现阶段PKI建设状况以及交叉认证的问题概要

现阶段国内外PKI建设状况美国的PKI建设现状国防部PKI建设联邦政府的PKI华盛顿州PKI建设国内PKI建设现状PKI/CA认证中心建设的现状PKI/CA交叉认证技术•PKI交叉认证所面临的问题美国防部PKI进展美国国防部1999年3月开始酝酿国防PKI之事，并制订了国防部PKI行程图和DoDX509证书策略，于1999年10月和12月分别公布，计划于2002年完工。DoDPKI的目标是：提供或支持：1）标准化的；2）多用途和多进程；3）国防部和联邦政府，盟国，商业伙伴之间的安全互操作性；4）数字签名和密钥交换;5)商业化的；6）联邦信息进程标准FIFS相关要求。DoDPKI采用集中式证书管理和分散式注册，采用共同的进程和部件，以节省经费和资源。美国防部PKIDoDPKI根CA互相证明联邦/盟国PKI根CACADoDCA地区网站NSA集中式分散式外部CA（将来）地区注册机构国防部用户注册工作站美国防部PKIPKI是美国防部密钥管理构架KMI（KeyManagementInfrastructure）的重要组成部分。KMI密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统（EKMS）以及物理产品（如密码本和认证器）。KMI负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码服务。PKI先在非密系统中试点，测试，选型.美国防部的PKI的研发，将遵循国防部层次化安全等级。美国防部指定国家安全局（NSA）和国防信息系统局（DISA）负责实施DoDPKI,为国防部网络应用提供用户不可否认，数据保密，加密和数字签名等服务。PKI的运行：国防部DoDPKI布局ROOTCALRARAIDCACA目录托管根CA当地注册注册机构身份CA邮件CA身份/邮件目录密钥托管M/SCLIENTLOTUSNESCAPENOVELLACTIVENESCAPEM/SSERVERCLIENTCLIENTNDSDIRECTORYLDAPv3PROTOCOLDNSMAILSISCOSISCOSNIFFERSERVERSERVERROUTERROUTERR美国联邦政府PKI美国联邦政府成立了联邦PKI促进委员会，并在整个联邦政府中已批准了50多个与PKI相关的试点。2000年12月公布了联邦搭桥证明机构（FBCA）的X.509证书策略。本策略并非定稿，仍是草稿或听取意见稿。FBCA支持联邦政府PKI中同等实体之间的互操作。FBCA只向属于主管CA的各CA签发证书，FBCA或与FBCA互操作的各CA向运行FBCA的个人签发证书。FBCA向部局主管CA签发证书起信任的转移作用。FBCA的最终目标是支持联邦和非联邦实体之间的互操作。但目前的版本还不能通过FBCA建立联邦机构和政府外机构的互操作。FBCA将采用“集线器”式的非层次化工作方式。美国联邦政府PKIFBCA主管CA主管CACACACACA个人个人个人个人华盛顿州PKI在华盛顿州法律下制定的PKI策略，允许发放CA许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。得到许可的CA，对其雇佣人员必须通过背景安全检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及CA运行机制的采用和安全策略的建立。华盛顿州PKI华盛顿洲PKI用于：a)PKI拟支持数字签名，加密，访问控制等应用。b)政府机构内各司局，部，单位和/或组织间的通信和交易；c)政府机构，公众组织，私人组织和/或个人，与政府活动相关的通信和交易；本策略下的证书支持：1）数字签名；2）加密和认证电子通信；3）提供身份证据，支持依赖方所建立的访问控制，防止非授权的计算机系统，电子信息和文件的访问。现阶段国内外PKI建设状况美国的PKI建设现状国防部PKI建设联邦政府的PKI华盛顿州PKI建设国内PKI建设现状PKI/CA认证中心建设的现状PKI/CA交叉认证技术•PKI交叉认证所面临的问题PKI/CA认证中心建设的现状2003年3月初统计共51个CA行业型CA中心（全国性）CFCA国家金融认证中心CTCA中国电信认证中心CPCA国家邮政认证中心GACA公安部数字证书认证中心国家计委电子政务CA中心海关CAPKI/CA认证中心建设的现状区域型CA中心西部CA、上海CA、北京CA、天津CA、广东CA海南CA、深圳CA、吉林CA、山西CA、陕西CA、福建CA、重庆CA、湖北CA、云南CA企业型CA一汽、福建商业银行、招商银行、黑龙江邮政、吉林省政府办公厅、吉林电力CA、黑龙江电力CA、辽宁电力CA，等等PKI/CA认证中心建设现状：产品国外产品：CFCA、泰康人寿国内专业厂商产品：国家计委电子政务CA中心，吉林、山西、福建、陕西、海关CA、招行CA自建或由关联厂商承建：CTCA，CPCA，上海、广东、山东CA认证中心建设的现状：技术和标准系统与协议标准–X.509，PKCS（RSA），PKIX-CMP（PKIX）–SPKM，SSL运营与管理规范CP/CPS认证等级操作规则CA认证体系框架的需求分析安全等级的确定相应安全等级的运作规范安全策略和操作规范(CP/CPS)CA体系结构的规划CA之间的认证关系认证范围的控制和扩展CA的根证书嵌入中文版的浏览器CA认证体系的设计原则风险控制/安全性实用性/易用性对已建CA的兼容性性能/代价比CA认证体系框架的内容■认证范围■认证等级■通用性技术■整体的安全考虑■底层技术的标准化■CP/CPS的标准化■认证扩展和兼容的机制国内PKI/CA交叉认证技术研究交叉认证的必要性交叉认证的模式树状认证体系水平交叉认证体系桥式认证体系交叉认证的必要性（一）CA是国家网络安全基础设施解决国内信息安全问题快速提高国内信息安全产品的科技水平创建国内信息安全产业快速带动信息产业的发展国家对信息安全管理的需求各CA的建设解决了信息安全问题，但又限制了信息应用的范围各CA平台基本上基于层次化CA结构，可以通过技术手段解决各CA之间相互认证的问题打破“信息孤岛”解决区域性信息安全的需求交叉认证的必要性（二）信息安全问题极大影响了信息化的应用建立省级CA是解决网上信息安全的有效手段建立跨CA限制的信息安全保障体系显得尤为重要推进信息化建设大力发展信息化的需求众多应用系统需要CA做安全保障开发与CA联接的通用接口，可方便信息安全在应用系统中的应用，快速促进信息化的发展研发跨地区应用系统的交叉认证应用接口对解决区域信息安全具有重大的意义应用系统的信息安全保障的要求树状认证体系：上下级关系AB根CAA,B均用根CA所发证书完成初始化水平交叉认证体系：相互认证关系BABAAB桥式认证体系：中介认证关系AB桥桥B桥AA桥B桥树状认证体系特点■易于控制，根CA主宰下级CA的运营权■风险集中，根CA的破坏将导致整个体系的破坏■认证关系要在CA建立之时就要确立■对已有的CA中心无法兼容交叉认证体系（水平和桥式）特点■CA中心相对独立■风险分散■桥式CA的作用只是认证范围的扩展或收缩■对已有CA中心兼容认证扩展的应用：证书的下载吉林CACA证书用户证书交叉认证证书群树状证书链认证扩展的应用：证书的存放IE浏览器的证书库认证扩展的应用：树状认证中央CA中央CA山西CA中央CA个人CA山西CA认证扩展的应用：水平交叉认证吉林CA吉林CA山西CA吉林CA个人CA山西CA认证扩展的应用：桥式认证桥CA桥CA山西CA桥CA个人CA山西CA个人CA山西CA山西CA桥CA桥CA吉林CA吉林CA吉林CA国外认证体系框架■树形Visa/MasterCardSETCA体系■桥形美国联邦政府CA■水平交叉很多VisaSETCA体系：树型根CA亚洲CA欧洲CA丹麦CA用户美国联邦政府CA体系：桥型PKI交叉认证面临的问题交叉认证模式的研究交叉认证模式的选择交叉认证策略的研究与开发交叉认证证书格式的研究交叉认证中的路径构造与验证算法交叉认证测试技术谢谢！任何问题和讨论Email:yqcui1977@sohu.comyqcui1977@sina.com