飞越草原

我的草原,我的梦
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

国外PKI/CA体系发展状况

Posted on 2006-08-17 18:12  木头's  阅读(2787)  评论(0编辑  收藏  举报
作为电子商务信息安全的关键技术和基础技术的PKI/CA技术,对其体系的研究受到各国的重视,从90年代初期以来,美国、加拿大、英国、德国、日本和新加坡等国相继开展了可信第三方认证体系的研究和建设工作。以美国、加拿大为例,通过对他们的体系结构的研究,我们可以从中得到一些启示,为我国商业 PKI/CA体系结构的研究提供宝贵的经验。

一、 美国联邦PKI体系结构

1.1、美国联邦PKI体系结构的描述

  美国联邦PKI筹委会成立于1996年,它由政府信息技术服务部、国家航空航天总署、国家标准技术研究所、国家安全部、国防部、交通部、财政部、农业部、劳动统计局和联邦网络委员会等20个部、署共同组建而成。它与联邦首席信息官委员会共同致力于FPKI体系结构的研究。联邦PKI支持在开放的网络如 Internet上安全交易,用于保障电子政务、电子采购的信息安全和实现对关键网络设备的保护。特别是美国联邦PKI能帮助美国联邦机构与其他联邦机构,各级政府,贸易伙伴(私有性质的),公众机构之间进行电子交易。然而美国联邦PKI并不是铁板一块,它是自下而上建立的一个庞大PKI体系。

  联邦政府首先成功的在各联邦机构中分别使用了公开密钥密码技术,为网上交易提供全面解决方案,为所有的服务颁发和管理数字证书:登记机构验证用户的身份,认证机构负责批准证书,分发证书和发布证书黑名单,密钥恢复机构能恢复遗失的私钥等。PKI产品和服务的多样性为机构的广泛用途提供了支持,从而有效的提高了政府机构的工作效率,降低了办公成本。然而正是由于PKI产品和服务的多样性,有的机构或企业可能购买PKI产品,运行他们自己的信任域;而有的机构或企业可能购买PKI服务,造成了彼此之间缺乏互操作性。为了增强国际间的合作,提高整体竞争力,解决不同信任域之间的互操作性问题,联邦政府计划联合各联邦机构中独立的PKI/CA--美国国防部(DoD--Department of Defense),国家标准技术研究所(NIST--National Institute of Standards and Technology),乔治亚州技术研究所(GTRI-Georgia Tech Research Institute),州政府和地方政府等共同组建美国联邦PKI体系。使用该体系可以使信任域不仅局限在本信任域环境中,而且可以使信任域扩展到整个联邦政府甚至是全球。

  该体系结构主要由联邦的桥认证机构(FBCA--Federal Bridge CA),首级认证机构(PCA--Principal CA),次级认证机构(SCA--Subordinate CA)等组成。其体系结构图如下(图1):

10d8d63f3e0.jpg

图1 美国联邦PKI的体系结构

  从图1中,我们可以看到联邦PKI的体系结构中没有用根CA的概念,取而代之的是首级CA,这是因为在美国,信任域的结构是多种多样的,联邦PKI体系结构可以支持分级(树状)结构、网状结构和信任列表等,而只有树状结构中的首级CA才称作根CA。因此它允许加入联邦PKI体系中的机构可以使用任何结构的 PKI信任域。联邦的桥CA是联邦PKI体系中的核心组织,是不同信任域之间的桥梁CA,主要负责为不同信任域的首级CA颁发交叉认证的证书,建立各个信任域的担保等级与联邦的桥CA的担保等级之间的一一映射关系,更新交叉认证证书,发布交叉认证证书注销黑名单。但是它不要求一个机构在与另一个机构发生信任关系时必须遵循联邦PKI所确定的这种映射关系,而是可以采用它认为合适的映射关系确定彼此之间的信任。

1.2、联邦PKI体系结构的工作原理

  联邦PKI体系结构的工作原理实际上就是指联邦的桥CA的工作原理。联邦的桥CA不是一个树状结构的CA,也不象网状CA,它不直接向用户颁发证书;不象根CA一样成为一个信任点,它只是一个单独的CA;它与不同的信任域之间建立对等的信任关系,允许用户保留他们自己的原始信任点。正如我们在网络中所使用的"HUB"一样,任何结构类型的PKI结构都可以通过这个机构连接在一起,实现彼此之间的信任,并将每一个单独的信任域通过联邦的桥PKI扩展到整个联邦PKI体系中。
在进行网上交易时,当接受者接收到发送者数字签名的电子文件时,为了验证签名的有效性,接收者的应用软件必须作三件事:

  首先接收者的软件必须确定发送者的信任域和接收者的信任域之间是否存在信任关系,这可以通过建立两个信任域之间的证书"信任路径"来实现;


  接收者必须确定发送者证书中所描述的政策即证书包含的担保级别满足本次交易的需要;


  确定在这个信任路径中,所有的证书多必须时有效的,即他们既没有超过有效期,也没有被注销。 如果接收者和发送者是在相同的信任域,以上三个步骤将简单明了地执行,因为,处于同一个信任域中的两个用户有相同的信任点和相同证书政策。然而如果接收者的信任域和发送者的信任域是不同的,这种情况就非常复杂,它可以借助联邦的桥CA建立信任路径。在联邦的桥CA与不同信任域中的首级CA进行交叉认证时,联邦的桥CA颁发的证书中包含了联邦的桥CA的担保等级与首级CA的担保等级之间的一一映射关系。借助这种映射关系,构建两个不同信任域之间的信任桥梁。在联邦PKI体系中,这种映射关系并不被要求强制执行,接收者可以有自己

1.3、联邦PKI体系的当前状况和联邦政府计划

  从2000年3月7日至4月6日之间,在美国部分联邦机构的CA和加拿大政府CA的参入下,在有限时间内共同完成了对联邦PKI体系中的安全电子邮件的数字签名的测试。其测试结果显示除GSA信任域外的其它信任域之间的互操作性是可以实现的,而使用GSA信任域不能够实现与其它信任域的互操作性,报告同时强调,出现这种情况并不是技术问题,而仅仅是因为没有足够的时间开发客户端验证软件。其进一步的测试将继续进行。

  其测试结构图如图2所示,参入测试的联邦机构CA包括:DoD的网状CA,两个NIST的CA, 美国的国家航空和航天局(NASA--National Aeronautics and Space Administration)、乔治亚州技术研究所的CA及综合服务局(GSA--General Services Administration)的CA等。

  其测试结构图如图3所示,参入测试的联邦机构CA包括:DoD的网状CA,两个NIST的CA, 美国的国家航空和航天局(NASA--National Aeronautics and Space Administration)、乔治亚州技术研究所的CA及综合服务局(GSA--General Services Administration)的CA等。

 10d8d646561.jpg

      DISA: Defense Information Systems Agency 美国国防部国防信息系统局
      Treasury: 美国国防部财政局
      PCA: 首级CA

图2. FPKI体系测试结构图

  目前美国政府联邦PKI体系还处于研究和测试阶段,正式投入使用还需要做很多工作。测试的基本成功只是建立联邦PKI体系的第一步,为了建立、建全联邦PKI体系,从技术角度,美国联邦政府还将从以下四个方面做出努力:

  * 验证密钥管理证书的信任路径;

  * 测试附加功能,以满足联邦PKI体系中的所有成员之间的互操作性;

  * 开发FBCA产品,FBCA的设计依赖X.509证书的政策和转换政策信息的政策映射扩展项,这些特点将包含在FBCA产品中,同时开发的FBCA产品能够处理证书中的混合签名算法;

  * 努力加强在离架商务软件(COTS--Commercial Off-The Shelf Software)产品中PKI的支持。

二、加拿大政府PKI体系结构

2.1、加拿大政府PKI体系结构的描述

 

图3.加拿大政府PKI体系结构

  加拿大对于政府PKI体系的研究要比美国早,在1993年加拿大通信安全部(CSE--Communications Security Establishment)就已经开始了政府PKI体系雏形的研究工作,当时主要是开发一种满足政府需求的PKI产品,实现无货架商业贸易。随后,陆续有部分联邦政府机构参入了GOC PKI体系的开发工作,他们是:加拿大公民移民局(Citizenship and Immigration Canada),加拿大外事和国际贸易部(Department of Foreign Affairs and International Trade),国防部(Department of National Defence),加拿大电信和信息服务中心(Government Telecommunications and Informatics Services),加拿大公共建设工程和政府服务中心(PWGSC--Public Works and Government Services Canada)的一个分部,加拿大卫生局(Health Canada),加拿大皇家骑警(Royal Canadian Mounted Police)和财政部秘书处(Treasury Board Secretariat)等 。经过若干年的研究,在2000年, 在建立一个开放的PKI体系方面获得重要的进展,政府PKI体系为联邦政府与公众机构,商业机构等进行电子数据交换时提供信息安全的保障,从而推动了政府内部管理电子化的进程(其结构如图3所示)。

10d8d6396c6.jpg

  从图3中我们可以看到,加拿大政府PKI体系结构是由政策管理机构(PMA)、中央认证机构(CCF)、一级CA和当地注册机构(LRA)组成。

  其中PMA是一个若干部门共同组建的机构,由加拿大政府财政部秘书处领导,为政府PKI体系提供全面的政策指导,负责监督和管理加拿大政府PKI体系的政策实施情况。

  CCF是中央认证机构,它实施政府PKI体系中的所有策略,签署和管理与一级CA交叉认证的证书。
一级CA是由政府运营,制定一个和多个证书担保的等级,分发和管理数字证书,定期颁布证书注销黑名单。

  当地注册机构(LRA)是一级CA设置的登记机构或个人,其职责是认证和鉴别申请者的身份;为密钥恢复或证书恢复请求进行审批;接受并审批证书的注销请求;

  加拿大政府PKI体系是一个完全政府行为的公开密钥体系结构,它充分考虑了交易的私有性和安全性,并把保护交易私有性和安全性列为信息高速公路的首要问题。它提供了完全一致的密钥管理办法,并为加密和数字签名提供完全相同的验证过程,它是多项技术--电子认证,鉴别和智能卡等的集成。

2.2、加拿大政府PKI体系的工作原理

  加拿大政府PKI体系是由若干CA组成,这些CA形成树状结构,每个用户的公钥和身份验证的信息都放在证书中,证书签发CA在每个证书上签名,并使其包含公钥的证书对外公开。任何用户都能够方便地得到其他用户的公钥,通过公钥验证该用户的签名,辨别真伪。

  加拿大政府PKI体系的工作原理与美国联邦PKI体系的工作原理比较相似,需要建立信任关系的两个用户如果属于同一个树状结构,由于有共同的信任点,应用软件很容易验证他们的信任关系;如果两个用户不属于同一个树状结构,这时要建立信任关系必须借助中央认证机构的交叉认证机制。通过中央认证机构与一级CA 之间的交叉认证证书,分属不同树状结构的一级CA之间建立彼此的信任关系。同样,中央认证机构也不是一个根CA,它只是不同树状信任域的汇结点。

  然而,从图中我们很容易发现。,加拿大政府PKI体系的信任域都是树状结构,从而信任关系的查找更加快捷,信任关系根容易建立,只需要和相应的一级CA进行交叉认证即可,不象网状结构,需要确定哪个CA与联邦的桥CA进行交叉认证。另外,两种树状结构建立信任关系必须通过中央认证机构,不允许一个树状结构与另一个树状结构直接发生信任关系,中央认证机构是与外界建立信任关系的唯一接口,因此结构简单,易于操作,是一个值得借鉴的PKI体系。

三、两种体系的比较

  美国联邦PKI体系和加拿大政府PKI体系都是政府行为的PKI体系,是在政府的倡导和主持下研究开发的,其目的都是为了本国的各级政府部门和政府机构高效、低成本、安全地从事电子政务、电子采购活动,其成员主要是各级政府,不同的政府机构,在两种体系中均有一个交叉认证中心(FPKI体系中是联邦的桥 CA,加拿大政府PKI体系中的中央认证机构),由它来沟通不同信任域之间的信任关系,同时也是与其它政府PKI/CA建立信任关系的接口,是该体系与外界建立信任关系的唯一通道,当然它必须接受政府在政策上的支持和监督,在技术上都集成了如智能卡技术等其他技术。美国在开发联邦PKI体系时充分考虑了与加拿大政府PKI体系的兼容性。然而美国联邦PKI体系和加拿大政府PKI体系并不完全一致,他们都有各自的特点,其表现为:

  * 体系结构上 美国联邦PKI体系结构比较复杂,它包含各种信任域结构--树状结构,网状结构和信任列表等,因此,联邦的桥CA仅是一个桥梁;而加拿大政府PKI体系结构比较简单,它是一个树状结构,从结构上看,中央认证机构仿佛是一个根CA。

  * 在信任关系的建立上 美国联邦PKI体系结构中的联邦的桥CA是各信任域建立信任关系的桥梁,然而他并不强调在建立信任关系时必须遵循交叉认证证书中所确定的担保等级之间的一一映射关系;在加拿大政府PKI体系中,各信任域之间建立信任关系必须经过中央认证机构。

  * 采用的技术上 美国联邦PKI体系中的成员采用多种不同的PKI产品和技术,如VeriSign ,Baltimore和Entrust等公司的技术;而加拿大政府PKI体系中强调使用Entrust公司的技术。

  * 在组成成员上 美国联邦PKI体系中除了各级政府,不同的政府机构外,还可包括与政府或政府机构有商业往来的合作伙伴;而加拿大政府PKI体系中的成员都是联邦的各级政府或政府机构。