安策略的建立。華盛頓州PKI華盛頓洲PKI用于：a)PKI擬支持?jǐn)?shù)字簽名，加密，訪問(wèn)控制等應(yīng)用。b)政府機(jī)構(gòu)內(nèi)各司局，部，單位和/或組織間的通信和交易；c)政府機(jī)構(gòu)，公眾組織，私人組織和/或個(gè)人，與政府活動(dòng)相關(guān)的通信和交易；本策略下的證書(shū)支持：1〕數(shù)字簽名；2〕加密和認(rèn)證電子通信；3〕提供身份證據(jù)，支持依賴方所建立的訪問(wèn)控制，防止非授權(quán)的計(jì)算機(jī)系統(tǒng)，電子信息和文件的訪問(wèn)?，F(xiàn)階段國(guó)內(nèi)外PKI建設(shè)狀況美國(guó)的PKI建設(shè)現(xiàn)狀國(guó)防部PKI建設(shè)聯(lián)邦政府的PKI華盛頓州PKI建設(shè)國(guó)內(nèi)PKI建設(shè)現(xiàn)狀PKI/CA認(rèn)證中心建設(shè)的現(xiàn)狀

PKI/CA交叉認(rèn)證技術(shù)

PKI交叉認(rèn)證所面臨的問(wèn)題PKI/CA認(rèn)證中心建設(shè)的現(xiàn)狀2003年3月初統(tǒng)計(jì)共51個(gè)CA行業(yè)型CA中心〔全國(guó)性〕CFCA國(guó)家金融認(rèn)證中心CTCA中國(guó)電信認(rèn)證中心CPCA國(guó)家郵政認(rèn)證中心GACA公安部數(shù)字證書(shū)認(rèn)證中心國(guó)家計(jì)委電子政務(wù)CA中心海關(guān)CAPKI/CA認(rèn)證中心建設(shè)的現(xiàn)狀區(qū)域型CA中心西部CA、上海CA、北京CA、天津CA、廣東CA海南CA、深圳CA、吉林CA、山西CA、陜西CA、福建CA、重慶CA、湖北CA、云南CA企業(yè)型CA一汽、福建商業(yè)銀行、招商銀行、黑龍江郵政、吉林省政府辦公廳、吉林電力CA、黑龍江電力CA、遼寧電力CA，等等PKI/CA認(rèn)證中心建設(shè)現(xiàn)狀：產(chǎn)品國(guó)外產(chǎn)品：CFCA、泰康人壽國(guó)內(nèi)專業(yè)廠商產(chǎn)品：國(guó)家計(jì)委電子政務(wù)CA中心，吉林、山西、福建、陜西、海關(guān)CA、招行CA自建或由關(guān)聯(lián)廠商承建：

CTCA，CPCA，上海、廣東、山東CA認(rèn)證中心建設(shè)的現(xiàn)狀：技術(shù)和標(biāo)準(zhǔn)系統(tǒng)與協(xié)議標(biāo)準(zhǔn)X.509，PKCS〔RSA〕，PKIX-CMP〔PKIX〕SPKM，SSL運(yùn)營(yíng)與管理標(biāo)準(zhǔn)CP/CPS認(rèn)證等級(jí)操作規(guī)那么CA認(rèn)證體系框架的

需求分析平安等級(jí)確實(shí)定相應(yīng)平安等級(jí)的運(yùn)作標(biāo)準(zhǔn)平安策略和操作標(biāo)準(zhǔn)(CP/CPS)CA體系結(jié)構(gòu)的規(guī)劃CA之間的認(rèn)證關(guān)系認(rèn)證范圍的控制和擴(kuò)展CA的根證書(shū)嵌入中文版的瀏覽器CA認(rèn)證體系的設(shè)計(jì)原那么風(fēng)險(xiǎn)控制/平安性實(shí)用性/易用性對(duì)已建CA的兼容性性能/代價(jià)比

CA認(rèn)證體系框架的內(nèi)容■認(rèn)證范圍

■認(rèn)證等級(jí)

■通用性技術(shù)

■整體的平安考慮

■底層技術(shù)的標(biāo)準(zhǔn)化

■CP/CPS的標(biāo)準(zhǔn)化

■認(rèn)證擴(kuò)展和兼容的機(jī)制國(guó)內(nèi)PKI/CA交叉認(rèn)證技術(shù)研究

交叉認(rèn)證的必要性交叉認(rèn)證的模式樹(shù)狀認(rèn)證體系水平交叉認(rèn)證體系橋式認(rèn)證體系

交叉認(rèn)證的必要性〔一〕CA是國(guó)家網(wǎng)絡(luò)平安根底設(shè)施解決國(guó)內(nèi)信息平安問(wèn)題快速提高國(guó)內(nèi)信息平安產(chǎn)品的科技水平創(chuàng)立國(guó)內(nèi)信息平安產(chǎn)業(yè)快速帶動(dòng)信息產(chǎn)業(yè)的開(kāi)展國(guó)家對(duì)信息平安

管理的需求各CA的建設(shè)解決了信息平安問(wèn)題，但又限制了信息應(yīng)用的范圍各CA平臺(tái)根本上基于層次化CA結(jié)構(gòu)，可以通過(guò)技術(shù)手段解決各CA之間相互認(rèn)證的問(wèn)題打破“信息孤島〞解決區(qū)域性信息平安的需求交叉認(rèn)證的必要性〔二〕信息平安問(wèn)題極大影響了信息化的應(yīng)用建立省級(jí)CA是解決網(wǎng)上信息平安的有效手段建立跨CA限制的信息平安保障體系顯得尤為重要推進(jìn)信息化建設(shè)大力開(kāi)展信息化的需求眾多應(yīng)用系統(tǒng)需要CA做平安保障開(kāi)發(fā)與CA聯(lián)接的通用接口，可方便信息平安在應(yīng)用系統(tǒng)中的應(yīng)用，快速促進(jìn)信息化的開(kāi)展研發(fā)跨地區(qū)應(yīng)用系統(tǒng)的交叉認(rèn)證應(yīng)用接口對(duì)解決區(qū)域信息平安具有重大的意義應(yīng)用系統(tǒng)的信息平安保障的要求樹(shù)狀認(rèn)證體系：上下級(jí)關(guān)系A(chǔ)B

根CAA,B均用根CA所發(fā)證書(shū)完成初始化水平交叉認(rèn)證體系：

相互認(rèn)證關(guān)系BABAAB橋式認(rèn)證體系：中介認(rèn)證關(guān)系A(chǔ)B橋橋B橋AA橋B橋樹(shù)狀認(rèn)證體系特點(diǎn)■易于控制，根CA主宰下級(jí)CA的運(yùn)營(yíng)權(quán)■風(fēng)險(xiǎn)集中，根CA的破壞將導(dǎo)致整個(gè)體系的破壞■認(rèn)證關(guān)系要在CA建立之時(shí)就要確立■對(duì)已有的CA中心無(wú)法兼容交叉認(rèn)證體系〔水平和橋式〕特點(diǎn)■CA中心相對(duì)獨(dú)立■風(fēng)險(xiǎn)分散■橋式CA的作用只是認(rèn)證范圍的擴(kuò)展或收縮■對(duì)已有CA中心兼容認(rèn)證擴(kuò)展的應(yīng)用：證書(shū)的下載吉林CACA證書(shū)用戶證書(shū)交叉認(rèn)證證書(shū)群樹(shù)狀證書(shū)鏈認(rèn)證擴(kuò)展的應(yīng)用：證書(shū)的存放

IE瀏覽器的證書(shū)庫(kù)認(rèn)證擴(kuò)展的應(yīng)用：樹(shù)狀認(rèn)證中央CA中央CA山西CA中央CA個(gè)人CA山西CA認(rèn)證擴(kuò)展的應(yīng)用：

水平交叉認(rèn)證吉林CA吉林CA山西CA吉林CA個(gè)人CA山西CA認(rèn)證擴(kuò)展的應(yīng)用：橋式認(rèn)證橋CA橋CA山西CA橋CA個(gè)人CA山西CA個(gè)人CA山西CA山西CA橋CA橋CA吉林CA吉林CA吉林CA國(guó)外認(rèn)證體系框架■樹(shù)形Visa/MasterCardSETCA體系■橋形美國(guó)聯(lián)邦政府CA■水平交叉很多