论文部分内容阅读
摘要: 本文对公钥基础设施PKI、特权管理基础设施PMI技术的概念、体系结构及应用前景做了详细的分析。
关键词: PKI/PMI 密钥管理 技术区别 体系结构 应用前景
一、引言
随着Internet的迅猛发展,电子商务、电子政务、网上银行、网上证券等网上活动日益频繁,网络安全问题随之而来,需要构建一个安全的信息基础设施平台,为各类网上活动提供身份认证、访问授权、机密性、完整性、真实性、不可否认性等安全保证。PKI/PMI技术能很好地满足这一需求。
二、PKI/PMI概述
1.公钥基础设施PKI
PKI是Public Key Infrastructure的缩写,即公钥基础设施,是一种遵循既定标准,利用密码技术为网上安全通信提供一整套安全服务的密钥管理平台。如同电力、水利等其他基础设施一样,公钥基础设施能为各种不同安全需求的用户、提供各种不同的安全服务。简单来说,PKI就是利用公钥理论的技术建立的提供安全服务的基础设施。它能够为各类网络应用提供一个安全基础平台,是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体。
2.授权管理基础设施PMI
PMI是Privilege Management Infrastructure的缩写,即授权管理基础设施。它依赖于PKI的支持,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,简化具体应用系统的开发与维护。PMI是一个由属性证书、属性权威、属性证书库等部件构成的综合系统,通过对用户的认证和授权来实现权限和证书的产生、管理、存储、分发和撤销等功能,从而解决信息安全中重要的权限管理问题。
三、PKI/PMI技术区别及体系结构
1.PKI/PMI技术区别
PKI能够实现身份认证、访问控制、数据保密性、数据完整性、不可否认性等ISO7498-2定义的五大安全服务中的大部分功能,但在访问控制上存在一些不足,这主要是因为作为PKI基础的CA证书只是绑定了用户的身份。在有些情况下,单独的身份认证技术不能完全满足系统要求,如基于角色的访问控制。PMI是在PKI发展过程中被提出并逐渐从PKI中分离出来的一个新的概念。PMI能够系统地建立起对认可用户的授权。它利用属性证书,将用户的一组属性和其它信息通过认证机构的私钥进行数字签名,使其不能伪造。其签名和颁发的机构是属性管理机构(Attribute Authority,AA)。赋予属性证书的签名不是用于证明公钥/私钥和身份之间的关系,而是用于证明证书所有者拥有的特权。基于PMI的集中授权系统采用基于属性证书的授权模式,向应用提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能。PMI作为一个基础设施,能够系统地建立起对认可用户的授权,通过结合授权管理系统和身份认证系统弥补了PKI的弱点。
PMI与PKI结构非常相似。信任的基础都是有关权威机构,由它们决定建立身份认证系统和属性特权机构。在PKI中,由有关部门建立并管理根CA,下设各级CA、RA和其它机构;在PMI中,由有关部门建立授权源SOA,下设分布式的AA和其它机构。另外,PMI和PKI有很多相似的概念。如属性证书(AC)与公钥证书(PKC) ,公钥证书是对用户名称和他的公钥进行绑定,而属性证书是将用户名称与一个或更多的权限属性进行绑定;属性权威( AA )与认证权威(CA)。数字签名公钥证书的实体被称为CA,签名属性证书的实体被称为AA。
PMI与PKI的区别在于:PKI主要进行身份鉴别,证明用户身份,即"你是谁"。而PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即"你能做什么"。另外,PMI需要PKI为其提供身份认证。将PKI和PMI技术结合,实现可信的身份认证和可信授权管理是目前较为完善的安全保障措施。
2.PKI/PMI体系结构
PKI技术是一种新的网络安全技术,是一个集硬件、软件、人力资源、相关政策和操作规范为一体的综合系统,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成。一个完善的PKI具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口系统等组成部分。其中,认证机构CA是整个系统的核心。用户使用由证书授权认证中心(Certificate Authority,CA)签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性,并进行用户身份的识别。PKI的基础是加密技术,核心是证书服务。
PMI作为权限管理和授权服务的基础设施,可以为不同类型的应用提供授权管理和访问控制的平台支持。PMI在体系上可以分为三级,分别是信任源点SOA中心、属性权威机构AA中心和资源管理中心RM。
信任源点SOA是整个授权管理体系的中心业务节点,也是整个授权管理基础设施PMI的最终信任源和最高管理机构。SOA中心的职责主要包括:授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。
授权服务中心AA是PMI的核心服务节点,是对应于具体应用系统的授权管理分系统,由具有设立AA中心业务需求的各应用单位负责建设,并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括:应用授权受理,属性证书的发放和管理,以及AA代理点的设立审核和管理等。
资源管理中心RM是PMI的用户代理节点,是与具体应用用户的接口,是对应AA中心的附属机构,接受AA中心的直接管理,由各AA中心负责建设,报经主管的SOA中心同意,并签发相应的证书。资源管理中心RM的职责主要包括应用授权服务代理和应用授权审核代理等,负责对具体的用户应用资源进行授权审核,并将属性证书的操作请求提交到授权服务中心进行处理。
另外,用户应用系统中具体对授权验证服务的调用模块也是授权管理体系的重要组成部分。
四、应用前景
在电子商务领域以电子交易和电子支付为主导的行业应用,在电子政务领域以网络文档和网络办公为主导的政务应用,还有诸如在远程教育领域以学历管理和凭证确认为主导的应用,在网络媒体领域以内容交换和内容保护为主导的应用,在网上娱乐领域以会员参与和有偿服务为主体的应用,在远程医疗领域以医疗文档和会诊确认为主导的应用,在协同设计领域以成果交换和交互设计为主导的应用,以及WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易等,都离不开应用PKI/PMI技术构建的网络信任体系。政府部门需要PKI/PMI支持电子政务管理,商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI/PMI的技术和解决方案,大企业需要建立自己的PKI平台,小企业需要社会提供的商业性PKI服务。使用PKI/PMI技术应做到以应用需求为基础,以是优化业务流程为保障,务求实效。
五、小结
随着Internet应用的不断普及和深入,PKI/PMI为用户建立起一个安全的网络运行环境,为各类网上活动提供身份认证、访问控制、数据保密性、数据完整性及不可否认性等系统安全保障。随着PKI/PMI技术的应用和发展,它的市场应用前景非常广阔。
参考文献:
[1]李逢天.网络运营中的网络安全问题及解决思路.电信技术,2003-1-9.
[2]胡道元,闵京华.网络安全.清华大学出版社,2004-01-01.
[3]田跃欣.PKI技术与电子商务安全问题的研究[J].福建电脑,2007年06期.
[4]蔡东蛟.网络信任体系和PKI/PMI应用[J].信息技术,2007年09期.
关键词: PKI/PMI 密钥管理 技术区别 体系结构 应用前景
一、引言
随着Internet的迅猛发展,电子商务、电子政务、网上银行、网上证券等网上活动日益频繁,网络安全问题随之而来,需要构建一个安全的信息基础设施平台,为各类网上活动提供身份认证、访问授权、机密性、完整性、真实性、不可否认性等安全保证。PKI/PMI技术能很好地满足这一需求。
二、PKI/PMI概述
1.公钥基础设施PKI
PKI是Public Key Infrastructure的缩写,即公钥基础设施,是一种遵循既定标准,利用密码技术为网上安全通信提供一整套安全服务的密钥管理平台。如同电力、水利等其他基础设施一样,公钥基础设施能为各种不同安全需求的用户、提供各种不同的安全服务。简单来说,PKI就是利用公钥理论的技术建立的提供安全服务的基础设施。它能够为各类网络应用提供一个安全基础平台,是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体。
2.授权管理基础设施PMI
PMI是Privilege Management Infrastructure的缩写,即授权管理基础设施。它依赖于PKI的支持,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,简化具体应用系统的开发与维护。PMI是一个由属性证书、属性权威、属性证书库等部件构成的综合系统,通过对用户的认证和授权来实现权限和证书的产生、管理、存储、分发和撤销等功能,从而解决信息安全中重要的权限管理问题。
三、PKI/PMI技术区别及体系结构
1.PKI/PMI技术区别
PKI能够实现身份认证、访问控制、数据保密性、数据完整性、不可否认性等ISO7498-2定义的五大安全服务中的大部分功能,但在访问控制上存在一些不足,这主要是因为作为PKI基础的CA证书只是绑定了用户的身份。在有些情况下,单独的身份认证技术不能完全满足系统要求,如基于角色的访问控制。PMI是在PKI发展过程中被提出并逐渐从PKI中分离出来的一个新的概念。PMI能够系统地建立起对认可用户的授权。它利用属性证书,将用户的一组属性和其它信息通过认证机构的私钥进行数字签名,使其不能伪造。其签名和颁发的机构是属性管理机构(Attribute Authority,AA)。赋予属性证书的签名不是用于证明公钥/私钥和身份之间的关系,而是用于证明证书所有者拥有的特权。基于PMI的集中授权系统采用基于属性证书的授权模式,向应用提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能。PMI作为一个基础设施,能够系统地建立起对认可用户的授权,通过结合授权管理系统和身份认证系统弥补了PKI的弱点。
PMI与PKI结构非常相似。信任的基础都是有关权威机构,由它们决定建立身份认证系统和属性特权机构。在PKI中,由有关部门建立并管理根CA,下设各级CA、RA和其它机构;在PMI中,由有关部门建立授权源SOA,下设分布式的AA和其它机构。另外,PMI和PKI有很多相似的概念。如属性证书(AC)与公钥证书(PKC) ,公钥证书是对用户名称和他的公钥进行绑定,而属性证书是将用户名称与一个或更多的权限属性进行绑定;属性权威( AA )与认证权威(CA)。数字签名公钥证书的实体被称为CA,签名属性证书的实体被称为AA。
PMI与PKI的区别在于:PKI主要进行身份鉴别,证明用户身份,即"你是谁"。而PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即"你能做什么"。另外,PMI需要PKI为其提供身份认证。将PKI和PMI技术结合,实现可信的身份认证和可信授权管理是目前较为完善的安全保障措施。
2.PKI/PMI体系结构
PKI技术是一种新的网络安全技术,是一个集硬件、软件、人力资源、相关政策和操作规范为一体的综合系统,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成。一个完善的PKI具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口系统等组成部分。其中,认证机构CA是整个系统的核心。用户使用由证书授权认证中心(Certificate Authority,CA)签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性,并进行用户身份的识别。PKI的基础是加密技术,核心是证书服务。
PMI作为权限管理和授权服务的基础设施,可以为不同类型的应用提供授权管理和访问控制的平台支持。PMI在体系上可以分为三级,分别是信任源点SOA中心、属性权威机构AA中心和资源管理中心RM。
信任源点SOA是整个授权管理体系的中心业务节点,也是整个授权管理基础设施PMI的最终信任源和最高管理机构。SOA中心的职责主要包括:授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。
授权服务中心AA是PMI的核心服务节点,是对应于具体应用系统的授权管理分系统,由具有设立AA中心业务需求的各应用单位负责建设,并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括:应用授权受理,属性证书的发放和管理,以及AA代理点的设立审核和管理等。
资源管理中心RM是PMI的用户代理节点,是与具体应用用户的接口,是对应AA中心的附属机构,接受AA中心的直接管理,由各AA中心负责建设,报经主管的SOA中心同意,并签发相应的证书。资源管理中心RM的职责主要包括应用授权服务代理和应用授权审核代理等,负责对具体的用户应用资源进行授权审核,并将属性证书的操作请求提交到授权服务中心进行处理。
另外,用户应用系统中具体对授权验证服务的调用模块也是授权管理体系的重要组成部分。
四、应用前景
在电子商务领域以电子交易和电子支付为主导的行业应用,在电子政务领域以网络文档和网络办公为主导的政务应用,还有诸如在远程教育领域以学历管理和凭证确认为主导的应用,在网络媒体领域以内容交换和内容保护为主导的应用,在网上娱乐领域以会员参与和有偿服务为主体的应用,在远程医疗领域以医疗文档和会诊确认为主导的应用,在协同设计领域以成果交换和交互设计为主导的应用,以及WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易等,都离不开应用PKI/PMI技术构建的网络信任体系。政府部门需要PKI/PMI支持电子政务管理,商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI/PMI的技术和解决方案,大企业需要建立自己的PKI平台,小企业需要社会提供的商业性PKI服务。使用PKI/PMI技术应做到以应用需求为基础,以是优化业务流程为保障,务求实效。
五、小结
随着Internet应用的不断普及和深入,PKI/PMI为用户建立起一个安全的网络运行环境,为各类网上活动提供身份认证、访问控制、数据保密性、数据完整性及不可否认性等系统安全保障。随着PKI/PMI技术的应用和发展,它的市场应用前景非常广阔。
参考文献:
[1]李逢天.网络运营中的网络安全问题及解决思路.电信技术,2003-1-9.
[2]胡道元,闵京华.网络安全.清华大学出版社,2004-01-01.
[3]田跃欣.PKI技术与电子商务安全问题的研究[J].福建电脑,2007年06期.
[4]蔡东蛟.网络信任体系和PKI/PMI应用[J].信息技术,2007年09期.