基于桥认证结构的交叉认证及其可能产生的副作用.pdfVIP

基于桥认证结构的交叉认证及其可能产生的副作用 coolswallow of Javaphile coolswallow@ 摘要：目前有很多机构为了实现PKI的互用性，都倾向于使用基于桥认证结构的交叉认证。 但实际上桥认证并不是万能的，除了相应的标准，有很多隐蔽的因素可能会影响这种模型的 性能。本文就将介绍使用基于桥认证结构的交叉认证的信任模型，以及其可能会造成的一些 潜在的副作用，包括目录互操作性所造成的信任过渡现象，信任点的选择引起的策略映射问 题等。 关键字：交叉认证，桥认证机构，信任路径，策略映射 桥认证机构(Bridge Certification Authority)和证书桥(Certificate Bridges) 桥认证结构是被设计成用来克服两种基本的PKI结构的缺点和连接不同结构的PKI系统 [1]。不同于网状的CA结构，桥认证机构不直接向用户发放证书。而且，桥认证机构不作为 一个可信任点，供PKI中的用户使用，这一点不同于分级结构中的根CA。桥认证机构与不同 的用户群体建立对等的可信任关系，允许用户保持原有的可信任点。这些关系被结合起来形 成“证书桥”，使得来自不同信任域的用户通过指定信任级别的桥认证机构相互信任。 证书桥一个经常被人称道的优势是，一方不需要成为另一个信任域的证书层次结构中的 一部分，仅仅需要信任一个信任定位点(trust anchor)(即自身信任域中的一个公钥)即可与另 一方共享一个更大的信任域。 另一个优势是，证书桥的一方也可以相对肯定地确认证书持有者的身份，即根据对其他 方的信任来确认一个组织的身份。交叉认证其实并不能自动地保证这种安全，而是由于其本 身也是依次让每一方根据交叉认证来仔细检查另一方事先颁布的身份审查策略、私钥保护策 略、认证机构和目录基础设施操作策略等等。因此，一个交叉认证证书一旦被签发，就表明 已经对其背景做过彻底的可接受性检查。已签发的交叉认证证书可以被用来动态地构造一个 证书链，称之为信任路径。信任路径是一个从证书签发者到另一方的信任链，它由一个完整 的证书集（包括了支持证书有效期的声明）组成，形成一条切实的信任记录，可以被存储以 备未来之用。 目录互操作性(Directory Interoperability) 桥认证机构是多信任域PKI体系(连接多个信任域)中的核心，是不同信任域之间的桥梁， 主要负责为不同信任域的主CA颁发交叉认证证书，以及更新交叉认证证书，发布交叉认证 证书撤消清单(certificate revocation lists)等，同时还需要为颁发CA证书、交叉认证证书和 证书撤消清单提供一个公开可用的X.500或者LDAP 目录。为了配置这些X.500/LDAP 目录以 便于寻找和确认信任路径，桥认证机构还需要建立各个信任域的证书策略与桥认证机构的证 书策略之间的一一映射关系[2] ，即在已被签发交叉认证证书的各CA 目录之间提供链接 (chaining)或转介(referrals)。 这样的意图是提供一个一次购足(one-stop-shop)式的虚拟目录，这样在信任路径的寻 找和确认过程中就可以检索到所有相关的证书和证书撤消清单。在实际操作过程中，每一个 交叉认证的组织对于其用户(证书签发或雇员)都有自己的X.500/LDAP 目录，首先可以在这 个本地目录中对LDAP客户进行检索和确认，但如果所需的证书或者证书撤消清单不在本地 目录基准专有名称(base Distinguished Name)下，就可以通过上级索引链接(对用户是透明 的)对主桥认证机构提出检索请求。不管该证书或证书撤消清单存储在哪，它都会被返回给 LDAP客户端。但如果没有实现上级索引链接，目前还没有其他办法可以让桌面的LDAP客 户端找到应该连接哪一个目录去检索一个证书或证书撤消列表。因此，桥认证机构目录必须 能解析每一个曾通过桥认证机构组成一条信任路径的基准专有名称。下面将通过一个实例来 解释整个处理过程。该实例假设存在以下PKI成员： 一个政府（证书）桥认证机构 (A Government Certification Bridge Authority (GBA)) 一个政府协会(A Government Institution (GI)) 一个临国的桥认证机构(A Neighboring Nation Bridge Authority (NNBA)) 一个大学的桥认证机构(A University Br