美国联邦PKI_FPKI_的发展与现状.pdfVIP

电子政务23 E-GOVERNMENT2005 9 美国联邦PKI(FPKI)的发展与现状 文/任金强·国家信息中心 刘海龙·北京天威诚信电子商务服务有限公司 美国FPKI是按照自下而上（from the bottom-up）的方式逐步演进而来的。起初，在没有联邦政府统一规定的情况下，各联邦机构均在 不同程度上采用PKI技术来满足其自身的安全需求；为解决各联邦机构PKI的互操作问题，建立了联邦桥CA（FBCA）与各独立PKI互通， 实现了FPKI体系的基本搭建；近来，为进一步节省投资，又提出共享服务提供者 （SSP）模式，从而形成了以策略管理和体系建设并举 的美国FPKI独有模式。 一、FPKI的演进 （GITSB）、预算管理办公室 （OMB）和政府 示）。 纵观美国PKI的建设过程，FPKI的发展 改革国家合作组织 （NPR）共同发起的，由 电子消息联盟 （EMA）挑战 2000 经历了三个阶段： 24个机构的50多名成员组成。FPKISC的主 （EMA2000）就是通过FBCA的原型系统实现 ● 1996年之前，无序阶段； 要工作就是促进PKI互操作、开发通用指南 PKI互操作的实验证明。 ● 1996～2002，以FBCA为核心的体系并共享信息。 2000年4月6～8日，FPKISC与国家安 搭建阶段； 1998年中，FPKISC提出了联邦PKI的管 全局 （NSA）、国家标准技术研究所 （NIST） ● 2003之后，策略管理和体系建设并 理模式，即 “由被管理者自行管理” 等机构共同进行了EMA2000测试。FBCA的 举的成熟阶段。 （governance by the governed）。在该模式的 原型系统包括两个CA：Entrust CA和 1.无序阶段 指引下，提出了联邦桥CA（FBCA）的概念， Cybertrust CA，并且二者进行了交叉认证。 1996年之前，美国的PKI基本上处于一 并成立了联邦PKI策略权威（FPKIPA），由该 其他参与测试的CA包括： 种无序状态。既没有联邦政府级的PKI建设 机构来决定某机构的PKI能否通过FBCA与 ● DOD BCA，与Entrust CA交叉； 计划，也没有任何机构或组织能够对FPKI的 其他机构的PKI互操作，也就是说由FPKIPA ● GSA Cybertrust CA，与 发展进行规划。各级政府部门都是在自己 来实现各机构PKI证书策略与FBCA证书策 交叉； 的内部建设和使用PKI技术，各PKI完全是略的映射，从而使各机构能够决定其他机 ● 乔治亚技术研究所 （GTRI）CA，与 相互独立的信任孤岛，根本无法实现互通， 构的证书策略能否达到自己所要求的信任 Entrust CA交叉； 因此处于一种各自为政的无序状态。 级别。 ● NIST Entrust CA1，与Entrust CA交 2.体系搭建阶段 FPKISC意图通过FBCA来实现所有机构 叉； 1996年，联邦PKI指导委员会（FPKISC） PKI的互通，从而形成一个统一的FPKI，并 ● NIST Entrust CA2，与 的成立，标志着FPKI开始由无序向有序发 且通过实现FBCA与其他桥CA之间的互通， 交叉； 展。FPKISC由政府信息技术服务委员会 实现FPKI与其他PKI之间的互通（如图1所 ● 加拿大政府 Entrust CA，与Entrust 10 电子政务23 E-GOVERNMENT2005 图1 FPKI的最初设想 CA交叉；