论文部分内容阅读
随着互联网的迅速发展,PKI(公钥基础设施)越来越多的应用到网络身份认证、信息保密等各方面。PKI的核心是建立一个权威的认证机构(CA)并通过此CA向用户发放证明身份的电子证书。近年来,行业CA与区域CA建设日趋完善。但各CA之间相对独立、分散,缺少统一的管理与接口,各CA之间无法连通,信任无法传递,造成了较多的信任孤岛,给基于PKI技术的应用的拓展造成了很大困难,也限制了PKI技术的普及与良性发展。实现两个CA互相认证的主要技术是交叉认证,桥CA技术是基于交叉认证的解决两个以上CA互相认证的技术。桥CA建立了一个中立的权威的CA机构,并通过与入桥CA互签交叉证书、制定证书策略等办法,将不同的CA连接在一起,使得不同的CA可以通过桥形成一个全局的、全网的互联互通的信任体系,用户的信任可以根据特定的策略实现跨桥认证,实现身份的全网漫游。在本文中作者试论述了CA互联互通的若干关键技术及桥CA实现所面临的实际问题(包括交叉验证技术、证书格式及相关扩展域、证书路径构造与验证、目录服务、命名空间定义、现有CA入桥改造),并基于作者本人的理解及项目经验提出了解决这些问题的方法、方案;并给出了建设一个桥CA系统的大概思路和流程;文章最后作者对桥CA的意义及未来我国PKI体系发展提出了设想与建议。