PKI∕PMI技术及应用 ppt49.pptVIP

第3章 PKI/PMI技术及应用 PKI (Public Key Infrastructure，公钥基础设施）证明用户是谁，而PMI（Privilege Management Infrastructure，授权管理基础设施）证明这个用户有什么权限，能干什么，而且PMI需要PKI为其提供身份认证。 3.1 PKI概述 3.1.1 PKI的概念 公钥基础设施（PKI）是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。PKI能为各种不同安全需求的用户提供各种不同的网上安全服务所需要的密钥和证书，这些安全服务主要包括身份识别与鉴别（认证）、数据保密性、数据完整性、不可否认性及时间戳服务等，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。 PKI的技术基础之一是公开密钥体制。 PKI的技术基础之二是加密机制。 从技术上讲，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和不可抵赖等安全问题，为网络应用提供可靠的安全保障。 3.1.2 PKI与网络安全 如果要在计算机网络中创建一个与传统纸上交易等效的环境，还需要一套公钥基础设施的支持，具体要求如下： （1） 安全策略，以规定加密系统在何种规则下运行； （2） 产生、存储、管理密钥的产品； （3） 如何产生、分发、使用密钥和证书的一整套过程。 PKI提供了一个安全框架，使各类构件、应用、策略组合起来为网络环境中的相关活动提供以下的安全功能： · 保密性。保证信息的私有性。 · 完整性。保证信息没有被篡改。 · 真实性。证明一个人或一个应用的身份。 · 不可否认性。保证信息不能被否认。 PKI机制的主要思想是通过公钥证书对某些行为进行授权，其目标是可以根据管理者的安全策略建立起一个分布式的安全体系。PKI的核心是要解决网络环境中的信任问题，确定网络环境中行为主体（包括个人和组织）身份的唯一性、真实性和合法性，保护行为主体合法的安全利益。 3.1.3 PKI的组成 一个典型的PKI组成如图3-1所示，其中包括PKI策略、软硬件系统、认证机构CA、注册机构RA、证书发布系统和PKI应用等。 1． PKI安全策略 PKI安全策略包括： · CA的创建和运作方式。 · 证书的申请、发行、接收和废除方式。 · 密钥的产生、申请、存储和使用方式。 2. 认证机构（CA） 认证机构（Certificate Authority，CA）也称为“认证中心”，它是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表（CRL）确保必要时可以废除证书。 3． 注册机构（RA） 注册机构（Registered Authority，RA）提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。RA主要完成收集用户信息和确认用户身份的功能。 4．证书发布系统 证书发布系统负责证书的发放。目前一般要求证书发布系统可以Web方式与Internet用户交互，用于处理在线证书业务，方便用户对证书进行申请、下载、查询、注销、恢复等操作。 5． PKI应用 PKI的应用非常广泛，包括在Web服务器和浏览器之间的通信、电子邮件、电子数据交换（EDI）、在Internet上的信用卡交易和虚拟私有网（VPN）等。同时，随着以Internet为主的计算机网络的发展，新的PKI的应用也在不断出现和发展。 一个简单的PKI系统包括CA、RA和相应的PKI存储库。CA用于签发并管理证书；RA可作为CA的一部分，也可以独立，其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等；PKI存储库包括LDAP（Light Directory Access Protocol，轻型目录访问协议）目录服务器和普通数据库，用于对用户申请信息、证书、密钥、CRL和日志等信息进行存储和管理，并提供一定的查询功能。 3.2 认证机构（CA） PKI系统的关键是如何实现对密钥的安全管理。公开密钥机制涉及公钥和私钥，私钥由用户自己保存，而公钥在一定范围内是公开的，需要通过网络来传输。所以，公开密钥体制的密钥管理主要是对公钥的管理，目前较好的解决方法是采用大家共同信任的认证机构（CA）。 3.2.1 CA的概念 认证机构（