16公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI

《16公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI》由會員分享，可在線閱讀，更多相關(guān)《16公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI（48頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)信息安全基礎(chǔ)網(wǎng)絡(luò)信息安全基礎(chǔ)5.3 公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管和授權(quán)管理基礎(chǔ)設(shè)施理基礎(chǔ)設(shè)施PMI公開密鑰基礎(chǔ)設(shè)施公開密鑰基礎(chǔ)設(shè)施PKI PKI（Public Key Infrastructure）是一個用公鑰）是一個用公鑰概念與技術(shù)來實施和提供安全服務(wù)的具有普適性概念與技術(shù)來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。的安全基礎(chǔ)設(shè)施。 PKI的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供網(wǎng)上身份認證、信息完整性和數(shù)字簽名服務(wù)。供網(wǎng)上身份認證、信息完整性和數(shù)字簽名服務(wù)。 PKI是一種是一種標準的密鑰管理平臺標準的密鑰管理平臺，它能夠為所有，它能夠

2、為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)據(jù)簽名等密碼網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)據(jù)簽名等密碼服務(wù)所必須的密鑰和證書管理。服務(wù)所必須的密鑰和證書管理。 PKI是生成、管理、存儲、分發(fā)和吊銷基于公鑰是生成、管理、存儲、分發(fā)和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、密碼學的公鑰證書所需要的硬件、軟件、人員、策略和規(guī)程的總和策略和規(guī)程的總和。PKI的主要功能的主要功能密鑰和證書的生成密鑰和證書的生成證書存儲證書存儲/ /目錄服務(wù)目錄服務(wù)密鑰備份和恢復(fù)密鑰備份和恢復(fù)支持不可抵賴服務(wù)支持不可抵賴服務(wù)證書廢止證書廢止證書發(fā)放證書發(fā)放交叉認證交叉認證時間戳時間戳 從功能上講，一個完整從功能上講，一

3、個完整的的PKI系統(tǒng)必須具備如下一些主要功能：系統(tǒng)必須具備如下一些主要功能：密鑰更新密鑰更新 PKI的構(gòu)成的構(gòu)成從總體上講，從總體上講，PKI由如下四個方面的部件構(gòu)成：由如下四個方面的部件構(gòu)成：PKI的應(yīng)用的應(yīng)用PKI策略策略軟硬件系統(tǒng)軟硬件系統(tǒng) PKI中的可信第三方中的可信第三方證書認證中心（證書認證中心（CA），），可以解決無邊界用戶的身份確定問題，提供了信可以解決無邊界用戶的身份確定問題，提供了信任的基礎(chǔ)。因此基于任的基礎(chǔ)。因此基于Internet的應(yīng)用需要的應(yīng)用需要PKI。 PKI作為一種支撐性基礎(chǔ)設(shè)施，其本身并不能直作為一種支撐性基礎(chǔ)設(shè)施，其本身并不能直接為用戶提供安全服務(wù)，但接為用

4、戶提供安全服務(wù)，但PKI是其他安全應(yīng)用是其他安全應(yīng)用的基礎(chǔ)。的基礎(chǔ)。PKI基本組成基本組成 PKI由以下幾個基本部分組成：由以下幾個基本部分組成： 證書庫證書庫 證書作廢處理系統(tǒng)證書作廢處理系統(tǒng) 認證機構(gòu)認證機構(gòu)（CA Certificate Authority) 注冊機構(gòu)注冊機構(gòu)（RA Registration Authority） 密鑰備份與恢復(fù)系統(tǒng)密鑰備份與恢復(fù)系統(tǒng) PKI應(yīng)用接口應(yīng)用接口PKI基本組成基本組成注冊機構(gòu)（注冊機構(gòu)（RA） 負責記錄和驗證部分或所有有關(guān)信息（特別是主負責記錄和驗證部分或所有有關(guān)信息（特別是主體的身份），這些信息用于體的身份），這些信息用于CA發(fā)行證書和發(fā)行證

5、書和CLR以以及證書管理中。及證書管理中。 認證機構(gòu)與其用戶或證書申請人間的交互是由被認證機構(gòu)與其用戶或證書申請人間的交互是由被稱為注冊機構(gòu)稱為注冊機構(gòu)(RA) 的中介機構(gòu)來管理；的中介機構(gòu)來管理； 注冊機構(gòu)本身并不發(fā)放證書，但注冊機構(gòu)可以確注冊機構(gòu)本身并不發(fā)放證書，但注冊機構(gòu)可以確認、批準或拒絕證書申請人認、批準或拒絕證書申請人，隨后由認證機構(gòu)給，隨后由認證機構(gòu)給經(jīng)過批準的申請人發(fā)放證書。經(jīng)過批準的申請人發(fā)放證書。PKI基本組成基本組成認證機構(gòu)（認證機構(gòu)（CA） 一個可信實體，發(fā)放和作廢公鑰證書，并對各作一個可信實體，發(fā)放和作廢公鑰證書，并對各作廢證書列表簽名。廢證書列表簽名。 CA是是PK

6、I系統(tǒng)的核心，包含以下功能：系統(tǒng)的核心，包含以下功能： 接受用戶的請求接受用戶的請求(由由RA負責對用戶的身份信息進行驗證負責對用戶的身份信息進行驗證) 用自己的私鑰簽發(fā)證書用自己的私鑰簽發(fā)證書 提供證書查詢提供證書查詢 接受證書注銷請求接受證書注銷請求 提供證書注銷表提供證書注銷表 證書材料信息的管理證書材料信息的管理PKI理論基礎(chǔ)理論基礎(chǔ) 密碼學密碼學( (略略) ) 目錄服務(wù)目錄服務(wù) 數(shù)字證書數(shù)字證書目錄服務(wù)目錄服務(wù) 目的是建立全局目的是建立全局/局部統(tǒng)一的命令方案，它從技術(shù)局部統(tǒng)一的命令方案，它從技術(shù)的角度定義了人的身份和網(wǎng)絡(luò)對象的關(guān)系；的角度定義了人的身份和網(wǎng)絡(luò)對象的關(guān)系； 目錄服務(wù)

7、是規(guī)范網(wǎng)絡(luò)行為和管理網(wǎng)絡(luò)的一種重要目錄服務(wù)是規(guī)范網(wǎng)絡(luò)行為和管理網(wǎng)絡(luò)的一種重要手段；手段； X.500時一套已經(jīng)被國際標準化組織（時一套已經(jīng)被國際標準化組織（ISO）接受）接受的目錄服務(wù)系統(tǒng)標準；的目錄服務(wù)系統(tǒng)標準； LDAP（輕量級目錄訪問協(xié)議）最早被看作是（輕量級目錄訪問協(xié)議）最早被看作是X.500目錄訪問協(xié)議中的那些易描述、易執(zhí)行的目錄訪問協(xié)議中的那些易描述、易執(zhí)行的功能子集功能子集X.500目錄服務(wù)目錄服務(wù) 一個完整的一個完整的X.500系統(tǒng)稱為一個系統(tǒng)稱為一個”目錄目錄” 。 X.500目錄服務(wù)是一個復(fù)雜的信息存儲機制目錄服務(wù)是一個復(fù)雜的信息存儲機制，包括，包括客戶機客戶機-目錄服務(wù)器

8、訪問協(xié)議、服務(wù)器目錄服務(wù)器訪問協(xié)議、服務(wù)器-服務(wù)器通信服務(wù)器通信協(xié)議、完全或部分的目錄數(shù)據(jù)復(fù)制、服務(wù)器鏈對協(xié)議、完全或部分的目錄數(shù)據(jù)復(fù)制、服務(wù)器鏈對查詢的響應(yīng)、復(fù)雜搜尋的過濾功能等查詢的響應(yīng)、復(fù)雜搜尋的過濾功能等. X.500目錄服務(wù)可以向需要目錄服務(wù)可以向需要訪問網(wǎng)絡(luò)任何地方資源訪問網(wǎng)絡(luò)任何地方資源的電子函件系統(tǒng)和應(yīng)用的電子函件系統(tǒng)和應(yīng)用，或需要知道在網(wǎng)絡(luò)上的，或需要知道在網(wǎng)絡(luò)上的實體名字和地點的管理系統(tǒng)實體名字和地點的管理系統(tǒng)提供信息提供信息。 LDAP的英文全稱是的英文全稱是Lightweight Directory Access Protocol，輕量級目錄訪問協(xié)議。輕量級目錄訪問協(xié)議

9、。它是基于它是基于X.500標準的，但標準的，但是簡單并且可以根據(jù)需要定制。與是簡單并且可以根據(jù)需要定制。與X.500不同，不同，LDAP支持支持TCP/IP，這對訪問，這對訪問Internet是必須的。是必須的。 LDAP不是數(shù)據(jù)庫而是用來訪問存儲在信息目錄不是數(shù)據(jù)庫而是用來訪問存儲在信息目錄（也就是（也就是LDAP目錄）目錄）中的信息的協(xié)議中的信息的協(xié)議。也就是說。也就是說“通過使用通過使用LDAP，可以在信息目錄的正確位置讀?。ɑ虼鎯Γ?shù)據(jù)可以在信息目錄的正確位置讀?。ɑ虼鎯Γ?shù)據(jù)”，LDAP主主要是優(yōu)化數(shù)據(jù)讀取的性能要是優(yōu)化數(shù)據(jù)讀取的性能。 LDAP協(xié)議是跨平臺的和標準的協(xié)議。協(xié)議是跨

10、平臺的和標準的協(xié)議。LDAP最大的優(yōu)勢是：最大的優(yōu)勢是：可以在任何計算機平臺上，用很容易獲得的而且數(shù)目不斷增可以在任何計算機平臺上，用很容易獲得的而且數(shù)目不斷增加的加的LDAP的客戶端程序訪問的客戶端程序訪問LDAP目錄。而且也很容易定制目錄。而且也很容易定制應(yīng)用程序為它加上應(yīng)用程序為它加上LDAP的支持。的支持。 PKI中使用中使用LDAP服務(wù)主要是用于服務(wù)主要是用于CA 證書庫、證書庫、CRL 庫庫(證書注證書注銷庫銷庫)的發(fā)布，應(yīng)用軟件可以通過訪問的發(fā)布，應(yīng)用軟件可以通過訪問LADP 來獲取公開證書來獲取公開證書和和CRLLDAP協(xié)議協(xié)議PKI中的證書中的證書 PKI適用于異構(gòu)環(huán)境中，所

11、以證書的格式在適用于異構(gòu)環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一所使用的范圍內(nèi)必須統(tǒng)一 證書是一個機構(gòu)頒發(fā)給一個安全個體的證證書是一個機構(gòu)頒發(fā)給一個安全個體的證明，所以證書的權(quán)威性取決于該機構(gòu)的權(quán)明，所以證書的權(quán)威性取決于該機構(gòu)的權(quán)威性威性 一個證書中，最重要的信息是個體名字、一個證書中，最重要的信息是個體名字、個體的公鑰、機構(gòu)的簽名、算法和用途個體的公鑰、機構(gòu)的簽名、算法和用途 最常用的證書格式為最常用的證書格式為X.509 v3PKI的構(gòu)建的構(gòu)建 自建模式自建模式(In-house Model)是指用戶購買整套的是指用戶購買整套的PKI軟件和所需的硬件設(shè)備，按照軟件和所需的硬件設(shè)備，

12、按照PKI的構(gòu)建要求的構(gòu)建要求自行建立起一套完整的服務(wù)體系。自行建立起一套完整的服務(wù)體系。 托管模式托管模式是指用戶利用現(xiàn)有的可信第三方是指用戶利用現(xiàn)有的可信第三方認證認證中心中心CA提供的提供的PKI服務(wù)，用戶只需配置并全權(quán)管服務(wù)，用戶只需配置并全權(quán)管理一套集成的理一套集成的PKI平臺即可建立起一套完整的服務(wù)平臺即可建立起一套完整的服務(wù)體系，對內(nèi)對外提供全部的體系，對內(nèi)對外提供全部的PKI服務(wù)。服務(wù)。與與PKI有關(guān)的標準情況有關(guān)的標準情況 Certificates X.509 v.3 交叉認證交叉認證 PKIX group in IETF(RFC 2459) 智能卡智能卡/硬件插件硬件插件

13、PKCS #11 PKCS系列系列 目錄服務(wù)目錄服務(wù)LDAP PKI信任模型信任模型 基于層次結(jié)構(gòu)的信任模型基于層次結(jié)構(gòu)的信任模型 交叉認證交叉認證 網(wǎng)狀信任模型網(wǎng)狀信任模型 混合結(jié)構(gòu)信任模型混合結(jié)構(gòu)信任模型 Web可信列表可信列表 以用戶為中心的信任模型以用戶為中心的信任模型CA信任關(guān)系信任關(guān)系 當一個安全個體看到另一個安全個體出示的證書當一個安全個體看到另一個安全個體出示的證書時，他是否信任此證書？時，他是否信任此證書？ 信任難以度量，總是與風險聯(lián)系在一起信任難以度量，總是與風險聯(lián)系在一起 可信可信CA 如果一個個體假設(shè)如果一個個體假設(shè)CA能夠建立并維持一個準確的能夠建立并維持一個準確的“

14、個個體體-公鑰屬性公鑰屬性”之間的綁定，則他可以信任該之間的綁定，則他可以信任該CA，該，該CA為為可信可信CACA層次結(jié)構(gòu)信任模型層次結(jié)構(gòu)信任模型對于一個運行對于一個運行CA的大型權(quán)威機構(gòu)而言，簽發(fā)證書的工作不能僅僅由的大型權(quán)威機構(gòu)而言，簽發(fā)證書的工作不能僅僅由一個一個CA來完成來完成,它可以建立一個它可以建立一個CA層次結(jié)構(gòu)層次結(jié)構(gòu)以各個域的集中控制為基礎(chǔ)，可以建立層次結(jié)構(gòu)的以各個域的集中控制為基礎(chǔ)，可以建立層次結(jié)構(gòu)的CA體系。體系。這種模型不適合缺少集中管理域的完全分布環(huán)境下的網(wǎng)絡(luò)應(yīng)用。這種模型不適合缺少集中管理域的完全分布環(huán)境下的網(wǎng)絡(luò)應(yīng)用。根根CA中間中間CACA層次結(jié)構(gòu)的建立層次結(jié)構(gòu)

15、的建立 根根CA具有一個自簽名的證書具有一個自簽名的證書 根根CA依次對它下面的依次對它下面的CA進行簽名進行簽名 層次結(jié)構(gòu)中葉子節(jié)點上的層次結(jié)構(gòu)中葉子節(jié)點上的CA用于對安全個體進行用于對安全個體進行簽名簽名 對于個體而言，它需要信任根對于個體而言，它需要信任根CA，中間的，中間的CA可可以不必關(guān)心以不必關(guān)心(透明的透明的)；同時它的證書是由底層的；同時它的證書是由底層的CA簽發(fā)的簽發(fā)的 在在CA的機構(gòu)中，要維護這棵樹的機構(gòu)中，要維護這棵樹 在每個節(jié)點在每個節(jié)點CA上，需要保存兩種上，需要保存兩種cert(1) Forward Certificates: 其他其他CA發(fā)給它的發(fā)給它的certs

16、(2) Reverse Certificates: 它發(fā)給其他它發(fā)給其他CA的的certs層次結(jié)構(gòu)層次結(jié)構(gòu)CA中證書的驗證中證書的驗證 假設(shè)個體假設(shè)個體A看到看到B的一個證書的一個證書 B的證書中含有簽發(fā)該證書的的證書中含有簽發(fā)該證書的CA的信息的信息 沿著層次樹往上找，可以構(gòu)成一條證書鏈，直到沿著層次樹往上找，可以構(gòu)成一條證書鏈，直到根證書根證書 驗證過程：驗證過程： 沿相反的方向，從根證書開始，依次往下驗證每一個沿相反的方向，從根證書開始，依次往下驗證每一個證書中的簽名。其中，根證書是自簽名的，用它自己證書中的簽名。其中，根證書是自簽名的，用它自己的公鑰進行驗證的公鑰進行驗證 一直到驗證一

17、直到驗證B的證書中的簽名的證書中的簽名 如果所有的簽名驗證都通過，則如果所有的簽名驗證都通過，則A可以確定所有的證書可以確定所有的證書都是正確的，如果他信任根都是正確的，如果他信任根CA，則他可以相信，則他可以相信B的證的證書和公鑰書和公鑰樹層次結(jié)構(gòu)樹層次結(jié)構(gòu)森林型結(jié)構(gòu)森林型結(jié)構(gòu)證書鏈的驗證示例證書鏈的驗證示例CA認證模型認證模型 如果用戶如果用戶 i和和j都屬于都屬于CA111，那么，那么i和和j之間的之間的密鑰交換，只需要持有密鑰交換，只需要持有CA111開具的證明書就可開具的證明書就可以，即：對用戶以，即：對用戶 i和和j的公鑰的公鑰PKi 和和PKj分別蓋章，分別蓋章，如如(Pki)c

18、a111, (Pkj)ca111,那么用戶那么用戶i和和j就能證明密鑰就能證明密鑰是對方的密鑰。是對方的密鑰。CA認證模型認證模型 如果用戶如果用戶j的證明書是的證明書是CA122開具的，那么情況開具的，那么情況就復(fù)雜了，各自具有：就復(fù)雜了，各自具有： i方：方：(Pki)ca111 , (CA111)CA11, (CA11)CA1 j方：方：(Pkj)ca122 , (CA122)CA12, (CA12)CA1 這就形成了層層證明的證明鏈（這就形成了層層證明的證明鏈（ certification chain）。這里，符號）。這里，符號(CA11)CA1是是CA1對對C11的的公鑰蓋章，只是證

19、明本公鑰是公鑰蓋章，只是證明本公鑰是C11的。的。 CA 證明鏈證明鏈CACA1CA2CA11CA12CA21CA22個人證書個人證書個人證書個人證書個人證書個人證書個人證書個人證書（PKI）CA11，（，（PKCA11）CA1，（，（PKCA1）CA（PKJ）CA21，（，（PKCA21）CA2，（，（PKCA2）CAij 交叉認證交叉認證 交叉認證是一種把以前無關(guān)的交叉認證是一種把以前無關(guān)的CA連接在一起的有連接在一起的有用機制，從而使得在它們各自主體群之間的安全通用機制，從而使得在它們各自主體群之間的安全通信成為可能。信成為可能。 兩個兩個CA安全地交換密鑰信息安全地交換密鑰信息,這樣每

20、個這樣每個CA都可以有都可以有效地驗證另一方密鑰的可信任性效地驗證另一方密鑰的可信任性,這個過程稱為交叉這個過程稱為交叉認證認證; 兩個不同的兩個不同的CA層次結(jié)構(gòu)之間可以建立信任關(guān)系層次結(jié)構(gòu)之間可以建立信任關(guān)系 單向交叉認證單向交叉認證 一個一個CA可以承認另一個可以承認另一個CA在一定名字空間范圍內(nèi)的所有被授權(quán)在一定名字空間范圍內(nèi)的所有被授權(quán)簽發(fā)的證書簽發(fā)的證書 雙向交叉認證雙向交叉認證交叉認證交叉認證交叉認證可以分為交叉認證可以分為域內(nèi)交叉認證：域內(nèi)交叉認證：如果兩個如果兩個CA屬于相同的域?qū)儆谙嗤挠蛴蜷g交叉認證：域間交叉認證：如果兩個如果兩個CA屬于不同的域?qū)儆诓煌挠?例如，當在一

21、家公例如，當在一家公司中的司中的CA認證了在另一家公司中的認證了在另一家公司中的CA) 。交叉認證的約束交叉認證的約束名字約束名字約束:一個一個CA信任另一個信任另一個CA在給定的一部分名字空間內(nèi)的在給定的一部分名字空間內(nèi)的以其為主體頒發(fā)的證書以其為主體頒發(fā)的證書路徑長度約束路徑長度約束: 限制可以出現(xiàn)在一個有效的證書路徑中的交叉認限制可以出現(xiàn)在一個有效的證書路徑中的交叉認證的數(shù)目證的數(shù)目策略約束策略約束: 提供一種方法來限制一個證書使用提供一種方法來限制一個證書使用,如使用如使用EMAIL,這這樣除樣除EMAIL以外的任意證書為非法以外的任意證書為非法例如假設(shè)例如假設(shè)A已經(jīng)被已經(jīng)被CA1認證

22、并持有可信的一份認證并持有可信的一份CA1的公鑰的公鑰,并且并且B已已經(jīng)被經(jīng)被CA2認證并持有可信的一份認證并持有可信的一份CA2的公鑰的公鑰,最初最初A只信任其證書由只信任其證書由CA1簽署的實體簽署的實體,因為他能夠驗證這些證書因為他能夠驗證這些證書(使用使用CA1的公鑰的公鑰),但不能但不能驗證驗證B的證書的證書,因為他沒有持可信的一份因為他沒有持可信的一份CA2的密鑰的密鑰,類似的在類似的在B身上身上發(fā)生發(fā)生,如果如果CA1和和CA2交叉認證后交叉認證后,雙方都獲得了對方的公鑰雙方都獲得了對方的公鑰,這樣這樣A的信任就能擴展到的信任就能擴展到CA2的主體群的主體群,如如B;交叉認證交叉

23、認證 不同的交叉認證信任模型不同的交叉認證信任模型 子層次型結(jié)構(gòu)子層次型結(jié)構(gòu) 網(wǎng)狀交叉認證結(jié)構(gòu)網(wǎng)狀交叉認證結(jié)構(gòu) 混合結(jié)構(gòu)混合結(jié)構(gòu) 橋認證結(jié)構(gòu)橋認證結(jié)構(gòu) 信任列表信任列表子層次型交叉認證信任模型子層次型交叉認證信任模型PKI中的中的CA關(guān)系控制了關(guān)系控制了PKI的可擴展性的可擴展性。:CA：最終用戶分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)模型 分布式信任結(jié)構(gòu)把信任分散在兩個或多個分布式信任結(jié)構(gòu)把信任分散在兩個或多個CA上，相上，相應(yīng)的應(yīng)的CA必須是整個必須是整個PKI系統(tǒng)的一個子集所構(gòu)成的嚴格系統(tǒng)的一個子集所構(gòu)成的嚴格層次結(jié)構(gòu)的根層次結(jié)構(gòu)的根CA。 如果這些嚴格層次結(jié)構(gòu)都是可信頒發(fā)者層次結(jié)構(gòu)，那如果這些

24、嚴格層次結(jié)構(gòu)都是可信頒發(fā)者層次結(jié)構(gòu)，那么該總體結(jié)構(gòu)被稱作么該總體結(jié)構(gòu)被稱作完全同位結(jié)構(gòu)完全同位結(jié)構(gòu)（fully peered architecture)。如果所有的嚴格層次結(jié)構(gòu)都是多層結(jié)。如果所有的嚴格層次結(jié)構(gòu)都是多層結(jié)構(gòu)（構(gòu)（multi-level hierarchy），那么最終的結(jié)構(gòu)就被），那么最終的結(jié)構(gòu)就被叫作叫作滿樹結(jié)構(gòu)滿樹結(jié)構(gòu)（fully treed architecture)。 一般來說，完全同位結(jié)構(gòu)部署在某個組織內(nèi)部，而滿一般來說，完全同位結(jié)構(gòu)部署在某個組織內(nèi)部，而滿樹結(jié)構(gòu)和混合結(jié)構(gòu)則是在原來相互獨立的樹結(jié)構(gòu)和混合結(jié)構(gòu)則是在原來相互獨立的PKI系統(tǒng)之系統(tǒng)之間進行互聯(lián)的結(jié)果。間進行

25、互聯(lián)的結(jié)果。網(wǎng)狀交叉認證信任模型網(wǎng)狀交叉認證信任模型 網(wǎng)狀型：相互獨立的網(wǎng)狀型：相互獨立的CA之間可以交叉認證，從之間可以交叉認證，從而形成而形成CA之間的信任關(guān)之間的信任關(guān)系網(wǎng)絡(luò)。系網(wǎng)絡(luò)。 網(wǎng)狀配置中，所有的網(wǎng)狀配置中，所有的CA之間都可以進行交叉認之間都可以進行交叉認證。證。靈活，便于建立特殊信任關(guān)系，也符合商貿(mào)中的雙邊信任關(guān)系靈活，便于建立特殊信任關(guān)系，也符合商貿(mào)中的雙邊信任關(guān)系任何任何PKI中，用戶至少要信任其證書頒發(fā)中，用戶至少要信任其證書頒發(fā)CA允許用戶頻繁通信的允許用戶頻繁通信的CA之間直接交叉認證，以降低認證路徑處之間直接交叉認證，以降低認證路徑處理量理量CA私鑰泄露引起的恢復(fù)

26、僅僅涉及到該私鑰泄露引起的恢復(fù)僅僅涉及到該CA的證書用戶的證書用戶混合結(jié)構(gòu)信任模型混合結(jié)構(gòu)信任模型 混合結(jié)構(gòu)中，局部仍可體現(xiàn)出層次型結(jié)構(gòu)?；旌辖Y(jié)構(gòu)中，局部仍可體現(xiàn)出層次型結(jié)構(gòu)。 不是所有的根不是所有的根CA之間都進行直接的交叉認證。之間都進行直接的交叉認證。Web模型模型 許多許多CA的公鑰被預(yù)裝在標準的瀏覽器。這些公鑰確定了一組的公鑰被預(yù)裝在標準的瀏覽器。這些公鑰確定了一組瀏覽器用戶最初信任的瀏覽器用戶最初信任的CA，這組根密鑰可以被用戶修改這組根密鑰可以被用戶修改。 類似于認證機構(gòu)的嚴格層次結(jié)構(gòu)模型，瀏覽器廠商起到了根類似于認證機構(gòu)的嚴格層次結(jié)構(gòu)模型，瀏覽器廠商起到了根CA的作用，而與被嵌

27、入的密鑰相對應(yīng)的的作用，而與被嵌入的密鑰相對應(yīng)的CA就是它所認證的就是它所認證的CA，這種認證并不通過頒發(fā)證書實現(xiàn)的，而是，這種認證并不通過頒發(fā)證書實現(xiàn)的，而是物理地把物理地把CA的的密鑰嵌入瀏覽器密鑰嵌入瀏覽器。 Web模型在方便性和簡單互操作方面有明顯的優(yōu)勢，但是也模型在方便性和簡單互操作方面有明顯的優(yōu)勢，但是也存在許多安全隱患。例如，因為瀏覽器的用戶自動地信任預(yù)存在許多安全隱患。例如，因為瀏覽器的用戶自動地信任預(yù)安裝的所有公鑰，所以即使這些根安裝的所有公鑰，所以即使這些根CA中有一個是中有一個是“壞的壞的”（例如該（例如該CA沒有認真核實被認證的實體），安全性將被完全沒有認真核實被認證的

28、實體），安全性將被完全破壞。破壞。 最后該模型還缺少有效的方法在最后該模型還缺少有效的方法在CA和用戶間建立合法協(xié)議，和用戶間建立合法協(xié)議，該協(xié)議的目的是使該協(xié)議的目的是使CA和用戶共同承擔責任。和用戶共同承擔責任。以用戶為中心的信任模型以用戶為中心的信任模型 對于每一個用戶而言，應(yīng)該建立各種信任關(guān)系，這對于每一個用戶而言，應(yīng)該建立各種信任關(guān)系，這種信任關(guān)系可以被擴展種信任關(guān)系可以被擴展 例子：用戶的瀏覽器配置例子：用戶的瀏覽器配置以用戶為中心的信任模型示例：以用戶為中心的信任模型示例：PGP例如，當例如，當Alice 收到一個據(jù)稱屬于收到一個據(jù)稱屬于Bob的證書時，她將發(fā)現(xiàn)這的證書時，她將發(fā)

29、現(xiàn)這個證書是由她不認識的個證書是由她不認識的David簽署的，但是簽署的，但是 David的證書是由的證書是由她認識并且信任的她認識并且信任的Catherine簽署的。在這種情況下，簽署的。在這種情況下，Alice可以決定信任可以決定信任Bob的密鑰，也可以決定不信任的密鑰，也可以決定不信任Bob的密鑰。的密鑰。 在著名的安全軟件程序在著名的安全軟件程序Pretty Good Privacy（PGP）中，）中，一個用戶通過擔當一個用戶通過擔當CA（簽署其他實體的公鑰證書）和使他（簽署其他實體的公鑰證書）和使他的公鑰被其他人所認證來建立（或參加）所謂的的公鑰被其他人所認證來建立（或參加）所謂的“

30、Web of Trust”。PKI應(yīng)用應(yīng)用 基本的應(yīng)用基本的應(yīng)用 文件保護文件保護 E-mail Web應(yīng)用應(yīng)用 其他其他 VPN SSL/TLS XML/e-business WAP PKI/CA應(yīng)用應(yīng)用 Web應(yīng)用應(yīng)用PKI/CA應(yīng)用應(yīng)用 電子交易電子交易 網(wǎng)上報稅需要解決的安全問題網(wǎng)上報稅需要解決的安全問題:通信安全、身通信安全、身份認證、業(yè)務(wù)安全份認證、業(yè)務(wù)安全 網(wǎng)上報稅安全解決方案網(wǎng)上報稅安全解決方案1. 最終用戶頒發(fā)數(shù)字證書的認證子系統(tǒng)，負責最終用戶頒發(fā)數(shù)字證書的認證子系統(tǒng)，負責認證系統(tǒng)的策略制定、認證系統(tǒng)的策略制定、RA注冊機關(guān)的建設(shè)、注冊機關(guān)的建設(shè)、接受證書申請、用戶身份的鑒證

31、、協(xié)助接受證書申請、用戶身份的鑒證、協(xié)助CA系系統(tǒng)發(fā)放客戶證書以及簽發(fā)證書的各種管理；統(tǒng)發(fā)放客戶證書以及簽發(fā)證書的各種管理；2. 整個應(yīng)用系統(tǒng)中使用證書保證信息傳輸以及整個應(yīng)用系統(tǒng)中使用證書保證信息傳輸以及業(yè)務(wù)流程的安全可信。業(yè)務(wù)流程的安全可信。PKI/CA應(yīng)用應(yīng)用電子稅務(wù)電子稅務(wù)授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施 PMI 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施PMI(Privilege Management Infrastructure)是國家信息安全基礎(chǔ)設(shè)施是國家信息安全基礎(chǔ)設(shè)施(National Information Security Infrastructure，NISI)的一個重要的一個重

32、要組成部分組成部分 目標是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù)，提供用戶身目標是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù)，提供用戶身份到應(yīng)用授權(quán)的映射功能，提供與實際應(yīng)用處理模式相對份到應(yīng)用授權(quán)的映射功能，提供與實際應(yīng)用處理模式相對應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機制，簡化具體應(yīng)用系統(tǒng)的開發(fā)與維護。機制，簡化具體應(yīng)用系統(tǒng)的開發(fā)與維護。 PMI是一個屬性證書、屬性權(quán)威結(jié)構(gòu)、屬性證書庫等部件是一個屬性證書、屬性權(quán)威結(jié)構(gòu)、屬性證書庫等部件構(gòu)成的綜合系統(tǒng)構(gòu)成的綜合系統(tǒng)，用來實現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存，用來實現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲、分發(fā)

33、和撤銷等功能。儲、分發(fā)和撤銷等功能。 PMI使用屬性證書表示和容納權(quán)限信息，通過管理證書的使用屬性證書表示和容納權(quán)限信息，通過管理證書的生命周期實現(xiàn)對權(quán)限生命周期的管理。生命周期實現(xiàn)對權(quán)限生命周期的管理。 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施 PMI 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施PMI以以資源管理為核心資源管理為核心，對資源的訪問控，對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機構(gòu)統(tǒng)一處理，即由資源的所有者來進行制權(quán)統(tǒng)一交由授權(quán)機構(gòu)統(tǒng)一處理，即由資源的所有者來進行訪問控制。訪問控制。 同同PKI相比，兩者主要區(qū)別在于：相比，兩者主要區(qū)別在于：PKI證明用戶是誰，而證明用戶是誰，而PMI證明這個用戶有什么權(quán)限

34、，能干什么，而且證明這個用戶有什么權(quán)限，能干什么，而且PMI需要需要PKI為其為其提供身份認證。提供身份認證。 PMI與與PKI在結(jié)構(gòu)上相似在結(jié)構(gòu)上相似:信任的基礎(chǔ)都是有關(guān)權(quán)威機構(gòu)，由信任的基礎(chǔ)都是有關(guān)權(quán)威機構(gòu)，由他們決定建立身份認證系統(tǒng)和屬性特權(quán)機構(gòu)。在他們決定建立身份認證系統(tǒng)和屬性特權(quán)機構(gòu)。在PKI中，由中，由有關(guān)部門建立并管理根有關(guān)部門建立并管理根CA，下設(shè)各級，下設(shè)各級CA、RA和其它機構(gòu)；和其它機構(gòu)；在在PMI中，由有關(guān)部門建立授權(quán)源中，由有關(guān)部門建立授權(quán)源SOA，下設(shè)分布式的，下設(shè)分布式的AA(授權(quán)管理中心授權(quán)管理中心)和其它機構(gòu)如和其它機構(gòu)如RM(資源管理中心）中心。資源管理中心

35、）中心。 PMI實際提出了一個新的信息保護基礎(chǔ)設(shè)施，能夠與實際提出了一個新的信息保護基礎(chǔ)設(shè)施，能夠與PKI和和目錄服務(wù)緊密地集成目錄服務(wù)緊密地集成，并系統(tǒng)地建立起對認可用戶的特定授，并系統(tǒng)地建立起對認可用戶的特定授權(quán)，對權(quán)限管理進行了系統(tǒng)的定義和描述，完整地提供了授權(quán)，對權(quán)限管理進行了系統(tǒng)的定義和描述，完整地提供了授權(quán)服務(wù)所需過程。權(quán)服務(wù)所需過程。 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施 PMI特點特點 授權(quán)服務(wù)體系主要是為網(wǎng)絡(luò)空間提供用戶操作授權(quán)授權(quán)服務(wù)體系主要是為網(wǎng)絡(luò)空間提供用戶操作授權(quán)的管理，即在虛擬網(wǎng)絡(luò)空間中的用戶的管理，即在虛擬網(wǎng)絡(luò)空間中的用戶角色角色與最終應(yīng)與最終應(yīng)用系統(tǒng)中用戶的用系統(tǒng)中

36、用戶的操作權(quán)限操作權(quán)限之間建立之間建立一種映射關(guān)系一種映射關(guān)系 PMI技術(shù)通過技術(shù)通過數(shù)字證書機制（屬性證書，提供對用戶數(shù)字證書機制（屬性證書，提供對用戶身份的鑒別功能，不包含用戶的公鑰信息身份的鑒別功能，不包含用戶的公鑰信息）來管理）來管理用戶的授權(quán)信息用戶的授權(quán)信息 。 授權(quán)操作與業(yè)務(wù)操作相分離授權(quán)操作與業(yè)務(wù)操作相分離 , 并將授權(quán)管理功能從應(yīng)并將授權(quán)管理功能從應(yīng)用系統(tǒng)中分離出來，以獨立服務(wù)的方式面向應(yīng)用系用系統(tǒng)中分離出來，以獨立服務(wù)的方式面向應(yīng)用系統(tǒng)提供授權(quán)管理服務(wù)，因此授權(quán)管理模塊自身的維統(tǒng)提供授權(quán)管理服務(wù)，因此授權(quán)管理模塊自身的維護和更新操作與具體的應(yīng)用系統(tǒng)無關(guān)，可以在不改護和更新操

37、作與具體的應(yīng)用系統(tǒng)無關(guān)，可以在不改變應(yīng)用系統(tǒng)的前提下完成對授權(quán)模型的轉(zhuǎn)換變應(yīng)用系統(tǒng)的前提下完成對授權(quán)模型的轉(zhuǎn)換 PMI體系結(jié)構(gòu)體系結(jié)構(gòu) 信任源點信任源點(SOA中心中心)是是是是整個整個PMI的最終信任源和的最終信任源和最高管理機構(gòu)。最高管理機構(gòu)。 AA中心的職責主要包括：中心的職責主要包括：應(yīng)用授權(quán)受理、屬性證書應(yīng)用授權(quán)受理、屬性證書的發(fā)放和管理，以及資源的發(fā)放和管理，以及資源管理中心的設(shè)立審核和管管理中心的設(shè)立審核和管理等理等 資源管理中心資源管理中心RM，是與，是與具體應(yīng)用用戶的接口具體應(yīng)用用戶的接口 ，主，主要是負責對具體的用戶應(yīng)要是負責對具體的用戶應(yīng)用資源進行授權(quán)審核，并用資源進行授權(quán)審核，并將屬性證書的操作請求提將屬性證書的操作請求提交到交到AA進行處理進行處理 。 授權(quán)和屬性證書簽發(fā)授權(quán)和屬性證書簽發(fā) PMI使用屬性證書表示和容納權(quán)限信息使用屬性證書表示和容納權(quán)限信息，通過管理證書的，通過管理證書的生命周期實現(xiàn)對權(quán)限生命周期的管理?；谏芷趯崿F(xiàn)對權(quán)限生命周期的管理?；赑MI的集中授的集中授權(quán)系統(tǒng)采用基于屬性證書（權(quán)系統(tǒng)采用基于屬性證書（AC）的授權(quán)模式，向應(yīng)用系）的授權(quán)模式，向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。授權(quán)的映射功能。 謝謝 謝謝 ！