網絡安全技術第三章——PKI/PMI技術及應用

爲了方便大家觀看，我每章都不會很長，因爲太長了容易看不下去，我本人耐性就比較差，對那些太長的文章就感覺不是很能看下去，學到的知識也很有限，所以我寫的話很長的文章我會盡量避免一下。

一、PKI技術

1.概念

公鑰基礎設施( PKI )是利用密碼學中的公鑰概念和加密技術爲網上通信提供的符合標準的一整套安全基礎平臺。
基礎機制：

1. 公開密鑰機制
2. 加密機制
   PKI作用：
   PKI可以作爲支持認證、完整性、機密性不可否認性的技術基礎
   解決網上身份認證、信息完整性、不可抵賴等安全問題

2.PKI機制

主要思想：通過公鑰證書對某些行爲進行授權。
目標:可以根據管理者的安全策略建立起-一個分佈式的安全體系。
PKI機制;
核心:要解決網絡環境中的信任問題。確定網絡環境中行爲主體(包括個人和組織)身份的唯一性、真實性和合法性，保護行爲主體合法的安全利益。

3.PKI組成

**PK|系統的關鍵：**如何實現對密鑰的安全管理

公開密鑰機制涉及公鑰私鑰，私鑰由用戶自己保存，公鑰在一定範圍內是公開的。
公開密鑰體制的密鑰管理主要是對公鑰的管理,目前較好的解決方法是採用大家共同信任的認證機構( CA )。

4.認證機構(CA)

CA的概念
認證機構( CA)是整個網上電子交易等安全活動的關鍵環節，主要負責產生、分配並管理所有參與網上安全活動的實體所需的數字證書。
在公開密鑰體制中，數字證書是一種存儲和管理密鑰的文件。
CA具有權威性、可依賴性、公正。

CA的主要職能：

1. 制訂併發布本地CA策略。但本地CA策略只能是對上級CA策略的的補充，而不能違背。
2. 對下屬各成員進行身份認證和鑑別。
3. 發佈本CA的證書，或代替上級CA發佈證書。
4. 產生和管理下屬成員證書。
5. 證實RA的證書申請，向RA返回證書製作的確認信息，或返回已製作好的證書。
6. 接收和認證對它所簽發的證書的撤銷申請。
7. 產生和發佈它所簽發的證書和CRL,
8. 保存證書信息、CRL信息、審計信息和它所制訂的策略。
   CA的組成：

證書及管理：
PKI採用證書管理公鑰。通過第三方的可信任機構CA把用戶的公鑰和用戶的其他標識信息捆綁在一起，在Internet或Intranet上驗證用戶的身份。數字證書的營理方式在PKI系統中起着關鍵作用。

5.數字證書

數字證書概念：
也稱爲數字標識( Digital Certificate，或Digital ID)。
它提供了一種在Internet等公共網絡中進行身份驗證的方式，是用來標識和證明網絡通信雙方身份的數字信息文件。
跟日常生活中的身份證差不多。.
證書的概念：數字證書由一個權威的證書認證機構(CA)發行

比較專業的數字證書定義：
數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。
**最簡單的證書組成：**公開密鑰、名稱、證書授權中心的數字簽名
**一般來說：**證書裏面還會有密鑰的有效時間、發證機關名稱、證書的序列號等信息。
**數字證書格式：**X.509、WTLS ( WAP )、PGP等多種

X.509最爲通用，它的通用格式爲：

數字證書的管理：證書申請、證書發放、證書撤銷、證書更新。

1. 證書申請：在線申請、離線申請。
2. 證書撤銷：（1）利用週期性發佈機制，主要有證書撤銷列表( CRL) ;（2）利用在線查詢機制，如在線證書狀態協議(OCSP).
3. 證書更新：普通用戶證書更新、機構證書更新

二、PMI技術

1.概念

PMI(授權管理基礎設施)
PMI的概念
PMI是在PKI發展的過程中爲了將用戶權限的管理與其公鑰的管理分離，由IETF提出的一種標準。PMI以資源管理爲核心。對資源的訪問控制權統一交由授權機構統管理。

2. PMI與PKI的區別：

PKI證明用戶是誰。
PMI證明這個用戶有什麼權限、能幹什麼。
PMI需要PKI爲其提供身份認證。
PKI：身份鑑別
PMI：授權管理

3. PMI組成

屬性權威(Attribute Authority, AA)、屬性證書(Attribute Certification, AC)、屬性證書庫
屬性權威(AA);
也稱爲“授權管理中心"或“屬性權威機構”， 是整個PMI系統的核心,
它爲不同的用戶和機構進行屬性證書(AC)創建、存儲、簽發和撤銷，負責管理AC的整個生命週期。
屬性證書(AC)：
是由PMI的權威機構簽發的將實體與其享有的權限屬性捆綁在一起的數據結構，權威機構的數字簽名保證了綁定的有效性和合法性。

屬性證書庫
用於存儲屬性證書，一般情況下采用LDAP目錄服務器。
對於授權管理;最常用的就是基於角色的訪問控制。
PMI中基於角色的訪問控制的優勢：

1. 授權管理的靈活性
2. 授權操作與業務操作相分離
3. 多授權模型的靈活支持
   PMI系統框架：
   授權管理基礎設施在體系上可分爲三級：
4. 權威源(SOA)
5. 屬性權威(AA)
6. AA代理點
   三級二級一級可以靈活配置。
   

PMI與PKI之間的關係：在建設PMI設施的時候必須擁有足夠安全的PKI信息。
PKI負責公鑰信息的管理
PMI負責權限的管理
PMI設施中的每一個AA實體和終端用戶都是PKI設施的用戶
應用角度：PMI和PKI的發展是相輔相成，並互爲條件的