PKICA系统互操作技术实现模型分析.PDFVIP

2003年 l2月 重庆大学 学报 Dec．20o3 第26卷第l2期 Journal of Chongqing University V_01．26 No．12 文章编号：1000—582X(2003)12—0095—03 PKI／CA系统互操作技术实现模型分析’ 黄 勤 ，谷振 宇 ，刘 易良 (1．重庆大学 自动化学院，重庆400044；2．重庆工学院信息安全研究所，重庆400050) 摘 要：公钥基础设施和数字认证(PKI／CA，Public Key Infrastructure and Certitlcation Authorities)体 系的应用已覆盖了电子商务、电子政务和电子事务等诸多领域，它是一个广泛应用的保障电子信息安全的 解决方案。目前技术实现和安全策略的差异所造成的CA之间的互操作问题反过来制约了数字认证技术 的应用。笔者在对互操作技术及国内外互操作技术实现模型作全面讨论基础上，论述了互操作研究的紧 迫性及其广阔的应用前景，探讨了实施互操作需要解决的几个关键问题，并提出了解决方案的建议。 关键词：公钥基础设施；认证机构；互操作；模型 中图分类号：TP309 文献标识码：A 当今社会，电子商务、电子政务和电子事务等诸多 进我国经济发展、保障国家利益具有重大意义。笔者 领域迫切需要解决网上交易的安全问题。要保障网上 对实施互操作中的几个关键问题略作分析讨论。 的安全交易，涉及到信息的安全性、身份的合法性和行 1 互操作技术及其要素 为的抗抵赖性等问题。其中对用户身份的确认是电子 交易的关键。用户身份合法性的确认是通过从可信的 1．1互操作的含义 第三方——CA(认证机构，Certification Authorities)获 所谓互操作是指不同CA之间的交叉认证，是引 取对方公钥证书来实现的。在实际中存在以下两个方 用 IETF(Intemet工程任务组，Intemet EIlg．m．燃ing 面的问题：一方面若要求任意通信的双方均拥有同一 Task Force)的PKIX(Public Key Infrastructure on X． 认证机构的公钥证书是不现实的；另一方面若要建立 509)工作小组提出的概念，即由一个认证机构对另一 被所有证书使用者信任并能承担巨大风险的认证机构 个认证机构签发包含了CA的签名密钥的认证 也是不实际的。那么，拥有不同CA证书的公钥用户 证书…。 如何确认对方身份从而进行安全通信呢?唯一可行的 在理论上，解决不同CA用户之间的身份认证问 途径是通过CA之间互签证书来确认信任关系，从而 题的唯一可行方法是，公钥用户能够找到并使用另一 进行身份验证，即CA之间的互操作。 证书——即由这个认证机构(公钥用户已经安全地拥 目前PKI(公钥基础设施，Public Key Infrastruc— 有了该认证机构的公钥)所发放的包含了那个特定认 tare)的应用发展非常迅速，已覆盖了安全电子邮件、 证机构公钥的证书，如图1所示。 VPN(虚拟专用网络，Virtual private networks)、Web交 l主俸-Alicc l I主俸 证机轴 l-I I主俸lBo；b l 互安全、电子数据交换、Intemet上的信用卡交易等业 l主体的公钥 l I主体的公蜘 lI I主体的公蜘 I 务，形成了年营业额达数亿美元的大产业。但由于没 l发放者=认证机构A『_—+I发放者r 证机构A l L+l发放者r认证机轴 I 有统一的PKI互操作标准，不同种类产品或者实施不