PKIPMI在网络安全中应用.docVIP

PKIPMI在网络安全中的应用 　　摘要： 本文对公钥基础设施PKI、特权管理基础设施PMI技术的概念、体系结构及应用前景做了详细的分析。 　　关键词： PKI/PMI 密钥管理 技术区别 体系结构 应用前景 　　 　　一、引言 　　 　　随着Internet的迅猛发展，电子商务、电子政务、网上银行、网上证券等网上活动日益频繁，网络安全问题随之而来，需要构建一个安全的信息基础设施平台，为各类网上活动提供身份认证、访问授权、机密性、完整性、真实性、不可否认性等安全保证。PKI/PMI技术能很好地满足这一需求。 　　 　　二、PKI/PMI概述 　　 　　1.公钥基础设施PKI 　　PKI是Public Key Infrastructure的缩写，即公钥基础设施，是一种遵循既定标准，利用密码技术为网上安全通信提供一整套安全服务的密钥管理平台。如同电力、水利等其他基础设施一样，公钥基础设施能为各种不同安全需求的用户、提供各种不同的安???服务。简单来说，PKI就是利用公钥理论的技术建立的提供安全服务的基础设施。它能够为各类网络应用提供一个安全基础平台，是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体。 　　2.授权管理基础设施PMI 　　PMI是Privilege Management Infrastructure的缩写，即授权管理基础设施。它依赖于PKI的支持，以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，简化具体应用系统的开发与维护。PMI是一个由属性证书、属性权威、属性证书库等部件构成的综合系统，通过对用户的认证和授权来实现权限和证书的产生、管理、存储、分发和撤销等功能，从而解决信息安全中重要的权限管理问题。 　　 　　三、PKI/PMI技术区别及体系结构 　　 　　1.PKI/PMI技术区别 　　PKI能够实现身份认证、访问控制、数据保密性、数据完整性、不可否认性等ISO7498-2定义的五大安全服务中的大部分功能，但在访问控制上存在一些不足，这主要是因为作为PKI基础的CA证书只是绑定了用户的身份。在有些情况下，单独的身份认证技术不能完全满足系统要求，如基于角色的访问控制。PMI是在PKI发展过程中被提出并逐渐从PKI中分离出来的一个新的概念。PMI能够系统地建立起对认可用户的授权。它利用属性证书，将用户的一组属性和其它信息通过认证机构的私钥进行数字签名，使其不能伪造。其签名和颁发的机构是属性管理机构（Attribute Authority,AA）。赋予属性证书的签名不是用于证明公钥/私钥和身份之间的关系，而是用于证明证书所有者拥有的特权。基于PMI的集中授权系统采用基于属性证书的授权模式，向应用提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。PMI作为一个基础设施，能够系统地建立起对认可用户的授权，通过结合授权管理系统和身份认证系统弥补了PKI的弱点。 　　PMI与PKI结构非常相似。信任的基础都是有关权威机构，由它们决定建立身份认证系统和属性特权机构。在PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其它机构；在PMI中，由有关部门建立授权源SOA，下设分布式的AA和其它机构。另外，PMI和PKI有很多相似的概念。如属性证书（AC）与公钥证书（PKC） ，公钥证书是对用户名称和他的公钥进行绑定，而属性证书是将用户名称与一个或更多的权限属性进行绑定；属性权威（ AA ）与认证权威（CA）。数字签名公钥证书的实体被称为CA，签名属性证书的实体被称为AA。 　　PMI与PKI的区别在于：PKI主要进行身份鉴别，证明用户身份，即你是谁。而PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即你能做什么。另外，PMI需要PKI为其提供身份认证。将PKI和PMI技术结合，实现可信的身份认证和可信授权管理是目前较为完善的安全保障措施。 　　2.PKI/PMI体系结构 　　PKI技术是一种新的网络安全技术，是一个集硬件、软件、人力资源、相关政策和操作规范为一体的综合系统，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成。一个完善的PKI具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口系统等组成部分。其中，认证机构CA是整个系统的核心。用户使用由证书授权认证中心（Certificate Authority，CA）签发的数字证书，结合加密技术，可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性，并进行用户