建立中国金融行业中统一的PKI体系是必要的，也是可行的。几年前，CFCA（中国金融认证中心）与工商银行已签约，要建立工商银行的子CA，将工行的网银数字证书，逐渐迁移到CFCA PKI体系中。经过一年的开发、改造和应用测试，现已上线。这就是说，建立中国统一的PKI体系的时机已经成熟，这是经过几年实践的经验和教训所得出的结论。

    那么，中国的PKI体系该如何构建才是合理的，并且方便用户使用？换句话说，在众多银行之间，其客户与银行、银行与银行之间在网上是如何互相取得信任的？这种PKI的交叉认证和互联互通的信任模型应该如何构建呢？通过对各种信任模型的比较分析，我们认为目前最适合中国金融统一PKI认证模型结构的是严格层次模型。

    在严格层次结构模型中，以CFCA根为金融统一根CA，各个商业商行的CA体系作为二级子CA机构。

  安全特点

    严格层次结构实际上是集中方式的树状结构，即以CFCA根CA作为全国金融认证中心的根CA，而各大型商业银行成为独立的子CA，其他中、小商业银行集中组成一个集中式CA。层次结构是最典型的PKI结构。在此结构下，存在一个信任锚，也是同一个信任起点，即“根证书中心（Root CA）”。RootCA向各家商业银行的子CA颁发根证书，这样商业银行的子CA就带着RootCA根证书，向它们的用户签发数字证书，形成了一个证书信任链，提供PKI安全服务。

    层次结构的PKI/CA系统的优点包括:

    1.可以达到金融统一认证体系的目的，利用CFCA现有的资源优势，将CFCA的一级CA作为全国金融CA的统一品牌的根CA。做到资源的最大利用，实现到跨行认证，从而达到跨行交易;

    2.可以通过策略上的设置，在逻辑上区分不同银行的CA、确保各银行的自身业务特点，也可以塑造统一的品牌形象。同时，利用CFCA的强大技术优势，为目前现在没有条件建设CA的金融系统客户提供服务;

    3.具有一个信任起点，互通互信过程简单，可以实现跨行交易，如跨行转账、跨行基金买卖，跨行通存通兑等;

    4.层次结构的PKI系统易于维护和升级、易于增加新的商业银行的子CA认证中心，从而扩大网上银行的用户群;

    5.证书路径简单的、明确，路径也相对较短。最长的路径等于树的深度加一: 每个从属CA的证书路径加上用户的证书;

    6.在层次结构中，认证不一定要验证到根，如果是商业银行行内交易，则只需要认证到商业银行自己根CA的位置。就像现在各大商业银行的用户使用的证书，认证到该银行的根CA证书即可已取得信任一样。

    层次结构的PKI也有一些缺点，如下:

    1.它依赖于一个单一的信任起点，即“根CA” 。根CA是每个用户的信任起点，它的安全性极为重要。根CA服务器在向各子CA签发根证书之后，它处于脱机工作状态，私钥不出加密卡，安全保管是极其重要的，一旦出现问题，后果是灾难性的;

    2.其次，由于PKI/CA的安全策略所规定，根CA证书的私钥的生命周期是有限的。在规定的时间内，更换根CA私钥要有一套严密的安全过程。根CA密钥的更换会导致整个PKI系统的根证书密钥的更换。

  逻辑构成

    统一金融PKI系统的层次逻辑结构如图一所示。 

    金融统一认证体系的总体框架设计为三级结构。第一级为金融系统通用证书中心即全国金融根CA中心; 第二级为商业银行的二级营业子CA，根据加入银行的不同可设多个。四大商业银行可在逻辑上和物理上，独立设置CA服务器，各中小银行可逻辑上和物理上集中设置一个CA服务器。但是，无论独立和集中的子CA，必须设置在其总行审核的受理中心RA（Registration Authority）和RA体系的第二级结构——业务受理点LRA（Local Registration Authority。作为商业银行来说可设置在地市行或业务网点，根据业务量的需求可设多个。

    各个银行建立的子CA可以根据自己的历史及现实情况，选择适当机制的CA结构产品，有时还要做必要的修改和优化。

    图一是一个完整的严格层次结构逻辑结构，根CA之下是多个二级子CA，他们之间组成层次结构; RA是CA的延伸机构，在RA之下可连接多个LRA，RA与LRA之间也组成层次结构。他们是一个完整的PKI体系。这种结构特别适合中国金融界交易和资金清算的现状。

  物理结构

    因为金融统一认证体系在逻辑上是层次结构，但在物理上各个签发数字证书的运行CA可以是独立的。其物理结构大致相同，即包含签发服务器、证书库、密钥管理中心（KMC）和目录服务器。

    根CA 在向各子CA颁发根证书后，它就脱机工作了。所以，各子CA在签发数字证书时之间是没有联系的，每个CA的物理结构是独立的体系。如果有跨行交易的需求，那它们是靠目录服务器连接起来的，见图二。

    金融CA是典型的CA物理组成。它包括证书签发服务器，负责向客户签发数字证书; 数据库服务器是存储客户的数据和证书信息; 每个CA必须具备自己的加密机模块，产生本CA的公私密钥对和对称密钥，私钥不出卡; CA还包括一个目录服务器，用以证书和CRL的发布，以便供应用时查询，此外就是供操作员用的管理终端。 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。