第3-4章-PKI与身份认证.pptVIP

  1. 1、本文档共67页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
* SSL握手协议提供了客户机与服务器之间的相互认证,协商加密算法,用于保护在SSL记录中发送的加密密钥。握手协议在任何应用程序的数据传输之前进行。如图描述了SSL握手协议一次握手的操作过程。 SSL握手协议过程 * SSL记录协议建立在可靠的传输层协议(如TCP)之上,为高层协议(如HTTP、FTP等)提供数据封装、压缩、加密等基本功能的支持。如图所示描述了SSL记录协议的操作过程。 图4-10 SSL记录协议的操作过程 SSL记录协议 * SSL记录协议字段如图所示: 内容类型(8位):封装的高层协议。 主要版本(8位):使用的SSL主要版本。对于SSLv3.0,值为3。 次要版本(8位):使用的SSL次要版本。对于SSLv3.0,值为0。 压缩长度(16位):明文数据(如果选用压缩则是压缩数据)以字节为单位的长度。 * SSL协议的特点: SSL是一个通信协议。为了实现安全性,SSL的协议描述比较复杂,具有较完备的握手过程。这也决定了SSL不是一个轻量级的网络协议。另外,SSL还涉及到大量的计算密集型算法:非对称加密算法,对称加密算法和数据摘要算法。 IETF将SSL进行了标准化,即RFC 2246,并将其称为TLS(Transport Layer Security)。从技术上讲,TLSv1.0与SSLv3.0的差别非常小。 * * * 证书废除机制 CRL数据格式 * * CA信任模式 级联模式(层次信任模型) 适合大型组织机构 部署方便 不适合互联网 不适合非层次机构 信任是绝对的 单点失败危害大 和现实生活中的信任关系差别大 * 网状模型(分布式信任模型) 具有更好的灵活性 增加新的CA容易 系统的安全性较高 路径发现比较困难 * 桥接模式 实用性强,保证不同信任之间的互通 增加了复杂度 策略对应困难 可操作性差 * Web信任模型 Web信任模型构建在Web浏览器的基础上,浏览器厂商在浏览器(如Internet Explorer、Tencent Traveler、Mozilla Firefox、Opera等)中内置了多个根CA,每个根CA相互间是平行的,浏览器用户同时信任多个根CA并把这些根CA作为自己的信任锚。 * 二、PMI技术 授权管理基础设施(Privilege Management Infrastructure,PMI)是国家信息安全基础设施的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发和维护。 * PMI的概念 PMI是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离,由IETF提出的一种标准。PKI以公钥证书为基础,实现用户身份的统一管理,而PMI以2000年推出的X.509 v4标准中提出的属性证书为基础,实现用户权限的统一管理。 概括地讲:PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理。同PKI相比,两者主要区别在于PKI证明用户是谁,而PMI证明这个用户有什么权限、能干什么。PMI需要PKI为其提供身份认证。 * PMI的组成 PMI主要由属性权威(Attribute Authority,AA)、属性证书(Attribute Certification,AC)和属性证书库3部分组成。 1.属性权威(AA) 属性权威(AA)也称为“授权管理中心”或“属性权威机构”,是整个PMI系统的核心,它为不同的用户和机构进行属性证书(AC)创建、存储、签发和撤销,负责管理AC的整个生命周期。 * 如图3-10所示的是AA的层次结构。其中,在该树型结构最顶端(树根)的是权威源(Source of Authority,SOA)。 图3-10 AA的层次结构 * 2.属性证书(AC) 属性证书(AC)是由PMI的权威机构(即属性权威,AA)签发的将实体与其享有的权限属性捆绑在一起的数据结构,权威机构的数字签名保证了绑定的有效性和合法性。AC主要用于授权管理。属性证书的格式如图所示。 * 3.属性证书库 属性证书库用于存储属性证书,一般情况下采用LDAP目录服务器。在属性证书库中采用LDAP目录服务器主要出于以下几点考虑: (1) LDAP目录服务器能够处理大量的用户并发,便于属性证书的检索,并具有更快的响应速度; (2) LDAP服务器具有完善的安全机制,可以通过访问控制列表(ACL)设置对目录数据的读和写的权限,通过支持基于SSL的安全机制完成

文档评论(0)

ki66588 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档