《公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI》由會(huì)員分享�����,可在線閱讀�����,更多相關(guān)《公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI(48頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索�����。
1�����、網(wǎng) 絡(luò) 信 息 安 全 基 礎(chǔ) 5.3 公 鑰 基 礎(chǔ) 設(shè) 施 PKI和 授 權(quán) 管理 基 礎(chǔ) 設(shè) 施 PMI 公 開 密 鑰 基 礎(chǔ) 設(shè) 施 PKI PKI( Public Key Infrastructure) 是 一 個(gè) 用 公 鑰概 念 與 技 術(shù) 來 實(shí) 施 和 提 供 安 全 服 務(wù) 的 具 有 普 適 性的 安 全 基 礎(chǔ) 設(shè) 施 �����。 PKI的 主 要 任 務(wù) 是 在 開 放 環(huán) 境 中 為 開 放 性 業(yè) 務(wù) 提供 網(wǎng) 上 身 份 認(rèn) 證 �����、 信 息 完 整 性 和 數(shù) 字 簽 名 服 務(wù) �����。 PKI是 一 種 標(biāo) 準(zhǔn) 的 密 鑰 管 理 平 臺(tái) �����, 它 能 夠 為 所 有網(wǎng)
2�����、絡(luò) 應(yīng) 用 透 明 地 提 供 采 用 加 密 和 數(shù) 據(jù) 簽 名 等 密 碼服 務(wù) 所 必 須 的 密 鑰 和 證 書 管 理 �����。 PKI是 生 成 �����、 管 理 �����、 存 儲(chǔ) �����、 分 發(fā) 和 吊 銷 基 于 公 鑰密 碼 學(xué) 的 公 鑰 證 書 所 需 要 的 硬 件 、 軟 件 �����、 人 員 �����、策 略 和 規(guī) 程 的 總 和 �����。 PKI的 主 要 功 能密 鑰 和 證 書 的 生 成 證 書 存 儲(chǔ) /目 錄 服 務(wù) 密 鑰 備 份 和 恢 復(fù)支 持 不 可 抵 賴 服 務(wù) 證 書 廢 止 證 書 發(fā) 放交 叉 認(rèn) 證 時(shí) 間 戳 從 功 能 上 講 �����, 一 個(gè) 完 整 的 PKI系 統(tǒng) 必
3�����、須 具 備 如 下 一 些 主 要 功 能 :密 鑰 更 新 PKI的 構(gòu) 成從 總 體 上 講 �����, PKI由 如 下 四 個(gè) 方 面 的 部 件 構(gòu) 成 : PKI的 應(yīng) 用PKI策 略 軟 硬 件 系 統(tǒng) PKI中 的 可 信 第 三 方 證 書 認(rèn) 證 中 心 ( CA) �����,可 以 解 決 無 邊 界 用 戶 的 身 份 確 定 問 題 �����, 提 供 了 信任 的 基 礎(chǔ) �����。 因 此 基 于 Internet的 應(yīng) 用 需 要 PKI�����。 PKI作 為 一 種 支 撐 性 基 礎(chǔ) 設(shè) 施 �����, 其 本 身 并 不 能 直接 為 用 戶 提 供 安 全 服 務(wù) �����, 但 PKI是 其 他 安 全
4�����、應(yīng) 用的 基 礎(chǔ) 。 PKI基 本 組 成 PKI由 以 下 幾 個(gè) 基 本 部 分 組 成 : 證 書 庫 證 書 作 廢 處 理 系 統(tǒng) 認(rèn) 證 機(jī) 構(gòu) ( CA Certificate Authority) 注 冊(cè) 機(jī) 構(gòu) ( RA Registration Authority) 密 鑰 備 份 與 恢 復(fù) 系 統(tǒng) PKI應(yīng) 用 接 口 PKI基 本 組 成注 冊(cè) 機(jī) 構(gòu) ( RA) 負(fù) 責(zé) 記 錄 和 驗(yàn) 證 部 分 或 所 有 有 關(guān) 信 息 ( 特 別 是 主體 的 身 份 ) �����, 這 些 信 息 用 于 CA發(fā) 行 證 書 和 CLR以及 證 書 管 理 中 �����。 認(rèn) 證 機(jī) 構(gòu)
5�����、與 其 用 戶 或 證 書 申 請(qǐng) 人 間 的 交 互 是 由 被稱 為 注 冊(cè) 機(jī) 構(gòu) (RA) 的 中 介 機(jī) 構(gòu) 來 管 理 �����; 注 冊(cè) 機(jī) 構(gòu) 本 身 并 不 發(fā) 放 證 書 �����, 但 注 冊(cè) 機(jī) 構(gòu) 可 以 確認(rèn) �����、 批 準(zhǔn) 或 拒 絕 證 書 申 請(qǐng) 人 , 隨 后 由 認(rèn) 證 機(jī) 構(gòu) 給經(jīng) 過 批 準(zhǔn) 的 申 請(qǐng) 人 發(fā) 放 證 書 �����。 PKI基 本 組 成認(rèn) 證 機(jī) 構(gòu) ( CA) 一 個(gè) 可 信 實(shí) 體 �����, 發(fā) 放 和 作 廢 公 鑰 證 書 �����, 并 對(duì) 各 作廢 證 書 列 表 簽 名 �����。 CA是 PKI系 統(tǒng) 的 核 心 �����, 包 含 以 下 功 能 : 接 受 用 戶 的
6�����、請(qǐng) 求 (由 RA負(fù) 責(zé) 對(duì) 用 戶 的 身 份 信 息 進(jìn) 行 驗(yàn) 證 ) 用 自 己 的 私 鑰 簽 發(fā) 證 書 提 供 證 書 查 詢 接 受 證 書 注 銷 請(qǐng) 求 提 供 證 書 注 銷 表 證 書 材 料 信 息 的 管 理 PKI理 論 基 礎(chǔ) 密 碼 學(xué) (略 ) 目 錄 服 務(wù) 數(shù) 字 證 書 目 錄 服 務(wù) 目 的 是 建 立 全 局 /局 部 統(tǒng) 一 的 命 令 方 案 �����, 它 從 技 術(shù)的 角 度 定 義 了 人 的 身 份 和 網(wǎng) 絡(luò) 對(duì) 象 的 關(guān) 系 �����; 目 錄 服 務(wù) 是 規(guī) 范 網(wǎng) 絡(luò) 行 為 和 管 理 網(wǎng) 絡(luò) 的 一 種 重 要手 段 �����; X.500時(shí) 一
7�����、 套 已 經(jīng) 被 國 際 標(biāo) 準(zhǔn) 化 組 織 ( ISO) 接 受的 目 錄 服 務(wù) 系 統(tǒng) 標(biāo) 準(zhǔn) �����; LDAP( 輕 量 級(jí) 目 錄 訪 問 協(xié) 議 ) 最 早 被 看 作 是X.500目 錄 訪 問 協(xié) 議 中 的 那 些 易 描 述 �����、 易 執(zhí) 行 的功 能 子 集 X.500目 錄 服 務(wù) 一 個(gè) 完 整 的 X.500系 統(tǒng) 稱 為 一 個(gè) ” 目 錄 ” �����。 X.500目 錄 服 務(wù) 是 一 個(gè) 復(fù) 雜 的 信 息 存 儲(chǔ) 機(jī) 制 , 包 括客 戶 機(jī) -目 錄 服 務(wù) 器 訪 問 協(xié) 議 �����、 服 務(wù) 器 -服 務(wù) 器 通 信協(xié) 議 �����、 完 全 或 部 分 的 目 錄 數(shù) 據(jù) 復(fù)
8�����、 制 �����、 服 務(wù) 器 鏈 對(duì)查 詢 的 響 應(yīng) �����、 復(fù) 雜 搜 尋 的 過 濾 功 能 等 . X.500目 錄 服 務(wù) 可 以 向 需 要 訪 問 網(wǎng) 絡(luò) 任 何 地 方 資 源的 電 子 函 件 系 統(tǒng) 和 應(yīng) 用 �����, 或 需 要 知 道 在 網(wǎng) 絡(luò) 上 的實(shí) 體 名 字 和 地 點(diǎn) 的 管 理 系 統(tǒng) 提 供 信 息 �����。 LDAP的 英 文 全 稱 是 Lightweight Directory Access Protocol�����, 輕 量 級(jí) 目 錄 訪 問 協(xié) 議 �����。 它 是 基 于 X.500標(biāo) 準(zhǔn) 的 �����, 但是 簡(jiǎn) 單 并 且 可 以 根 據(jù) 需 要 定 制 �����。 與 X.500不 同
9�����、 �����, LDAP支 持TCP/IP, 這 對(duì) 訪 問 Internet是 必 須 的 �����。 LDAP不 是 數(shù) 據(jù) 庫 而 是 用 來 訪 問 存 儲(chǔ) 在 信 息 目 錄 ( 也 就 是LDAP目 錄 ) 中 的 信 息 的 協(xié) 議 �����。 也 就 是 說 “ 通 過 使 用 LDAP�����,可 以 在 信 息 目 錄 的 正 確 位 置 讀 取 ( 或 存 儲(chǔ) ) 數(shù) 據(jù) ” �����, LDAP主要 是 優(yōu) 化 數(shù) 據(jù) 讀 取 的 性 能 �����。 LDAP協(xié) 議 是 跨 平 臺(tái) 的 和 標(biāo) 準(zhǔn) 的 協(xié) 議 �����。 LDAP最 大 的 優(yōu) 勢(shì) 是 :可 以 在 任 何 計(jì) 算 機(jī) 平 臺(tái) 上 �����, 用 很 容 易 獲 得
10�����、的 而 且 數(shù) 目 不 斷 增加 的 LDAP的 客 戶 端 程 序 訪 問 LDAP目 錄 �����。 而 且 也 很 容 易 定 制應(yīng) 用 程 序 為 它 加 上 LDAP的 支 持 �����。 PKI中 使 用 LDAP服 務(wù) 主 要 是 用 于 CA 證 書 庫 �����、 CRL 庫 (證 書 注銷 庫 )的 發(fā) 布 �����, 應(yīng) 用 軟 件 可 以 通 過 訪 問 LADP 來 獲 取 公 開 證 書和 CRL LDAP協(xié) 議 PKI中 的 證 書 PKI適 用 于 異 構(gòu) 環(huán) 境 中 �����, 所 以 證 書 的 格 式 在所 使 用 的 范 圍 內(nèi) 必 須 統(tǒng) 一 證 書 是 一 個(gè) 機(jī) 構(gòu) 頒 發(fā) 給 一 個(gè)
11、安 全 個(gè) 體 的 證明 �����, 所 以 證 書 的 權(quán) 威 性 取 決 于 該 機(jī) 構(gòu) 的 權(quán)威 性 一 個(gè) 證 書 中 �����, 最 重 要 的 信 息 是 個(gè) 體 名 字 �����、個(gè) 體 的 公 鑰 �����、 機(jī) 構(gòu) 的 簽 名 �����、 算 法 和 用 途 最 常 用 的 證 書 格 式 為 X.509 v3 PKI的 構(gòu) 建 自 建 模 式 (In-house Model)是 指 用 戶 購 買 整 套 的PKI軟 件 和 所 需 的 硬 件 設(shè) 備 �����, 按 照 PKI的 構(gòu) 建 要 求自 行 建 立 起 一 套 完 整 的 服 務(wù) 體 系 �����。 托 管 模 式 是 指 用 戶 利 用 現(xiàn) 有 的 可 信 第 三
12�����、 方 認(rèn) 證中 心 CA提 供 的 PKI服 務(wù) �����, 用 戶 只 需 配 置 并 全 權(quán) 管理 一 套 集 成 的 PKI平 臺(tái) 即 可 建 立 起 一 套 完 整 的 服 務(wù)體 系 �����, 對(duì) 內(nèi) 對(duì) 外 提 供 全 部 的 PKI服 務(wù) ����。 與 PKI有 關(guān) 的 標(biāo) 準(zhǔn) 情 況 Certificates X.509 v.3 交 叉 認(rèn) 證 PKIX group in IETF(RFC 2459) 智 能 卡 /硬 件 插 件 PKCS #11 PKCS系 列 目 錄 服 務(wù) LDAP PKI信 任 模 型 基 于 層 次 結(jié) 構(gòu) 的 信 任 模 型 交 叉 認(rèn) 證 網(wǎng) 狀 信 任 模 型 混
13、合 結(jié) 構(gòu) 信 任 模 型 Web可 信 列 表 以 用 戶 為 中 心 的 信 任 模 型 CA信 任 關(guān) 系 當(dāng) 一 個(gè) 安 全 個(gè) 體 看 到 另 一 個(gè) 安 全 個(gè) 體 出 示 的 證 書時(shí) ����, 他 是 否 信 任 此 證 書 ? 信 任 難 以 度 量 ����, 總 是 與 風(fēng) 險(xiǎn) 聯(lián) 系 在 一 起 可 信 CA 如 果 一 個(gè) 個(gè) 體 假 設(shè) CA能 夠 建 立 并 維 持 一 個(gè) 準(zhǔn) 確 的 “ 個(gè)體 -公 鑰 屬 性 ” 之 間 的 綁 定 ����, 則 他 可 以 信 任 該 CA����, 該CA為 可 信 CA CA層 次 結(jié) 構(gòu) 信 任 模 型 對(duì) 于 一 個(gè) 運(yùn) 行 CA的 大 型 權(quán)
14、 威 機(jī) 構(gòu) 而 言 ����, 簽 發(fā) 證 書 的 工 作 不 能 僅 僅 由一 個(gè) CA來 完 成 ,它 可 以 建 立 一 個(gè) CA層 次 結(jié) 構(gòu) 以 各 個(gè) 域 的 集 中 控 制 為 基 礎(chǔ) , 可 以 建 立 層 次 結(jié) 構(gòu) 的 CA體 系 ����。 這 種 模 型 不 適 合 缺 少 集 中 管 理 域 的 完 全 分 布 環(huán) 境 下 的 網(wǎng) 絡(luò) 應(yīng) 用 。根 CA 中 間 CA CA層 次 結(jié) 構(gòu) 的 建 立 根 CA具 有 一 個(gè) 自 簽 名 的 證 書 根 CA依 次 對(duì) 它 下 面 的 CA進(jìn) 行 簽 名 層 次 結(jié) 構(gòu) 中 葉 子 節(jié) 點(diǎn) 上 的 CA用 于 對(duì) 安 全 個(gè) 體 進(jìn)
15����、行簽 名 對(duì) 于 個(gè) 體 而 言 , 它 需 要 信 任 根 CA����, 中 間 的 CA可以 不 必 關(guān) 心 (透 明 的 )����; 同 時(shí) 它 的 證 書 是 由 底 層 的CA簽 發(fā) 的 在 CA的 機(jī) 構(gòu) 中 ����, 要 維 護(hù) 這 棵 樹 在 每 個(gè) 節(jié) 點(diǎn) CA上 ����, 需 要 保 存 兩 種 cert(1) Forward Certificates: 其 他 CA發(fā) 給 它 的 certs(2) Reverse Certificates: 它 發(fā) 給 其 他 CA的 certs 層 次 結(jié) 構(gòu) CA中 證 書 的 驗(yàn) 證 假 設(shè) 個(gè) 體 A看 到 B的 一 個(gè) 證 書 B的 證 書 中 含 有
16、 簽 發(fā) 該 證 書 的 CA的 信 息 沿 著 層 次 樹 往 上 找 ����, 可 以 構(gòu) 成 一 條 證 書 鏈 , 直 到根 證 書 驗(yàn) 證 過 程 : 沿 相 反 的 方 向 ����, 從 根 證 書 開 始 , 依 次 往 下 驗(yàn) 證 每 一 個(gè)證 書 中 的 簽 名 ����。 其 中 , 根 證 書 是 自 簽 名 的 ����, 用 它 自 己的 公 鑰 進(jìn) 行 驗(yàn) 證 一 直 到 驗(yàn) 證 B的 證 書 中 的 簽 名 如 果 所 有 的 簽 名 驗(yàn) 證 都 通 過 , 則 A可 以 確 定 所 有 的 證 書都 是 正 確 的 ����, 如 果 他 信 任 根 CA����, 則 他 可 以 相 信 B的 證書 和
17����、 公 鑰 樹 層 次 結(jié) 構(gòu) 森 林 型 結(jié) 構(gòu) 證 書 鏈 的 驗(yàn) 證 示 例 CA認(rèn) 證 模 型 如 果 用 戶 i和 j都 屬 于 CA111, 那 么 i和 j之 間 的密 鑰 交 換 ����, 只 需 要 持 有 CA111開 具 的 證 明 書 就 可以 , 即 : 對(duì) 用 戶 i和 j的 公 鑰 PKi 和 PKj分 別 蓋 章 ����,如 (Pki)ca111, (Pkj)ca111,那 么 用 戶 i和 j就 能 證 明 密 鑰是 對(duì) 方 的 密 鑰 。 CA認(rèn) 證 模 型 如 果 用 戶 j的 證 明 書 是 CA122開 具 的 ����, 那 么 情 況就 復(fù) 雜 了 , 各 自 具 有
18����、: i方 : (Pki)ca111 , (CA111)CA11, (CA11)CA1 j方 : (Pkj)ca122 , (CA122)CA12, (CA12)CA1 這 就 形 成 了 層 層 證 明 的 證 明 鏈 ( certification chain) 。 這 里 ����, 符 號(hào) (CA11)CA1是 CA1對(duì) C11的公 鑰 蓋 章 , 只 是 證 明 本 公 鑰 是 C11的 ����。 CA 證 明 鏈CACA1 CA2CA11 CA12 CA21 CA22個(gè) 人 證 書 個(gè) 人 證 書 個(gè) 人 證 書 個(gè) 人 證 書 ( PKI) CA11, ( PKCA11) CA1����, ( PKCA
19、1) CA( PKJ) CA21����, ( PKCA21) CA2, ( PKCA2) CAi j 交 叉 認(rèn) 證 交 叉 認(rèn) 證 是 一 種 把 以 前 無 關(guān) 的 CA連 接 在 一 起 的 有用 機(jī) 制 ����, 從 而 使 得 在 它 們 各 自 主 體 群 之 間 的 安 全 通信 成 為 可 能 。 兩 個(gè) CA安 全 地 交 換 密 鑰 信 息 ,這 樣 每 個(gè) CA都 可 以 有效 地 驗(yàn) 證 另 一 方 密 鑰 的 可 信 任 性 ,這 個(gè) 過 程 稱 為 交 叉認(rèn) 證 ; 兩 個(gè) 不 同 的 CA層 次 結(jié) 構(gòu) 之 間 可 以 建 立 信 任 關(guān) 系 單 向 交 叉 認(rèn) 證 一 個(gè)
20����、CA可 以 承 認(rèn) 另 一 個(gè) CA在 一 定 名 字 空 間 范 圍 內(nèi) 的 所 有 被 授 權(quán)簽 發(fā) 的 證 書 雙 向 交 叉 認(rèn) 證 交 叉 認(rèn) 證 交 叉 認(rèn) 證 可 以 分 為 域 內(nèi) 交 叉 認(rèn) 證 : 如 果 兩 個(gè) CA屬 于 相 同 的 域 域 間 交 叉 認(rèn) 證 : 如 果 兩 個(gè) CA屬 于 不 同 的 域 (例 如 , 當(dāng) 在 一 家 公司 中 的 CA認(rèn) 證 了 在 另 一 家 公 司 中 的 CA) ����。 交 叉 認(rèn) 證 的 約 束 名 字 約 束 :一 個(gè) CA信 任 另 一 個(gè) CA在 給 定 的 一 部 分 名 字 空 間 內(nèi) 的以 其 為 主 體 頒 發(fā) 的
21����、 證 書 路 徑 長(zhǎng) 度 約 束 : 限 制 可 以 出 現(xiàn) 在 一 個(gè) 有 效 的 證 書 路 徑 中 的 交 叉 認(rèn)證 的 數(shù) 目 策 略 約 束 : 提 供 一 種 方 法 來 限 制 一 個(gè) 證 書 使 用 ,如 使 用 EMAIL,這樣 除 EMAIL以 外 的 任 意 證 書 為 非 法 例 如 假 設(shè) A已 經(jīng) 被 CA1認(rèn) 證 并 持 有 可 信 的 一 份 CA1的 公 鑰 ,并 且 B已經(jīng) 被 CA2認(rèn) 證 并 持 有 可 信 的 一 份 CA2的 公 鑰 ,最 初 A只 信 任 其 證 書 由CA1簽 署 的 實(shí) 體 ,因 為 他 能 夠 驗(yàn) 證 這 些 證 書 (使 用
22����、 CA1的 公 鑰 ),但 不 能驗(yàn) 證 B的 證 書 ,因 為 他 沒 有 持 可 信 的 一 份 CA2的 密 鑰 ,類 似 的 在 B身 上發(fā) 生 ,如 果 CA1和 CA2交 叉 認(rèn) 證 后 ,雙 方 都 獲 得 了 對(duì) 方 的 公 鑰 ,這 樣 A 的 信 任 就 能 擴(kuò) 展 到 CA2的 主 體 群 ,如 B; 交 叉 認(rèn) 證 不 同 的 交 叉 認(rèn) 證 信 任 模 型 子 層 次 型 結(jié) 構(gòu) 網(wǎng) 狀 交 叉 認(rèn) 證 結(jié) 構(gòu) 混 合 結(jié) 構(gòu) 橋 認(rèn) 證 結(jié) 構(gòu) 信 任 列 表 子 層 次 型 交 叉 認(rèn) 證 信 任 模 型PKI中 的 CA關(guān) 系 控 制 了 PKI的 可 擴(kuò) 展
23、性 ����。:CA: 最 終 用 戶 分 布 式 信 任 結(jié) 構(gòu) 模 型 分 布 式 信 任 結(jié) 構(gòu) 把 信 任 分 散 在 兩 個(gè) 或 多 個(gè) CA上 , 相應(yīng) 的 CA必 須 是 整 個(gè) PKI系 統(tǒng) 的 一 個(gè) 子 集 所 構(gòu) 成 的 嚴(yán) 格層 次 結(jié) 構(gòu) 的 根 CA����。 如 果 這 些 嚴(yán) 格 層 次 結(jié) 構(gòu) 都 是 可 信 頒 發(fā) 者 層 次 結(jié) 構(gòu) , 那么 該 總 體 結(jié) 構(gòu) 被 稱 作 完 全 同 位 結(jié) 構(gòu) ( fully peered architecture)����。 如 果 所 有 的 嚴(yán) 格 層 次 結(jié) 構(gòu) 都 是 多 層 結(jié)構(gòu) ( multi-level hierarchy)
24、����, 那 么 最 終 的 結(jié) 構(gòu) 就 被叫 作 滿 樹 結(jié) 構(gòu) ( fully treed architecture)。 一 般 來 說 ����, 完 全 同 位 結(jié) 構(gòu) 部 署 在 某 個(gè) 組 織 內(nèi) 部 ����, 而 滿樹 結(jié) 構(gòu) 和 混 合 結(jié) 構(gòu) 則 是 在 原 來 相 互 獨(dú) 立 的 PKI系 統(tǒng) 之間 進(jìn) 行 互 聯(lián) 的 結(jié) 果 ����。 網(wǎng) 狀 交 叉 認(rèn) 證 信 任 模 型 網(wǎng) 狀 型 : 相 互 獨(dú) 立 的 CA之 間 可 以 交 叉 認(rèn) 證 ����, 從而 形 成 CA之 間 的 信 任 關(guān)系 網(wǎng) 絡(luò) 。 網(wǎng) 狀 配 置 中 ����, 所 有 的 CA之 間 都 可 以 進(jìn) 行 交 叉 認(rèn)證 。靈 活 ����,
25、 便 于 建 立 特 殊 信 任 關(guān) 系 ����, 也 符 合 商 貿(mào) 中 的 雙 邊 信 任 關(guān) 系任 何 PKI中 , 用 戶 至 少 要 信 任 其 證 書 頒 發(fā) CA允 許 用 戶 頻 繁 通 信 的 CA之 間 直 接 交 叉 認(rèn) 證 ����, 以 降 低 認(rèn) 證 路 徑 處理 量CA私 鑰 泄 露 引 起 的 恢 復(fù) 僅 僅 涉 及 到 該 CA的 證 書 用 戶 混 合 結(jié) 構(gòu) 信 任 模 型 混 合 結(jié) 構(gòu) 中 ����, 局 部 仍 可 體 現(xiàn) 出 層 次 型 結(jié) 構(gòu) ����。 不 是 所 有 的 根 CA之 間 都 進(jìn) 行 直 接 的 交 叉 認(rèn) 證 。 Web模 型 許 多 CA的 公 鑰 被
26����、預(yù) 裝 在 標(biāo) 準(zhǔn) 的 瀏 覽 器 。 這 些 公 鑰 確 定 了 一 組瀏 覽 器 用 戶 最 初 信 任 的 CA����, 這 組 根 密 鑰 可 以 被 用 戶 修 改 。 類 似 于 認(rèn) 證 機(jī) 構(gòu) 的 嚴(yán) 格 層 次 結(jié) 構(gòu) 模 型 ����, 瀏 覽 器 廠 商 起 到 了 根CA的 作 用 , 而 與 被 嵌 入 的 密 鑰 相 對(duì) 應(yīng) 的 CA就 是 它 所 認(rèn) 證 的CA����, 這 種 認(rèn) 證 并 不 通 過 頒 發(fā) 證 書 實(shí) 現(xiàn) 的 , 而 是 物 理 地 把 CA的密 鑰 嵌 入 瀏 覽 器 ����。 Web模 型 在 方 便 性 和 簡(jiǎn) 單 互 操 作 方 面 有 明 顯 的 優(yōu) 勢(shì) ����, 但
27����、 是 也存 在 許 多 安 全 隱 患 。 例 如 ����, 因 為 瀏 覽 器 的 用 戶 自 動(dòng) 地 信 任 預(yù)安 裝 的 所 有 公 鑰 ����, 所 以 即 使 這 些 根 CA中 有 一 個(gè) 是 “ 壞 的 ”( 例 如 該 CA沒 有 認(rèn) 真 核 實(shí) 被 認(rèn) 證 的 實(shí) 體 ) , 安 全 性 將 被 完 全破 壞 ����。 最 后 該 模 型 還 缺 少 有 效 的 方 法 在 CA和 用 戶 間 建 立 合 法 協(xié) 議 ,該 協(xié) 議 的 目 的 是 使 CA和 用 戶 共 同 承 擔(dān) 責(zé) 任 ����。 以 用 戶 為 中 心 的 信 任 模 型 對(duì) 于 每 一 個(gè) 用 戶 而 言 , 應(yīng) 該 建 立
28����、各 種 信 任 關(guān) 系 ����, 這種 信 任 關(guān) 系 可 以 被 擴(kuò) 展 例 子 : 用 戶 的 瀏 覽 器 配 置 以 用 戶 為 中 心 的 信 任 模 型 示 例 : PGP 例 如 ����, 當(dāng) Alice 收 到 一 個(gè) 據(jù) 稱 屬 于 Bob的 證 書 時(shí) , 她 將 發(fā) 現(xiàn) 這個(gè) 證 書 是 由 她 不 認(rèn) 識(shí) 的 David簽 署 的 ����, 但 是 David的 證 書 是 由她 認(rèn) 識(shí) 并 且 信 任 的 Catherine簽 署 的 。 在 這 種 情 況 下 ����, Alice可 以 決 定 信 任 Bob的 密 鑰 , 也 可 以 決 定 不 信 任 Bob的 密 鑰 ����。 在 著 名
29、的 安 全 軟 件 程 序 Pretty Good Privacy( PGP) 中 ����,一 個(gè) 用 戶 通 過 擔(dān) 當(dāng) CA( 簽 署 其 他 實(shí) 體 的 公 鑰 證 書 ) 和 使 他的 公 鑰 被 其 他 人 所 認(rèn) 證 來 建 立 ( 或 參 加 ) 所 謂 的 “ Web of Trust”。 PKI應(yīng) 用 基 本 的 應(yīng) 用 文 件 保 護(hù) E-mail Web應(yīng) 用 其 他 VPN SSL/TLS XML/e-business WAP PKI/CA應(yīng) 用 Web應(yīng) 用 PKI/CA應(yīng) 用 電 子 交 易 網(wǎng) 上 報(bào) 稅 需 要 解 決 的 安 全 問 題 :通 信 安 全 ����、 身份
30����、認(rèn) 證 ����、 業(yè) 務(wù) 安 全 網(wǎng) 上 報(bào) 稅 安 全 解 決 方 案 最 終 用 戶 頒 發(fā) 數(shù) 字 證 書 的 認(rèn) 證 子 系 統(tǒng) , 負(fù) 責(zé)認(rèn) 證 系 統(tǒng) 的 策 略 制 定 ����、 RA注 冊(cè) 機(jī) 關(guān) 的 建 設(shè) 、接 受 證 書 申 請(qǐng) ����、 用 戶 身 份 的 鑒 證 ����、 協(xié) 助 CA系統(tǒng) 發(fā) 放 客 戶 證 書 以 及 簽 發(fā) 證 書 的 各 種 管 理 ; 整 個(gè) 應(yīng) 用 系 統(tǒng) 中 使 用 證 書 保 證 信 息 傳 輸 以 及業(yè) 務(wù) 流 程 的 安 全 可 信 ����。PKI/CA應(yīng) 用電 子 稅 務(wù) 授 權(quán) 管 理 基 礎(chǔ) 設(shè) 施 PMI 授 權(quán) 管 理 基 礎(chǔ) 設(shè) 施 PMI(Priv
31、ilege Management Infrastructure)是 國 家 信 息 安 全 基 礎(chǔ) 設(shè) 施 (National Information Security Infrastructure����, NISI)的 一 個(gè) 重 要組 成 部 分 目 標(biāo) 是 向 用 戶 和 應(yīng) 用 程 序 提 供 授 權(quán) 管 理 服 務(wù) ����, 提 供 用 戶 身份 到 應(yīng) 用 授 權(quán) 的 映 射 功 能 ����, 提 供 與 實(shí) 際 應(yīng) 用 處 理 模 式 相 對(duì)應(yīng) 的 、 與 具 體 應(yīng) 用 系 統(tǒng) 開 發(fā) 和 管 理 無 關(guān) 的 授 權(quán) 和 訪 問 控 制機(jī) 制 ����, 簡(jiǎn) 化 具 體 應(yīng) 用 系 統(tǒng) 的 開 發(fā) 與
32、維 護(hù) ����。 PMI是 一 個(gè) 屬 性 證 書 、 屬 性 權(quán) 威 結(jié) 構(gòu) ����、 屬 性 證 書 庫 等 部 件構(gòu) 成 的 綜 合 系 統(tǒng) , 用 來 實(shí) 現(xiàn) 權(quán) 限 和 證 書 的 產(chǎn) 生 ����、 管 理 、 存儲(chǔ) ����、 分 發(fā) 和 撤 銷 等 功 能 ����。 PMI使 用 屬 性 證 書 表 示 和 容 納 權(quán) 限 信 息 ����, 通 過 管 理 證 書 的生 命 周 期 實(shí) 現(xiàn) 對(duì) 權(quán) 限 生 命 周 期 的 管 理 。 授 權(quán) 管 理 基 礎(chǔ) 設(shè) 施 PMI 授 權(quán) 管 理 基 礎(chǔ) 設(shè) 施 PMI以 資 源 管 理 為 核 心 ����, 對(duì) 資 源 的 訪 問 控制 權(quán) 統(tǒng) 一 交 由 授 權(quán) 機(jī) 構(gòu) 統(tǒng) 一
33、 處 理 ����, 即 由 資 源 的 所 有 者 來 進(jìn) 行訪 問 控 制 。 同 PKI相 比 ����, 兩 者 主 要 區(qū) 別 在 于 : PKI證 明 用 戶 是 誰 ����, 而 PMI證 明 這 個(gè) 用 戶 有 什 么 權(quán) 限 , 能 干 什 么 ����, 而 且 PMI需 要 PKI為 其提 供 身 份 認(rèn) 證 ����。 PMI與 PKI在 結(jié) 構(gòu) 上 相 似 :信 任 的 基 礎(chǔ) 都 是 有 關(guān) 權(quán) 威 機(jī) 構(gòu) ����, 由他 們 決 定 建 立 身 份 認(rèn) 證 系 統(tǒng) 和 屬 性 特 權(quán) 機(jī) 構(gòu) 。 在 PKI中 ����, 由有 關(guān) 部 門 建 立 并 管 理 根 CA, 下 設(shè) 各 級(jí) CA����、 RA和 其 它 機(jī)
34、構(gòu) ����;在 PMI中 , 由 有 關(guān) 部 門 建 立 授 權(quán) 源 SOA����, 下 設(shè) 分 布 式 的AA(授 權(quán) 管 理 中 心 )和 其 它 機(jī) 構(gòu) 如 RM(資 源 管 理 中 心 ) 中 心 。 PMI實(shí) 際 提 出 了 一 個(gè) 新 的 信 息 保 護(hù) 基 礎(chǔ) 設(shè) 施 ����, 能 夠 與 PKI和目 錄 服 務(wù) 緊 密 地 集 成 ����, 并 系 統(tǒng) 地 建 立 起 對(duì) 認(rèn) 可 用 戶 的 特 定 授權(quán) ����, 對(duì) 權(quán) 限 管 理 進(jìn) 行 了 系 統(tǒng) 的 定 義 和 描 述 , 完 整 地 提 供 了 授權(quán) 服 務(wù) 所 需 過 程 ����。 授 權(quán) 管 理 基 礎(chǔ) 設(shè) 施 PMI特 點(diǎn) 授 權(quán) 服 務(wù) 體 系
35、 主 要 是 為 網(wǎng) 絡(luò) 空 間 提 供 用 戶 操 作 授 權(quán)的 管 理 ����, 即 在 虛 擬 網(wǎng) 絡(luò) 空 間 中 的 用 戶 角 色 與 最 終 應(yīng)用 系 統(tǒng) 中 用 戶 的 操 作 權(quán) 限 之 間 建 立 一 種 映 射 關(guān) 系 PMI技 術(shù) 通 過 數(shù) 字 證 書 機(jī) 制 ( 屬 性 證 書 , 提 供 對(duì) 用 戶身 份 的 鑒 別 功 能 ����, 不 包 含 用 戶 的 公 鑰 信 息 ) 來 管 理用 戶 的 授 權(quán) 信 息 。 授 權(quán) 操 作 與 業(yè) 務(wù) 操 作 相 分 離 , 并 將 授 權(quán) 管 理 功 能 從 應(yīng)用 系 統(tǒng) 中 分 離 出 來 ����, 以 獨(dú) 立 服 務(wù) 的 方 式 面
36����、 向 應(yīng) 用 系統(tǒng) 提 供 授 權(quán) 管 理 服 務(wù) ����, 因 此 授 權(quán) 管 理 模 塊 自 身 的 維護(hù) 和 更 新 操 作 與 具 體 的 應(yīng) 用 系 統(tǒng) 無 關(guān) ����, 可 以 在 不 改變 應(yīng) 用 系 統(tǒng) 的 前 提 下 完 成 對(duì) 授 權(quán) 模 型 的 轉(zhuǎn) 換 PMI體 系 結(jié) 構(gòu) 信 任 源 點(diǎn) (SOA中 心 )是 是整 個(gè) PMI的 最 終 信 任 源 和最 高 管 理 機(jī) 構(gòu) 。 AA中 心 的 職 責(zé) 主 要 包 括 :應(yīng) 用 授 權(quán) 受 理 ����、 屬 性 證 書的 發(fā) 放 和 管 理 , 以 及 資 源管 理 中 心 的 設(shè) 立 審 核 和 管理 等 資 源 管 理 中 心 RM����,
37、 是 與具 體 應(yīng) 用 用 戶 的 接 口 ����, 主要 是 負(fù) 責(zé) 對(duì) 具 體 的 用 戶 應(yīng)用 資 源 進(jìn) 行 授 權(quán) 審 核 , 并將 屬 性 證 書 的 操 作 請(qǐng) 求 提交 到 AA進(jìn) 行 處 理 ����。 授 權(quán) 和 屬 性 證 書 簽 發(fā) PMI使 用 屬 性 證 書 表 示 和 容 納 權(quán) 限 信 息 , 通 過 管 理 證 書 的生 命 周 期 實(shí) 現(xiàn) 對(duì) 權(quán) 限 生 命 周 期 的 管 理 。 基 于 PMI的 集 中 授權(quán) 系 統(tǒng) 采 用 基 于 屬 性 證 書 ( AC) 的 授 權(quán) 模 式 ����, 向 應(yīng) 用 系統(tǒng) 提 供 與 應(yīng) 用 相 關(guān) 的 授 權(quán) 服 務(wù) 管 理 , 提 供 用 戶 身 份 到 應(yīng) 用授 權(quán) 的 映 射 功 能 ����。 謝 謝 !
公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI
