基于PKI/CA的分布式跨域信任平臺研究與實現

顏海龍，喻建平，胡 強，馮紀強

(深圳大學ATR國防科技重點實驗室，廣東深圳518060)

0 引言

公鑰基礎設施 (public key infrastructure，PKI)技術［1-2］在國內外的廣泛應用，解決不同電子認證服務機構(certificate authority，CA)簽發數字證書的互認問題，推動應用系統間認證資源的共建共享，成為電子認證服務行業業務應用的新要求。傳統基于“單一信任體系”設計與實現的統一認證平臺［3-4］在業務層面上可控性差，無法長久保障其認證質量，面臨較大的運行風險。

針對可信計算平臺已有許多專家學者開展多信任域下的安全認證技術和方案研究［5-8］，也取得了一定成果，并為加快全球化網絡信任體系建設起到了促進作用。文獻［9］設計了一種新的Web跨域認證構架，以實現跨信任域的身份認證。文獻［10］參考基于橋CA的交叉認證模型，通過引入復合證書和第三方可信驗證機構TVA，為采用不同證書體制的信任域映射證書策略，從而實現平臺的兼容性。

當前，世界各國為了在網絡空間建立統一的信任體系，通常會構建自己國家統一的PKI體系。例如澳大利亞、加拿大等采用統一根CA方式建立起“自上而下”的PKI體系;美國、日本等則通過橋CA方式實現“自下而上”的國家PKI體系。我國行業和區域性CA發展很快，規模逐步擴大，但尚未建立起國家統一的PKI體系。為了解決現階段我國不同認證體系下的數字證書兼容應用問題，真正實現“一企一證、一證多用、資源共享”目標，國內部分地方信息化行業主管部門已著手構建本地區跨域信任平臺，并就相關的方案進行了初步探索和實踐，但平臺的設計均缺乏競爭，導致電子認證服務水平難以保障，用戶滿意度不高，且各方職責不清。針對網絡信任體系建設現狀和存在的主要問題，提出并實現了一種基于PKI/CA技術體系的分布式跨域信任平臺。該平臺基于分布式體系結構設計原則，采用J2EE三層技術架構，既可建立權責明晰的工作機制和簡化應用集成難度，又具有較強的靈活性和可擴展性。本文首先設計了平臺的系統結構框架，接著深入研究了平臺的關鍵子系統，即可信CA管理子系統和可信CA控制子系統的主要功能結構與工作流程，然后詳細分析了平臺實現的關鍵技術，最后給出了一個應用實例和總結了全文。

1 跨域信任平臺的系統結構

基于PKI/CA技術體系構建的分布式跨域信任平臺主要由可信CA管理子系統、可信CA控制子系統和統一證書應用接口三大部分組成。其中，可信CA管理子系統運行在被授權的第三方信任管理機構服務器，主要負責可信CA根證書和黑名單的管理，并為應用系統提供統一的信任源;可信CA控制子系統部署在各接入單位的應用系統服務器，負責接收可信CA管理子系統的根證書和控制應用系統的信任列表;統一證書應用接口旨在實現不同CA證書的交叉認證和消息互認，并為應用系統提供統一集成方式。為了實現復雜的同步工作，平臺采用了Web Services技術支持各方的交互，并通過安全套接層 (secure sockets layer，SSL)加密通道進行可靠傳輸。圖1為分布式跨域信任平臺的系統結構框架圖。

圖1 跨域信任平臺的系統結構框架

2 跨域信任平臺的關鍵子系統

2.1 可信CA管理子系統

該子系統主要針對第三方信任管理機構，直接面對CA、管理員和特定角色的注冊用戶。其主要功能結構和工作流程分別如圖2、3所示。

2.1.1 準入技術檢測

該模塊用于對需接入跨域信任平臺的CA系統進行互信互認技術評估，具體包括模擬業務場景、數字證書及其介質檢測、信息同步和應用接口測試、多CA兼容認證、測試參數配置管理、檢測結果管理等功能。

2.1.2 CA接入管理

通過信任準入評估的CA，管理員即可為其注冊或變更基本信息;若要終止其服務，亦可使用該模塊方便地進行注銷。

2.1.3 證書查詢統計

針對數字證書的管理維度主要分為兩個方面，即數字證書的發放與應用;該模塊旨在實現跨域信任平臺內所有數字證書發放與應用情況的查詢統計功能，并可輸出打印各種統計報表。

2.1.4 信任服務管理

由根證書服務和黑名單管理兩部分組成;其中，根證書服務主要負責該子系統與應用單位端的根證書同步工作，同步方式提供自動實時和手工定期兩種;黑名單管理則是承擔從CA接收和向應用單位端同步推送最新黑名單的雙重功能。

2.1.5 信息交互模塊

其功能旨在實現CA和應用單位向該子系統上報證書發放信息，并自動同步黑名單和證書注冊開通信息。

流程描述如下:

2.2 可信CA控制子系統

該子系統主要由同步和管理兩個核心程序模塊以及安全存儲區組成，其主要功能結構如圖4所示。

圖4 可信CA控制子系統主要功能結構

2.2.1 同步模塊

主要負責向應用系統切換符合要求的各CA根證書，部署在應用系統上的統一證書應用接口可自動選擇相應的根證書來對客戶端證書進行身份驗證。此外，該模塊還可接收各CA和可信CA管理子系統同步過來的黑名單列表。

2.2.2 管理模塊

旨在實現可信與非可信CA根證書列表、黑名單文件的安全存儲和管理，以及對應用單位端的密碼設備、服務器證書等進行維護。

2.2.3 安全存儲區

該模塊采取結構化設計，支持對各CA根證書和黑名單文件的分類存儲，并采用專用格式和加密機制，確保整個存儲內容的安全性;同時，還提供專用的讀寫接口，供相關程序進行操作。

3 平臺實現的關鍵技術及應用

3.1 關鍵技術分析

統一證書應用接口作為分布式跨域信任平臺的關鍵技術要件，既是PKI/CA技術應用的關鍵和核心，也是各接入單位應用系統一次性集成的橋梁。目前，針對多CA環境下的統一證書應用接口的技術實現方式有兩種，如圖5所示。

圖5 統一證書應用接口實現方式

方式一是以國際標準和技術規范為前提，由各CA提供符合CSP和P11標準的接口，在此基礎上，直接進行封裝;方式二是在各CA現有證書應用接口的基礎上，進行二次封裝。表1是兩種技術實現方式的簡單比較。由此可見，為使分布式跨域信任平臺具有高度的擴展性和靈活性，其統一證書應用接口的技術實現應采用一次性直接封裝方式，這樣既可大大簡化接口運維工作，又能降低后續協調難度。

表1 接口實現方式的比較

此外，根證書和黑名單的同步機制亦是支撐平臺實際運作需解決的核心問題。本文在系統具體實現過程中，采用了Web Services技術實現根證書文件的同步，不僅確保了服務接口實現方式的標準化，同時還確保了同步結果的可靠性和安全性。黑名單驗證是證書認證過程中的重要環節，其實現有兩種模式:一是在線驗證，即通過網絡訪問各CA的黑名單發布點或在線證書狀態查詢 (online certificate status query，OCSP)服務器;二是本地驗證，由各CA在發布最新黑名單時，第一時間內同步到應用系統端，應用系統通過本地最新黑名單對客戶端證書進行驗證。

對于在線驗證模式，應用系統需要進行主動網絡連接來遠程獲取各CA提供的在線查詢證書狀態或作廢證書列表服務，這種方式一方面其處理速度會受到嚴重影響，也意味著應用系統的處理性能將完全依托于各CA，使得應用系統無法控制該風險;另一方面，在線驗證模式中，應用系統主動進行網絡外連，不僅需要調整應用系統服務器的網絡邊界保護策略，而且在多家CA應用模式下，業務系統需要與多個CA進行外聯，隨著外聯地址數量的增加，服務器邊界保護的安全風險亦會加強，因此其可實施性存在一定難度。

對于本地驗證模式，一方面，對客戶端證書的驗證完全采取本地黑名單文件驗證機制，不需要網絡外連，因此也不存在運行效率的弊端;另一方面由CA主動同步黑名單，對于應用系統而言，不僅黑名單的履新性不受影響，而且主動同步機制也是一種被動響應過程，完全可以利用應用系統現有的對外服務地址和端口，而無需配置新的網絡邊界訪問策略，其實施可行性很高。

基于兩種實現模式的安全性及處理性能的對比分析，本文提出的分布式跨域信任平臺采用了黑名單本地驗證模式，以使證書應用操作責任更加清晰，處理效率更加迅速，且對外部網絡環境要求更小，更具有可實施性。

3.2 應用實例

基于本文設計思路，結合深圳電子政務實際需求，開發了一個基于PKI/CA的分布式跨域信任平臺原型系統。該系統采用基于J2EE技術體系的B/S架構，面對的主要問題是:

(1)各CA有自身的證書認證系統，但由于CA之間技術、應用、服務標準的差異性，無法實現簽發證書的互認;

(2)目前用戶針對辦理一項業務就要申請一張數字證書的現象越來越不滿，希望實現應用系統層面的“一企一證、一證通用、資源共享”目標;

(3)各級政府主管部門需要建立健全統一的網絡信任體系，可實時動態掌握證書發放和應用情況。

本文研究實現的原型系統已在深圳市電子政務外網信任體系建設項目中得到實際應用，目前部署范圍為八家黨政機關試點單位，涉及的應用系統有十多個。該系統引入了中間件技術，通過對應用單位的系統接口、同步控制程序進行規范和封裝并即時接入跨域信任平臺，使得CA之間可以實現證書的互信互認。同時深圳市政府信息化主管部門使用該平臺進行全市信任源的管理和證書的查詢統計，有效解決了不同認證體系簽發數字證書所造成的證書不通用以及重復建設等問題，取得了良好成效。

4 結束語

本文針對目前普遍存在的不同CA機構簽發數字證書不通用、各CA互信互認難等問題，從技術和管理的可行性出發，研究并實現了一種基于PKI/CA的分布式跨域信任平臺，該平臺為黨政機關各應用單位的業務系統搭建了良好的互信互認橋梁，解決了“集中管理、分散應用”模式下的跨信任域認證問題，同時極大地降低了用戶購買數字證書的成本，提升了公共服務水平。實際運行情況表明，該平臺達到了預期目標，具有廣闊的應用推廣前景。

［1］RFC 5217-2008.Memorandum for multi-domain public key infrastucture interoperability［S］.

［2］Vacca J R.Computer and Information Security Handbook［M］.Boston:Elsevier，2009.

［3］LU Rongjie，LIU Zhigui，ZHENG Xiaohong.United authentication p1atform based HTTPS tunnel technology［J］.Application Research of Computers，2006，23(12):168-170(in Chinese).［陸榮杰，劉知貴，鄭曉紅.基于HTTPS隧道技術的統一認證平臺研究與實現 ［J］.計算機應用研究，2006，23(12):168-170.］

［4］FENG Weihua，LIU Ya1i.Design and implementation of unified authentication system on Cookie［J］.Computer Engineering and Design，2010，31(23):4971-4975(in Chinese).［馮偉華，劉亞麗.基于Cookie的統一認證系統的設計與實現 ［J］.計算機工程與設計，2010，31(23):4971-4975.］

［5］CHEN Xiaofeng，FENG Dengguo.A direct anonymous attestation scheme in multi-domain environment［J］.Chinese Journal of Computers，2008，31(7):1122-1130(in Chinese).［陳小峰，馮登國.一種多信任域內的直接匿名證明方案［J］.計算機學報，2008，31(7):1122-1130.］

［6］ZHOU Yanwei，WU Zhenqiang，JIANG Li.Cross-domain mechanism of anonymous attestation for distributed network ［J］.Journal of Computer Applications，2010，30(8):2120-2124(in Chinese).［周彥偉，吳振強，蔣李.分布式網絡環境下的跨域匿名認證機制［J］.計算機應用，2010，30(8):2120-2124.］

［7］SONG Cheng，SUN Yuqiong，PENG Weiping，et al.Improved direct anonymous attestation scheme［J］.Journal of Beijing University of Posts and Telecommunications，2011，34(3):62-65(in Chinese).［宋成，孫宇瓊，彭維平，羅守山，辛陽，胡正名.改進的直接匿名認證方案［J］.北京郵電大學學報，2011，34(3):62-65.］

［8］WANGJiahui，WU Zhenqiang，LIJie.Extended platform authentication and access of trusted network［J］.Computer Engineering and Design，2010，31(2):239-242(in Chinese).［王佳慧，吳振強，李潔.擴展的可信網絡平臺接入與認證［J］.計算機工程與設計，2010，31(2):239-242.］

［9］ZHANG Hongqi，YANGZhi，WANGXia，et al.Research and implementation of all-purpose structure of web cross-realm authentication ［J］.Application Research of Computers，2009，26(5):1796-1798(in Chinese).［張紅旗，楊智，王霞，沈昌祥，張斌.通用Web跨域認證構架研究與實現［J］.計算機應用研究，2009，26(5):1796-1798.］

［10］MA Chaobin，HUANG Ningyu，ZHANG Xing.A mixed cross-authentication scheme for trusted platform compatibility［J］.Journal of Beijing University of Technology，2010，36(5):582-585(in Chinese).［馬朝斌，黃寧玉，張興.一種混合交叉認證的平臺兼容性方案 ［J］.北京工業大學學報，2010，36(5):582-585.］