公钥基础设施(PKI)技术是一种被广泛应用的技术,主要目的是解决不同电子认证服务机构(CA)签发数字证书的互认问题,以推动应用系统间认证资源的共建共享。然而,传统基于单一信任体系设计的统一认证平台在业务层面上可控性差,无法长久保障其认证质量,并面临较大的运行风险。
在多信任域的安全认证技术和方案研究中,专家学者们取得了一定的成果,并为全球化网络信任体系的建设起到了促进作用。例如,有设计了一种新的Web跨域认证构架,以实现跨信任域的身份认证;还有参考基于桥CA的交叉认证模型,通过引入复合证书和第三方可信验证机构(TVA),为采用不同证书体制的信任域映射证书策略,从而实现平台的兼容性。
目前,世界各国为了在网络空间建立统一的信任体系,通常会构建自己国家统一的PKI体系。例如,澳大利亚、加拿大等采用统一根CA方式建立起自上而下的PKI体系;美国、日本等则通过桥CA方式实现自下而上的国家PKI体系。而我国行业和区域性CA发展很快,规模逐步扩大,但尚未建立起国家统一的PKI体系。因此,为了支持多CA环境下的跨信任域认证,实现数字证书互认,构建了基于PKI/CA技术体系的分布式跨域信任平台。
该平台的系统结构框架主要包括可信CA管理和可信CA控制两部分。可信CA管理的主要功能包括管理各CA的信任关系和证书状态,以及维护和更新各CA的信任链。可信CA控制则主要负责根据信任策略和规则,进行证书的签发、更新和撤销等操作。
平台的设计和实现涉及几个关键技术,例如,证书的验证和授权机制,以及证书的存储和管理机制。证书的验证和授权机制保证了只有符合信任策略的证书请求才能被授权和签发,证书的存储和管理机制则保证了证书的长期有效性和安全性。
结合深圳电子政务的实际需求,开发了平台的原型系统。应用实例表明,该平台具有较强的灵活性和可扩展性,能够有效解决不同认证体系下的数字证书兼容应用问题。平台的灵活性体现在它可以根据不同的业务需求和信任策略进行定制和调整;平台的可扩展性体现在它可以通过增加新的CA和信任策略,来支持新的认证体系。
数字证书是PKI技术的核心组成部分,它用于标识网络中的实体身份,并通过公钥和私钥机制来保证通信的安全性。跨域认证是指在不同的认证域之间实现身份的验证和授权,这是在分布式系统和网络通信中非常重要的一个功能。
基于PKI/CA的分布式跨域信任平台的研究与实现,为多CA环境下的跨信任域认证提供了一种有效的解决方案。通过对该平台的研究,不仅可以为电子政务提供安全保障,还可以为其他需要跨信任域认证的应用提供参考和借鉴。随着网络技术的不断发展和应用需求的日益增长,分布式跨域信任平台的研究和应用前景将会更加广阔。
VIP享7折,此内容立减4.47元 
