PKI和PMI认证技术
PKI技术介绍
PKI技术介绍PKI技术介绍一、PKI的概念公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心’是电子商务安全实施的基本保障,因此,对PKI技术的研究和开发成为目前信息安全领域的热点。
从字面上理解,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI 技术是信息安全技术的核心,也是电子商务的关键和基础技86由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理的接触,因而使得用电子方式验证信任关系变得至关重要。
而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。
通常,一个实用的PKI体系应该是安全的、易用的、灵活的和经济的,它必须充分考虑互操作性和可扩展性。
一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI的内部运作机制。
在一个典型、完整和有效的PKI系统中,除证书的创建和发布,特别是证书的撤销,一个可用的PKI产品还必须提供相应的密钥管理服务,包括密钥的备份、恢复和更新等。
没有一个好的密钥管理系统,将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。
在一个企业中,PKI系统必须有能力为一个用户管理多对密钥和证书,能够提供安全策略编辑和管理工具,如密钥周期和密钥用途等。
二、PKI的主要功能PKI的功能包括很多方面,主要有签发数字证书、作废证书、签发与发布证书作废表、存储与检索证书和证书作废表、密钥生成、密钥备份和恢复、密钥作废与更新、密钥归档等,以及最近增加的一些功能,知时戳、基于策略的证书校验等。
1注册管理注册管理主要完成收集用户信息、确认用户身份的功能。
这里指的用户是指将要向认证中心(即CA)申请数字证书的客户,它可以是个人,也可以是集团、企业等机构。
一般说来,注册管理都是由一个独立的注册机构(即RA)来承担的。
PKI体系
PKI体系公钥基础设施PKI技术与应用发展公钥基础设施PKI技术与应用发展一、概述PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。
简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。
公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。
这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。
PKI似乎可以解决绝大多数网络安全问题,并初步形成了一套完整的解决方案,它是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务的具有普适性的安全基础设施。
该体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。
作为一种技术体系,PKI 可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。
但PKI绝不仅仅涉及到技术层面的问题,还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。
PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和,是一个宏观体系,其本身就体现了强大的国家实力。
PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。
公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。
PKI是20世纪80年代由美国学者提出来了的概念,实际上,授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。
PKI、PMI技术研究
户 的公 钥 和身 份 。 ( )注 册 中 心 RA ( g se Au h rt 注 册 中 心 2 Re it r t o iy) RA 是 PKI 选 择 的 组 成 部 分 。 使 用 独 立 的 RA 时 , 它 是 可
关 键词 PI M K I属性 证书 E A P BC
随 着 公 钥 ( b i k y pu lc e )技 术 的 产 生 和 发 展 , 以提 供 认 证 、完整性 和保密 性服 务为核 心 的公钥基 础设 施 ( KI P , P bi y I fatu tr ) 已 成 为 在 异 构 环 境 中 为 分 布 式 u l Ke n rsr cu e c
证不可否认性 。
1 K 基本概念 、P I
P KI ( u l Ke I fatu t r )公 钥 基 础 设 施 ,它 P bi c y n rsr cu e 是在 公 开 密 钥 的理 论 和 技 术 基 础 上 发 展 起 来 的 一 种 综 合 安 全 平 台 。 它 能 够 为 所 有 网 络 应 用透 明 地 提 供 加 密 和数 字 签 名等 密 码 服 务 所 必 需 的 密 钥 和证 书 管 理 ,从 而 达 到 保 证 网 上 传 递
用 户可 由此 获 得 所 需 的其 他 用 户 的证 书 及 公 钥 。
、
P I 术 K技
( )时 间戳 ( i tmp 时 间 戳 技 术 是 证 明 电 子 文 4 T me S a ) 档 在 某 一 特 定 时 间 创 建 或 签 署 的 一 系 列 技 术 。 时 间戳 主 要 应 用 于 以下 两 个 方 面 :建 立 文 档 的 存 在 时 间 ,例 如 签 署 的 合 同 或 是 实 验 笔 记 ,与 专 利 权 相 关 ;延 长 数 字 签 名 的 生 命 期 ,保
8-第4章-PKI和PMI认证技术
在PKI技术框架中,许多方面都经过严格的定义,如用户的注册流程、数字证书的格式、CRL的格式、证书的申请格式以及数字签名格式等。几个重要的协议国际电信联盟ITU X.509协议;PKCS(Public Key Cryptography Standard)系列标准;PKIX(Public Key Infrastructure for X.509)系列标准;
第四章
PKI和PMI认证技术
do
something
什么是PKI(1/3)
PKI(Public Key Infrastructure, 公钥基础设施)是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施,PKI技术采用证书管理公钥,通过第三方的可信任机构——认证中心(Certificate Authority, CA)——把用户的公钥和用户的标识信息捆绑在一起,在Internet上验证用户的身份,提供安全可靠的信息处理。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
4.2.1 系统的功能(3/3)
(6) 证书认证在进行网上交易双方的身份认证时,交易双方互相提供自己的证书和数字签名,由CA来对证书进行有效性和真实性的认证。在实际中,一个CA很难得到所有用户的信任并接受它所发行的所有公钥用户的证书,而且这个CA也很难对有关的所有潜在注册用户有足够全面的了解,这就需要多个CA。在多个CA系统中,令由特定CA发放证书的所有用户组成一个域。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信,需要解决跨域的公钥安全认证和递送。建立一个可信任的证书链或证书通路。高层CA称做根CA,它向低层CA发放公钥证书。
PKI与PMI技术在医院信息系统中的应用
权 限管理基础 设施 是网络中的属性认 证技术。属性证书将用户ID与用户属性绑定在一起作为用户 的 “工作证 ”。属性证 书的签发 、撤销和维护则是 由用户属性 中心 (AA)负责。PMI的实施必须以PKI的实施为基础 ,实现 了跨应用、跨 系统 、跨企
★通讯作者 :武汉大学中南医院信 息中心,430072,湖北省武汉市武 昌区东湖路169号 ①武汉 大学中南医院信息 中心,430072,湖北省武汉市武昌 区东湖路 169号
P KI与P M I手支术在匠 院信 息系统 中的应用
刘 光 磊① 肖辉
摘 要 为 了 解 决 医 院 信 息 系 统 中 的安 全 访 问 控 制 问题 ,在 分 析 TPKI,PMI和 基 于 角 色 访 问控 制 的基 础 上 , 提 出 了一 个 基 于PKI与PMI的访 问控制在 医院信息系统 的应用方案 ,并对其具体实施进行 分析与设计 ,描述 了使 用PKI与PMI实 现医院信息 系 统 安 全 访 问控 制 的基 本 过 程 。提 出 的方 案 可 以很 好 地 适 应 医 院现 有 的 管 理 模 式 , 具 有 一 定 的 先 进 性 和 实 用 性 。 关键词 医院信 息系统 访 问控制 公钥基础设施 权 限管理基础 设施 Doi:10.3969/j.issn.1673—7571.2018.03.033 【中图分类号】R197.3;TP309 [5C献 标识 码1 A
Application ofPKI and PM I in H ospital Inform ation System / LIU G uang—lei,X IAO H ui//C hina D igital M edicine一 .
2018 13(3):99
PKI/PMI技术在电子商务系统中的应用研究
1引言 .
二十 一 世纪 , 全 球信 息 化大 势 所驱 的影 响下 , 国 的 电子商 务 不 断的 在 各 改 进和 完 善 , 电子商 务 成 为各 个 国家 和各 大 公 司争 夺 的焦 点 , 电子 商务 的信 息 安全 问 题 也 日益突 出, 也 影 响着 电子商 务 的 发展 。 要解 决 的 主要 问 并且 需
P I K 一一公 钥基 础 设 施 , 用 数 字 证 书标 识 密钥 持 有 人 的 身份 , 过 1利 通 对密 钥 的规 范化 管 理 , 组织 机 构 建立 和 维护 一 个 可信 赖 的系 统环 境 , 明 为 透
地为应用系统提供身份认证、 数据保密性、 完整性和不可否认性等各种必要 的安 全 保 障 , 足各 种 应 用 系 统的 安 全 需 求 。 满
立 通 用 的 安 全 模 型 。 该 模 型 使 用 身 份 证 书 和 属 性 证 书 , 并 且 基 于 角 色授 权 , 采 用 策 略 文 件 对 安 全 进 行 控 制 , 具 有 灵 活 性 和 可 扩 展 性 ,
能够 满足 为 所 有 电 子 商 务 系统 和 访 问 者 解 决 身份 认 证 、 访 问权 限 控 制 、 消 息传 输 安 全 等 问题 的 要 求 。 【 关键 词 】电子商 务 P 】 P I B C K M R A
控 制 , 用 角色 间接地 分 配权 限 而 不是直 接 将 权 限置 于属 性 证书 中 , 色 的 利 角
权限更新时, 不需要撤销每个属性证 书, 极大地简化属性证书管理。
基于PKI/PMI系统的数据库安全技术设计
【 K e y w o r d s】 P K I ; P M I ; d a t a b a s e ; s e c u r i y t
l 引言
数 据 库 是 系 统 运 行 的 核 心 成 员 ,在 某 种 程 度 上 , 数 据库 安全 的重 要性 要凌驾 与操 作系统 之上 。 针 对 数 据 库 系统 所 进 行 的 任 何 篡 改 、 破 坏 等 一 切 破 坏 数 据 库 运 行 服
L i u Ho n g - q i a n g
( T e c h n i c a l D i v i s i o n o f S u r v e y i n ga n dM a p p i n g S h a n x i X i ' a n 7 1 0 0 5 4 )
【 A b s t r a c t】 T h i s p a p e r g i v e a d e t a i l a n a l y s i s t h e c u r r e n t d a t a b a s e s e c u r i t y t e c h n o l o g y , a n d r e s e a r c h i n g t h e t e c h n o l o g y o f t h e P K I p u b l i c k e y a n d P M I
法 的技 术 以及 实现原 理 . 最 终 目标 是 为 用 户 提 供 安 全 的
8 第4章 PKI和PMI认证技术
PKI系统的组成(2/3)
注册机构(RA,Registration Authority):
RA的用途是接受个人申请,核查其中信息并颁发证 书。然而,在许多情况下,把证书的分发与签名过程 分开是很有好处的。因为签名过程需要使用CA的签 名私钥(私钥只有在离线状态下才能安全使用),但 分发的过程要求在线进行。所以,PKI一般使用注册 机构(RA)去实现整个过程。
列标准;
国际电信联盟ITU X.509协议
国际电信联盟ITU X.509协议: PKI技术体系中应用最为广泛、也是最为基础的
一个国际标准。
它主要目的在于定义一个规范的数字证书格式, 以便为基于X.500协议的目录服务提供一种强认证手 段。但该标准并非要定义一个完整的、可互操作的 PKI认证体系。在X.509规范中,一个用户有两把密 钥:一把是用户的专用密钥,另一把是其他用户都 可利用的公共密钥。为进行身份认证,X.509标准及 公共密钥加密系统提供了数字签名方案。
CRL格式
Version number Signature Issuer
This Update Next Update User Certificate Date of serial numger revocation Revocation reason
User Certificate Date of serial numger revocation
PMI即是特权管理基础设施,PMI授权技术 主要解决有效授权问题。
第四章 PKI和PMI认证技术
4.1 数字证书 4.2 PKI系统 4.3 常用信任模型 4.4 基于PKI的服务 4.5 PKI与PMI的关系
浅析利用PKI/PMI系统强化消防部队网络安全工作
浅析利用PKI/PMI系统强化消防部队网络安全工作摘要随着消防部队计算机网络应用的进一步深入,网络安全管理问题日显突出。
本文简单阐述了PKI/PMI的基本概念和消防部队网络应用中存在的主要问题及原因,并浅析了利用PKI/PMI系统强化消防部队网络安全管理工作的解决对策。
关键词消防部队;网络管理;PKI/PMI随着信息技术的迅猛发展,计算机网络的应用已渗透到社会生活的各个层面,消防部队管理、119接处警、灭火救援指挥、作战辅助资料管理以及办公自动化等越来越依赖于计算机网络。
由于计算机网络本身所具有的开放性、共享性和脆弱性特点,消防部队计算机网络安全问题也日益突出,这些安全问题将有可能直接导致病毒传播、非法入侵、信息泄漏甚至平台崩溃。
因此,注重分析信息化建设中消防部队计算机网络存在的安全问题,使之更好地服务于当前的消防工作,也是公安消防部队信息化建设中亟待解决的重要课题。
1PKI/PMI的概念公钥基础设施PKI(Public Key Infrastructure)是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务具有普遍性的安全基础设施。
PKI的核心是解决信息网络空间中的信任问题,确定信息网络、信息空间中各种经济、军事、和管理行为行为主体(包括组织和个人)身份的唯一性、真实性和合法性。
是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。
管理PKI的机构即为CA中心。
特权管理基础设施PMI(Privilege Management Infrastructure)即权限管理基础设施或授权管理基础设施,是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
建立在PKI 基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。
3.2PMI技术
基于角色的访问控制(Role-Based Access Control, RBAC)技术可以减少授权管理的复杂度,降低管理开销, 提高访问控制的安全性,而且能够实现基于策略的授权管 理和访问控制。
以资源分配管理为主的PMI系统,其授权管理是基于 角色的。与传统的访问控制机制相比,在PMI系统中的基 于角色的授权管理模式主要存在以下三个方面的优势:
可以将PMI和PKI绑定在一起,也可以让PMI与PKI在 物理上分开。
PMI和PKI有很多相似的概念。
《计算机网络安全技术》
《计算机网络安全技术》
3.4.2 PMI的组成
PMI与PKI不同,PKI主要进行身份鉴别,证明用户身 份。而PMI主要进行授权管理,证明用户有什么权限。 PMI主要由属性权威(Attribute Authority,AA)、属性证 书(Attribute Certification,AC)和属性证书库3部分组成。 1. 属性权威(AA)
其中,自主访问控制(DAC)也叫作基于身份的访 问控制,其主要思想是系统的主体可以自主地将其拥有的 对客体的访问权限授予其他主体,且这种授予具有可传递 性。而强制访问控制(MAC)也叫基于规则的访问控制, 其主要思想是将主体和客体分级,根据主体和客体的级别 标识来决定访问控制。特点是便于管理,但灵活性差,完 整性方面控制不够。
PKI (Public Key Infrastructure,公钥基础设施)证明 用户是谁,而PMI(Privilege Management Infrastructure, 授权管理基础设施)证明这个用户有什么权限,能干什么, 而且PMI需要PKI为其提供身份认证。
《计算机网络安全技术》
3.4.1 PMI的概念
信息安全概论期末复习题
信息安全概论期末复习第一章:概述1、信息技术简单来说就是3C,那么3C是computer/计算机、communication/通信、control/控制2、信息安全属性中信息安全三原则(或三要素):完整性、机密性、可用性3、从整个网络信息处理角度来看,信息涉及哪几部分环节:信息处理的系统、通过网络线路(有线、无线)进行信息传输的路径第二章:信息保密技术1、密码学是研究编制密码和破译密码的。
2、早期密码学被称为古典密码/传统密码。
3、现代密码学里常用的有分组密码、公钥密码、流密码。
4、密码学是一门综合性的交叉学科。
(对)5、密码学的发展依次分为:古典、私钥、公钥三个阶段。
6、密码体制的基本要素有:密码算法、密钥两个。
7、密码算法分为两种:加密算法、解密算法。
8、如果X表示明文,K表示对称加密密钥,Y表示加密后的密文,那么加密公示可以写为:Y=Ek(X)。
如果密文为EK(X),那么得到的明文的解密公式为:X=Dk(Ek(X))。
说明:E代表加密,D代表解密。
9、密码学其他术语有:密码员、加密算法、解密算法、发送者、接收者、加解密密钥、截收者、密码分析、密码分析者、密码编码学、密码分析学、被动攻击、主动攻击。
10、分组密码的特点是:用固定长度的密钥对分组为等长长度的明文段进行加密。
11、现代密码学中,最早最著名的分组加密算法简称是:DESDES算法入口参数,除了密钥、明文之外,还有模式\mode参数,用于区分加密还是解密。
DES算法入口参数的初始密钥的位数是64位。
DES算法需要把明文分组,每个分组64位。
DES算法实际有效密钥位数为56位。
DES算法对每个明文分组的第一步处理要经过按换位表进行初始换位/初始换位的处理。
DES算法对明文分组进行处理的轮数是16轮。
DES算法每轮参与对明文分组进行处理的字密钥是48位。
12、根据密钥特点对密码体制进行分类为:对称/单钥/私钥、非对称/双钥/公钥两种密钥体制。
PKI/PMI联合认证和授权在联网审计系统中的应用
第 2 卷第 3 8 期
V0 _ 8 No 3 2 0 l2 . 0 7
青 岛 理 工 大 学 学 报
J u n l f n d oTe h ob ia Unv ri o r a g a c n lgc l iest o Qi y
知识 产权 发展 , 具有 重 大意 义和 作用 . 然而 , 由于联 网审计 所基 于 的 电子政 务 网络平 台口 本身存 在 着管 理 和技术 上 的脆弱 性 , 容易 受 到各 种 攻击 , 成政 府财 政预 算 、 造 决策信 息 、 系 国计 民生 的基 础 数 据 等 机密 信息 的泄 漏 、 坏 甚 至 被 恶 意 的 篡 关 破
联 合 认 证 和授 权 子 系 统 , 障 审计 业 务 信 息 的 安 全 性 十 分 必 要 . 者 设 计 了 联 网 审 计 系统 的 P / 保 笔 KI
P 的联合身 份认证 和权限验证子 系统 , MI 实现对 联 网审计 系统 用户 的身份认 证 和权 限验 证 , 是联
网 审计 安 全 体 系 的重 要 组 成 部 分 . 要 介 绍 了联 网审 计 P / MI 合 认 证 授 权 系 统 的功 能 和 结 主 KIP 联
构 , 出 了该 系统 的 实 现 过 程 及 其 在 审 计 数 据 安 全 传 输 中 的应 用 . 给 关 键 词 : 开 密 钥 基 础设 施 ; 权 管 理 基 础设 施 ; 网审 计 公 特 联
中 图 分 类 号 : 3 3 0 TP 9 . 8 文 献标 志 码 : A 文 章 编 号 :6 3 40 (0 7O — 0 9一 O 1 7- 6 2 2 0 ) 3 O 5 6
证 书 P ( u 1 e et i t) KC P bi K yC ric e 的公 钥基 础设 施 P I P bi Ke n rsr cu e c fa K ( u 1 yI fatu t r)与基 于 属性 证 书 AC c
PKI(PMI)
PKI 技术PKI(Public Key Infrastructure)。
是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务具有普遍性的安全基础设施。
该体系在统一的安全认证标准和规范基础上提供了在线身份认证,是CA认证、数字证书、数字签名以及相关的安全应用组件的集合。
PKI的核心是解决信息网络空间中的信任问题,确定信息网络、信息空间中各种经济、军事、和管理行为行为主体(包括组织和个人)身份的唯一性、真实性和合法性。
是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。
管理PKI的机构即为CA中心。
公钥基础设施(PKI)、特权管理基础设施(PMI)PKI/PMI作为“信任体系”建设的一种实用性探索,适应大时空、流动授权、跨域共享;可提供身份认证、授权管理、责任认定;可以初步构建其“信任体系”(见27号文);在一些领域内颇有吸引力。
但在使用中,要重视:应用需求是基础、业务流程优化是保障、以及务求实效是关键的原则。
作为一个安全基础设施的全功能的PKI由一系列组件和服务构成:1. 证书机构2. 证书库3. 证书撤消4. 密钥备份和恢复5. 自动密钥更新6. 密钥文档管理7. 交差认证8. 支持不可否认9. 时间戳10. 客户端软件而我们利用PKI技术能提供给您的是:数字的保密性- 加密数据的完整性- 数字签名身份鉴别- 数字签名和证书不可否认性- 数字签名和证书什么是数字证书?数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。
它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。
一个标准的X.509数字证书包含以下一些内容:证书的版本信息;证书的序列号,每个证书都有一个唯一的证书序列号;证书所使用的签名算法;证书的发行机构名称,命名规则一般采用X.500格式;证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;证书所有人的名称,命名规则一般采用X.500格式;证书所有人的公开密钥;证书发行者对证书的签名。
PMI的研究与发展
PMI(Privilege Manage Infrastructure)的研究与发展1.背景身份认证目前广泛采用PKI技术(Public Key Infrastructure,公开密钥基础设施)。
PKI 技术采用证书管理公钥,通过第三方的可信任机构,认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail,身份证号等)捆绑在一起,从而验证用户的身份信息。
然而身份信息通常是稳固的,不易变的。
这些信息包括用户个人信息等。
而用户权限信息则是经常变化的,随着其职务变换,或者工作职责的变换都会发生改变。
更为广泛的,一个人可能兼具多种角色,拥有多个权限,例如在一间公司里是董事,在另一间公司又是监事,要把这么多权限放到一个证书里很不现实,而且由于权限可能存在互斥或者彼此不能同时出现(基于商业逻辑),用户可能不得不拥有很多身份证书,这就违背了用户与证书在身份上的一一对应的逻辑。
原因在于PKI系统中身份和权限不分离的格局。
上述情况中用户的身份并没有变化,变化的是用户的权限。
换句话说,如果把信任服务和授权服务分开来看,那么我们只需要更改授权服务中用户的权限就可以了,用户的身份信息可以保持不变。
这种身份确认和特权管理之间的差异决定了对信任和授权服务应该区别对待。
因此在2000年,IETF与ITU共同努力在X.509协议第四版中将授权管理,也就是PMI 从PKI中分离出来,作为一个单独的框架。
2.PMI概况授权管理基础设施PMI是国家信息安全基础设施(National Information Security Infrastructure,NISI)的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到权限的映射功能,提供与实际处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。
授权管理基础设施PMI是一个由属性证书AC(Attribute Certificate),属性权威AA (Attribute Authority),属性证书库等部件构成的综合系统,用来实现属性证书的产生、管理、存储、分发和撤销等功能。
PMI(授权基础设施)
授权管理基础设施(Privilege Management Infrastructure)又称为属性特权机构,在ANSI,ITU X.509和IETE PKIX中都有定义,它依赖于公共密钥基础设施PKI(Public Key Infrastructure)的支持,任务旨在提供访问控制和特权管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统和管理无关的访问控制机制,并能极大地简化应用中访问控制和权限管理系统的开发与维护。
国际电联电信委员会(ITU-T)2001年发表的X.509的第四版首次将权限管理基础设施(PMI)的证书完全标准化。
X.509的早期版本侧重于公钥基础设施(PKI)的证书标准化。
PMI授权技术的基本思想是以资源管理为核心,将对资源的访问控制权统一交由授权机构去管理,即由资源的所有者来进行访问控制管理。
与PKI信任相比,两者的区别主要在于PKI证明用户是谁,并将用户的身份信息保存在用户的公钥证书中;而PMI则证明这个用户有什么权限,什么属性,能干什么,并将用户的属性信息保存在属性证书(又称管理证书)中。
PMI系统主要分为授权管理中心(又称AA中心)和资源管理中心(又称RM中心)两部分。
授权服务平台是授权管理中心的主要设备,是实现PMI授权技术的核心部件,主要为用户颁发AC授权证书。
X.509的授权系统图如下:PMI使用了属性证书(Attribute Certificate),属性证书是一种轻量级的数字证书,这种数字证书不包含公钥信息,只包含证书所有人ID、发行证书ID、签名算法、有效期、属性等信息。
一般的属性证书的有效期均比较短,这样可以避免公钥证书在处理CRL时的问题。
如果属性证书的有效期很短,到了有效期的日期,证书将会自动失效,从而避免了公钥证书在撤消时的种种弊端。
属性一般由属性类别和属性值组成,也可以是多个属性类别和属性值的组合。
这种证书利用属性来定义每个证书持有者的权限、角色等信息。
网络信息安全技术概论第三版答案
网络信息安全技术概论第三版答案第一章概论1、谈谈你对信息的理解.答:信息是事物运动的状态和状态变化的方式。
2、什么是信息技术?答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。
本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。
也有人认为信息技术简单地说就是3C:Computer+Communication+Control。
3、信息安全的基本属性主要表现在哪几个方面?答:(1)完整性(Integrity)(2)保密性(Confidentiality)(3)可用性(Availability)(4)不可否认性(Non-repudiation)(5)可控性(Controllability)4、信息安全的威胁主要有哪些?答:(1)信息泄露(2)破坏信息的完整性(3)拒绝服务(4)非法使用(非授权访问)(5)窃听(6)业务流分析(7)假冒(8)旁路控制(9)授权侵犯(10)特洛伊木马(11)陷阱门(12)抵赖(13)重放(14)计算机病毒(15)人员不慎(16)媒体废弃(17)物理侵入(18)窃取(19)业务欺骗等5、怎样实现信息安全?答:信息安全主要通过以下三个方面:A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等;B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。
大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。
安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。
C 信息安全相关的法律。
法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。
信息安全技术 2(3)
第一代PKI标准
l 第一代PKI标准 l 主要包括RSA公司的公钥加密标准PKIS系列、 国际电信联盟ITU-T X.509 、IETF组织的公钥基 础设施X.509标准系列、无线应、用协议WAP 论坛的无线公钥基础设施WPKI。 l 特点:标准主要基于抽象语法符号ASN.1编码 的,实现比较困难,影响标,准的推广。
l 基于PKI技术的IPSec协议现在已经成为架构VPN的基础,它 可以为路由器之间、防火墙之间或者路由器和防火墙之间提 供经过加密和认证的通信。虽然它的实。现会复杂一些,但, 其安全性比其他协议都完善得多。由于IPSec是IP层上的协 议, 因此很容易在全世界范围内形成一种规范,具有非常好,的 的通用性,而且IPSec本身就支持面向未来的IC卡、硬盘或软盘等介 质上
PKI系统_数字证书库
l 数字证书库
l 用于存储已经签发的数字证书及公钥,用户可以 以由此获得所需的其他用户的证书及公钥。
l 构造证书的方法 l 采用支持LDAP协议(轻量级目录访问协议) 的目录系统,用户或相关的应用通过LDAP来 访问证书库。
PKI标准
l PKI标准 l 建立互操作性的基础 l PKI标准化的两个方面 l RSA公司的公钥加密标准PKCS l 由Internet工程任务组IETF和PKI工作组所定 义的一组具有互操作性的公钥基础设施协议 PKIX l 在今后很长一段时间内, PKCS和PKIX将会 共存,大部分,PKI产品将会对这两种标准进行支 支持
PMI知识点
l PMI简介 l PMI技术优势
PMI简介
l PMI简介 l 授权管理基础设施 (Privilege ManagementInfrastructure,PMI)
l 是一个属性证书(AC, Authority Certification) 、 属性权威(AA, Attribute Authority)、属性证书 库等部件构成的综合系统,用来实现权限和证 证书的产生、 管理、存储、 分发和撤消等功能。
统一用户管理的基本原理及其详细介绍
统一用户管理的基本原理及其详细介绍一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。
当用户需要使用多个应用系统时就会带来用户信息同步问题。
用户信息同步会增加系统的复杂性,增加管理的成本。
例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。
如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。
用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。
解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。
UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。
UUMS应具备以下基本功能:1.用户信息规范命名、统一存储,用户ID全局惟一。
用户ID犹如身份证,区分和标识了不同的个体。
2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。
3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。
4.应用系统保留用户管理功能,如用户分组、用户授权等功能。
5.UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
统一用户认证是以UUMS为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。
统一用户认证应支持以下几种认证方式:1. 匿名认证方式: 用户不需要任何认证,可以匿名的方式登录系统。
2. 用户名/密码认证: 这是最基本的认证方式。
3. PKI/CA数字证书认证: 通过数字证书的方式认证用户的身份。
4. IP地址认证: 用户只能从指定的IP地址或者IP地址段访问系统。
5. 时间段认证: 用户只能在某个指定的时间段访问系统。
07875信息安全工程-6页
《信息安全概论》复习纲要第1章:1、一般意义上的信息定义为:信息是事物运动的状态和状态变化的方式。
2、信息最基本的特征:信息来源于物质,又不是物质本身;信息来源于精神世界;信息与能量息息相关;信息是具体的并可以被人(生物、机器等)所感知、提取、识别,可以被传递、储存、变换、处理、显示、检索、复制和共享。
3、信息的性质:普遍性、无限性、相对性、传递性、变换性、有序性、动态性、转化性。
4、信息的基本功能在于维持和强化世界的有序性。
信息的社会功能表现在维系社会的生存,促进人类文明的进步和人类自身的发展。
5、信息技术(IT)是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法和设备的总称。
简单地说,就是3C(计算机、通信和控制)。
第2章:信息保密技术1、密码学中常见的两种体制(1)对称密码体制(单钥密码体制)。
加密密钥和解密密钥相同或者可相互推导。
(2)非对称密码体制(公钥密码体制)。
指一个加密系统的加密密钥和解密密钥不同,不能相互推导。
其中一个称为公钥用于加密,是公开的,另一个称为私钥用于解密,是保密的。
其算法核心是运用单向陷门函数。
2、分组加密技术属于对称密码体制范畴。
分组密码是指将处理的明文按照固定长度进行分组,加、解密的处理在固定长度密钥的控制下,以一个分组为单位独立进行,得出一个固定长度的对应于明文分组的结果。
3、在分组密码的设计中,用代替和置换手段实现扩散和混淆功能。
混淆是指加密算法的密文与明文及密钥关系十分复杂,无法从数学上描述,或从统计上分析。
扩散是指明文中的任一位以及密钥中的任一位,对全体密文有影响,经由此扩散作用,可以隐藏明文在统计上的许多特性,从而增加密文的安全。
4、分组密码算法不仅易于构造伪随机数生成器、流密码、消息认证码和杂凑函数,还可以成为消息认证技术、数据完整性机制、实体认证协议以及单钥签名体制的核心组成部分,因此被广泛应用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
证书持有者X500名称:必选项,证书拥有者的可识别名称,命名规 则也采用X.500格式。
证书持有者公钥:主体的公钥和它的算法标识符,这一项是必选的。 证书颁发者唯一标识号:这是一个可选域。它含有颁发者的唯一标
识符。 证书持有者唯一标识号:证书拥有者的唯一标识符,也是可选项。 证书扩展部份:证书扩展部份是V3版本在RFC2459中定义的。可供
This Update Next Update
User Certificate Date
Revocation reason
User Certificate Date of serial numger revocation
Revocation reason CRL extensions
证书目录: 用户可以把证书存放在共享目录中,而不需要在本地硬盘 里保存证书。因为证书具有自我核实功能,所以这些目录 不一定需要时刻被验证。万一目录被破坏,通过使用CA 的证书链功能,证书还能恢复其有效性。
本书的 封面
PKI系统的组成(3/3)
管理协议:
该协议用于管理证书的注册、生效、发布和撤销。PKI管 理协议包括:证书管理协议(PKIX CMP,Certificate Management Protocol); 信息格式,如证书管理信息 格式(CMMF,Certificate Management Message Format); PKCS#10。
选择的标准和扩展包括证书颁发者的密钥标识、证书持有者密钥标 识符、公钥用途、CRL发布点、证书策略、证书持有者别名、证书 颁发者别名和主体目录属性等。
本书的 封面
4.1.2 证书撤销列表
在CA系统中,由于密钥泄密、从属变 更、证书终止使用以及CA本身私钥泄密等 原因,需要对原来签发的证书进行撤销。
本书的 封面
PKI系统的组成(1/3)
一个典型、完整、有效的PKI应用系统至少包括以下部份: 认证机构(CA,Certificate Authority):
证书的签发机构,它是PKI的核心,是PKI应用中权威的、 可信任的、公正的第三方机构。认证机构是一个实体,它 有权利签发并撤销证书,对证书的真实性负责。在整个系 统中,CA由比它高一级的CA控制。 根CA(Root CA): 信任是任何认证系统的关键。因此,CA自己也要被另一 些CA认证。每一个PKI都有一个单独的、可信任的根,从 根处可取得所有认证证明。
X.509定义了证书的基本撤销方法:由 CA周期性的发布一个CRL(Certificate Revocation List),即证书撤销列表,里面 列出了所有未到期却被撤销的证书,终端 实体通过LDAP的方式下载查询CRL。
本书的 封面
CRL格式
Version number Signature Issuer
(5) 证书状态的在线查询 通常CRL签发为一日一次,CRL的状态同当前证书状态有一定的滞后,证书 状态的在线查询向OCSP(Online Certificate Status Protocol)服务器发送 OCSP查询包,包含有待验证证书的序列号,验证时戳。OCSP服务器返回证 书的当前状态并对返回结果加以签名。在线证书状态查询比CRL更具有时效 性。
本书的 封面
4.1.1 X.509数字证书
基本概念 证书证明了实体所声明的身份和其公钥绑定关系
的一种电子文档,是将公钥和确定属于它的某些 信息(比如该密钥对持有者的姓名、电子邮件或 者密钥对的有效期等信息)相绑定的数字申明。 数字证书由CA认证机构颁发。认证中心所颁发的 数字证书均遵循X.509 V3标准。数字证书的格式 在ITU标准和X.509 V3(RFC 2459)里定义。X.509 证书的结构如图4.1.1所示,其中证书和基本信息 采用X.500的可辨别名DN来标记,它是一个复合 域,通过一个子组件来定义。
本书的 封面
什么是PKI(2/3)
PKI所提供的安全服务以一种对用户完 全透明的方式完成所有与安全相关的工作, 极大地简化了终端用户使用设备和应用程 序的方式,而且简化了设备和应用程序的 管理工作,保证了他们遵循同样的安全策 略。PKI技术可以让人们随时随地方便地同 任何人秘密通信。PKI技术是开放、快速变 化的社会信息交换的必然要求,是电子商 务、电子政务及远程教育正常开展的基础。
本书的 封面
PKI系统的组成(2/3)
注册机构(RA,Registration Authority): RA的用途是接受个人申请,核查其中信息并颁发证书。 然而,在许多情况下,把证书的分发与签名过程分开是很 有好处的。因为签名过程需要使用CA的签名私钥(私钥 只有在离线状态下才能安全使用),但分发的过程要求在 线进行。所以,PKI一般使用注册机构(RA)去实现整个 过程。
X.509证书包含内容
版本号:该域定义了证书的版本号,这将最终影响证书中 包含的信息的类型和格式,目前版本4已颁布,但在实际 使用过程版本3还是占据主流。
序列号:序列号是赋予证书的唯一整数值。它用于将本证 书与同一CA颁发的其他证书区别开来。
签名算法标识:该域中含有CA签发证书所使用的数字签 名算法的算法标识符,如SHA1WithRSA。有CA的签名, 便可保证证书拥有者身份的真实性,而且CA也不能否认 其签名。
对个人安全环境的访问。
本书的 封面
4.2.3 PKI相关标准
在PKI技术框架中,许多方面都经过严格的定义,如 用户的注册流程、数字证书的格式、CRL的格式、 证书的申请格式以及数字签名格式等。
几个重要的协议
国际电信联盟ITU X.509协议; PKCS(Public Key Cryptography Standard)系列标
操作协议:
操作协议允许用户找回并修改证书,对目录或其他用户 的证书撤销列表CRL 进行修改。在大多数情况下,操作 协议与现有协议(如FTP、HTTP、LDAP和邮件协议等) 共同工作。
个人安全环境:
在这个环境下,用户个人的私人信息(如私钥或协议使
用的缓存)被妥善保存和保护。一个实体的私钥对于所
有公钥而言是保密的。为了保护私钥,客户软件要限制
第四章 PKI和PMI认证技术
本书的 封面
第四章 PKI和PMI认证技术
4.1 数字证书 4.2 PKI系统 4.3 常用信任模型 4.4 基于PKI的服务 4.5 PKI与PMI的关系
本书的 封面
4.1 数字证书
本节提示: 4.1.1 X.509数字证书 4.1.2 证书撤销列表
本书的 封面
什么是PKI(1/3)
PKI(Public Key Infrastructure, 公钥基础设 施)是一个采用非对称密码算法原理和技术来实 现并提供安全服务的、具有通用性的安全基础设 施,PKI技术采用证书管理公钥,通过第三方的可 信任机构——认证中心(Certificate Authority, CA)——把用户的公钥和用户的标识信息捆绑在 一起,在Internet上验证用户的身份,提供安全可 靠的信息处理。目前,通用的办法是采用建立在 PKI基础之上的数字证书,通过把要传输的数字信 息进行加密和签名,保证信息传输的机密性、真 实性、完整性和不可否认性,从而保证信息的安 全传输。
本书的 封面
4.2.2 系统的组成
PKI公钥基础设施是提供公钥加密和数字签名服务的 系统或平台,目的是为了管理密钥和证书。一 个机构通过采用PKI框架管理密钥和证书可以建 立一个安全的网络环境。
PKI主要包括四个部份:
X.509格式的证书和证书撤销列表CRL; CA/RA操作协议; CA管理协议; CA政策制定。
本书的 封面
什么是PKI(3/3)
PKI技术是公开密钥密码学完整的、标 准化的、成熟的工程框架。它基于并且不 断吸收公开密钥密码学丰硕的研究成果, 按照软件工程的方法,采用成熟的各种算 法和协议,遵循国际标准和RFC文档,如 PKCS、SSL、X.509、LDAP,完整地提供 网络和信息系统安全的解决方案。
本书的 封面
4.2 PKI系统
本节提示 4.2.1系统的功能 4.2.2系统的组成 4.2.3 PKI相关标准
本书的 封面
4.2.1 系统的功能(1/3)
一个完整的PKI系统对于数字证书的操 作通常包括证书颁发、证书更新、证书废 除、证书和CRL的公布、证书状态的在线 查询、证书认证等 。
本书的 封面
4.2.1 系统的功能(2/3)
(1) 证书颁发 申请者在CA的注册机构(RA)进行注册,申请证书。CA对申请者进 行审核,审核通过则生成证书,颁发给申请者。
(2) 证书更新 证书的更新包括证书的更换和证书的延期两种情况。 证书的更换实际上是重新颁发证书,因此证书的更换的过程和证书的 申请流程基本情况一致。 证书的延期只是将证书有效期延长,其签名和加密信息的公私密钥没 有改变。
(3) 证书废除 证书持有者可以向CA申请废除证书。CA通过认证核实,即可履行废 除证书职责,通知有关组织和个人,并写入黑名单CRL(Certificate Revocation List)。有些人(如证书持有者的上级或老板)也可申请 废除证书持有者的证书。
本书的 封面
4.2.1 系统的功能(3/3)
(4) 证书和CRL的公布 CA通过LDAP(Lightweight Directory Acess Protocol)服务器维护用户证书 和黑名单(CRL)。它向用户提供目录浏览服务,负责将新签发的证书或废 除的证书加入到LDAP服务器上。这样用户通过访问LDAP服务器就能够得到 他人的数字证书或能够访问黑名单。