16公钥基本设施PKI和授权管理基本设施PMI.ppt

网络信息安全基础 授课教师：张全海 qhzhang@sjtu.edu.cn 公开密钥基础设施PKI PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。 PKI的主要任务是在开放环境中为开放性业务提供网上身份认证、信息完整性和数字签名服务。 PKI是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。 PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。 PKI的主要功能 PKI的构成 PKI中的可信第三方——证书认证中心（CA），可以解决无边界用户的身份确定问题，提供了信任的基础。因此基于Internet的应用需要PKI。 PKI作为一种支撑性基础设施，其本身并不能直接为用户提供安全服务，但PKI是其他安全应用的基础。 PKI基本组成 PKI由以下几个基本部分组成： 证书库 证书作废处理系统 认证机构（CA Certificate Authority) 注册机构（RA Registration Authority） 密钥备份与恢复系统 PKI应用接口 PKI基本组成 注册机构（RA） 负责记录和验证部分或所有有关信息（特别是主体的身份），这些信息用于CA发行证书和CLR以及证书管理中。 认证机构与其用户或证书申请人间的交互是由被称为注册机构(RA) 的中介机构来管理； 注册机构本身并不发放证书，但注册机构可以确认、批准或拒绝证书申请人，随后由认证机构给经过批准的申请人发放证书。 PKI基本组成 认证机构（CA） 一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。 CA是PKI系统的核心，包含以下功能： 接受用户的请求(由RA负责对用户的身份信息进行验证) 用自己的私钥签发证书 提供证书查询 接受证书注销请求 提供证书注销表 证书材料信息的管理 PKI理论基础 密码学(略) 目录服务 数字证书 目录服务 目的是建立全局/局部统一的命令方案，它从技术的角度定义了人的身份和网络对象的关系； 目录服务是规范网络行为和管理网络的一种重要手段； X.500时一套已经被国际标准化组织（ISO）接受的目录服务系统标准； LDAP（轻量级目录访问协议）最早被看作是X.500目录访问协议中的那些易描述、易执行的功能子集 X.500目录服务 一个完整的X.500系统称为一个”目录” 。 X.500目录服务是一个复杂的信息存储机制，包括客户机-目录服务器访问协议、服务器-服务器通信协议、完全或部分的目录数据复制、服务器链对查询的响应、复杂搜寻的过滤功能等. X.500目录服务可以向需要访问网络任何地方资源的电子函件系统和应用，或需要知道在网络上的实体名字和地点的管理系统提供信息。 LDAP的英文全称是Lightweight Directory Access Protocol，轻量级目录访问协议。它是基于X.500标准的，但是简单并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。 LDAP不是数据库而是用来访问存储在信息目录（也就是LDAP目录）中的信息的协议。也就是说“通过使用LDAP，可以在信息目录的正确位置读取（或存储）数据”，LDAP主要是优化数据读取的性能。 LDAP协议是跨平台的和标准的协议。LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。 PKI中使用LDAP服务主要是用于CA 证书库、CRL 库(证书注销库)的发布，应用软件可以通过访问LADP 来获取公开证书和CRL PKI中的证书 PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途 最常用的证书格式为X.509 v3 PKI的构建 自建模式(In-house Model)是指用户购买整套的PKI软件和所需的硬件设备，按照PKI的构建要求自行建立起一套完整的服务体系。 托管模式是指用户利用现有的可信第三方—认证中心CA提供的PKI服务，用户只需配置并全权管理一套集成的PKI平台即可建立起一套完整的服务体系，对内对外提供全部的PKI服务。 PKI信任模型 基于层次结构的信任模型 交叉认证 网状信任模型 混合结构信任模型 Web可信列表 以用户为中心的信任模型 CA信任关系 当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书