应用密码学第9章密钥管理技术2.ppt

（2）第二代PKI标准：XML密钥管理规范（XML Key Management Specification，XKMS），被称为第二代PKI标准。 XKMS由两部分组成：XML密钥信息服务规范（XML Key Information Service Specification，X-KISS）和XML密钥注册服务规范（XML Key Registration Service Specification，X-KRSS）。 目前，XKMS已成为W3C的推荐标准，并已被微软、Versign等公司集成于他们的产品中（微软已在ASP.net中集成了XKMS，Versign已发布了基于Java的信任服务集成工具包TSIK）。 5．PKI的功能 （1）安全服务功能 ① 网上身份安全认证。 ② 保证数据完整性。 * * 5．PKI的应用及展望 （1）虚拟专用网络（VPN）：VPN 是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（尤其是IPSec）和建立在PKI上的加密与签名技术来获得机密性保护。 ③ 保证网上交易的抗否认性。 ④ 提供时间戳服务。 ⑤ 保证数据的公正性。 （2）系统功能 ① 证书申请和审批。 ② 产生、验证和分发密钥。 ③ 证书签发和下载。 ④ 签名和验证。 ⑤ 证书的获取。 ⑥ 证书和目录查询。 ⑦ 证书撤销。 ⑧ 密钥备份和恢复。 ⑨ 自动密钥更新。 ⑩ 密钥历史档案。 ⑾ 交叉认证。 * * （2）安全电子邮件：作为 Internet上最有效的应用，电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。 （3）Web安全：浏览Web页面是人们最常用的访问Internet的方式。 （4）应用编程接口API：应用编程界面API（Application Programming Interfaces）则定义了如何使用这些协议，并为上层应用提供PKI服务。 目前，API没有统一的国际标准，大部分都是操作系统或某一公司产品的扩展，并在其产品应用的框架内提供PKI服务。当前，有很多可以让开发者选择的API类型。IETF（Internet Engineering Task Force，是一个研究Internet问题的组织）建议标准为通用安全服务API：GSS-API（Generic Security Service Application Program Interface），它提供了一种接口与网络机制和网络协议相互独立的实现。 目前两个比较常用的安全API接口：CryptoAPI和CDSA接口。 * * - PMI（授权管理基础设施）技术 （1）PMI简介 PMI（Privilege Management Infrastructure），即授权管理基础设施，是国家信息安全基础设施NISI（National Information Security Infrastructure，NISI由PKI和PMI组成，其中，公钥基础设施构成所谓的PKI信息安全平台，提供智能化的信任服务；而授权管理基础设施PMI构成所谓的授权管理平台，在PKI信息安全平台的基础上提供智能化的授权服务。）的一个重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。 PMI技术出现的背景 * * 授权管理基础设施PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的过程。而且，使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用，而且有利于权限的安全分布式应用。 授权管理基础设施PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。同公钥基础设施PKI相比，两者主要区别在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构，由他们决定建立身份认证系