交叉认证模式浅析.docVIP

交叉认证模式浅析 徐晓娟 高建峰 (北京理工大学 计算机工程与应用， 北京100081) jianfeng_gao@ 摘要：PKI(Public Key Infrastructure)1技术是流行的网络身份认证技术和手段，目前我们国家PKI系统开始大规模的建设。随着CA(Certificate Authority)系统的大规模建设，证书用户的逐渐增多，如何解决CA系统的互相信任成为了解决信任孤岛问题的关键。该论文主要阐述了交叉认证2的几种模式，并且比较了各种方式的优缺点。 关键词：证书1 交叉认证 4信任4 The Analyse of PKI Interoperability XU Xiaojuan GAO Jianfeng (Beijing Institute of Technology, Beijing 100081) Abstract：PKI has been recognized as one of the most effective tools for providing identity authentication for networks. At present, PKI system of our country begins to be constructed on a large scale. With the CA (Certificate Authority) system being constructed on a large scale, certificate user will gradually increase how to resolve trusting each other of CA system become the key of resolving the problem of isolated island for trust. Several modes of intersection authentication are mainly expounded and the advantage and disadvantage of all kinds of modes also are compared in the paper. Key words： Certificate Cross-Certification Trust 引言 网络信息化时代的一大特征就是身份的数字化和隐性化,身份的鉴别、信息的保密性、信息的防篡改、防抵赖是当今信息化时代必须解决的关键问题。PKI体系在统一的安全认证体系标准和规范基础上提供在线身份认证，核心是要解决信息网络空间的信任问题，确定信任网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的唯一性、真实性、合法性，保护信息网络空间中各种主体的安全利益。PKI作为国家信息化的基础设施，涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面的问题，是相关技术、应用、组织、规范和法律法规的总和。目前我国开展了大规模的CA系统建设，成功的解决了各种信息化系统建设的信息安全问题，同时各级CA系统的建设也限制了信息安全的应用范围，造成了信任孤岛，不利于各级信息系统的互连互通，本文主要论述各种CA系统互连互通问题。 CA系统建设情况 建设情况 自1998年中国出现第一家CA证书机构(中国电信CA认证中心CTCA)以来，已有许多的CA证书机构建成并运行，开始在电子商务和电子证书应用中发挥作用。目前我国的CA证书机构可分为区域类、行业类、商业类和企业类。区域类CA证书机构大多以地方政府为背景，以公司机制来运作，主要为本地行政区域内的电子商务业务和面向公众服务的电子政务业务发放证书，如西部CA、陕西 CA、湖北CA、福建CA、上海CA、北京CA、重庆CA、吉林CA、山西CA等；行业类CA证书机构以部委或行业主管部门为背景，以非公司机制或公司机制运行，在本部委或行业内为电子政务业务和电子商务业务发放证书，如公安CA、联通CA、CFCA、纪委CA等；商业类CA证书机构以公司机制运作，面向全国 范围为电子商务业务发放证书，如天威诚信等；企业类CA证书机构，主要是为 企业内部的业务发放证书，不向公众提供证书服务。 截至2002年年底，目前国内的CA机构已有区域类、行业类、商业类和企业类四类，前三种CA机构已有60余家，58%的省市建立了区域CA，部分部委建设了行业CA，数字证书在电子政务、网上银行、B2B交易、网上税务申报、资金结算、财政预算、工商网上申报和网上年检等众多领域、行业得到应用。 存在的问题 必须看到，我国PKI/CA建设还处在刚刚起步的阶段，还存在不少亟待解决的问题。这些问题主要有： 由于CA采用的技术和管理体系不尽相同，影响了