基于PKI/CA的分布式跨域信任平臺研究與實現(xiàn)

顏海龍，喻建平，胡 強(qiáng)，馮紀(jì)強(qiáng)

(深圳大學(xué)ATR國防科技重點(diǎn)實驗室，廣東深圳518060)

0 引言

公鑰基礎(chǔ)設(shè)施 (public key infrastructure，PKI)技術(shù)［1-2］在國內(nèi)外的廣泛應(yīng)用，解決不同電子認(rèn)證服務(wù)機(jī)構(gòu)(certificate authority，CA)簽發(fā)數(shù)字證書的互認(rèn)問題，推動應(yīng)用系統(tǒng)間認(rèn)證資源的共建共享，成為電子認(rèn)證服務(wù)行業(yè)業(yè)務(wù)應(yīng)用的新要求。傳統(tǒng)基于“單一信任體系”設(shè)計與實現(xiàn)的統(tǒng)一認(rèn)證平臺［3-4］在業(yè)務(wù)層面上可控性差，無法長久保障其認(rèn)證質(zhì)量，面臨較大的運(yùn)行風(fēng)險。

針對可信計算平臺已有許多專家學(xué)者開展多信任域下的安全認(rèn)證技術(shù)和方案研究［5-8］，也取得了一定成果，并為加快全球化網(wǎng)絡(luò)信任體系建設(shè)起到了促進(jìn)作用。文獻(xiàn)［9］設(shè)計了一種新的Web跨域認(rèn)證構(gòu)架，以實現(xiàn)跨信任域的身份認(rèn)證。文獻(xiàn)［10］參考基于橋CA的交叉認(rèn)證模型，通過引入復(fù)合證書和第三方可信驗證機(jī)構(gòu)TVA，為采用不同證書體制的信任域映射證書策略，從而實現(xiàn)平臺的兼容性。

當(dāng)前，世界各國為了在網(wǎng)絡(luò)空間建立統(tǒng)一的信任體系，通常會構(gòu)建自己國家統(tǒng)一的PKI體系。例如澳大利亞、加拿大等采用統(tǒng)一根CA方式建立起“自上而下”的PKI體系;美國、日本等則通過橋CA方式實現(xiàn)“自下而上”的國家PKI體系。我國行業(yè)和區(qū)域性CA發(fā)展很快，規(guī)模逐步擴(kuò)大，但尚未建立起國家統(tǒng)一的PKI體系。為了解決現(xiàn)階段我國不同認(rèn)證體系下的數(shù)字證書兼容應(yīng)用問題，真正實現(xiàn)“一企一證、一證多用、資源共享”目標(biāo)，國內(nèi)部分地方信息化行業(yè)主管部門已著手構(gòu)建本地區(qū)跨域信任平臺，并就相關(guān)的方案進(jìn)行了初步探索和實踐，但平臺的設(shè)計均缺乏競爭，導(dǎo)致電子認(rèn)證服務(wù)水平難以保障，用戶滿意度不高，且各方職責(zé)不清。針對網(wǎng)絡(luò)信任體系建設(shè)現(xiàn)狀和存在的主要問題，提出并實現(xiàn)了一種基于PKI/CA技術(shù)體系的分布式跨域信任平臺。該平臺基于分布式體系結(jié)構(gòu)設(shè)計原則，采用J2EE三層技術(shù)架構(gòu)，既可建立權(quán)責(zé)明晰的工作機(jī)制和簡化應(yīng)用集成難度，又具有較強(qiáng)的靈活性和可擴(kuò)展性。本文首先設(shè)計了平臺的系統(tǒng)結(jié)構(gòu)框架，接著深入研究了平臺的關(guān)鍵子系統(tǒng)，即可信CA管理子系統(tǒng)和可信CA控制子系統(tǒng)的主要功能結(jié)構(gòu)與工作流程，然后詳細(xì)分析了平臺實現(xiàn)的關(guān)鍵技術(shù)，最后給出了一個應(yīng)用實例和總結(jié)了全文。

1 跨域信任平臺的系統(tǒng)結(jié)構(gòu)

基于PKI/CA技術(shù)體系構(gòu)建的分布式跨域信任平臺主要由可信CA管理子系統(tǒng)、可信CA控制子系統(tǒng)和統(tǒng)一證書應(yīng)用接口三大部分組成。其中，可信CA管理子系統(tǒng)運(yùn)行在被授權(quán)的第三方信任管理機(jī)構(gòu)服務(wù)器，主要負(fù)責(zé)可信CA根證書和黑名單的管理，并為應(yīng)用系統(tǒng)提供統(tǒng)一的信任源;可信CA控制子系統(tǒng)部署在各接入單位的應(yīng)用系統(tǒng)服務(wù)器，負(fù)責(zé)接收可信CA管理子系統(tǒng)的根證書和控制應(yīng)用系統(tǒng)的信任列表;統(tǒng)一證書應(yīng)用接口旨在實現(xiàn)不同CA證書的交叉認(rèn)證和消息互認(rèn)，并為應(yīng)用系統(tǒng)提供統(tǒng)一集成方式。為了實現(xiàn)復(fù)雜的同步工作，平臺采用了Web Services技術(shù)支持各方的交互，并通過安全套接層 (secure sockets layer，SSL)加密通道進(jìn)行可靠傳輸。圖1為分布式跨域信任平臺的系統(tǒng)結(jié)構(gòu)框架圖。

圖1 跨域信任平臺的系統(tǒng)結(jié)構(gòu)框架

2 跨域信任平臺的關(guān)鍵子系統(tǒng)

2.1 可信CA管理子系統(tǒng)

該子系統(tǒng)主要針對第三方信任管理機(jī)構(gòu)，直接面對CA、管理員和特定角色的注冊用戶。其主要功能結(jié)構(gòu)和工作流程分別如圖2、3所示。

2.1.1 準(zhǔn)入技術(shù)檢測

該模塊用于對需接入跨域信任平臺的CA系統(tǒng)進(jìn)行互信互認(rèn)技術(shù)評估，具體包括模擬業(yè)務(wù)場景、數(shù)字證書及其介質(zhì)檢測、信息同步和應(yīng)用接口測試、多CA兼容認(rèn)證、測試參數(shù)配置管理、檢測結(jié)果管理等功能。

2.1.2 CA接入管理

通過信任準(zhǔn)入評估的CA，管理員即可為其注冊或變更基本信息;若要終止其服務(wù)，亦可使用該模塊方便地進(jìn)行注銷。

2.1.3 證書查詢統(tǒng)計

針對數(shù)字證書的管理維度主要分為兩個方面，即數(shù)字證書的發(fā)放與應(yīng)用;該模塊旨在實現(xiàn)跨域信任平臺內(nèi)所有數(shù)字證書發(fā)放與應(yīng)用情況的查詢統(tǒng)計功能，并可輸出打印各種統(tǒng)計報表。

2.1.4 信任服務(wù)管理

由根證書服務(wù)和黑名單管理兩部分組成;其中，根證書服務(wù)主要負(fù)責(zé)該子系統(tǒng)與應(yīng)用單位端的根證書同步工作，同步方式提供自動實時和手工定期兩種;黑名單管理則是承擔(dān)從CA接收和向應(yīng)用單位端同步推送最新黑名單的雙重功能。

2.1.5 信息交互模塊

其功能旨在實現(xiàn)CA和應(yīng)用單位向該子系統(tǒng)上報證書發(fā)放信息，并自動同步黑名單和證書注冊開通信息。

流程描述如下:

2.2 可信CA控制子系統(tǒng)

該子系統(tǒng)主要由同步和管理兩個核心程序模塊以及安全存儲區(qū)組成，其主要功能結(jié)構(gòu)如圖4所示。

圖4 可信CA控制子系統(tǒng)主要功能結(jié)構(gòu)

2.2.1 同步模塊

主要負(fù)責(zé)向應(yīng)用系統(tǒng)切換符合要求的各CA根證書，部署在應(yīng)用系統(tǒng)上的統(tǒng)一證書應(yīng)用接口可自動選擇相應(yīng)的根證書來對客戶端證書進(jìn)行身份驗證。此外，該模塊還可接收各CA和可信CA管理子系統(tǒng)同步過來的黑名單列表。

2.2.2 管理模塊

旨在實現(xiàn)可信與非可信CA根證書列表、黑名單文件的安全存儲和管理，以及對應(yīng)用單位端的密碼設(shè)備、服務(wù)器證書等進(jìn)行維護(hù)。

2.2.3 安全存儲區(qū)

該模塊采取結(jié)構(gòu)化設(shè)計，支持對各CA根證書和黑名單文件的分類存儲，并采用專用格式和加密機(jī)制，確保整個存儲內(nèi)容的安全性;同時，還提供專用的讀寫接口，供相關(guān)程序進(jìn)行操作。

3 平臺實現(xiàn)的關(guān)鍵技術(shù)及應(yīng)用

3.1 關(guān)鍵技術(shù)分析

統(tǒng)一證書應(yīng)用接口作為分布式跨域信任平臺的關(guān)鍵技術(shù)要件，既是PKI/CA技術(shù)應(yīng)用的關(guān)鍵和核心，也是各接入單位應(yīng)用系統(tǒng)一次性集成的橋梁。目前，針對多CA環(huán)境下的統(tǒng)一證書應(yīng)用接口的技術(shù)實現(xiàn)方式有兩種，如圖5所示。

圖5 統(tǒng)一證書應(yīng)用接口實現(xiàn)方式

方式一是以國際標(biāo)準(zhǔn)和技術(shù)規(guī)范為前提，由各CA提供符合CSP和P11標(biāo)準(zhǔn)的接口，在此基礎(chǔ)上，直接進(jìn)行封裝;方式二是在各CA現(xiàn)有證書應(yīng)用接口的基礎(chǔ)上，進(jìn)行二次封裝。表1是兩種技術(shù)實現(xiàn)方式的簡單比較。由此可見，為使分布式跨域信任平臺具有高度的擴(kuò)展性和靈活性，其統(tǒng)一證書應(yīng)用接口的技術(shù)實現(xiàn)應(yīng)采用一次性直接封裝方式，這樣既可大大簡化接口運(yùn)維工作，又能降低后續(xù)協(xié)調(diào)難度。

表1 接口實現(xiàn)方式的比較

此外，根證書和黑名單的同步機(jī)制亦是支撐平臺實際運(yùn)作需解決的核心問題。本文在系統(tǒng)具體實現(xiàn)過程中，采用了Web Services技術(shù)實現(xiàn)根證書文件的同步，不僅確保了服務(wù)接口實現(xiàn)方式的標(biāo)準(zhǔn)化，同時還確保了同步結(jié)果的可靠性和安全性。黑名單驗證是證書認(rèn)證過程中的重要環(huán)節(jié)，其實現(xiàn)有兩種模式:一是在線驗證，即通過網(wǎng)絡(luò)訪問各CA的黑名單發(fā)布點(diǎn)或在線證書狀態(tài)查詢 (online certificate status query，OCSP)服務(wù)器;二是本地驗證，由各CA在發(fā)布最新黑名單時，第一時間內(nèi)同步到應(yīng)用系統(tǒng)端，應(yīng)用系統(tǒng)通過本地最新黑名單對客戶端證書進(jìn)行驗證。

對于在線驗證模式，應(yīng)用系統(tǒng)需要進(jìn)行主動網(wǎng)絡(luò)連接來遠(yuǎn)程獲取各CA提供的在線查詢證書狀態(tài)或作廢證書列表服務(wù)，這種方式一方面其處理速度會受到嚴(yán)重影響，也意味著應(yīng)用系統(tǒng)的處理性能將完全依托于各CA，使得應(yīng)用系統(tǒng)無法控制該風(fēng)險;另一方面，在線驗證模式中，應(yīng)用系統(tǒng)主動進(jìn)行網(wǎng)絡(luò)外連，不僅需要調(diào)整應(yīng)用系統(tǒng)服務(wù)器的網(wǎng)絡(luò)邊界保護(hù)策略，而且在多家CA應(yīng)用模式下，業(yè)務(wù)系統(tǒng)需要與多個CA進(jìn)行外聯(lián)，隨著外聯(lián)地址數(shù)量的增加，服務(wù)器邊界保護(hù)的安全風(fēng)險亦會加強(qiáng)，因此其可實施性存在一定難度。

對于本地驗證模式，一方面，對客戶端證書的驗證完全采取本地黑名單文件驗證機(jī)制，不需要網(wǎng)絡(luò)外連，因此也不存在運(yùn)行效率的弊端;另一方面由CA主動同步黑名單，對于應(yīng)用系統(tǒng)而言，不僅黑名單的履新性不受影響，而且主動同步機(jī)制也是一種被動響應(yīng)過程，完全可以利用應(yīng)用系統(tǒng)現(xiàn)有的對外服務(wù)地址和端口，而無需配置新的網(wǎng)絡(luò)邊界訪問策略，其實施可行性很高。

基于兩種實現(xiàn)模式的安全性及處理性能的對比分析，本文提出的分布式跨域信任平臺采用了黑名單本地驗證模式，以使證書應(yīng)用操作責(zé)任更加清晰，處理效率更加迅速，且對外部網(wǎng)絡(luò)環(huán)境要求更小，更具有可實施性。

3.2 應(yīng)用實例

基于本文設(shè)計思路，結(jié)合深圳電子政務(wù)實際需求，開發(fā)了一個基于PKI/CA的分布式跨域信任平臺原型系統(tǒng)。該系統(tǒng)采用基于J2EE技術(shù)體系的B/S架構(gòu)，面對的主要問題是:

(1)各CA有自身的證書認(rèn)證系統(tǒng)，但由于CA之間技術(shù)、應(yīng)用、服務(wù)標(biāo)準(zhǔn)的差異性，無法實現(xiàn)簽發(fā)證書的互認(rèn);

(2)目前用戶針對辦理一項業(yè)務(wù)就要申請一張數(shù)字證書的現(xiàn)象越來越不滿，希望實現(xiàn)應(yīng)用系統(tǒng)層面的“一企一證、一證通用、資源共享”目標(biāo);

(3)各級政府主管部門需要建立健全統(tǒng)一的網(wǎng)絡(luò)信任體系，可實時動態(tài)掌握證書發(fā)放和應(yīng)用情況。

本文研究實現(xiàn)的原型系統(tǒng)已在深圳市電子政務(wù)外網(wǎng)信任體系建設(shè)項目中得到實際應(yīng)用，目前部署范圍為八家黨政機(jī)關(guān)試點(diǎn)單位，涉及的應(yīng)用系統(tǒng)有十多個。該系統(tǒng)引入了中間件技術(shù)，通過對應(yīng)用單位的系統(tǒng)接口、同步控制程序進(jìn)行規(guī)范和封裝并即時接入跨域信任平臺，使得CA之間可以實現(xiàn)證書的互信互認(rèn)。同時深圳市政府信息化主管部門使用該平臺進(jìn)行全市信任源的管理和證書的查詢統(tǒng)計，有效解決了不同認(rèn)證體系簽發(fā)數(shù)字證書所造成的證書不通用以及重復(fù)建設(shè)等問題，取得了良好成效。

4 結(jié)束語

本文針對目前普遍存在的不同CA機(jī)構(gòu)簽發(fā)數(shù)字證書不通用、各CA互信互認(rèn)難等問題，從技術(shù)和管理的可行性出發(fā)，研究并實現(xiàn)了一種基于PKI/CA的分布式跨域信任平臺，該平臺為黨政機(jī)關(guān)各應(yīng)用單位的業(yè)務(wù)系統(tǒng)搭建了良好的互信互認(rèn)橋梁，解決了“集中管理、分散應(yīng)用”模式下的跨信任域認(rèn)證問題，同時極大地降低了用戶購買數(shù)字證書的成本，提升了公共服務(wù)水平。實際運(yùn)行情況表明，該平臺達(dá)到了預(yù)期目標(biāo)，具有廣闊的應(yīng)用推廣前景。

［1］RFC 5217-2008.Memorandum for multi-domain public key infrastucture interoperability［S］.

［2］Vacca J R.Computer and Information Security Handbook［M］.Boston:Elsevier，2009.

［3］LU Rongjie，LIU Zhigui，ZHENG Xiaohong.United authentication p1atform based HTTPS tunnel technology［J］.Application Research of Computers，2006，23(12):168-170(in Chinese).［陸榮杰，劉知貴，鄭曉紅.基于HTTPS隧道技術(shù)的統(tǒng)一認(rèn)證平臺研究與實現(xiàn) ［J］.計算機(jī)應(yīng)用研究，2006，23(12):168-170.］

［4］FENG Weihua，LIU Ya1i.Design and implementation of unified authentication system on Cookie［J］.Computer Engineering and Design，2010，31(23):4971-4975(in Chinese).［馮偉華，劉亞麗.基于Cookie的統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn) ［J］.計算機(jī)工程與設(shè)計，2010，31(23):4971-4975.］

［5］CHEN Xiaofeng，F(xiàn)ENG Dengguo.A direct anonymous attestation scheme in multi-domain environment［J］.Chinese Journal of Computers，2008，31(7):1122-1130(in Chinese).［陳小峰，馮登國.一種多信任域內(nèi)的直接匿名證明方案［J］.計算機(jī)學(xué)報，2008，31(7):1122-1130.］

［6］ZHOU Yanwei，WU Zhenqiang，JIANG Li.Cross-domain mechanism of anonymous attestation for distributed network ［J］.Journal of Computer Applications，2010，30(8):2120-2124(in Chinese).［周彥偉，吳振強(qiáng)，蔣李.分布式網(wǎng)絡(luò)環(huán)境下的跨域匿名認(rèn)證機(jī)制［J］.計算機(jī)應(yīng)用，2010，30(8):2120-2124.］

［7］SONG Cheng，SUN Yuqiong，PENG Weiping，et al.Improved direct anonymous attestation scheme［J］.Journal of Beijing University of Posts and Telecommunications，2011，34(3):62-65(in Chinese).［宋成，孫宇瓊，彭維平，羅守山，辛陽，胡正名.改進(jìn)的直接匿名認(rèn)證方案［J］.北京郵電大學(xué)學(xué)報，2011，34(3):62-65.］

［8］WANGJiahui，WU Zhenqiang，LIJie.Extended platform authentication and access of trusted network［J］.Computer Engineering and Design，2010，31(2):239-242(in Chinese).［王佳慧，吳振強(qiáng)，李潔.擴(kuò)展的可信網(wǎng)絡(luò)平臺接入與認(rèn)證［J］.計算機(jī)工程與設(shè)計，2010，31(2):239-242.］

［9］ZHANG Hongqi，YANGZhi，WANGXia，et al.Research and implementation of all-purpose structure of web cross-realm authentication ［J］.Application Research of Computers，2009，26(5):1796-1798(in Chinese).［張紅旗，楊智，王霞，沈昌祥，張斌.通用Web跨域認(rèn)證構(gòu)架研究與實現(xiàn)［J］.計算機(jī)應(yīng)用研究，2009，26(5):1796-1798.］

［10］MA Chaobin，HUANG Ningyu，ZHANG Xing.A mixed cross-authentication scheme for trusted platform compatibility［J］.Journal of Beijing University of Technology，2010，36(5):582-585(in Chinese).［馬朝斌，黃寧玉，張興.一種混合交叉認(rèn)證的平臺兼容性方案 ［J］.北京工業(yè)大學(xué)學(xué)報，2010，36(5):582-585.］