现阶段PKI建设状况以及交叉认证的问题.ppt

现阶段国内外PKI建设状况,美国的PKI建设现状国防部PKI建设联邦政府的PKI华盛顿州PKI建设国内PKI建设现状PKI/CA认证中心建设的现状PKI/CA交叉认证技术PKI交叉认证所面临的问题,美国防部PKI进展,美国国防部1999年3月开始酝酿国防PKI之事，并制订了国防部PKI行程图和DoDX509证书策略，于1999年10月和12月分别公布，计划于2002年完工。DoDPKI的目标是：提供或支持：1）标准化的；2）多用途和多进程；3）国防部和联邦政府，盟国，商业伙伴之间的安全互操作性；4）数字签名和密钥交换;5)商业化的；6）联邦信息进程标准FIFS相关要求。DoDPKI采用集中式证书管理和分散式注册，采用共同的进程和部件，以节省经费和资源。,美国防部PKI,DoDPKI,根CA,互相证明,联邦/盟国PKI,根CA,CA,DoDCA,地区网站,NSA,集中式分散式,外部CA,（将来）,地区注册机构,国防部用户,注册工作站,美国防部PKI,PKI是美国防部密钥管理构架KMI（KeyManagementInfrastructure）的重要组成部分。KMI密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统（EKMS）以及物理产品（如密码本和认证器）。KMI负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码服务。PKI先在非密系统中试点，测试，选型.美国防部的PKI的研发，将遵循国防部层次化安全等级。美国防部指定国家安全局（NSA）和国防信息系统局（DISA）负责实施DoDPKI,为国防部网络应用提供用户不可否认，数据保密，加密和数字签名等服务。,PKI的运行：国防部DoDPKI布局,ROOTCA,LRA,RA,IDCA,CA,目录,托管,根CA,当地注册注册机构身份CA邮件CA身份/邮件目录密钥托管,M/SCLIENTLOTUSNESCAPENOVELLACTIVENESCAPEM/SSERVERCLIENTCLIENTNDSDIRECTORYLDAPv3,PROTOCOLDNSMAILSISCOSISCOSNIFFERSERVERSERVERROUTERROUTERR,美国联邦政府PKI,美国联邦政府成立了联邦PKI促进委员会，并在整个联邦政府中已批准了50多个与PKI相关的试点。2000年12月公布了联邦搭桥证明机构（FBCA）的X.509证书策略。本策略并非定稿，仍是草稿或听取意见稿。FBCA支持联邦政府PKI中同等实体之间的互操作。FBCA只向属于主管CA的各CA签发证书，FBCA或与FBCA互操作的各CA向运行FBCA的个人签发证书。FBCA向部局主管CA签发证书起信任的转移作用。FBCA的最终目标是支持联邦和非联邦实体之间的互操作。但目前的版本还不能通过FBCA建立联邦机构和政府外机构的互操作。FBCA将采用“集线器”式的非层次化工作方式。,美国联邦政府PKI,FBCA,主管CA,主管CA,CA,CA,CA,CA,个人,个人,个人,个人,华盛顿州PKI,在华盛顿州法律下制定的PKI策略，允许发放CA许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。得到许可的CA，对其雇佣人员必须通过背景安全检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及CA运行机制的采用和安全策略的建立。,华盛顿州PKI,华盛顿洲PKI用于：a)PKI拟支持数字签名，加密，访问控制等应用。b)政府机构内各司局，部，单位和/或组织间的通信和交易；c)政府机构，公众组织，私人组织和/或个人，与政府活动相关的通信和交易；本策略下的证书支持：1）数字签名；2）加密和认证电子通信；3）提供身份证据，支持依赖方所建立的访问控制，防止非授权的计算机系统，电子信息和文件的访问。,现阶段国内外PKI建设状况,美国的PKI建设现状国防部PKI建设联邦政府的PKI华盛顿州PKI建设国内PKI建设现状PKI/CA认证中心建设的现状PKI/CA交叉认证技术PKI交叉认证所面临的问题,PKI/CA认证中心建设的现状,2003年3月初统计共51个CA行业型CA中心（全国性）CFCA国家金融认证中心CTCA中国电信认证中心CPCA国家邮政认证中心GACA公安部数字证书认证中心国家计委电子政务CA中心海关CA,PKI/CA认证中心建设的现状,区域型CA中心西部CA、上海CA、北京CA、天津CA、广东CA海南CA、深圳CA、吉林CA、山西CA、陕西CA、福建CA、重庆CA、湖北CA、云南CA企业型CA一汽、福建商业银行、招商银行、黑龙江邮政、吉林省政府办公厅、吉林电力CA、黑龙江电力CA、辽宁电力CA，等等,PKI/CA认证中心建设现状：产品,国外产品：CFCA、泰康人寿国内专业厂商产品：国家计委电子政务CA中心，吉林、山西、福建、陕西、海关CA、招行CA自建或由关联厂商承建：CTCA，CPCA，上海、广东、山东,CA认证中心建设的现状：技术和标准,系统与协议标准X.509，PKCS（RSA），PKIX-CMP（PKIX）SPKM，SSL运营与管理规范CP/CPS认证等级操作规则,CA认证体系框架的需求分析,安全等级的确定相应安全等级的运作规范安全策略和操作规范(CP/CPS)CA体系结构的规划CA之间的认证关系认证范围的控制和扩展CA的根证书嵌入中文版的浏览器,CA认证体系的设计原则,风险控制/安全性实用性/易用性对已建CA的兼容性性能/代价比,CA认证体系框架的内容,认证范围认证等级通用性技术整体的安全考虑底层技术的标准化CP/CPS的标准化认证扩展和兼容的机制,国内PKI/CA交叉认证技术研究,交叉认证的必要性交叉认证的模式树状认证体系水平交叉认证体系桥式认证体系,交叉认证的必要性（一）,CA是国家网络安全基础设施解决国内信息安全问题快速提高国内信息安全产品的科技水平创建国内信息安全产业快速带动信息产业的发展,国家对信息安全管理的需求,各CA的建设解决了信息安全问题，但又限制了信息应用的范围各CA平台基本上基于层次化CA结构，可以通过技术手段解决各CA之间相互认证的问题,打破“信息孤岛”解决区域性信息安全的需求,交叉认证的必要性（二）,信息安全问题极大影响了信息化的应用建立省级CA是解决网上信息安全的有效手段建立跨CA限制的信息安全保障体系显得尤为重要,推进信息化建设大力发展信息化的需求,众多应用系统需要CA做安全保障开发与CA联接的通用接口，可方便信息安全在应用系统中的应用，快速促进信息化的发展研发跨地区应用系统的交叉认证应用接口对解决区域信息安全具有重大的意义,应用系统的信息安全保障的要求,树状认证体系：上下级关系,A,B,根CA,A,B均用根CA所发证书完成初始化,水平交叉认证体系：相互认证关系,BA,B,A,AB,桥式认证体系：中介认证关系,A,B,桥,桥B,桥A,A桥,B桥,树状认证体系特点,易于控制，根CA主宰下级CA的运营权风险集中，根CA的破坏将导致整个体系的破坏认证关系要在CA建立之时就要确立对已有的CA中心无法兼容,交叉认证体系（水平和桥式）特点,CA中心相对独立风险分散桥式CA的作用只是认证范围的扩展或收缩对已有CA中心兼容,认证扩展的应用：证书的下载,吉林CA,CA证书,用户证书,交叉认证证书群,树状证书链,认证扩展的应用：证书的存放IE浏览器的证书库,认证扩展的应用：树状认证,认证扩展的应用：水平交叉认证,认证扩展的应用：桥式认证,国外认证体系框架,树形Visa/MasterCardSETCA