现阶段PKI建设状况以及交叉认证的问题

现阶段国内外PKI建设状况美国的PKI建设现状国防部PKI建设联邦政府的PKI华盛顿州PKI建设国内PKI建设现状PKI/CA认证中心建设的现状

PKI/CA交叉认证技术

PKI交叉认证所面临的问题美国防部PKI进展美国国防部1999年3月开始酝酿国防PKI之事，并制订了国防部PKI行程图和DoDX509证书策略，于1999年10月和12月分别公布，方案于2002年完工。DoDPKI的目标是：提供或支持：1〕标准化的；2〕多用途和多进程；3〕国防部和联邦政府，盟国，商业伙伴之间的平安互操作性；4〕数字签名和密钥交换;5)商业化的；6〕联邦信息进程标准FIFS相关要求。DoDPKI采用集中式证书管理和分散式注册，采用共同的进程和部件，以节省经费和资源。美国防部PKIDoDPKI根CA互相证明联邦/盟国PKI根CACADoDCA地区网站NSA集中式分散式外部CA〔将来〕地区注册机构国防部用户注册工作站美国防部PKIPKI是美国防部密钥管理构架KMI〔KeyManagementInfrastructure〕的重要组成局部。KMI密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统〔EKMS〕以及物理产品〔如密码本和认证器〕。KMI负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码效劳。PKI先在非密系统中试点，测试，选型.美国防部的PKI的研发，将遵循国防部层次化平安等级。美国防部指定国家平安局〔NSA〕和国防信息系统局〔DISA〕负责实施DoDPKI,为国防部网络应用提供用户不可否认，数据保密，加密和数字签名等效劳。PKI的运行：国防部DoDPKI布局ROOTCALRARAIDCACA目录托管根CA当地注册注册机构身份CA邮件CA身份/邮件目录密钥托管M/SCLIENTLOTUSNESCAPENOVELLACTIVENESCAPEM/SSERVERCLIENTCLIENTNDSDIRECTORYLDAPv3PROTOCOLDNSMAILSISCOSISCOSNIFFERSERVERSERVERROUTERROUTERR美国联邦政府PKI美国联邦政府成立了联邦PKI促进委员会，并在整个联邦政府中已批准了50多个与PKI 相关的试点。2000年12月公布了联邦搭桥证明机构〔FBCA〕的X.509证书策略。本策略并非定稿，仍是草稿或听取意见稿。FBCA支持联邦政府PKI中同等实体之间的互操作。FBCA只向属于主管CA的各CA签发证书，FBCA或与FBCA互操作的各CA向运行FBCA的个人签发证书。FBCA向部局主管CA签发证书起信任的转移作用。FBCA的最终目标是支持联邦和非联邦实体之间的互操作。但目前的版本还不能通过FBCA建立联邦机构和政府外机构的互操作。FBCA将采用“集线器〞式的非层次化工作方式。美国联邦政府PKIFBCA主管CA主管CACACACACA个人个人个人个人华盛顿州PKI在华盛顿州法律下制定的PKI策略，允许发放CA许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。得到许可的CA，对其雇佣人员必须通过背景平安检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及CA运行机制的采用和平安策略的建立。华盛顿州PKI华盛顿洲PKI用于：a)PKI拟支持数字签名，加密，访问控制等应用。b)政府机构内各司局，部，单位和/或组织间的通信和交易；c)政府机构，公众组织，私人组织和/或个人，与政府活动相关的通信和交易；本策略下的证书支持：1〕数字签名；2〕加密和认证电子通信；3〕提供身份证据，支持依赖方所建立的访问控制，防止非授权的计算机系统，电子信息和文件的访问。现阶段国内外PKI建设状况美国的PKI建设现状国防部PKI建设联邦政府的PKI华盛顿州PKI建设国内PKI建设现状PKI/CA认证中心建设的现状

PKI/CA交叉认证技术

PKI交叉认证所面临的问题PKI/CA认证中心建设的现状2003年3月初统计共51个CA行业型CA中心〔全国性〕CFCA国家金融认证中心CTCA中国电信认证中心CPCA国家邮政认证中心GACA公安部数字证书认证中心国家计委电子政务CA中心海关CAPKI/CA认证中心建设的现状区域型CA中心西部CA、上海CA、北京CA、天津CA、广东CA海南CA、深圳CA、吉林CA、山西CA、陕西CA、福建CA、重庆CA、湖北CA、云南CA企业型CA一汽、福建商业银行、招商银行、黑龙江邮政、吉林省政府办公厅、吉林电力CA、黑龙江电力CA、辽宁电力CA，等等PKI/CA认证中心建设现状：产品国外产品：CFCA、泰康人寿国内专业厂商产品：国家计委电子政务CA中心，吉林、山西、福建、陕西、海关CA、招行CA自建或由关联厂商承建：

CTCA，CPCA，上海、广东、山东CA认证中心建设的现状：技术和标准系统与协议标准X.509，PKCS〔RSA〕，PKIX-CMP〔PKIX〕SPKM，SSL运营与管理标准CP/CPS认证等级操作规那么CA认证体系框架的

需求分析平安等级确实定相应平安等级的运作标准平安策略和操作标准(CP/CPS)CA体系结构的规划CA之间的认证关系认证范围的控制和扩展CA的根证书嵌入中文版的浏览器CA认证体系的设计原那么风险控制/平安性实用性/易用性对已建CA的兼容性性能/代价比

CA认证体系框架的内容■认证范围

■认证等级

■通用性技术

■整体的平安考虑

■底层技术的标准化

■CP/CPS的标准化

■认证扩展和兼容的机制国内PKI/CA交叉认证技术研究

交叉认证的必要性交叉认证的模式树状认证体系水平交叉认证体系桥式认证体系

交叉认证的必要性〔一〕CA是国家网络平安根底设施解决国内信息平安问题快速提高国内信息平安产品的科技水平创立国内信息平安产业快速带动信息产业的开展国家对信息平安

管理的需求各CA的建设解决了信息平安问题，但又限制了信息应用的范围各CA平台根本上基于层次化CA结构，可以通过技术手段解决各CA之间相互认证的问题打破“信息孤岛〞解决区域性信息平安的需求交叉认证的必要性〔二〕信息平安问题极大影响了信息化的应用建立省级CA是解决网上信息平安的有效手段建立跨CA限制的信息平安保障体系显得尤为重要推进信息化建设大力开展信息化的需求众多应用系统需要CA做平安保障开发与CA联接的通用接口，可方便信息平安在应用系统中的应用，快速促进信息化的开展研发跨地区应用系统的交叉认证应用接口对解决区域信息平安具有重大的意义应用系统的信息平安保障的要求树状认证体系：上下级关系AB

根CAA,B均用根CA所发证书完成初始化水平交叉认证体系：

相互认证关系BABAAB桥式认证体系：中介认证关系AB桥桥B桥AA桥B桥树状认证体系特点■易于控制，根CA主宰下级CA的运营权■风险集中，根CA的破坏将导致整个体系的破坏■认证关系要在CA建立之时就要确立■对已有的CA中心无法兼容交叉认证体系〔水平和桥式〕特点■CA中心相对独立■风险分散■桥式CA的作用只是认证范围的扩展或收缩■对已有CA中心兼容认证扩展的应用：证书的下载吉林CACA证书用户证书交叉认证证书群树状证书链认证扩展的应用：证书的存放

IE浏览器的证书库认证扩展的应用：树状认证中央CA中央CA山西CA中央CA个人CA山西CA认证扩展的应用：

水平交叉认证吉林CA吉林CA山西CA吉林CA个人CA山西CA认证扩展的应用：桥式认证桥CA桥CA山西CA桥CA个人CA山西CA个人CA山西CA山西CA桥CA桥CA吉林CA吉林CA吉林CA国外认证体系框架■树形Visa/MasterCardSETCA体系■桥形美国联邦政府CA■水平交叉很多