返回
pki∕pmi技术及应用ppt

pki∕pmi技术及应用ppt

ID:36326096

大小:3.92 MB

页数:49页

时间:2019-05-09

pki∕pmi技术及应用ppt_第1页
pki∕pmi技术及应用ppt_第2页
pki∕pmi技术及应用ppt_第3页
pki∕pmi技术及应用ppt_第4页
pki∕pmi技术及应用ppt_第5页
资源描述:

《pki∕pmi技术及应用ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第3章PKI/PMI技术及应用PKI(PublicKeyInfrastructure,公钥基础设施)证明用户是谁,而PMI(PrivilegeManagementInfrastructure,授权管理基础设施)证明这个用户有什么权限,能干什么,而且PMI需要PKI为其提供身份认证。3.1PKI概述3.1.1PKI的概念公钥基础设施(PKI)是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。PKI能为各种不同安全需求的用户提供各种不同的网上安全服务所需要的密钥和证书,这些安全服务主要包括身份识别与鉴别(认证)、数据保密性、数据完整性、不可否认性及时间戳服

2、务等,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI的技术基础之一是公开密钥体制。PKI的技术基础之二是加密机制。从技术上讲,PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和不可抵赖等安全问题,为网络应用提供可靠的安全保障。3.1.2PKI与网络安全如果要在计算机网络中创建一个与传统纸上交易等效的环境,还需要一套公钥基础设施的支持,具体要求如下:(1)安全策略,以规定加密系统在何种规则下运行;(2)产生、存储、管理密钥的产品;(3)如何产生、分发、使用密钥和证书的一整套过程。PKI提供了一个安全框架,使各类构件

3、、应用、策略组合起来为网络环境中的相关活动提供以下的安全功能:·保密性。保证信息的私有性。·完整性。保证信息没有被篡改。·真实性。证明一个人或一个应用的身份。·不可否认性。保证信息不能被否认。PKI机制的主要思想是通过公钥证书对某些行为进行授权,其目标是可以根据管理者的安全策略建立起一个分布式的安全体系。PKI的核心是要解决网络环境中的信任问题,确定网络环境中行为主体(包括个人和组织)身份的唯一性、真实性和合法性,保护行为主体合法的安全利益。3.1.3PKI的组成一个典型的PKI组成如图3-1所示,其中包括PKI策略、软硬件系统、认证机构CA、注册机构RA、证书发布系统和PKI应用

4、等。图3-1PKI的组成示意图1.PKI安全策略PKI安全策略包括:·CA的创建和运作方式。·证书的申请、发行、接收和废除方式。·密钥的产生、申请、存储和使用方式。2.认证机构(CA)认证机构(CertificateAuthority,CA)也称为“认证中心”,它是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。3.注册机构(RA)注册机构(RegisteredAuthority,RA)提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。RA主要完成收集用户信息和确认用户

5、身份的功能。4.证书发布系统证书发布系统负责证书的发放。目前一般要求证书发布系统可以Web方式与Internet用户交互,用于处理在线证书业务,方便用户对证书进行申请、下载、查询、注销、恢复等操作。5.PKI应用PKI的应用非常广泛,包括在Web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等。同时,随着以Internet为主的计算机网络的发展,新的PKI的应用也在不断出现和发展。一个简单的PKI系统包括CA、RA和相应的PKI存储库。CA用于签发并管理证书;RA可作为CA的一部分,也可以独立,其功能包括个人身份审

6、核、CRL管理、密钥产生和密钥对备份等;PKI存储库包括LDAP(LightDirectoryAccessProtocol,轻型目录访问协议)目录服务器和普通数据库,用于对用户申请信息、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。3.2认证机构(CA)PKI系统的关键是如何实现对密钥的安全管理。公开密钥机制涉及公钥和私钥,私钥由用户自己保存,而公钥在一定范围内是公开的,需要通过网络来传输。所以,公开密钥体制的密钥管理主要是对公钥的管理,目前较好的解决方法是采用大家共同信任的认证机构(CA)。3.2.1CA的概念认证机构(CA)是整个网上电子交易等安全活动的关

7、键环节,主要负责产生、分配并管理所有参与网上安全活动的实体所需的数字证书。在公开密钥体制中,数字证书是一种存储和管理密钥的文件。CA是一个具有权威性、可信赖性和公正的第三方信任机构,专门解决公开密钥机制中公钥的合法性问题。CA的主要职能包括:·制订并发布本地CA策略。但本地CA策略只能是对上级CA策略的的补充,而不能违背。·对下属各成员进行身份认证和鉴别。·发布本CA的证书,或代替上级CA发布证书。·产生和管理下属成员证书。·证实RA的证书申请,向RA返回证书制作的确

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。