现阶段PKI建设状况以及交叉认证的问题介绍.pptVIP

现阶段国内外PKI建设状况 美国的PKI建设现状 国防部PKI建设 联邦政府的PKI 华盛顿州PKI建设 国内PKI建设现状 PKI/CA认证中心建设的现状 PKI/CA交叉认证技术 PKI交叉认证所面临的问题 美国防部PKI进展 美国国防部1999年3月开始酝酿国防PKI之事，并制订了国防部PKI行程图和DoD X509证书策略，于1999年10月和12月分别公布，计划于2002年完工。 DoD PKI的目标是：提供或支持： 1）标准化的； 2）多用途和多进程； 3）国防部和联邦政府，盟国，商业伙伴之间的安全互操作性； 4）数字签名和密钥交换; 5)商业化的； 6）联邦信息进程标准FIFS相关要求。 DoD PKI采用集中式证书管理和分散式注册，采用共同的进程和部件，以节省经费和资源。 美国防部PKI 美国防部PKI PKI是美国防部密钥管理构架KMI（Key Management Infrastructure）的重要组成部分。KMI密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统（EKMS）以及物理产品（如密码本和认证器）。KMI负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码服务。 PKI先在非密系统中试点，测试，选型. 美国防部的PKI的研发，将遵循国防部层次化安全等级。美国防部指定国家安全局（NSA）和国防信息系统局（DISA）负责实施DoD PKI,为国防部网络应用提供用户不可否认，数据保密，加密和数字签名等服务。 PKI的运行：国防部DoD PKI布局 美国联邦政府PKI 美国联邦政府成立了联邦PKI促进委员会，并在整个联邦政府中已批准了50多个与PKI 相关的试点。2000年12月公布了联邦搭桥证明机构（FBCA）的X.509证书策略。本策略并非定稿，仍是草稿或听取意见稿。 FBCA支持联邦政府PKI中同等实体之间的互操作。FBCA只向属于主管CA的各CA签发证书，FBCA或与FBCA互操作的各CA向运行FBCA的个人签发证书。FBCA向部局主管CA签发证书起信任的转移作用。 FBCA的最终目标是支持联邦和非联邦实体之间的互操作。但目前的版本还不能通过FBCA建立联邦机构和政府外机构的互操作。 FBCA将采用“集线器”式的非层次化工作方式。 美国联邦政府PKI 华盛顿州PKI 在华盛顿州法律下制定的PKI策略，允许发放CA许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。得到许可的CA，对其雇佣人员必须通过背景安全检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及CA运行机制的采用和安全策略的建立。 华盛顿州PKI 华盛顿洲PKI用于： a) PKI拟支持数字签名，加密，访问控制等应用。 b)政府机构内各司局，部，单位和/或组织间的通信和交易； c)政府机构，公众组织，私人组织和/或个人， 与政府活动相关的通信和交易； 本策略下的证书支持： 1）数字签名； 2）加密和认证电子通信； 3）提供身份证据，支持依赖方所建立的访问控制，防止非授权的计算机系统，电子信息和文件的访问。 现阶段国内外PKI建设状况 美国的PKI建设现状 国防部PKI建设 联邦政府的PKI 华盛顿州PKI建设 国内PKI建设现状 PKI/CA认证中心建设的现状 PKI/CA交叉认证技术 PKI交叉认证所面临的问题 PKI/CA认证中心建设的现状 2003年3月初统计共51个CA 行业型CA中心（全国性） CFCA 国家金融认证中心 CTCA 中国电信认证中心 CPCA 国家邮政认证中心 GACA 公安部数字证书认证中心 国家计委电子政务CA中心 海关CA PKI/CA认证中心建设的现状 区域型CA中心 西部CA、上海CA、北京CA、天津CA、广东CA 海南CA、深圳CA、吉林CA、山西CA、陕西CA、 福建CA、重庆CA、湖北CA、云南CA 企业型CA 一汽、福建商业银行、招商银行、黑龙江邮政、 吉林省政府办公厅、吉林电力CA、黑龙江电力CA、 辽宁电力CA，等等 PKI/CA认证中心建设现状：产品 国外产品：CFCA、泰康人寿 国内专业厂商产品： 国家计委电子政务CA中心，吉林、山西、福建、 陕西、海关CA 、招行CA 自建或由关联厂商承建： CTCA，CPCA，上海、广东、山东 CA认证中心建设的现状：技术和标准 系统与协议标准 X.509，PKCS（RSA），PKIX-CMP（PKIX） SPKM，SSL 运营与管理规范 CP/CPS 认证等级