PKI体系架构策略.docx
2页
PKI分析设计篇—PKI体系架构策略目前,在PKI体系基础上建立起来的安全证书体系得到了从普通用户、商家、银行到政府各职能 部门的普遍关注PKI系统的建立应该着眼于用户使用证书及相关服务的便利性、用户身份认证 的可靠性,具体职能包括:制定完整的证书管理政策、建立高可信度的 CA 中心、负责用户属性 的管理、用户身份隐私的保护和证书作废列表的管理,CA中心为用户提供证书及CRL有关服务 的管理,建立安全和相应的法规,建立责任划分并完善责任政策但是怎样让PKI各组成部分有 机协调,不同CA之间的互连互通是个非常重要的问题,为此专家学者设计了多种PKI体系架构, 美国、加拿大等政府机构都提出了建立国家PKI体系的具体实施方案PKI是由很多CA及CA信任链组成的CA通过三种方式组织到一起第一种是首先建立根CA, 再在根CA下组成分层的体系结构,上层CA向下层CA发放证书第二种是CA连接成网状, 并且它们之间的地位相互平等第三种是美国技术标准组织制定了一种融合分层结构和网状结构 体系特点的混合体系结构规范这种混合体系结构也叫桥接体系结构桥接体系结构是为解决以 上两种体系交叉信任而建立的,它具有两种体系结构的优点。
目前国际上流行的就是以加拿大和 美国为代表的PKI体系结构:桥接体系结构和分层体系结构分层体系结构典型的分层体系结构实例是加拿大政府PKI体系结构,如下图所示:加拿大对于政府PKI体系的研究始于1993年经过若干年的研究,在2000年,在建立一个开 放的PKI体系方面获得重要的进展从上图可以看到,加拿大政府PKI体系结构是由政策管理 机构(PMA)、中央认证机构(CCF)、一级CA和当地注册机构(LRA)组成其中PMA是一个若干 部门共同组建的机构,由加拿大政府财政部秘书处领导,为政府PKI体系提供全面的政策指导, 负责监督和管理加拿大政府 PKI 体系的政策实施情况 CCF 是中央认证机构,它实施政府 PKI 体系中的所有策略,签署和管理与一级CA交叉认证的证书一级CA是由政府运营,制定一个 和多个证书担保的等级,分发和管理数字证书,定期颁布证书注销黑名单当地注册机构(LRA) 是一级CA设置的登记机构或个人,其职责是认证和鉴别申请者的身份,为密钥恢复或证书恢复 请求进行审批,接受并审批证书的注销请求加拿大政府PKI体系工作原理是:所有CA形成树状结构,每个用户的公钥和身份验证信息都放 在证书中,CA在每个证书上签名,并使其包含公钥的证书对外公开。
任何用户都能方便的得到 其它用户的公钥,通过公钥验证用户的签名加拿大政府PKI体系是一个完全政府行为的公开密钥体系结构,它充分考虑了交易的私有性和 安全性,并把保护交易私有性和安全性列为信息高速公路的首要问题它提供了完全一致的密钥 管理办法,并为加密和数字签名提供完全相同的验证过程,它电子认证,鉴别和智能卡等多项技 术的集成桥接体系结构美国联邦 PKI 体系结构是典型的桥接体系结构,主要由桥认证机构 (FBCA ,Federal BridgeCA)、首级认证机构(PCA, Principal CA)和次级认证机构(SCA, Subordinate CA)等组成,如下 图所示:Qa0■桥接CA O同圾CA •首级CA Q)次级仏+同级CA交莫认证对 -►厘域信任蟻从图中我们可以看到联邦PKI体系结构中没有根CA,取而代之的是首级CA,这是因为只有树 状结构中的首级CA才称作根CA,而在美国信任域的结构是多种多样的,联邦PKI可以支持分 层结构、网状结构桥CA是联邦PKI的核心组织,是不同信任域的桥梁,负责为不同信任域的 首级CA颁发、更新交叉认证的证书,注销黑名单联邦PKI的工作原理实际就是桥接CA的工作原理。
桥CA不像网状CA直接向用户颁发证书, 也不像根CA成为一个信任点,它不与信任域之间建立对等信任关系,允许用户保留他们自己的 原始信任点任何结构的PKI都可以通过桥CA连接起来,实现彼此间的信任,并且桥CA将每 一个单独的信任域扩展到整个联邦PKI体系中美国政府联邦PKI体系还处于研究和测试阶段, 正式投入使用还需要做很多工作联邦PKI和加拿大PKI都是政府行为的PKI体系,在政府的倡导下研究和建立的,其成员主要 是各级政府两种体系中均有一个交叉认证中心,由它来沟通不同信任域之间的关系,同时也是 和其它政府 PKI 建立信任关系的接口,是该体系与外界建立信任关系的唯一通道对我国PKI体系建设的一点建议目前国内已建成很多大型行业或地方CA,但都没有充分发挥作用,年发证量达不到原设计目标 在各种技术体制和不同厂家的产品大量涌入中国市场、国内自主研发的系统也纷纷登场的情况 下,不同PKI / CA体系之间难于互操作的问题日益凸现在经济日益全球化的形势下,要解决不 同PKI / CA体系之间的互操作问题,采用分层体系结构和桥接体系结构都不能有效的解决我国的 PKI体系建设问题只有在借鉴国外先进模式的同时,自主研发符合我国的PKI技术体系才是最 佳选择。
笔者建议采用建立中央认证机构,区域认证机构,这两者之间采用分层体系结构模式,区域认证 机构下面再采用桥接体系结构模式的复合模式。
