桥CA建设的思路

开篇：润墨网以专业的文秘视角，为您筛选了一篇桥CA建设的思路范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

运用ca互联互通技术可以提高PKI信任体系的互操作能力

本文着重阐述桥CA技术在实现过程中的主要问题以及相关解决思路

随着全国信息化进程的不断推进，信息安全问题已得到国家的高度重视，纳入国家统一规划，网络信任体系的建设也逐步趋于规范化。因此，解决已建PKI信任体系中的互联互通问题成为我国当前PKI信任体系建设的当务之急。

桥CA建设中的关键技术问题

桥证书中心（BCA），是多信任域PKI体系（连接多个信任域）中的核心，是不同信任域之间的桥梁，桥CA重点要解决的以下关键技术问题：

首先，要考虑PKI产品技术兼容问题。因为标准不完善、标准表述不清楚、理解错误或实施错误，再加上标准中有些扩展可以自己设定，从而导致了目前PKI产品互操作性差的现状。实际上各个信任域直接互联是有困难的，加上技术和产品不断更新，原来可以互联的PKI产品可能又会不能互联。

其次，要考虑证书路径问题 。所谓证书路径就是从信任起点出发到具体用户的一个信任链。事实上，路径构造比交叉认证要困难得多，主要的原因是：目录信息树重载(DITS)；SCHEMA问题；不同种类的产品以及理解上的差异。

再次，我们还要考虑策略映射问题。证书策略由一组规定组成，用以指明证书用于特定社团或具有相同安全要求的应用类型和范围。认证策略由发证机构（CA）制定并对外广泛，同时向国际标准化组织申请标准的对象标识符（OID），从而保证与其它应用相兼容。

最后，我门还要考虑目录服务问题。因为随着各个信任域的介入，信任范围不断扩大，导致原有各自信任目录体系动态变化，同时各自的信任起点又不能改变，给用户使用目录服务带来困难。在这种情况下，必须解决目录服务的连接问题，实现动态的目录服务结构，保证目录服务的一致性。

桥CA建设过程中的几点说明

桥CA系统将互操作性纳入到CA来处理，因此，在所有应用系统连入桥之前，都要求进行全面测试，以保证不影响应用系统的运行。

同时在认证效率问题上，我们通过桥CA的建设，使信任的范围扩大，显然会降低应用系统的效率，但这种降低是有限的，所以不管是单级还是多级CA应用系统，其效率都不会受到太大影响。

桥CA自身的安全问题也是一个必须要注意的问题，因为桥CA自身的安全问题非常重要，这关系到桥是否能够正常运行，是否能够存在和发展的重要原因，同时也是保证桥CA权威性和公正性的基础。桥CA系统既要签发证书，又要支持用户对ARL、CPS等的查询，并且很多工作都要求实时完成，这样最容易受到外界攻击。桥CA系统是所有信任域之间的信任纽带，并且会危及每个CA独立的信任域的安全。也就是说，在安全性方面，其安全等级较之普通CA还要高，这个体现在机房建设，望网络安全建设、实体建设等各个方面，都有更高的要求。

最后桥CA系统必须具备方便的进行策略整合（映射）的能力，以便能够方便地使不同的CA体系通过接入桥CA实现信任域的扩展。相对而言，桥CA的签发性能就变得不是十分重要了，因为桥CA签发的证书数量不会很多，并且在签发的实时性方面也不是关键的问题。

目录服务的互操作不仅和互联技术有关，还与目录服务的安全机制有关。建议各个CA中心建立一个作为原有目录器的子集的目录服务器同桥CA相连，即分成INTERNAL DIRECOTRY 和BORDER DIRECTORY。BORDER DIRECTORY同桥CA相连，各种测试也可以以BORDER DIRECOTRY为对象进行。

综上所述，桥CA技术的运用与推广，能够较好地解决中国目前的PKI体系建设中存在的不能互联互通的问题，成为国家信息安全网络信任体系提供一种新的可选方式。