信息安全技术.pptVIP

应用实例（5/5） 应用编程接口API Application Programming Interfaces 定义了如何使用与PKI有关的协议标准，并为上层应用提供PKI服务。当应用需要使用PKI服务时都会用到API。 当前API没有统一的国际标准，比较常用的安全接口为：CryptoAPI和CDSA接口。 第三十页，共五十四页。 PKI参考资源 第三十一页，共五十四页。 PKI存在的问题 PKI存在的问题 知识普及问题 PKI技术并未被大多数人所了解 实施问题 PKI定义了严格的操作协议和严格的信任层次关系，任何向CA申请证书的人必须离线身份验证（一般由RA来完成），这样的验证工作其扩展性不强，通常只能在小范围内实施（所以当前构建的PKI系统都局限在一定范围内，造成技术瓶颈）； 信任策略的实现问题 为解决每个独立PKI系统之间信任关系，出现交叉认证、桥—CA等方法。但由于信任策略上不统一，在进行相互认证时，为避免由于信任策略不同而产生的问题，一般做法是忽略信任策略，导致PKI仅起到身份认证作用，而不能实现信任策略。 第三十二页，共五十四页。 知识点 密钥分配方案 密钥管理技术 密钥托管技术 公钥基础设施PKI技术 授权管理基础设施PMI技术 第三十三页，共五十四页。 PMI知识点 PMI简介 PMI技术优势 第三十四页，共五十四页。 PMI简介 PMI简介 授权管理基础设施(Privilege Management Infrastructure, PMI) 是一个属性证书(AC, Authority Certification)、属性权威(AA, Attribute Authority)、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤消等功能。 PMI作用 向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的，与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。 第三十五页，共五十四页。 相关标准对PMI的支持 相关标准对PMI的支持 ANSI、ITU X.509和IETF PKIX都有PMI的定义 ITU-T(国际电信联盟委员会)在2001年发表的X.509的第4版，首次将PMI的证书完全标准化 第三十六页，共五十四页。 PMI中的权限管理 PMI中的权限管理 使用属性证书，表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。 使用属性证书进行权限管理，可以使权限管理不需要依赖某个具体的应用，有利于权限的安全分布式应用 PMI以资源管理为核心，对资源的访问控制权统一由授权机构统一处理 由资源的所有者来进行访问控制 属性证书的生命周期 申请 签发 注销 验证 对应权限的生命周期 申请 发放 撤消 使用与验证 第三十七页，共五十四页。 属性证书的格式 第三十八页，共五十四页。 PMI与PKI的异同点 共同点 结构相似，信任的基础都是有关权威机构，由他们决定建立身份认证系统和属性特权机构 PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其他机构 PMI中，由有关部门建立授权源SOA，下设分布式的AA和其他机构 主要区别 PKI——证明用户是谁 PMI——证明该用户有什么权限 PMI需要PKI为其提供身份认证 第三十九页，共五十四页。 为什么不直接用公钥证书来承载属性而使用独立的属性证书呢？ 第四十页，共五十四页。 分析 身份和属性的有效时间有很大差异 身份往往相对稳定，变化较少； 属性如职务、职位、部门等则变化较快。 ——属性证书的生命周期往往远低于用于标识身份的公钥证书。 公钥证书和属性证书的管理颁发部门有可能不同。 公钥证书由身份管理系统进行控制，而属性证书的管理则与应用紧密相关。 一个系统中，每个用户只有一张合法的公钥证书，而属性证书则灵活得多。多个应用可使用同一属性证书，但也可为同一应用的不同操作颁发不同的属性证书。 第四十一页，共五十四页。 结论 只有那些身份和属性生命期相同、而且同时CA兼任属性管理功能的情况下，可以使用公钥证书来承载属性，即在公钥证书的扩展域中添加属性字段。 大部分情况下应使用公钥证书+属性证书的方式实现属性的管理。 第四十二页，共五十四页。 PMI的体系结构 第四十三页，共五十四页。 PMI的体系结构 SOA(Source of Attribute Authority)授权管理体系的中心业务节点，是整个授权系统的最终信任源和最高管理机构，相当于PKI 系统中的根CA，对整个系统特权分发负有最终的责任。SOA中心的主要职责是授权策略的管理、应用授权受理、AA中心的设立审核及管理等。 第四十四页