PKI体系架构策略.docVIP

PKI分析设计篇――PKI体系架构策略 目前，在PKI体系基础上建立起来的安全证书体系得到了从普通用户、商家、银行到政府各职能部门的普遍关注。PKI系统的建立应该着眼于用户使用证书及相关服务的便利性、用户身份认证的可靠性，具体职能包括：制定完整的证书管理政策、建立高可信度的CA中心、负责用户属性的管理、用户身份隐私的保护和证书作废列表的管理，CA中心为用户提供证书及CRL有关服务的管理，建立安全和相应的法规，建立责任划分并完善责任政策。但是怎样让PKI各组成部分有机协调，不同CA之间的互连互通是个非常重要的问题，为此专家学者设计了多种PKI体系架构，美国、加拿大等政府机构都提出了建立国家PKI体系的具体实施方案。? PKI是由很多CA及CA信任链组成的。CA通过三种方式组织到一起。第一种是首先建立根CA，再在根CA下组成分层的体系结构，上层CA向下层CA发放证书。第二种是CA连接成网状，并且它们之间的地位相互平等。第三种是美国技术标准组织制定了一种融合分层结构和网状结构体系特点的混合体系结构规范。这种混合体系结构也叫桥接体系结构。桥接体系结构是为解决以上两种体系交叉信任而建立的，它具有两种体系结构的优点。目前国际上流行的就是以加拿大和美国为代表的PKI体系结构：桥接体系结构和分层体系结构。?? 分层体系结构? 典型的分层体系结构实例是加拿大政府PKI体系结构，如下图所示： ? 加拿大对于政府PKI体系的研究始于1993年。经过若干年的研究，在2000年，在建立一个开放的PKI体系方面获得重要的进展。从上图可以看到，加拿大政府PKI体系结构是由政策管理机构(PMA)、中央认证机构(CCF)、一级CA和当地注册机构(LRA)组成。其中PMA是一个若干部门共同组建的机构，由加拿大政府财政部秘书处领导，为政府PKI体系提供全面的政策指导，负责监督和管理加拿大政府PKI体系的政策实施情况。CCF是中央认证机构，它实施政府PKI体系中的所有策略，签署和管理与一级CA交叉认证的证书。一级CA是由政府运营，制定一个和多个证书担保的等级，分发和管理数字证书，定期颁布证书注销黑名单。当地注册机构(LRA)是一级CA设置的登记机构或个人，其职责是认证和鉴别申请者的身份，为密钥恢复或证书恢复请求进行审批，接受并审批证书的注销请求。? 加拿大政府PKI体系工作原理是：所有CA形成树状结构，每个用户的公钥和身份验证信息都放在证书中，CA在每个证书上签名，并使其包含公钥的证书对外公开。任何用户都能方便的得到其它用户的公钥，通过公钥验证用户的签名。? 加拿大政府PKI体系是一个完全政府行为的公开密钥体系结构，它充分考虑了交易的私有性和安全性，并把保护交易私有性和安全性列为信息高速公路的首要问题。它提供了完全一致的密钥管理办法，并为加密和数字签名提供完全相同的验证过程，它电子认证，鉴别和智能卡等多项技术的集成。?? 桥接体系结构? 美国联邦PKI体系结构是典型的桥接体系结构，主要由桥认证机构(FBCA，Federal Bridge CA)、首级认证机构(PCA，Principal CA)和次级认证机构(SCA，Subordinate CA)等组成，如下图所示： ? 从图中我们可以看到联邦PKI体系结构中没有根CA，取而代之的是首级CA，这是因为只有树状结构中的首级CA才称作根CA，而在美国信任域的结构是多种多样的，联邦PKI可以支持分层结构、网状结构。桥CA是联邦PKI的核心组织，是不同信任域的桥梁，负责为不同信任域的首级CA颁发、更新交叉认证的证书，注销黑名单。? 联邦PKI的工作原理实际就是桥接CA的工作原理。桥CA不像网状CA直接向用户颁发证书，也不像根CA成为一个信任点，它不与信任域之间建立对等信任关系，允许用户保留他们自己的原始信任点。任何结构的PKI都可以通过桥CA连接起来，实现彼此间的信任，并且桥CA将每一个单独的信任域扩展到整个联邦PKI体系中。美国政府联邦PKI体系还处于研究和测试阶段，正式投入使用还需要做很多工作。? 联邦PKI和加拿大PKI都是政府行为的PKI体系，在政府的倡导下研究和建立的，其成员主要是各级政府。两种体系中均有一个交叉认证中心，由它来沟通不同信任域之间的关系，同时也是和其它政府PKI建立信任关系的接口，是该体系与外界建立信任关系的唯一通道。? 对我国PKI体系建设的一点建议? 目前国内已建成很多大型行业或地方CA，但都没有充分发挥作用，年发证量达不到原设计目标。在各种技术体制和不同厂家的产品大量涌入中国市场、国内自主研发的系统也纷纷登场的情况下，不同PKI／CA体系之间难于互操作的问题日益凸现。在经济日益全球化的形势下，要解决不同PKI／CA体系之间的互操作问题，采用分层体系结构和桥接体系结构都不能有效的解决我国