現(xiàn)階段PKI建設(shè)狀況以及交叉認證的問題

現(xiàn)階段國內(nèi)外PKI建設(shè)狀況美國的PKI建設(shè)現(xiàn)狀國防部PKI建設(shè)聯(lián)邦政府的PKI華盛頓州PKI建設(shè)國內(nèi)PKI建設(shè)現(xiàn)狀PKI/CA認證中心建設(shè)的現(xiàn)狀

PKI/CA交叉認證技術(shù)

PKI交叉認證所面臨的問題美國防部PKI進展美國國防部1999年3月開始醞釀國防PKI之事，并制訂了國防部PKI行程圖和DoDX509證書策略，于1999年10月和12月分別公布，方案于2002年完工。DoDPKI的目標是：提供或支持：1〕標準化的；2〕多用途和多進程；3〕國防部和聯(lián)邦政府，盟國，商業(yè)伙伴之間的平安互操作性；4〕數(shù)字簽名和密鑰交換;5)商業(yè)化的；6〕聯(lián)邦信息進程標準FIFS相關(guān)要求。DoDPKI采用集中式證書管理和分散式注冊，采用共同的進程和部件，以節(jié)省經(jīng)費和資源。美國防部PKIDoDPKI根CA互相證明聯(lián)邦/盟國PKI根CACADoDCA地區(qū)網(wǎng)站NSA集中式分散式外部CA〔將來〕地區(qū)注冊機構(gòu)國防部用戶注冊工作站美國防部PKIPKI是美國防部密鑰管理構(gòu)架KMI〔KeyManagementInfrastructure〕的重要組成局部。KMI密鑰管理構(gòu)架，包括傳統(tǒng)的密鑰管理系統(tǒng)，電子密鑰管理系統(tǒng)〔EKMS〕以及物理產(chǎn)品〔如密碼本和認證器〕。KMI負責提供密鑰產(chǎn)品，包括對稱密鑰和非對稱密鑰，為軍事，情報，政府，盟國，合同企業(yè)，商務(wù)伙伴提供密碼效勞。PKI先在非密系統(tǒng)中試點，測試，選型.美國防部的PKI的研發(fā)，將遵循國防部層次化平安等級。美國防部指定國家平安局〔NSA〕和國防信息系統(tǒng)局〔DISA〕負責實施DoDPKI,為國防部網(wǎng)絡(luò)應(yīng)用提供用戶不可否認，數(shù)據(jù)保密，加密和數(shù)字簽名等效勞。PKI的運行：國防部DoDPKI布局ROOTCALRARAIDCACA目錄托管根CA當?shù)刈宰詸C構(gòu)身份CA郵件CA身份/郵件目錄密鑰托管M/SCLIENTLOTUSNESCAPENOVELLACTIVENESCAPEM/SSERVERCLIENTCLIENTNDSDIRECTORYLDAPv3PROTOCOLDNSMAILSISCOSISCOSNIFFERSERVERSERVERROUTERROUTERR美國聯(lián)邦政府PKI美國聯(lián)邦政府成立了聯(lián)邦PKI促進委員會，并在整個聯(lián)邦政府中已批準了50多個與PKI 相關(guān)的試點。2000年12月公布了聯(lián)邦搭橋證明機構(gòu)〔FBCA〕的X.509證書策略。本策略并非定稿，仍是草稿或聽取意見稿。FBCA支持聯(lián)邦政府PKI中同等實體之間的互操作。FBCA只向?qū)儆谥鞴蹸A的各CA簽發(fā)證書，F(xiàn)BCA或與FBCA互操作的各CA向運行FBCA的個人簽發(fā)證書。FBCA向部局主管CA簽發(fā)證書起信任的轉(zhuǎn)移作用。FBCA的最終目標是支持聯(lián)邦和非聯(lián)邦實體之間的互操作。但目前的版本還不能通過FBCA建立聯(lián)邦機構(gòu)和政府外機構(gòu)的互操作。FBCA將采用“集線器〞式的非層次化工作方式。美國聯(lián)邦政府PKIFBCA主管CA主管CACACACACA個人個人個人個人華盛頓州PKI在華盛頓州法律下制定的PKI策略，允許發(fā)放CA許可證，不在華盛頓州的署名用戶和依賴方可以獲得或使用本策略下發(fā)放的證書，可以在華盛頓州外進行交易，應(yīng)用，通信，除非被聯(lián)邦法律禁止。得到許可的CA，對其雇傭人員必須通過背景平安檢查和測試，如證書管理知識，包括證書發(fā)放，證書系統(tǒng)運行，以及CA運行機制的采用和平安策略的建立。華盛頓州PKI華盛頓洲PKI用于：a)PKI擬支持數(shù)字簽名，加密，訪問控制等應(yīng)用。b)政府機構(gòu)內(nèi)各司局，部，單位和/或組織間的通信和交易；c)政府機構(gòu)，公眾組織，私人組織和/或個人，與政府活動相關(guān)的通信和交易；本策略下的證書支持：1〕數(shù)字簽名；2〕加密和認證電子通信；3〕提供身份證據(jù)，支持依賴方所建立的訪問控制，防止非授權(quán)的計算機系統(tǒng)，電子信息和文件的訪問?，F(xiàn)階段國內(nèi)外PKI建設(shè)狀況美國的PKI建設(shè)現(xiàn)狀國防部PKI建設(shè)聯(lián)邦政府的PKI華盛頓州PKI建設(shè)國內(nèi)PKI建設(shè)現(xiàn)狀PKI/CA認證中心建設(shè)的現(xiàn)狀

PKI/CA交叉認證技術(shù)

PKI交叉認證所面臨的問題PKI/CA認證中心建設(shè)的現(xiàn)狀2003年3月初統(tǒng)計共51個CA行業(yè)型CA中心〔全國性〕CFCA國家金融認證中心CTCA中國電信認證中心CPCA國家郵政認證中心GACA公安部數(shù)字證書認證中心國家計委電子政務(wù)CA中心海關(guān)CAPKI/CA認證中心建設(shè)的現(xiàn)狀區(qū)域型CA中心西部CA、上海CA、北京CA、天津CA、廣東CA海南CA、深圳CA、吉林CA、山西CA、陜西CA、福建CA、重慶CA、湖北CA、云南CA企業(yè)型CA一汽、福建商業(yè)銀行、招商銀行、黑龍江郵政、吉林省政府辦公廳、吉林電力CA、黑龍江電力CA、遼寧電力CA，等等PKI/CA認證中心建設(shè)現(xiàn)狀：產(chǎn)品國外產(chǎn)品：CFCA、泰康人壽國內(nèi)專業(yè)廠商產(chǎn)品：國家計委電子政務(wù)CA中心，吉林、山西、福建、陜西、海關(guān)CA、招行CA自建或由關(guān)聯(lián)廠商承建：

CTCA，CPCA，上海、廣東、山東CA認證中心建設(shè)的現(xiàn)狀：技術(shù)和標準系統(tǒng)與協(xié)議標準X.509，PKCS〔RSA〕，PKIX-CMP〔PKIX〕SPKM，SSL運營與管理標準CP/CPS認證等級操作規(guī)那么CA認證體系框架的

需求分析平安等級確實定相應(yīng)平安等級的運作標準平安策略和操作標準(CP/CPS)CA體系結(jié)構(gòu)的規(guī)劃CA之間的認證關(guān)系認證范圍的控制和擴展CA的根證書嵌入中文版的瀏覽器CA認證體系的設(shè)計原那么風(fēng)險控制/平安性實用性/易用性對已建CA的兼容性性能/代價比

CA認證體系框架的內(nèi)容■認證范圍

■認證等級

■通用性技術(shù)

■整體的平安考慮

■底層技術(shù)的標準化

■CP/CPS的標準化

■認證擴展和兼容的機制國內(nèi)PKI/CA交叉認證技術(shù)研究

交叉認證的必要性交叉認證的模式樹狀認證體系水平交叉認證體系橋式認證體系

交叉認證的必要性〔一〕CA是國家網(wǎng)絡(luò)平安根底設(shè)施解決國內(nèi)信息平安問題快速提高國內(nèi)信息平安產(chǎn)品的科技水平創(chuàng)立國內(nèi)信息平安產(chǎn)業(yè)快速帶動信息產(chǎn)業(yè)的開展國家對信息平安

管理的需求各CA的建設(shè)解決了信息平安問題，但又限制了信息應(yīng)用的范圍各CA平臺根本上基于層次化CA結(jié)構(gòu)，可以通過技術(shù)手段解決各CA之間相互認證的問題打破“信息孤島〞解決區(qū)域性信息平安的需求交叉認證的必要性〔二〕信息平安問題極大影響了信息化的應(yīng)用建立省級CA是解決網(wǎng)上信息平安的有效手段建立跨CA限制的信息平安保障體系顯得尤為重要推進信息化建設(shè)大力開展信息化的需求眾多應(yīng)用系統(tǒng)需要CA做平安保障開發(fā)與CA聯(lián)接的通用接口，可方便信息平安在應(yīng)用系統(tǒng)中的應(yīng)用，快速促進信息化的開展研發(fā)跨地區(qū)應(yīng)用系統(tǒng)的交叉認證應(yīng)用接口對解決區(qū)域信息平安具有重大的意義應(yīng)用系統(tǒng)的信息平安保障的要求樹狀認證體系：上下級關(guān)系A(chǔ)B

根CAA,B均用根CA所發(fā)證書完成初始化水平交叉認證體系：

相互認證關(guān)系BABAAB橋式認證體系：中介認證關(guān)系A(chǔ)B橋橋B橋AA橋B橋樹狀認證體系特點■易于控制，根CA主宰下級CA的運營權(quán)■風(fēng)險集中，根CA的破壞將導(dǎo)致整個體系的破壞■認證關(guān)系要在CA建立之時就要確立■對已有的CA中心無法兼容交叉認證體系〔水平和橋式〕特點■CA中心相對獨立■風(fēng)險分散■橋式CA的作用只是認證范圍的擴展或收縮■對已有CA中心兼容認證擴展的應(yīng)用：證書的下載吉林CACA證書用戶證書交叉認證證書群樹狀證書鏈認證擴展的應(yīng)用：證書的存放

IE瀏覽器的證書庫認證擴展的應(yīng)用：樹狀認證中央CA中央CA山西CA中央CA個人CA山西CA認證擴展的應(yīng)用：

水平交叉認證吉林CA吉林CA山西CA吉林CA個人CA山西CA認證擴展的應(yīng)用：橋式認證橋CA橋CA山西CA橋CA個人CA山西CA個人CA山西CA山西CA橋CA橋CA吉林CA吉林CA吉林CA國外認證體系框架■樹形Visa/MasterCardSETCA體系■橋形美國聯(lián)邦政府CA■水平交叉很多