PKI and CA

 

http://www.jhreader.com/wenzhang/wenzhang_002.asp

 

传统PKI与桥CA认证体系

摘　要: 本文首先分析了不同的PKI（公钥基础设施）体系以及它们各自的优缺点，论述了目前几种不同的PKI结构互连时遇到 了一些困难，因此需要建立一种新的PKI体系。本文随后介绍了桥CA（BCA）概念、BCA认证体系和其面临的挑战，最后针对国内的CA认证体系现状说明了在我国建立BCA的必要性。

1 前言
　　电子交易行为在国内外已经随处可见，为了确保交易的顺利进行，必须在互联网中建立并维持一种可以信任的环境和机制。应用最有效的安全技术，建立电子商务安全体系结构，成为电子商务建设中首先需要解决的问题。国际上提出了基于公钥基础设施（PKI）的数字证书解决方案，现已被普遍采用。电子商务中安全措施的实现主要围绕数字证书展开的。数字证书（Certificate）提供的是网络上的身份证明。数字证书拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可信的通信。证书除了用来向其它实体证明自己的身份外，还同时起着公钥分发的作用，每份证书都携带着持有人的公钥，签名证书携带的是签名公钥，信息加密证书携带的是信息加密公钥。所有实体的证书是由一个权威机构——CA(Certificate Authority)发行的，人们可以在交往中用它来识别对方的身份。电子商务CA先行，没有一个足够稳固、健全的CA，一切网上的交易都没有安全保障。 CA是保证电子商务安全的关键。

　　CA是承担网上安全电子交易认证服务、签发数字证书、并能确认用户身份的服务机构。CA通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。作为受信任的第三方权威机构，CA负责产生、分配并管理用户的数字证书，使网上通信的各方能互相确认身份。它的基本功能有：接收注册请求，处理、拒绝/批准请求，颁发证书。在实际运作中，CA可由大家都信任的一方担当。

　　目前，国内已信和在建的CA认证中心有近30家。这些CA认证中心是基于传统的PKI体系建立起来的。然而，不同的认证体系，其公钥基础设施可能使用不同的结构、不同的安全策略和密钥算法体系。因此，需要一种灵活的机制来连接这些CA认证体系。传统的 PKI体系已经难以胜任这项任务。桥CA（BCA）提供了一种方式来连接现有的CA认证体系。

2 传统的PKI体系
　　PKI是对于公钥密码体制中的公钥信息的管理。公钥密码体制是一种密码系统，它使用一对数学相关的密钥来加密和解密信息。在公钥密码体制中，一个密钥用来加密或解密信息，另一个密钥用来执行相反的操作。其中一个密钥必须保密，称为保密密钥；另一个密钥可以分发给任何人，称为公开密钥。在公钥基础设施中，称做证书的数据结构，把一个特定的身份同一个特定的公钥和该公钥如何使用的信息绑定在一起。最为广泛使用的证书格式是ITU定义的X.509证书。证书机构是可信任的实体，用来为公钥基础设施中的用户发放证书，提供CA发放的证书的状态信息。

　　传统的PKI结构可以有三种情况：单个CA，分级结构的CA和网状结构的CA。每种结构由PKI的基本属性来决定：包括PKI中用户给予信任的CA（称为用户可信任点）的数量和在多CA的PKI环境中，CA之间的信任关系。

　　最基本的PKI结构是单个CA的结构，它为PKI中的所有用户提供PKI服务（证书、证书状态信息等等）。PKI中的所有用户对此单个CA给予信任。每个证书路径都起始于该CA的公钥，这就产生了单一的用户信任点。
这种结构的优点是：容易实现，只需建立一个根CA，所有的用户都能实现相互认证。缺点是：不易扩展到支持大量的或者不同的群体的用户。用户的群体越大，支持所有必要的应用就越困难。

　　在现实生活中，一个证书机构很难得到所有用户的信赖并接受它所发行的所有用户证书，而且这个证书机构也很难对所有潜在注册用户有足够全面的了解，这就需要多个CA。人们当然希望将单个CA扩展成支持不同群体的CA，这样来创建一个更大的、更为多样化的 PKI。两个相互独立的CA可以用两种方式来结合生成更大的PKI系统：使用主从关系，或者使用对等关系。

　　一个以从属CA关系建立的PKI称做分级结构的PKI。在这种情况下，所有的用户都信任同一个根CA。在进行网上交易双方的身份认证时，交易双方互相提供自己的证书和数字签名，由CA来对证书进行有效性和真实性的认证。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信，需要解决跨域的认证。图1表示了这一过程，这一过程在于建立一个可信赖的证书链或证书通路。高层CA称做根CA，它向低层CA发放公钥证书。

图1 证书链

　　如图1所示，证书3的合法性由证书2的签字密钥来保证，而证书2的合法性由证书1，即根CA的签字密钥来保证。用户U1与发证者所限定的子区域内用户进行安全通信时，只需利用CA-C的公钥，即涉及3个证书。若用户U1要与C以外的用户U2（如属于D的子域的用户）进行通信，则需借助于CA-C、CA-D和CA-B的公钥进行认证，需要涉及5个证书。

　　分级结构的PKI系统由于其简单的结构和单向的可信任关系，具有4个优点：第一个优点是分级结构的 PKI系统易于升级和增加新的认证域用户，因为只需要根CA与该认证域的CA建立信任关系。第二个优点是证书路径由于其单向性，容易扩展，可生成从用户证书到可信任点的简单的、明确的路径。第三个优点是证书路径相对较短。最长的路径等于树的深度加一：每个从属CA的证书路径加上用户的证书路径。第四个优点是，基于分级结构中的CA的位置，用户隐含地知道一个证书用于哪种应用。因此，分级结构中使用的证书可以比网状结构中使用的证书更小、更简单。

　　分级结构的PKI也有缺点。这是因为它依赖于一个单一的可信任点，即“根CA” 。根CA是每个用户的可信任点，它的安全性的削弱，将导致整个PKI系统安全性的削弱。更严重的是，现在还没有直接的恢复技术。分级结构的PKI系统的实质是所有的信任都集中在根CA，而一旦该可信任点出现故障，后果是灾难性的。另外一个缺点是构建一个单一的、共同的根CA可能在政治上是无法做到的，如美国等多数发达国家和中国都未能建立起一个有效的根CA。另外，由一组彼此分离的CA过渡到分级结构的PKI，逻辑上是不现实的，因为所有的用户都不得不重新设置他们的可信任点。分级结构的PKI的传统替代方法是以对等关系连接CA。

图2 交叉认证

　　图2显示了对等关系下的交叉认证，CA-1、CA-2与CA-3是对等关系，它们通过相互颁发证书，来实现不同信任域内网络用户的相互信任。例如，在图2中，U1信任CA-1，U1如果要验证U2证书的合法性，则首先需要验证CA-3对证书6的签名，其次验证CA-2对证书3的签名，最后验证CA-1对证书2的签名，因为U1信任CA-1，所以信任证书6。U1通过这样一个证书链达到验证证书6的合法性。

　　以对等CA关系建立的PKI系统称为网状结构的PKI，或者“可信任网络”，如图3所示。网状PKI中的所有CA都可能是可信任点。通常，用户信任为他们发放证书的CA。CA之间相互发放证书，证书对描述了它们双向的信任关系。由于CA之间具有对等关系，它们不能管理其他CA发放的各种类型的证书。因为其信任关系是无限制的，所以如果一个CA希望限制这种信任，它必须在发放给其他CA的证书中声明这些限制。

图3 网状结构的PKI

　　网状结构的PKI具有几个优点。网状结构的PKI可以容易地增加新的群体用户。网状结构中的任何一个 CA只需与该群体的CA建立信任关系。网状结构的PKI非常灵活，因为存在多个可信任点。单个CA安全性的削弱不会影响到整个的PKI。那些向安全性削弱的CA发放过证书的CA只需吊销该证书，从PKI中删除该CA。与其他CA关联的用户仍然会有一个正确的可信任点，能够安全地与PKI中的其余用户通信。在网状结构的CA中，从安全性削弱的CA中恢复相对容易，并且它只影响到数量较少的用户。网状的PKI可以很容易地由一组分离的CA构建，因为用户不需要改变他们的可信任点（或其他的任何东西），而只需该CA在网中至少向一个CA发放证书。当一个组织想要整合各个独立开发的PKI系统时，这是很实用的。

　　然而，正因为这种双向的可信任模型，网状结构的PKI也有它的不足。证书路径的扩展与分级结构的PKI 相比过于复杂。与分级结构的PKI不同，从用户证书到可信任点建立证书的路径是不确定的，因为存在多种选择，使得路径发现较为困难。一些选择可以形成正确路径，而其他选择会走入死胡同。更糟糕的是，在网状结构的PKI中可能会建立一个无止境的证书环路。对于网状的PKI，扩展有好有坏。证书路径的最大长度是PKI中的CA的数量。网中的用户必须基于证书的内容来确定可能使用证书的应用，而不是基于PKI中的CA的位置。证书路径上的每一个证书都需这样做，这就需要更大的、更为复杂的证书和更为复杂的证书路径处理。

　　CA之间的信任关系可以是对等关系，也可以是从属关系。我们分析了这两种结构都有优缺点。在现实生活中，证书用户群体之间的关系往往不是基于主从关系。因为用户群体是分别独立的部门，所以没有明确的中央管理机构。缺乏中央管理机构，这些群体可能无法找到彼此都接受的第三方来建立PKI体系中的根CA。而改变可信任点将与用户群体之间已经建立的关系发生冲突。

　　图3表明网状结构PKI是CA之间通过相互发放证书来建立双向的可信任关系。不同用户群体的用户不共享一个单一的可信任点。每个用户仍然信任给他发放证书的CA。但是在一个行业内部，从属关系是明确的，网状结构不能反映这些关系。因此对等关系可能更有争议，所以需要一种新的认证体系。

3 桥CA认证体系

　　桥CA体系结构被设计成用来克服两种基本的PKI结构的缺点和连接不同结构的PKI系统。不同于网状的 CA，桥CA（BCA）不直接向用户发放证书。而且，BCA不作为一个可信任点，供PKI中的用户使用，这一点不同于分级结构中的根CA。BCA与不同的用户群体建立对等的可信任关系，允许用户保持原有的可信任点。这些关系被结合起来形成“信任桥”，使得来自不同用户群体的用户通过指定信任级别的BCA相互作用。

　　 如果一个用户群体以分级结构的PKI的形式建立信任域，BCA将与该PKI的根CA建立关系。然而，如果用户群体以网状结构的PKI的形式建立信任域，BCA只需要与该PKI的其中任一个CA建立关系。在两种情况中，PKI中与BCA形成信任关系的CA都称为“主CA”。

　　图4表示了BCA与网状结构PKI和分级结构PKI的用户群体建立信任关系。桥CA分别选择与CA- 1、CA-2、CA-3建立对等信任关系。CA-1、CA-2、CA-3分别是各自PKI体系的主CA。用户U1收到网状PKI中一个CA签发的证书，使用网状结构中的一个CA作为他的可信任点。用户U5收到分级PKI中一个CA签发的证书，并使用该CA作为他的可信任点。U1 和U5能够使用通过BCA而存在的信任桥和他们各自的可信任点来建立信任关系，使得他们能够彼此以可信任的方式相互认证。
由BCA建立的PKI有时称为中心辐射式（hub-and-spoke）PKI。BCA在单一的、已知的核心上连接多个PKI。与网状结构的PKI相比，在BCA架构的PKI中，证书路径的发现变得较为容易。用户清楚地知道他们到BCA的路径，从而只需确定从BCA到用户证书的证书路径。除此之外，BCA 架构的PKI比起具有相同数量的CA的随机的网状结构PKI，具有更短的可信任路径。证书路径发现比起分级结构仍然很困难。典型的路径长度大约增加了一倍。然而，BCA架构的PKI系统的分散化特性更精确地代表了现实世界中的证书机构的关系。

图4 桥CA连接不同的PKI体系

4 桥CA所面临的挑战

　　虽然部署基于BCA的PKI系统的主要障碍在政治方面，我们仍然需要面对更多的技术挑战，比如证书路径的有效发现和确认，大型PKI目录的互操作性。在前面已经指出，对于证书路径的发现和确认，网状结构的PKI比分级结构的PKI要更为困难，因为在PKI中存在多个可信任点和无终止的可信任环存在的可能性。一个基于BCA结构的PKI系统必然要包括部分网状结构的PKI，因而需要所有的用户能够开发和确认复杂的证书路径。除此之外，BCA必须利用证书信息来限制不同企业PKI的可信任关系。这意味着证书将更为复杂，PKI用户在证书确认过程中，必须准备处理和使用额外的可信任信息。

　　基于BCA的PKI系统的另一个技术挑战是如何获取证书和证书状态信息。在有效的PKI系统中，用户必须容易地获取CA证书和用户证书，以及通过一种分发机制获得相应的状态信息。

　　早期的PKI设计者希望出现全局的X.500目录来解决这个问题。一个PKI用户将从本地的X.500 目录中获取特定的证书和证书状态信息（特别是通过证书吊销表）。如果本地的X.500目录中不存在所需信息，可以通过全局的X.500目录链找到它。不论哪一种方法，PKI用户能够很容易地通过查询本地目录找到所需的信息。但是现在PKI系统主要使用LDAP、WEB和OCSP（在线证书状态协议）服务器来分发证书和查询证书状态信息。

在存在多种分发机制的PKI系统中，用户端的应用，需要支持多种检索协议来搜寻所需要的信息。因此我们需要开发一些技术用于发现和验证复杂的证书路径，处理不同的PKI信息分发机制。


5 桥CA认证体系在国内应用设想

　　为促进电子商务在中国的顺利开展，2000年和2001年中国掀起了一股PKI热，一些行业部门和地方都已建成了自己的一套CA体系。其中较有影响的行业CA有：中国电信CA安全认证中心（CTCA）、中国金融认证中心（CFCA）、中国国际电子商务认证中心、中国邮政CA认证中心（CPCA）、中国海关CA认证中心等。地方CA有：上海电子商务CA认证中心（SHECA）、北京市数字证书认证中心（BJCA）、广东省电子商务认证中心 、 湖北省电子商务认证中心、海南省电子商务认证中心、山东省CA认证中心等十多家。其中的一些行业CA还在各省设立了RA（注册受理中心）。
实现不同CA认证体系的互通对电子商务的开展起着非常重要的作用。迄今为止，国内采用PKI的企业仍很少，其中缺乏良好的互操作性是主要障碍之一。因为在目前情况下，持有CTCA证书的用户与持有BJCA的用户是不能完成双方的身份认证的，用户在不同情况下不得不使用多个证书。因此，实现不同CA认证体系的互通会对电子商务的开展起到很大的推动作用。

　　国内CA体系目前只有少数几个实现了互通，比如中国协卡认证体系，主要是通过相互颁发证书来实现不同认证域用户之间的交叉认证。

　　基于BCA的PKI系统可以很好地适应中国目前的PKI体系的现状。在中国的CA有近30家，有行业内的，有地方的，还有集团内的。这些CA体系本身不能简单看成是分级结构，各CA中心之间也很难达成共识，因此难于建立一个全国的根CA。

　　 而如果建立一个统一的全国网状结构的PKI系统，则全国的网状结构的PKI系统所需的信任关系的数量将极其复杂惊人。而桥CA更适合目前国内CA的现状，建立起桥CA之　　后来自不同的信任域的用户能以可信任的方式彼此通信。

　　 电子商务是无国界的，因此两个不同国家之间的用户也会遇到证书认证的问题。桥CA结构也适用于不同国家之间的CA认证。两个国家之间证书用户属于不同的认证域，显然不能同归为从属关系，因此不能建立统一的根CA来实现互通。但是要世界上的200多个国家建立一个网状的CA体系将更困难，因此建立桥CA将是比较好的选择。




参考文献

1 David D. Test show PKI promise: bridge architecture links certificates from multiple vendors.Internet Week, 2000-04-17
2 William E B. Public key infrastructure (PKI) technical specifications: part A
technical concept of operations. Federal Public Key Infrastructure Technical Working Group.Washington, D C, 1998
3 Federal bridge certification authority initiative and demonstration report DRAFT .Electronic Messaging Association, USA, 2000