交叉认证问题的研究综述.pdfVIP

聊 奎国网络与信息安会技术研讨套’黝孕 交叉认证问题研究综述 刘远航．鞠九滨 (吉林大学计算机学院，k春市前卫路i0号130012) 摘要：交互认证是PKI研究领域中一项非常重要的议题。本文从交叉认证理论与实际操作的角度，总结、分析和 比较了各种PKI交叉认证的模式及特点。文末作者提出了在该领域的研究结论与建议。 关键词公钥基础设施(PKI)；交叉认证：信任模型 l引言 PKI中的交叉认证问题涉及的范围很广，基本上可以从技术、管理以及法规等三个层面来研究分析。技 术层面包括交叉认证的模式、编码原则与通讯协议等：管理层面包含认证政策(策略)、认证机构保证等级及 认证机构设立目的等：而数字签名法、数字签名的法律地位、加解密等输出控制与相关的安全管理标准等则 属于法规层面的闯题。 由于各国政府、不同产业、不同行业、以及不同认证机构的PKI架构、安全政策以及所采用的加密技术 的不同，使得信任关系的建立在实际工作中十分复杂，从而导致PKI互连互通十分困难；这也迫使各国的研 究机构不约而同的将“研究具有弹性特性的PKI互连互通机制”列在了PKI研究领域的首位。针对不同的PKI 互连互通的方法论研究以及对各种方法异同点的比较，将有助于各个企业或组织选择最适当的PKI架构。 本文从交叉认证理论与实际操作的角度，概括、分析和比较了各种PKI交叉认证的模式及特点，同时对 目前国际上主要研究机构的研究成果进行了评述，特别的利用美国联邦政府的桥(BCA)计划的实际运作状况 为主线，详细讨论了采用桥接模式解决交叉认证问题的构造过程、运作方式以及实际运用的效果。 2交叉认证技术简介 目前对于PKI技术研究和产品研发来说，它们之间的互操作性已是PKI中一个急待解决的问题，一方面互 操作性包含应用程序与其它应用程序进行无缝的连接和通信，另一方面包含PKI产品中的部件与其它PKI产品 中部件之间的组合和匹配，更为重要的是不同信任域之间的交互。然而，对于不同的群体，互操作性可能含 有不同的意义，PKI的交叉认证技术就是解决PKI互操作性的一般性框架技术。“。 2．1交叉认证的定义 每一认证机构都具有自己的根(ROOT CA)密钥对，对应具有根证书。认证机构为每一用户签发的证书均 是用自己的根密钥对中的私钥签发的，以此保证用户身份的真实、不可伪造。因此，为使不同认证机构的证 书可以互相识别，必须使不同的认证机构可以互相识别对方的根证书。交叉认证是指两个cA互相为对方的公 钥进行数字签名，形成交叉认证证书(Cross 用软件)正确校验。交叉认证证书就是CA证书与用户证书之间的中间级证书。1。 PKI中的交叉认证技术包括部件级交叉认证、证书级交叉认证、以及信任域问的交叉认证。”。部件级交叉 议、消息格式、证书格式以及证书与证书列表的存取方法等；证书级交叉认证主要研究应用证书的应用程序 之间的互操作性，包括证书和证书状态信息的兼容性、密钥用途及其限定的兼容性、数据封装和编码格式的 兼容性、支撑的通信协议的兼容性、共享密钥相关信息方法的兼容性等：信任域问的交叉认证(简称域间交 叉认证)主要研究信任域间的互操作性问题，包括信任域间互操作模式、方法、标准以及证书策略(CP)、 证书实施说明(CPS)等。三者中以信域间的互操作性问题最复杂，也是本文讨论的重点。 2．2交叉认证需要考虑的因素 在讨论域间交叉认证的技术细节之前，我们先来讨论一下如何评价一个PKI交叉认证模式的优劣，也就 是在进行PKI交叉认证时我们主要需要考虑的因素，具体如下： (1)技术因素 实际上，进行PKI交叉认证需要考虑的技术因素包含当所有参与交叉认证的各方(指各PKI信任域)在 会国网络与信息安奎技术研讨会’嬲 ·船· 达成了必要的商业意向或协议之后，从事PKI交叉认证所需要的传输协议、数据结构(如证书格式等)和其它 如证书发放和管理流程以及证书废止相关信息共享法案等相关的技术范畴。 (2)政策和应用因素 政策和应用因素是为了达成互连互通目的所建立的两个PKI信任域间关系的非技术性的因素。建立信任域 问互连互通性关系的根本在于信息电子化交换的需求。正因为有了互连互通的需求，才