浅谈pki.docVIP

目录 一、引言 2 二、公钥基础设施PKI 2 1.1、PKI组成 2 1.2、PKI相关标准 2 三、数字证书认证中心CA简介 3 四、数字证书 4 五、授权管理基础设施PMI 4 5.1、PKI/PMI技术区别及体系结构 4 六、应用前景 4 参考文献……………………………………………………………………………..……… 5 一、引言随着Internet的迅猛发展，电子商务、电子政务、网上银行、网上证券等网上活动日益频繁，网络安全问题随之而来，需要构建一个安全的信息基础设施平台，为各类网上活动提供身份认证、访问授权、机密性、完整性、真实性、不可否认性等安全保证。PKI/PMI技术能很好地满足这一需求。公钥基础设施PKIPKI是Public Key Infrastructure的缩写，即公钥基础设施，是一种遵循既定标准，利用密码技术为网上安全通信提供一整套安全服务的密钥管理平台。如同电力、水利等其他基础设施一样，公钥基础设施能为各种不同安全需求的用户、提供各种不同的安全服务。简单来说，PKI就是利用公钥理论的技术建立的提供安全服务的基础设施。它能够为各类网络应用提供一个安全基础平台，是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体。授权管理基础设施PMIPMI是Privilege Management Infrastructure的缩写，即授权管理基础设施。它依赖于PKI的支持，以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，简化具体应用系统的开发与维护。PMI是一个由属性证书、属性权威、属性证书库等部件构成的综合系统，通过对用户的认证和授权来实现权限和证书的产生、管理、存储、分发和撤销等功能，从而解决信息安全中重要的权限管理问题。PKI/PMI技术区别及体系结构?PKI能够实现身份认证、访问控制、数据保密性、数据完整性、不可否认性等ISO7498-2定义的五大安全服务中的大部分功能，但在访问控制上存在一些不足，这主要是因为作为PKI基础的CA证书只是绑定了用户的身份。在有些情况下，单独的身份认证技术不能完全满足系统要求，如基于角色的访问控制。PMI是在PKI发展过程中被提出并逐渐从PKI中分离出来的一个新的概念。PMI能够系统地建立起对认可用户的授权。它利用属性证书，将用户的一组属性和其它信息通过认证机构的私钥进行数字签名，使其不能伪造。其签名和颁发的机构是属性管理机构（Attribute AuthorityAA）。赋予属性证书的签名不是用于证明公钥/私钥和身份之间的关系，而是用于证明证书所有者拥有的特权。基于PMI的集中授权系统采用基于属性证书的授权模式，向应用提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。PMI作为一个基础设施，能够系统地建立起对认可用户的授权，通过结合授权管理系统和身份认证系统弥补了PKI的弱点。PMI与PKI结构非常相似。信任的基础都是有关权威机构，由它们决定建立身份认证系统和属性特权机构。在PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其它机构；在PMI中，由有关部门建立授权源SOA，下设分布式的AA和其它机构。另外，PMI和PKI有很多相似的概念。如属性证书（AC）与公钥证书（PKC） ，公钥证书是对用户名称和他的公钥进行绑定，而属性证书是将用户名称与一个或更多的权限属性进行绑定；属性权威（ AA ）与认证权威（CA）。数字签名公钥证书的实体被称为CA，签名属性证书的实体被称为AA。PMI与PKI的区别在于：PKI主要进行身份鉴别，证明用户身份，即你是谁。而PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即你能做什么。另外，PMI需要PKI为其提供身份认证。将PKI和PMI技术结合，实现可信的身份认证和可信授权管理是目前较为完善的安全保障措施。在电子商务领域以电子交易和电子支付为主导的行业应用，在电子政务领域以网络文档和网络办公为主导的政务应用，还有诸如在远程教育领域以学历管理和凭证确认为主导的应用，在网络媒体领域以内容交换和内容保护为主导的应用，在网上娱乐领域以会员参与和有偿服务为主体的应用，在远程医疗领域以医疗文档和会诊确认为主导的应用，在协同设计领域以成果交换和交互设计为主导的应用，以及WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易等，都离不开应用PKI/PMI技术构建的网络信任体系。政府部门需要PKI/PMI支持电子政务管理，商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI/PMI的技术和解决方案，大企业需要建