返回
美国和加拿大pki-ca体系的分析

美国和加拿大pki-ca体系的分析

ID:25333941

大小:52.00 KB

页数:5页

时间:2018-11-19

美国和加拿大pki-ca体系的分析_第1页
美国和加拿大pki-ca体系的分析_第2页
美国和加拿大pki-ca体系的分析_第3页
美国和加拿大pki-ca体系的分析_第4页
美国和加拿大pki-ca体系的分析_第5页
资源描述:

《美国和加拿大pki-ca体系的分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、美国和加拿大PKI/CA体系的分析

2、第1内容显示中美国联邦PKI体系美国联邦PKI是自下而上建立的一个庞大PKI体系。联邦政府首先成功地在各联邦机构中分别使用了不同的PKI产品,PKI产品的多样性提高了政府机构的工作效率,但也造成了各机构彼此之间难以互操作的问题。为了增强彼此间合作,解决不同信任域之间,联邦政府计划联合各联邦机构中独立的PKI/CA共同组建美国联邦PKI体系。美国联邦PKI体系主要由联邦的桥认证机构(FBCA,FederalBridgeCA)、首级认证机构(PCA,PrincipalCA)和次

3、级认证机构(SCA,SubordinateCA)等组成,如图1所示。从图1中,我们可以看到联邦PKI的体系结构中没有采用根CA,而采用了首级CA,这是因为在美国,信任域的结构是多种多样的,美国联邦PKI体系结构可以支持分级(树状)结构、网状结构和信任列表等。联邦的桥CA是联邦PKI体系中的核心组织,是不同信任域之间的桥梁,主要负责为不同信任域的首级CA颁发交叉认证的证书,建立各个信任域的担保等级与联邦桥CA的担保等级之间的映射关系,更新交叉认证证书,发布交叉认证证书注销黑名单。但是联邦的桥CA不要求一个机构在

4、与另一个机构发生信任关系时必须遵循联邦PKI所确定的这种映射关系,而是可以采用它认为合适的映射关系确定彼此之间的信任。联邦PKI体系的工作原理实际上就是指联邦桥CA的工作原理。联邦的桥CA不直接向用户颁发证书,允许用户保留自己的原始信任点。正如我们在网络中所使用的“HUB”一样,任何结构类型的PKI结构都可以通过这个机构连接在一起,实现彼此之间的信任,并将每一个单独的信任域通过联邦的桥PKI扩展到整个联邦PKI体系中。在进行网上交易时,当接受者接收到发送者数字签名的电子文件时,为了验证签名的有效性,接收者的应

5、用软件必须完成三件事情。1、首先接收者的软件必须确定发送者的信任域和接收者的信任域之间是否存在信任关系,这可以通过建立两个信任域之间的证书“信任路径”来实现;2、接收者必须确定发送者证书中所描述的政策即证书包含的担保级别是否满足本次交易的需要;3、确定在这个信任路径中,所有的证书都必须有效,证书既没有超过有效期,也没有被注销。加拿大PKI体系加拿大政府PKI体系结构是由政策管理机构(PMA)、中央认证机构(CCF)、一级CA和当地注册机构(LRA)组成。其中PMA是一个若干部门共同组建的机构,由加拿大政府财政

6、部秘书处领导,为政府PKI体系提供全面的政策指导,负责监督和管理加拿大政府PKI体系的政策实施情况。CCF是中央认证机构,它实施政府PKI体系中的所有策略,签署和管理与一级CA交叉认证的证书。一级CA是由政府运营,制定一个和多个证书担保的等级,分发和管理数字证书,定期颁布证书注销黑名单。LRA是一级CA设置的登记机构,其职责是认证和鉴别申请者的身份,为密钥恢复或证书恢复请求进行审批,接受并审批证书的注销请求。加拿大政府PKI体系是一个完全政府行为的公开密钥体系结构,充分考虑了交易的保密性和安全性,并把保护交易

7、保密性和安全性列为信息高速公路的首要问题。加拿大政府PKI体系是由若干CA组成,这些CA形成树状结构,每个用户的公钥和身份验证的信息都放在证书中,证书签发CA在每个证书上签名,并使其包含公钥的证书对外公开。任何用户都能够方便地得到其他用户的公钥,通过公钥验证该用户的签名,辨别真伪。图2加拿大政府PKI体系的结构从图2中我们可以发现,加拿大政府PKI体系的信任域都是树状结构,查找信任关系更加快捷,建立信任关系也更加容易,只需要和相应的一级CA进行交叉认证即可,不像网状结构需要确定哪个CA与联邦的桥CA进行交叉认

8、证。另外,两种树状结构建立信任关系必须通过中央认证机构,不允许一个树状结构与另一个树状结构直接发生信任关系,中央认证机构是与外界建立信任关系的唯一接口。加拿大政府PKI体系简单,易于操作,是一个值得借鉴的PKI体系。两种体系的比较美国联邦PKI体系和加拿大政府PKI体系都是政府组织的PKI体系,其目的都是为了本国的各级政府部门开展电子政务。在两种体系中均设有一个交叉认证中心,用来沟通不同信任域之间的信任关系,与其他政府PKI/CA建立信任关系的接口。美国在开发联邦PKI体系时充分考虑了与加拿大政府PKI体系的

9、兼容性。美国联邦PKI体系和加拿大政府PKI体系并不完全一致,两者的区别表现为:1、体系结构方面。美国联邦PKI体系结构比较复杂,包含树状结构、网状结构和信任列表等,联邦的桥CA仅是一个桥梁;而加拿大政府PKI体系结构比较简单,是一个树状结构,从结构上看,中央认证机构仿佛是一个根CA。2、在信任关系的建立方面。美国联邦PKI体系结构中的联邦的桥CA是各信任域建立信任关系的桥梁,不强调在建立信任关系时

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。