PKI_PMI技术的研究.docVIP

PKI，PMI技术研究 周小为 （江南计算技术研究所，江苏 无锡 214083） 摘要：本文对公钥基础设施PKI及特权管理基础设施PMI技术的概念、基本组成及系统框架等进行了简要的介绍及分析。 关键词：PKI，PMI，属性证书，RBAC The Analysis of PKI and PMI Technologies ZHOU Xiao-Wei (Jiangnan Institute of Computer Technology, JiangSu WuXi,214083) Abstract: This paper instroduces two secure infrastructure technologies: the Public Key Infrastructure and the Privilege Management Infrastructure.And in the paper,we analyze the system frame of them. Key Words: PKI, PMI ,AC,RABC 随着公钥（public key）技术的产生和发展，以提供认证、完整性和保密性服务为核心的公钥基础设施（PKI，Public Key Infrastructure）已成为在异构环境中为分布式信息系统的各类业务提供统一的安全支撑的重要技术，而基于角色的访问控制（RBAC，Role Based Access Control）技术和在PKI基础上发展起来的特权管理基础设施（PMI，Privilege Management Infrastructure）则为分布式信息系统的各类业务提供了统一的授权管理和访问控制策略与机制。 1．PKI技术 1.1 PKI基本概念 PKI（Public Key Infrastructure）公钥基础设施，它是在公开密钥的理论和技术基础上发展起来的一种综合安全平台。它能够为所有网络应用透明地提供加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事各种活动。 1.2 PKI基本组成 PKI系统的基本组成及结构如图1所示。 图1 PKI系统基本组成 认证中心CA（Certificate Authority）：即数字证书的签发机关，CA必须具备权威性的特征。它通过对一个包含身份信息和相应公钥的数据结构进行数字签名来捆绑用户的公钥和身份。 注册中心RA（Register Authority）：注册中心RA是PKI可选择的组成部分。使用独立的RA时，它是CA签发证书的可信终端实体。它作为用户和CA的接口，所获得的用户标识的准确性是CA颁发证书的基础。CA可委托RA完成其管理功能的一部分，它可以分担CA的一定功能以增强系统的可扩展性并且降低运营成本。 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。 时间戳（Time Stamp）：时间戳技术是证明电子文档在某一特定时间创建或签署的一系列技术。时间戳主要应用于以下两个方面：建立文档的存在时间，例如签署的合同或是实验笔记，与专利权相关；延长数字签名的生命期，保证不可否认性。 应用接口：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。 1.3 PKI的应用 建立PKI基础设施的目的是管理密钥和证书。通过PKI对密钥和证书的管理，一个组织可以建立并维护可信赖的网络环境。以下是PKI提供的几项基本服务： 鉴别（Authentication）—— 确认实体就是他自己所声明的。 数据完整性（Data Integrity）—— 确认信息在传递或存储过程中没有被篡改、重组或延迟。 数据保密性（Data Confidentiality）—— 确保数据的秘密，除了接收者之外，无人能够读出数据信息。 不可抵赖性（Non-Repudiation）—— 发送者不能否认已发送的信息。可使用数字签名获得不可抵赖性。 2．PMI技术 2.1 PMI的基本概念 特权管理基础设施（PMI）是在PKI提出并解决了信任和统一的安全认证问题后提出的，其目的是解决统一的授权管理和访问控制问题。 PMI的基本思想是，将授权管理和访问控制决策机制从具体的应用系统中剥离出来，在通过安全认证确定用户真实身份的基础上，由可信的权威机构对用户进行统一的授权，并提供统一的访问控制决策服务。 PMI 实现的机制有多