美国联邦PKI体系
美国联邦PKI是自下而上建立的一个庞大PKI体系。联邦政府首先成功地在各联邦机构中分别使用了不同的PKI产品,PKI产品的多样性提高了政府机构的工作效率,但也造成了各机构彼此之间难以互操作的问题。为了增强彼此间合作,解决不同信任域之间,联邦政府计划联合各联邦机构中独立的PKI/CA共同组建美国联邦PKI体系。
美国联邦PKI体系主要由联邦的桥认证机构(FBCA,FederalBridgeCA)、首级认证机构(PCA,PrincipalCA)和次级认证机构(SCA,SubordinateCA)等组成,如图1所示。
从图1中,我们可以看到联邦PKI的体系结构中没有采用根CA,而采用了首级CA,这是因为在美国,信任域的结构是多种多样的,美国联邦PKI体系结构可以支持分级(树状)结构、网状结构和信任列表等。联邦的桥CA是联邦PKI体系中的核心组织,是不同信任域之间的桥梁,主要负责为不同信任域的首级CA颁发交叉认证的证书,建立各个信任域的担保等级与联邦桥CA的担保等级之间的映射关系,更新交叉认证证书,发布交叉认证证书注销黑名单。但是联邦的桥CA不要求一个机构在与另一个机构发生信任关系时必须遵循联邦PKI所确定的这种映射关系,而是可以采用它认为合适的映射关系确定彼此之间的信任。
联邦PKI体系的工作原理实际上就是指联邦桥CA的工作原理。联邦的桥CA不直接向用户颁发证书,允许用户保留自己的原始信任点。正如我们在网络中所使用的“HUB”一样,任何结构类型的PKI结构都可以通过这个机构连接在一起,实现彼此之间的信任,并将每一个单独的信任域通过联邦的桥PKI扩展到整个联邦PKI体系中。
在进行网上交易时,当接受者接收到发送者数字签名的电子文件时,为了验证签名的有效性,接收者的应用软件必须完成三件事情。
1、首先接收者的软件必须确定发送者的信任域和接收者的信任域之间是否存在信任关系,这可以通过建立两个信任域之间的证书“信任路径”来实现;
2、接收者必须确定发送者证书中所描述的政策即证书包含的担保级别是否满足本次交易的需要;
3、确定在这个信任路径中,所有的证书都必须有效,证书既没有超过有效期,也没有被注销。
加拿大PKI体系
加拿大政府PKI体系结构是由政策管理机构(PMA)、中央认证机构(CCF)、一级CA和当地注册机构(LRA)组成。其中PMA是一个若干部门共同组建的机构,由加拿大政府财政部秘书处领导,为政府PKI体系提供全面的政策指导,负责监督和管理加拿大政府PKI体系的政策实施情况。CCF是中央认证机构,它实施政府PKI体系中的所有策略,签署和管理与一级CA交叉认证的证书。一级CA是由政府运营,制定一个和多个证书担保的等级,分发和管理数字证书,定期颁布证书注销黑名单。LRA是一级CA设置的登记机构,其职责是认证和鉴别申请者的身份,为密钥恢复或证书恢复请求进行审批,接受并审批证书的注销请求。
加拿大政府PKI体系是一个完全政府行为的公开密钥体系结构,充分考虑了交易的保密性和安全性,并把保护交易保密性和安全性列为信息高速公路的首要问题。
加拿大政府PKI体系是由若干CA组成,这些CA形成树状结构,每个用户的公钥和身份验证的信息都放在证书中,证书签发CA在每个证书上签名,并使其包含公钥的证书对外公开。任何用户都能够方便地得到其他用户的公钥,通过公钥验证该用户的签名,辨别真伪。
图2加拿大政府PKI体系的结构
从图2中我们可以发现,加拿大政府PKI体系的信任域都是树状结构,查找信任关系更加快捷,建立信任关系也更加容易,只需要和相应的一级CA进行交叉认证即可,不像网状结构需要确定哪个CA与联邦的桥CA进行交叉认证。另外,两种树状结构建立信任关系必须通过中央认证机构,不允许一个树状结构与另一个树状结构直接发生信任关系,中央认证机构是与外界建立信任关系的唯一接口。加拿大政府PKI体系简单,易于操作,是一个值得借鉴的PKI体系。
两种体系的比较
美国联邦PKI体系和加拿大政府PKI体系都是政府组织的PKI体系,其目的都是为了本国的各级政府部门开展电子政务。在两种体系中均设有一个交叉认证中心,用来沟通不同信任域之间的信任关系,与其他政府PKI/CA建立信任关系的接口。美国在开发联邦PKI体系时充分考虑了与加拿大政府PKI体系的兼容性。美国联邦PKI体系和加拿大政府PKI体系并不完全一致,两者的区别表现为:
1、体系结构方面。美国联邦PKI体系结构比较复杂,包含树状结构、网状结构和信任列表等,联邦的桥CA仅是一个桥梁;而加拿大政府PKI体系结构比较简单,是一个树状结构,从结构上看,中央认证机构仿佛是一个根CA。
2、在信任关系的建立方面。美国联邦PKI体系结构中的联邦的桥CA是各信任域建立信任关系的桥梁,不强调在建立信任关系时必须遵循交叉认证证书中所确定的担保等级之间的一一映射关系;在加拿大政府PKI体系中,各信任域之间建立信任关系必须经过中央认证机构。
3、采用的技术方面。美国联邦PKI体系中的成员采用多种不同的PKI产品和技术,如Verisign,Baltimore和Entrust等公司的技术;而加拿大政府PKI体系中强调使用Entrust公司的技术。
4、在组成成员方面。美国联邦PKI体系包括各级政府和与政府有商业往来的合作伙伴;而加拿大政府PKI体系的成员都是联邦的各级政府。
