摘要：PKI技術是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。網(wǎng)絡信任體系中的PKI拓展應用涉及到電子政務和電子商務跨地區(qū)跨行業(yè)的應用。文章對其中一證多用技術、點對點交叉認證技術和屬性證書技術及實現(xiàn)方式進行了介紹。

關鍵詞：PKI；網(wǎng)絡信任體系；一證多用；點對點交叉認證；屬性證書

引言

2003年9月，《中共中央辦公廳、國務院辦公廳轉發(fā)<國家信息化領導小組關于加強信息安全保障工作的意見>的通知》(中辦發(fā)[2003]27號)中強調：加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系建設，充分發(fā)揮密碼在保障電子政務、電子商務安全和保護公民個人信息等方面的重要作用，規(guī)范和加強以身份認證、授權管理、責任認定等為主要內(nèi)容的網(wǎng)絡信任體系建設。PKI(Public Key Infrastructure，公鑰基礎設施)體系是在統(tǒng)一的安全認證標準和規(guī)范基礎上提供在線身份認證，是CA認證、數(shù)字證書、數(shù)字簽名以及相關安全應用組件模塊的集合。作為一種技術體系，PKI可以作為支持認證、完整性、機密性和不可否認性的技術基礎，從技術上解決網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡信任體系建設提供可靠的技術保障。PKI的核心是要確定信息網(wǎng)絡空間中各種經(jīng)濟、軍事和管理行為主體(包括組織和個人)身份的惟一性、真實性和合法性，保護信息網(wǎng)絡空間中各種主體的安全利益。

1 PKI在網(wǎng)絡信任體系中的基礎應用

網(wǎng)絡信任體系主要包括三個方面的內(nèi)容：身份認證、授權管理和責任認定。其中核心內(nèi)容是用戶網(wǎng)絡身份認證。身份認證就是對用戶和設備等網(wǎng)絡主體用密碼技術進行認證，確保網(wǎng)絡主體身份的真實性和惟一性，確保傳輸信息的完整性、真實性和不可抵賴性，只有在有效身份認證的基礎上才能夠實現(xiàn)對用戶的授權管理和責任認定。圍繞著網(wǎng)絡身份的認定，基于PKI的身份認證體系，已被普遍認可。使用PKI技術的基礎應用主要包括：SSL加密通道、數(shù)字信封、身份識別平臺、安全電子郵件、安全桌面、安全網(wǎng)站、可信信息服務平臺、安全站點認證服務、數(shù)字時間戳等。

2 PKI在網(wǎng)絡信任體系中的拓展應用需求分析

2.1 拓展需求

跨區(qū)域需求：目前在全國范圍內(nèi)獲得信息產(chǎn)業(yè)部《電子認證服務許可證》的PKI／CA機構共有20多家，每一個PKI／CA機構都建立有自己的信任域，彼此的信任域無法互通。在網(wǎng)絡信任體系應用中，雖然各家的證書執(zhí)行統(tǒng)一的X．509國際標準，但此標準只定義了證書原語言基本要素，而其中的選項各不相同，各家發(fā)放的CA證書的密碼長度、格式不完全一致，造成了各家CA證書彼此不能互認。這極大地增加了網(wǎng)絡信任體系應用的風險，成為阻礙建立統(tǒng)一網(wǎng)絡身份信任體制的棘手難題。

跨領域需求：在網(wǎng)絡信任體系建設中，各種應用所需要的用戶信息不盡相同，為用戶配置的安全項目也千差萬別，比如：工商部門做網(wǎng)上年檢時需要企業(yè)的營業(yè)執(zhí)照登記號，稅務部門辦理網(wǎng)上納稅時需要企業(yè)的稅務登記號，技術監(jiān)督局辦理網(wǎng)上業(yè)務時需要企業(yè)的組織機構代碼證。基于X.509 V3標準的數(shù)字證書內(nèi)容有限，無法做到在數(shù)字證書中事先寫入所有的用戶信息。網(wǎng)絡信任體系的跨領域應用則要求在重點領域中能實現(xiàn)基礎數(shù)據(jù)的共享。

2．2 設計分析

2．2．1 基于跨區(qū)域需求的方案分析

(1)橋CA交叉認證方案

橋CA與各個PKI中被選作主CA(principal CA)的CA作交叉認證。橋CA只是一個中介，它不直接向用戶發(fā)證書，也不作為一個根信任點。該方案的優(yōu)點是在入橋的根CA數(shù)量比較大時，各個根CA接入很方便，缺點是投資巨大，并且出于權威性和安全性考慮，需由國家級的部門為主體進行建設。

(2)點對點CA交叉認證方案

根CA相互間實行交叉認證。該方案的缺點是需要所有的CA兩兩間相互簽發(fā)交叉證書，若有n個CA需要互連互通，則需要簽發(fā)交叉證書n×(n-1)次，因此只能應用于數(shù)量較少的區(qū)域間的交叉認證；優(yōu)點是投資少、開發(fā)周期短，可以短時間內(nèi)實現(xiàn)幾個地區(qū)間信任體系的跨區(qū)域PKI應用。就國內(nèi)的實際應用情況來看，點對點CA交叉認證是目前解決信任體系的跨區(qū)域PKI應用的一個較好的方案。

2．2．2 基于跨領域需求的方案分析

(1)AS一證多用方案

AS一證多用方案是指客戶端采用ActiveX技術與服務器端采用SOAP技術，客戶端通過ActiveX控件將本地的電子證照或數(shù)字證書進行數(shù)字簽名后提交，服務器根據(jù)提交內(nèi)容進行身份確認、簽名驗證等工作后，將用戶請求轉發(fā)到各類應用服務，實現(xiàn)同一數(shù)字證書的一證多用。該方案的服務器采用三層架構，因此可靠性高、速度快。缺點是應用部署時需要進行與CA服務器通訊接口的開發(fā)。

(2)屬性證書方案

屬性證書基于x.509v4標準和LDAP服務，向應用系統(tǒng)提供對實體(用戶、程序等)的授權服務，提供實體身份到應用權限的映射，提供與實際應用處理模式相應的、與具體應用系統(tǒng)開發(fā)和管理無關的授權和訪問控制機制，來實現(xiàn)一證多用。該方案的優(yōu)點是應用部署時開發(fā)周期短。由于目前市場上的基于海量數(shù)據(jù)的LDAP服務軟件在性能價格比方面有一定缺陷，因此在應用部署時需要仔細選擇LDAP服務軟件。

3 網(wǎng)絡信任體系中PKI拓展應用方案的實現(xiàn)

3．1 一證多用方案設計

3．1．1 系統(tǒng)結構

系統(tǒng)由客戶端和服務器端組成，客戶端包括ActiveX電子證照控件模塊和身份模塊；服務器包括CA-SOAP服務器的電子證照模塊應用服務器的身份認證模塊。系統(tǒng)結構圖如圖1所示。

3．1．2 流程與程序實現(xiàn)

(1)客戶端電子證照模塊

電子證照模塊的程序流程是：從應用服務器獲取身份標識后產(chǎn)生證照申請，將申請發(fā)送到CA-SOAP服務器并獲取電子證照，將電子證照寫入介質。流程圖如圖2所示。

服務器電子證照模塊的程序流程是：從客戶端獲取申請，根據(jù)策略產(chǎn)生證照并返還給客戶端。流程圖如圖3所示。

(3)客戶端身份模塊

客戶端身份模塊的程序流程是：客戶端判斷本地是否有電子證照，如果沒有，轉到電子證照申請模塊，如果有，則讀取本地證照提交給應用服務器的身份模塊。流程圖如圖4所示。

(4)應用服務器身份模塊

應用服務器身份模塊的程序流程是：從蓉戶端獲取證照，解析出用戶身份，并根據(jù)策略判斷該用戶是否為合法用戶，并將結果返還給客戶端。流程圖如圖5所示。

3．2 屬性證書方案

3．2．1 系統(tǒng)結構

用戶通過安全網(wǎng)關訪問應用服務，應用服務器將用戶證書轉發(fā)到屬性證書驗證服務器上進行驗證。屬性證書驗證服務器與CA機構的屬性證書簽發(fā)系統(tǒng)保持同步。CA機構的屬性證書簽發(fā)系統(tǒng)提供管理接口給應用單位使用、管理。系統(tǒng)結構圖如圖6所示。

3．2．2 屬性證書標準

(1)屬性證書中包含了用戶在應用中所需要的具體屬性信息，與應用相對應。如：網(wǎng)稅應用中的納稅登記證號。

(2)屬性證書采用x.509v4標準。

(3)屬性證書不包含公鑰，其信任標識是CA中心對其的簽名。

(4)通過代表用戶身份的惟一ID作為屬性證書與用戶身份證書對應的標識。

(5)一個用戶可能存在多個屬性證書；屬性證書與應用相對應，用戶可能在多個應用中都擁有不同的屬性證書；也可使用一張屬性證書支持多個應用，但用戶只擁有一張身份證書。

3．2．3 管理及發(fā)布

(1)屬性證書由CA認證中心負責簽發(fā)、發(fā)布。

(2)應用單位需要架設安全網(wǎng)關和屬性證書驗證服務器，安全網(wǎng)關負責對用戶身份證書進行驗證，屬性證書驗證服務器負責對用戶屬性證書進行驗證和解析，并保障屬性證書與身份證書之間的正確對應。

(3)應用單位可通過架設管理終端，實現(xiàn)在CA的屬性證書服務器上對本單位用戶屬性證書的管理和維護，如屬性證書更新、廢除、凍結、解凍、延期等。

(4)應用單位在設置管理終端操作后，CA的屬性證書服務器將更新內(nèi)容發(fā)布到應用單位的屬性證書驗證服務器上。

3．2．4 應用流程

(1)用戶用數(shù)字證書登錄應用系統(tǒng)

登錄采用標準HTTPS協(xié)議、常見的客戶端程序如IE等都支持此協(xié)議，此處不再介紹。

(2)應用服務器登錄流程

應用服務器登錄流程是：從安全網(wǎng)關中獲取數(shù)字證書，將該證書轉到屬性證書驗證服務器，并獲取該數(shù)字證書相對應的屬性證書，從屬性證書中解析出用戶身份，并根據(jù)策略判斷用戶是否合法，并將結果返還給客戶端。流程圖如圖7所示。

3．3 點對點交叉認證方案

以上海數(shù)字認證中心(上海CA)和浙江數(shù)字認證中心(浙江CA)為例，CA點對點的交叉認證互簽工作是指：使用浙江的根CA對上海的根CA密鑰進行簽發(fā)，同時使用上海的根CA對浙江的根CA密鑰簽發(fā)。浙江CA用戶與上海CA用戶在網(wǎng)絡信任體系統(tǒng)中相互通訊的信任路徑如圖8所示。

4 結束語

本文介紹了網(wǎng)絡信任體系中的PKI應用技術，并提供了幾個PKI技術拓展應用方案。PKI涉及到電子政務、電子商務以及國家信息化的整體發(fā)展戰(zhàn)略等多層面問題，是相關技術、應用、組織、規(guī)范和法律法規(guī)的總和，其本身就是國家綜合實力的體現(xiàn)。加強對PK／應用技術的深入研究對網(wǎng)絡信任體系的建設、推動互聯(lián)網(wǎng)發(fā)展、保障交易安全、推動電子政務和電子商務的發(fā)展有著至關重要的作用。