第12讲 组件互操作规范.pptVIP

PKI技术 回顾 PKI的信任模型 桥CA/Cross Recognition/网状模型等等 解决不同CA公司的用户之间如何相互通信 也就是不同的CA信任域的用户 是PKI “使用”中的互操作问题 那么，对于PKI系统“本身”，是否也存在着互操作问题？ 诸多组件如何协同工作？ 完整的PKI系统 可能包括各种组件 CA/RA/OCSP Server/Client/Subscriber/CRL Issuer/Repository/KMC 共有8种 对于1个PKI系统本身，8种不同的组件进行通信，是否也存在互操作问题？ 如果组件是由不同厂商生产？ 必须制定标准的通信协议 各种组件之间的通信协议 类似于B/S系统，包括了 WWW服务器和浏览器2种组件 必须制定标准的HTTP协议，才能保证B/S系统的正常运行 对于PKI系统的8种组件，需要制定多少种协议？ 如果每种组件都要相互通信的话，最多可能需要制定8×7/2＝28种协议 显然太多！ 制定协议的问题 真的需要这么多？28？ 事实上，完成最基本功能的PKI系统，并不需要8种组件 例如OCSP Server/CRL Issuer完全是可选件 并不是所有的组件都要相互通信 例如KMC和Repository，一般是不进行通信的 有些组件之间的通信较难以形成国际标准 例如从KMC获取加密密钥的协议，不同的国家对于机密性算法，常常会有自己的专门标准（甚至于是保密的、专用的标准） 制定协议标准 通常是给出了一些通用的、共同的要求 对于可选实现、独特的部分，没有专门给出协议标准 建设最基本的PKI系统，需要的最基本的组件包括： CA/RA/Client/Subscriber/Repository 组件协议 规范PKI系统的生产和建设，最主要是规范最基本组件的通信和功能支持 CA/RA/Client/Subscriber/Repository 至于其他组件，可选支持，不是主要方面 KMC/CRL Issuer/OCSP Server 美联邦的PKI建设 现状 多家PKI/CA公司和单位，提供证书服务 多家PKI/CA厂商，生产PKI/CA系统 NIST PKI Project Team为规范美国的PKI建设和生产，制定MISPC Minimum Interoperability Specification for PKI Components MIPSC Minimum Interoperability Specification for PKI Components, Version 1 1997年版本1 /publications/nistpubs/800-15/SP800-15.PDF 正式的Version 2，目前正在制定之中 说明、注意 Interoperability的意义 在MISPC中的Interoperability侧重于PKI系统中的组件通信、组件互操作 不涉及应用功能/应用系统 主要的是PKI系统内部的互操作，而不是使用证书过程中的互操作 Interoperability在其他文档中，可能就有其他的意义 有的地方是侧重于使用上的互联互通 应用层次意义上的互操作 PKI组件最小互操作规范 在MISPC中 规定了PKI中最基本的4个组件应该满足的、最小的互操作程度 规定了各组件的功能支持和交易协议支持 利用定义的通信协议，完成一定的信息交换，在MISPC中称为Transaction 功能是指组件自己进行的数据处理能力 交易和功能的区分 在MISPC中，区分了功能和交易 Function 组件自己进行的内部数据处理能力 Transaction 多个组件之间交换数据 一般，1次交易包含了多次的数据交换 例如，如下 交易和功能的例子 CA的功能 对TBSCertificate进行数字签名，然后将其合成1个证书 CA与Certificate Holder的交易 Certificate Holder发出证书请求 CA返回已经签名好的证书 2次数据交换，构成了1次交易 交易的顺利完成，需要功能的支持 以及交易消息的数据格式 MISPC 对于1个PKI系统“内部”的互操作 定义了若干种组件应该支持的“交易” 交易所需的功能 给出了交易的通信消息格式 包括消息格式中最重要的部分： 证书格式和CRL格式的要求 同时也简单地说明了PKI系统“之间”的互操作 对交叉认证交易的支持 便于在交叉认证的基础上，进行各种信任域的互操作 对于信任域之间的互操作，没有进一步规定 MISPC的作用 制定MISPC的初衷和作用 为了规范美联邦的PKI建设，保证各商业CA公司、政府部门CA等等的组件之间，能够相互通信。 对参加美PKI建设的厂商提出产品要求 因为美联邦的影响力，也成为世界很多国家PKI建设的重要参考 本课程