網絡信任體系中ＰＫＩ拓展應用的研究與實現

摘要：PKI技術是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。網絡信任體系中的PKI拓展應用涉及到電子政務和電子商務跨地區跨行業的應用。文章對其中一證多用技術、點對點交叉認證技術和屬性證書技術及實現方式進行了介紹。

關鍵詞：PKI；網絡信任體系；一證多用；點對點交叉認證；屬性證書

引言

2003年9月，《中共中央辦公廳、國務院辦公廳轉發<國家信息化領導小組關于加強信息安全保障工作的意見>的通知》(中辦發[2003]27號)中強調：加強以密碼技術為基礎的信息保護和網絡信任體系建設，充分發揮密碼在保障電子政務、電子商務安全和保護公民個人信息等方面的重要作用，規范和加強以身份認證、授權管理、責任認定等為主要內容的網絡信任體系建設。PKI(Public Key Infrastructure，公鑰基礎設施)體系是在統一的安全認證標準和規范基礎上提供在線身份認證，是CA認證、數字證書、數字簽名以及相關安全應用組件模塊的集合。作為一種技術體系，PKI可以作為支持認證、完整性、機密性和不可否認性的技術基礎，從技術上解決網上身份認證、信息完整性和抗抵賴等安全問題，為網絡信任體系建設提供可靠的技術保障。PKI的核心是要確定信息網絡空間中各種經濟、軍事和管理行為主體(包括組織和個人)身份的惟一性、真實性和合法性，保護信息網絡空間中各種主體的安全利益。

1 PKI在網絡信任體系中的基礎應用

網絡信任體系主要包括三個方面的內容：身份認證、授權管理和責任認定。其中核心內容是用戶網絡身份認證。身份認證就是對用戶和設備等網絡主體用密碼技術進行認證，確保網絡主體身份的真實性和惟一性，確保傳輸信息的完整性、真實性和不可抵賴性，只有在有效身份認證的基礎上才能夠實現對用戶的授權管理和責任認定。圍繞著網絡身份的認定，基于PKI的身份認證體系，已被普遍認可。使用PKI技術的基礎應用主要包括：SSL加密通道、數字信封、身份識別平臺、安全電子郵件、安全桌面、安全網站、可信信息服務平臺、安全站點認證服務、數字時間戳等。

2 PKI在網絡信任體系中的拓展應用需求分析

2.1 拓展需求

跨區域需求：目前在全國范圍內獲得信息產業部《電子認證服務許可證》的PKI／CA機構共有20多家，每一個PKI／CA機構都建立有自己的信任域，彼此的信任域無法互通。在網絡信任體系應用中，雖然各家的證書執行統一的X．509國際標準，但此標準只定義了證書原語言基本要素，而其中的選項各不相同，各家發放的CA證書的密碼長度、格式不完全一致，造成了各家CA證書彼此不能互認。這極大地增加了網絡信任體系應用的風險，成為阻礙建立統一網絡身份信任體制的棘手難題。

跨領域需求：在網絡信任體系建設中，各種應用所需要的用戶信息不盡相同，為用戶配置的安全項目也千差萬別，比如：工商部門做網上年檢時需要企業的營業執照登記號，稅務部門辦理網上納稅時需要企業的稅務登記號，技術監督局辦理網上業務時需要企業的組織機構代碼證。基于X.509 V3標準的數字證書內容有限，無法做到在數字證書中事先寫入所有的用戶信息。網絡信任體系的跨領域應用則要求在重點領域中能實現基礎數據的共享。

2．2 設計分析

2．2．1 基于跨區域需求的方案分析

(1)橋CA交叉認證方案

橋CA與各個PKI中被選作主CA(principal CA)的CA作交叉認證。橋CA只是一個中介，它不直接向用戶發證書，也不作為一個根信任點。該方案的優點是在入橋的根CA數量比較大時，各個根CA接入很方便，缺點是投資巨大，并且出于權威性和安全性考慮，需由國家級的部門為主體進行建設。

(2)點對點CA交叉認證方案

根CA相互間實行交叉認證。該方案的缺點是需要所有的CA兩兩間相互簽發交叉證書，若有n個CA需要互連互通，則需要簽發交叉證書n×(n-1)次，因此只能應用于數量較少的區域間的交叉認證；優點是投資少、開發周期短，可以短時間內實現幾個地區間信任體系的跨區域PKI應用。就國內的實際應用情況來看，點對點CA交叉認證是目前解決信任體系的跨區域PKI應用的一個較好的方案。

2．2．2 基于跨領域需求的方案分析

(1)AS一證多用方案

AS一證多用方案是指客戶端采用ActiveX技術與服務器端采用SOAP技術，客戶端通過ActiveX控件將本地的電子證照或數字證書進行數字簽名后提交，服務器根據提交內容進行身份確認、簽名驗證等工作后，將用戶請求轉發到各類應用服務，實現同一數字證書的一證多用。該方案的服務器采用三層架構，因此可靠性高、速度快。缺點是應用部署時需要進行與CA服務器通訊接口的開發。

(2)屬性證書方案

屬性證書基于x.509v4標準和LDAP服務，向應用系統提供對實體(用戶、程序等)的授權服務，提供實體身份到應用權限的映射，提供與實際應用處理模式相應的、與具體應用系統開發和管理無關的授權和訪問控制機制，來實現一證多用。該方案的優點是應用部署時開發周期短。由于目前市場上的基于海量數據的LDAP服務軟件在性能價格比方面有一定缺陷，因此在應用部署時需要仔細選擇LDAP服務軟件。

3 網絡信任體系中PKI拓展應用方案的實現

3．1 一證多用方案設計

3．1．1 系統結構

系統由客戶端和服務器端組成，客戶端包括ActiveX電子證照控件模塊和身份模塊；服務器包括CA-SOAP服務器的電子證照模塊應用服務器的身份認證模塊。系統結構圖如圖1所示。

3．1．2 流程與程序實現

(1)客戶端電子證照模塊

電子證照模塊的程序流程是：從應用服務器獲取身份標識后產生證照申請，將申請發送到CA-SOAP服務器并獲取電子證照，將電子證照寫入介質。流程圖如圖2所示。

服務器電子證照模塊的程序流程是：從客戶端獲取申請，根據策略產生證照并返還給客戶端。流程圖如圖3所示。

(3)客戶端身份模塊

客戶端身份模塊的程序流程是：客戶端判斷本地是否有電子證照，如果沒有，轉到電子證照申請模塊，如果有，則讀取本地證照提交給應用服務器的身份模塊。流程圖如圖4所示。

(4)應用服務器身份模塊

應用服務器身份模塊的程序流程是：從蓉戶端獲取證照，解析出用戶身份，并根據策略判斷該用戶是否為合法用戶，并將結果返還給客戶端。流程圖如圖5所示。

3．2 屬性證書方案

3．2．1 系統結構

用戶通過安全網關訪問應用服務，應用服務器將用戶證書轉發到屬性證書驗證服務器上進行驗證。屬性證書驗證服務器與CA機構的屬性證書簽發系統保持同步。CA機構的屬性證書簽發系統提供管理接口給應用單位使用、管理。系統結構圖如圖6所示。

3．2．2 屬性證書標準

(1)屬性證書中包含了用戶在應用中所需要的具體屬性信息，與應用相對應。如：網稅應用中的納稅登記證號。

(2)屬性證書采用x.509v4標準。

(3)屬性證書不包含公鑰，其信任標識是CA中心對其的簽名。

(4)通過代表用戶身份的惟一ID作為屬性證書與用戶身份證書對應的標識。

(5)一個用戶可能存在多個屬性證書；屬性證書與應用相對應，用戶可能在多個應用中都擁有不同的屬性證書；也可使用一張屬性證書支持多個應用，但用戶只擁有一張身份證書。

3．2．3 管理及發布

(1)屬性證書由CA認證中心負責簽發、發布。

(2)應用單位需要架設安全網關和屬性證書驗證服務器，安全網關負責對用戶身份證書進行驗證，屬性證書驗證服務器負責對用戶屬性證書進行驗證和解析，并保障屬性證書與身份證書之間的正確對應。

(3)應用單位可通過架設管理終端，實現在CA的屬性證書服務器上對本單位用戶屬性證書的管理和維護，如屬性證書更新、廢除、凍結、解凍、延期等。

(4)應用單位在設置管理終端操作后，CA的屬性證書服務器將更新內容發布到應用單位的屬性證書驗證服務器上。

3．2．4 應用流程

(1)用戶用數字證書登錄應用系統

登錄采用標準HTTPS協議、常見的客戶端程序如IE等都支持此協議，此處不再介紹。

(2)應用服務器登錄流程

應用服務器登錄流程是：從安全網關中獲取數字證書，將該證書轉到屬性證書驗證服務器，并獲取該數字證書相對應的屬性證書，從屬性證書中解析出用戶身份，并根據策略判斷用戶是否合法，并將結果返還給客戶端。流程圖如圖7所示。

3．3 點對點交叉認證方案

以上海數字認證中心(上海CA)和浙江數字認證中心(浙江CA)為例，CA點對點的交叉認證互簽工作是指：使用浙江的根CA對上海的根CA密鑰進行簽發，同時使用上海的根CA對浙江的根CA密鑰簽發。浙江CA用戶與上海CA用戶在網絡信任體系統中相互通訊的信任路徑如圖8所示。

4 結束語

本文介紹了網絡信任體系中的PKI應用技術，并提供了幾個PKI技術拓展應用方案。PKI涉及到電子政務、電子商務以及國家信息化的整體發展戰略等多層面問題，是相關技術、應用、組織、規范和法律法規的總和，其本身就是國家綜合實力的體現。加強對PK／應用技術的深入研究對網絡信任體系的建設、推動互聯網發展、保障交易安全、推動電子政務和電子商務的發展有著至關重要的作用。