3月28日--项目之 PKI PMI 审计 组织 系统工程 信管师.pdfVIP

3 月28 日--PKI、PMI、审计、组织、系统工程 第28 章PKI 公开密钥基础设施 28.1 安全5 要素 从技术体系上解决网上身份认证、权限管理、信息完整性、机密性和抗抵赖等安全问题 28.2 PKI 基本概念 l.PKI 的总体架构 公钥基础设施PKI (公开密钥基础设施） 一个网络的PKI 包括以下几个基本的构件： 数字证书：这是由认证机构经过数字签名后发给网上信息交易主体（企业或个人、设备或程序）的一段电子文 档。 认证中心：CA 是PKI 的核心。它是公正、权威、可信的第三方网上认证机构，负责数字证书的签发、撤销和生 命周期的管理，还提供密钥管理和证书在线查询等服务。 数字证书注册审批机构：RA 是CA 的数字证书发放、管理的延伸。它负责数字证书申请者的信息录入、审核以 及数字证书发放等工作 数字签名：发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理 4.X.509 证书标准 在PKI/CA 架构中，一个重要的标准就是X.509 标准 目前X.509 有不同的版本，其中每一版本必须包含下列信息。 •版本号 •序列号 •签名算法标识符 •认证机构 •有效期限 •主题信息 •认证机构的数字签名 •公钥信息 28.5 认证机构职责 28.5.2 CA 的主要职责 CA 的主要职责包括: 1.数字证书管理 2.证书和证书库 3.密钥备份及恢复 4.密钥和证书的更新 5.证书历史档案 6.客户端软 件 7.交叉认证 28.5.3 认证中心的服务 1.认证 认证服务即身份识别与鉴别，就是确认实体即为自己所声明的实体，鉴别身份的真伪。我们以甲乙双方的 认证为例： 甲首先要验证乙的证书的真伪，当乙在网上将证书传送给甲时，甲首先要用CA 的公钥解开证书上CA 的数 字签名，如果签名通过验证，则证明乙持有的证书是真的。 接着甲还要验证乙身份的真伪，乙可以将自己的一段话用自己的私钥进行数字签名传送给甲，甲己经从乙 的证书中或从证书库中查得了乙的公钥，甲就可以用乙的公钥来验证乙的数字签名。如果该签名通过验证，乙 在网上的身份就确凿无疑。 2.数据完整性服务 确保发送的数据和接收的数据是一样的，数据没有被修改。 3.数据保密性服务 4.不可否认性服务 可用性（信息安全） 5.公证服务 28.6 PKI/CA 应用模式 28.6.2 PKI/CA 的应用范围 1. 电子商务应用2 . 电子政务3. 网上银行4. 网上证券 第29 章PMI 权限（授权）管理基础设施 29.2 PMI 的术语与概念 29.2.1 PMI 的定义及其核心思想 1.PMI 的定义 PMI 即权限管理基础设施或授权管理基础设施。PMI 授权技术的核心思想是以资源管理为核心，将对资源 的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。 2.PMI 的功能 没有PKI 就没有信息安全系统。但是只有PKI 没有PMI 也没有办法对资源进行管理 PMI 是建立在PKI 基础上的，以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用 信息系统提供授权服务管理；提供用户身份到应用授权的映射功能 29.2.2 PMI 与PKI 的不同 PMI 主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”。 PKI 主要进行身份鉴别，证明用户身份，即“你是谁”。 29.1 访问控制基本概念 29.1.1 访问控制的基本概念 1.什么叫 “访问控制” 访问控制是为了限制访问主体（或称为发起者，是一个主动的实体；如用户、进程、服务等）为了限制访 问主体对访问客体的访问权限，从而使计算机信息应用系统在合法范围内使用；访问控制机制决定用户以及代 表一定用户利益的程序能做什么及做到什么程度。 2.访问控制的两个重要过程 (1)认证过程，通过“鉴别”来检验主体的合法身份。 (2)授权管理，能够有哪些权限 29.3 PMI 应用支撑框架 29.3.2 访问控制的应用 1.访问控制授权方案