顏海龍，喻建平，胡 強，馮紀強

(深圳大學ATR國防科技重點實驗室，廣東深圳518060)

0 引言

公鑰基礎(chǔ)設(shè)施 (public key infrastructure，PKI)技術(shù)［1-2］在國內(nèi)外的廣泛應用，解決不同電子認證服務(wù)機構(gòu)(certificate authority，CA)簽發(fā)數(shù)字證書的互認問題，推動應用系統(tǒng)間認證資源的共建共享，成為電子認證服務(wù)行業(yè)業(yè)務(wù)應用的新要求。傳統(tǒng)基于“單一信任體系”設(shè)計與實現(xiàn)的統(tǒng)一認證平臺［3-4］在業(yè)務(wù)層面上可控性差，無法長久保障其認證質(zhì)量，面臨較大的運行風險。

針對可信計算平臺已有許多專家學者開展多信任域下的安全認證技術(shù)和方案研究［5-8］，也取得了一定成果，并為加快全球化網(wǎng)絡(luò)信任體系建設(shè)起到了促進作用。文獻［9］設(shè)計了一種新的Web跨域認證構(gòu)架，以實現(xiàn)跨信任域的身份認證。文獻［10］參考基于橋CA的交叉認證模型，通過引入復合證書和第三方可信驗證機構(gòu)TVA，為采用不同證書體制的信任域映射證書策略，從而實現(xiàn)平臺的兼容性。

當前，世界各國為了在網(wǎng)絡(luò)空間建立統(tǒng)一的信任體系，通常會構(gòu)建自己國家統(tǒng)一的PKI體系。例如澳大利亞、加拿大等采用統(tǒng)一根CA方式建立起“自上而下”的PKI體系;美國、日本等則通過橋CA方式實現(xiàn)“自下而上”的國家PKI體系。我國行業(yè)和區(qū)域性CA發(fā)展很快，規(guī)模逐步擴大，但尚未建立起國家統(tǒng)一的PKI體系。為了解決現(xiàn)階段我國不同認證體系下的數(shù)字證書兼容應用問題，真正實現(xiàn)“一企一證、一證多用、資源共享”目標，國內(nèi)部分地方信息化行業(yè)主管部門已著手構(gòu)建本地區(qū)跨域信任平臺，并就相關(guān)的方案進行了初步探索和實踐，但平臺的設(shè)計均缺乏競爭，導致電子認證服務(wù)水平難以保障，用戶滿意度不高，且各方職責不清。針對網(wǎng)絡(luò)信任體系建設(shè)現(xiàn)狀和存在的主要問題，提出并實現(xiàn)了一種基于PKI/CA技術(shù)體系的分布式跨域信任平臺。該平臺基于分布式體系結(jié)構(gòu)設(shè)計原則，采用J2EE三層技術(shù)架構(gòu)，既可建立權(quán)責明晰的工作機制和簡化應用集成難度，又具有較強的靈活性和可擴展性。本文首先設(shè)計了平臺的系統(tǒng)結(jié)構(gòu)框架，接著深入研究了平臺的關(guān)鍵子系統(tǒng)，即可信CA管理子系統(tǒng)和可信CA控制子系統(tǒng)的主要功能結(jié)構(gòu)與工作流程，然后詳細分析了平臺實現(xiàn)的關(guān)鍵技術(shù)，最后給出了一個應用實例和總結(jié)了全文。

1 跨域信任平臺的系統(tǒng)結(jié)構(gòu)

基于PKI/CA技術(shù)體系構(gòu)建的分布式跨域信任平臺主要由可信CA管理子系統(tǒng)、可信CA控制子系統(tǒng)和統(tǒng)一證書應用接口三大部分組成。其中，可信CA管理子系統(tǒng)運行在被授權(quán)的第三方信任管理機構(gòu)服務(wù)器，主要負責可信CA根證書和黑名單的管理，并為應用系統(tǒng)提供統(tǒng)一的信任源;可信CA控制子系統(tǒng)部署在各接入單位的應用系統(tǒng)服務(wù)器，負責接收可信CA管理子系統(tǒng)的根證書和控制應用系統(tǒng)的信任列表;統(tǒng)一證書應用接口旨在實現(xiàn)不同CA證書的交叉認證和消息互認，并為應用系統(tǒng)提供統(tǒng)一集成方式。為了實現(xiàn)復雜的同步工作，平臺采用了Web Services技術(shù)支持各方的交互，并通過安全套接層 (secure sockets layer，SSL)加密通道進行可靠傳輸。圖1為分布式跨域信任平臺的系統(tǒng)結(jié)構(gòu)框架圖。

圖1 跨域信任平臺的系統(tǒng)結(jié)構(gòu)框架

2 跨域信任平臺的關(guān)鍵子系統(tǒng)

2.1 可信CA管理子系統(tǒng)

該子系統(tǒng)主要針對第三方信任管理機構(gòu)，直接面對CA、管理員和特定角色的注冊用戶。其主要功能結(jié)構(gòu)和工作流程分別如圖2、3所示。

2.1.1 準入技術(shù)檢測

該模塊用于對需接入跨域信任平臺的CA系統(tǒng)進行互信互認技術(shù)評估，具體包括模擬業(yè)務(wù)場景、數(shù)字證書及其介質(zhì)檢測、信息同步和應用接口測試、多CA兼容認證、測試參數(shù)配置管理、檢測結(jié)果管理等功能。

2.1.2 CA接入管理

通過信任準入評估的CA，管理員即可為其注冊或變更基本信息;若要終止其服務(wù)，亦可使用該模塊方便地進行注銷。

2.1.3 證書查詢統(tǒng)計

針對數(shù)字證書的管理維度主要分為兩個方面，即數(shù)字證書的發(fā)放與應用;該模塊旨在實現(xiàn)跨域信任平臺內(nèi)所有數(shù)字證書發(fā)放與應用情況的查詢統(tǒng)計功能，并可輸出打印各種統(tǒng)計報表。

2.1.4 信任服務(wù)管理

由根證書服務(wù)和黑名單管理兩部分組成;其中，根證書服務(wù)主要負責該子系統(tǒng)與應用單位端的根證書同步工作，同步方式提供自動實時和手工定期兩種;黑名單管理則是承擔從CA接收和向應用單位端同步推送最新黑名單的雙重功能。

2.1.5 信息交互模塊

其功能旨在實現(xiàn)CA和應用單位向該子系統(tǒng)上報證書發(fā)放信息，并自動同步黑名單和證書注冊開通信息。

流程描述如下:

2.2 可信CA控制子系統(tǒng)

該子系統(tǒng)主要由同步和管理兩個核心程序模塊以及安全存儲區(qū)組成，其主要功能結(jié)構(gòu)如圖4所示。

圖4 可信CA控制子系統(tǒng)主要功能結(jié)構(gòu)

2.2.1 同步模塊

主要負責向應用系統(tǒng)切換符合要求的各CA根證書，部署在應用系統(tǒng)上的統(tǒng)一證書應用接口可自動選擇相應的根證書來對客戶端證書進行身份驗證。此外，該模塊還可接收各CA和可信CA管理子系統(tǒng)同步過來的黑名單列表。

2.2.2 管理模塊

旨在實現(xiàn)可信與非可信CA根證書列表、黑名單文件的安全存儲和管理，以及對應用單位端的密碼設(shè)備、服務(wù)器證書等進行維護。

2.2.3 安全存儲區(qū)

該模塊采取結(jié)構(gòu)化設(shè)計，支持對各CA根證書和黑名單文件的分類存儲，并采用專用格式和加密機制，確保整個存儲內(nèi)容的安全性;同時，還提供專用的讀寫接口，供相關(guān)程序進行操作。

3 平臺實現(xiàn)的關(guān)鍵技術(shù)及應用

3.1 關(guān)鍵技術(shù)分析

統(tǒng)一證書應用接口作為分布式跨域信任平臺的關(guān)鍵技術(shù)要件，既是PKI/CA技術(shù)應用的關(guān)鍵和核心，也是各接入單位應用系統(tǒng)一次性集成的橋梁。目前，針對多CA環(huán)境下的統(tǒng)一證書應用接口的技術(shù)實現(xiàn)方式有兩種，如圖5所示。

圖5 統(tǒng)一證書應用接口實現(xiàn)方式

方式一是以國際標準和技術(shù)規(guī)范為前提，由各CA提供符合CSP和P11標準的接口，在此基礎(chǔ)上，直接進行封裝;方式二是在各CA現(xiàn)有證書應用接口的基礎(chǔ)上，進行二次封裝。表1是兩種技術(shù)實現(xiàn)方式的簡單比較。由此可見，為使分布式跨域信任平臺具有高度的擴展性和靈活性，其統(tǒng)一證書應用接口的技術(shù)實現(xiàn)應采用一次性直接封裝方式，這樣既可大大簡化接口運維工作，又能降低后續(xù)協(xié)調(diào)難度。

表1 接口實現(xiàn)方式的比較

此外，根證書和黑名單的同步機制亦是支撐平臺實際運作需解決的核心問題。本文在系統(tǒng)具體實現(xiàn)過程中，采用了Web Services技術(shù)實現(xiàn)根證書文件的同步，不僅確保了服務(wù)接口實現(xiàn)方式的標準化，同時還確保了同步結(jié)果的可靠性和安全性。黑名單驗證是證書認證過程中的重要環(huán)節(jié)，其實現(xiàn)有兩種模式:一是在線驗證，即通過網(wǎng)絡(luò)訪問各CA的黑名單發(fā)布點或在線證書狀態(tài)查詢 (online certificate status query，OCSP)服務(wù)器;二是本地驗證，由各CA在發(fā)布最新黑名單時，第一時間內(nèi)同步到應用系統(tǒng)端，應用系統(tǒng)通過本地最新黑名單對客戶端證書進行驗證。

對于在線驗證模式，應用系統(tǒng)需要進行主動網(wǎng)絡(luò)連接來遠程獲取各CA提供的在線查詢證書狀態(tài)或作廢證書列表服務(wù)，這種方式一方面其處理速度會受到嚴重影響，也意味著應用系統(tǒng)的處理性能將完全依托于各CA，使得應用系統(tǒng)無法控制該風險;另一方面，在線驗證模式中，應用系統(tǒng)主動進行網(wǎng)絡(luò)外連，不僅需要調(diào)整應用系統(tǒng)服務(wù)器的網(wǎng)絡(luò)邊界保護策略，而且在多家CA應用模式下，業(yè)務(wù)系統(tǒng)需要與多個CA進行外聯(lián)，隨著外聯(lián)地址數(shù)量的增加，服務(wù)器邊界保護的安全風險亦會加強，因此其可實施性存在一定難度。

對于本地驗證模式，一方面，對客戶端證書的驗證完全采取本地黑名單文件驗證機制，不需要網(wǎng)絡(luò)外連，因此也不存在運行效率的弊端;另一方面由CA主動同步黑名單，對于應用系統(tǒng)而言，不僅黑名單的履新性不受影響，而且主動同步機制也是一種被動響應過程，完全可以利用應用系統(tǒng)現(xiàn)有的對外服務(wù)地址和端口，而無需配置新的網(wǎng)絡(luò)邊界訪問策略，其實施可行性很高。

基于兩種實現(xiàn)模式的安全性及處理性能的對比分析，本文提出的分布式跨域信任平臺采用了黑名單本地驗證模式，以使證書應用操作責任更加清晰，處理效率更加迅速，且對外部網(wǎng)絡(luò)環(huán)境要求更小，更具有可實施性。

3.2 應用實例

基于本文設(shè)計思路，結(jié)合深圳電子政務(wù)實際需求，開發(fā)了一個基于PKI/CA的分布式跨域信任平臺原型系統(tǒng)。該系統(tǒng)采用基于J2EE技術(shù)體系的B/S架構(gòu)，面對的主要問題是:

(1)各CA有自身的證書認證系統(tǒng)，但由于CA之間技術(shù)、應用、服務(wù)標準的差異性，無法實現(xiàn)簽發(fā)證書的互認;

(2)目前用戶針對辦理一項業(yè)務(wù)就要申請一張數(shù)字證書的現(xiàn)象越來越不滿，希望實現(xiàn)應用系統(tǒng)層面的“一企一證、一證通用、資源共享”目標;

(3)各級政府主管部門需要建立健全統(tǒng)一的網(wǎng)絡(luò)信任體系，可實時動態(tài)掌握證書發(fā)放和應用情況。

本文研究實現(xiàn)的原型系統(tǒng)已在深圳市電子政務(wù)外網(wǎng)信任體系建設(shè)項目中得到實際應用，目前部署范圍為八家黨政機關(guān)試點單位，涉及的應用系統(tǒng)有十多個。該系統(tǒng)引入了中間件技術(shù)，通過對應用單位的系統(tǒng)接口、同步控制程序進行規(guī)范和封裝并即時接入跨域信任平臺，使得CA之間可以實現(xiàn)證書的互信互認。同時深圳市政府信息化主管部門使用該平臺進行全市信任源的管理和證書的查詢統(tǒng)計，有效解決了不同認證體系簽發(fā)數(shù)字證書所造成的證書不通用以及重復建設(shè)等問題，取得了良好成效。

4 結(jié)束語

本文針對目前普遍存在的不同CA機構(gòu)簽發(fā)數(shù)字證書不通用、各CA互信互認難等問題，從技術(shù)和管理的可行性出發(fā)，研究并實現(xiàn)了一種基于PKI/CA的分布式跨域信任平臺，該平臺為黨政機關(guān)各應用單位的業(yè)務(wù)系統(tǒng)搭建了良好的互信互認橋梁，解決了“集中管理、分散應用”模式下的跨信任域認證問題，同時極大地降低了用戶購買數(shù)字證書的成本，提升了公共服務(wù)水平。實際運行情況表明，該平臺達到了預期目標，具有廣闊的應用推廣前景。

［1］RFC 5217-2008.Memorandum for multi-domain public key infrastucture interoperability［S］.

［2］Vacca J R.Computer and Information Security Handbook［M］.Boston:Elsevier，2009.

［3］LU Rongjie，LIU Zhigui，ZHENG Xiaohong.United authentication p1atform based HTTPS tunnel technology［J］.Application Research of Computers，2006，23(12):168-170(in Chinese).［陸榮杰，劉知貴，鄭曉紅.基于HTTPS隧道技術(shù)的統(tǒng)一認證平臺研究與實現(xiàn) ［J］.計算機應用研究，2006，23(12):168-170.］

［4］FENG Weihua，LIU Ya1i.Design and implementation of unified authentication system on Cookie［J］.Computer Engineering and Design，2010，31(23):4971-4975(in Chinese).［馮偉華，劉亞麗.基于Cookie的統(tǒng)一認證系統(tǒng)的設(shè)計與實現(xiàn) ［J］.計算機工程與設(shè)計，2010，31(23):4971-4975.］

［5］CHEN Xiaofeng，F(xiàn)ENG Dengguo.A direct anonymous attestation scheme in multi-domain environment［J］.Chinese Journal of Computers，2008，31(7):1122-1130(in Chinese).［陳小峰，馮登國.一種多信任域內(nèi)的直接匿名證明方案［J］.計算機學報，2008，31(7):1122-1130.］

［6］ZHOU Yanwei，WU Zhenqiang，JIANG Li.Cross-domain mechanism of anonymous attestation for distributed network ［J］.Journal of Computer Applications，2010，30(8):2120-2124(in Chinese).［周彥偉，吳振強，蔣李.分布式網(wǎng)絡(luò)環(huán)境下的跨域匿名認證機制［J］.計算機應用，2010，30(8):2120-2124.］

［7］SONG Cheng，SUN Yuqiong，PENG Weiping，et al.Improved direct anonymous attestation scheme［J］.Journal of Beijing University of Posts and Telecommunications，2011，34(3):62-65(in Chinese).［宋成，孫宇瓊，彭維平，羅守山，辛陽，胡正名.改進的直接匿名認證方案［J］.北京郵電大學學報，2011，34(3):62-65.］

［8］WANGJiahui，WU Zhenqiang，LIJie.Extended platform authentication and access of trusted network［J］.Computer Engineering and Design，2010，31(2):239-242(in Chinese).［王佳慧，吳振強，李潔.擴展的可信網(wǎng)絡(luò)平臺接入與認證［J］.計算機工程與設(shè)計，2010，31(2):239-242.］

［9］ZHANG Hongqi，YANGZhi，WANGXia，et al.Research and implementation of all-purpose structure of web cross-realm authentication ［J］.Application Research of Computers，2009，26(5):1796-1798(in Chinese).［張紅旗，楊智，王霞，沈昌祥，張斌.通用Web跨域認證構(gòu)架研究與實現(xiàn)［J］.計算機應用研究，2009，26(5):1796-1798.］

［10］MA Chaobin，HUANG Ningyu，ZHANG Xing.A mixed cross-authentication scheme for trusted platform compatibility［J］.Journal of Beijing University of Technology，2010，36(5):582-585(in Chinese).［馬朝斌，黃寧玉，張興.一種混合交叉認證的平臺兼容性方案 ［J］.北京工業(yè)大學學報，2010，36(5):582-585.］