【正文】 性證書為用戶在網(wǎng)絡(luò)中的屬性證明，將用戶 ID與用戶屬性綁定在一起。 PKI中的證書 ? 證書 (certificate)，有時(shí)候簡(jiǎn)稱為 cert ? PKI適用于異構(gòu)環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一 ? 證書是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證明，所以證書的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性 ? 一個(gè)證書中，最重要的信息是個(gè)體名字、個(gè)體的公鑰、機(jī)構(gòu)的簽名、算法和用途 ? 簽名證書和加密證書分開(kāi) ? 最常用的證書格式為 PKI 的目的和特點(diǎn) ? 采用數(shù)字證書的應(yīng)用軟件和 CA信任的機(jī)制。 ? 還需要構(gòu)建一個(gè)安全有效的網(wǎng)絡(luò)用戶證書撤銷系統(tǒng)。 ? 能在證書自然過(guò)期之前撤銷它。 ? 證書撤銷的實(shí)現(xiàn)方法有多種： ? 一種方法是利用周期性的發(fā)布機(jī)制撤銷證書； ? 另一種方法采用在線查詢機(jī)制，隨時(shí)查詢被撤銷的證書。 ? PKI體系支持： ? （ 1）、身份認(rèn)證； ? （ 2）、信息傳輸、存儲(chǔ)的完整性； ? （ 3）、信息傳輸、存儲(chǔ)的機(jī)密性； ? （ 4）、操作的不可否認(rèn)性； ? PKI這個(gè)具有普適性的安全基礎(chǔ)安全設(shè)施適用于多種環(huán)境的框架。 ? 這個(gè)框架避免的了零碎的、點(diǎn)對(duì)點(diǎn)的，特別是沒(méi)有互操作性的解決方案，引入了可管理的機(jī)制以及跨越多個(gè)應(yīng)用和計(jì)算平臺(tái)的一致安全性。 ? 實(shí)施 PKI公開(kāi)密匙基礎(chǔ)設(shè)施的商業(yè)驅(qū)動(dòng)包括了節(jié)省費(fèi)用、互操作性、簡(jiǎn)化管理、真正安全的可能性。 PKI 的功能與基本組成 ? 1 PKI主要功能 ? 一個(gè)完整的 PKI系統(tǒng)應(yīng)具備以下主要功能： ? 根據(jù) ，證書與 CA產(chǎn)生密匙對(duì)，密鑰備份及恢復(fù)，證書，密鑰對(duì)的自動(dòng)更換，加密密鑰及簽名密鑰的分隔，管理密鑰和證書，支持對(duì)數(shù)字簽名的不可抵賴性，密鑰歷史的管理，為用戶提供 PKI服務(wù)，如網(wǎng)絡(luò)用戶安全登陸、增加和刪除用戶、恢復(fù)密鑰、檢驗(yàn)證書等。 其他相關(guān)功能還包括交叉認(rèn)證、支持 LDAP協(xié)議、支持用于認(rèn)證的智能卡等。 2 PKI 的基本組成 ? 一個(gè)典型的 PKI系統(tǒng)由五個(gè)基本的部分組成： ? 證書申請(qǐng)者、注冊(cè)機(jī)構(gòu)、認(rèn)證中心、證書庫(kù)和證書信任方。其中，認(rèn)證中心、注冊(cè)機(jī)構(gòu)和證書庫(kù)三部分是 PKI的核心，證書申請(qǐng)者和證書信任方則是利用 PKI進(jìn)行網(wǎng)上交易的參與者。 ? PKI在實(shí)際應(yīng)用上是一套軟件、硬件系統(tǒng)和安全策略的集合，它提供了一整套安全機(jī)制，使網(wǎng)絡(luò)用戶在不知道對(duì)方身份或者分布地很廣的情況下，以證書為基礎(chǔ)，通過(guò)一系列的信任關(guān)系進(jìn)行網(wǎng)絡(luò)通信和電子商務(wù)交易。 2 PKI的組成 (續(xù) 1) ? 認(rèn)證機(jī)構(gòu) CA 證書的簽發(fā)機(jī)構(gòu) ， 它是 PKI的 核心 ， 是PKI應(yīng)用中權(quán)威的 、 可信任的 、 公正的第三方機(jī)構(gòu) 。 ? 注冊(cè)機(jī)構(gòu) RA 注冊(cè)功能也可以由 CA直接實(shí)現(xiàn) ， 但隨著用戶的增加 ， 多個(gè) RA可以分擔(dān) CA的功能 ， 增強(qiáng)可擴(kuò)展性 ， 應(yīng)注意的是 RA不容許頒發(fā)證書或 CRL. ? 證書庫(kù) 證書的集中存放地 ， 提供公眾查詢 ， 常用目錄服務(wù)器提供服務(wù) ， 采用 LDAP目錄訪問(wèn)協(xié)議 。 ? 密鑰備份及恢復(fù)系統(tǒng) – 簽名密鑰對(duì)：簽名私鑰相當(dāng)于日常生活中的印章效力 ， 為保證其唯一性 ， 簽名私鑰不作備份 。 簽名密鑰的生命期較長(zhǎng) 。 – 加密密鑰對(duì)：加密密鑰通常用于分發(fā)會(huì)話密鑰 ， 為防止密鑰丟失時(shí)丟失數(shù)據(jù) ， 解密密鑰應(yīng)進(jìn)行備份 。這種密鑰應(yīng)頻繁更換 。 2 PKI的組成 (續(xù) 2) ? 證書作廢處理系統(tǒng) 證書由于某種原因需要作廢 ， 終止使用 ， 這將通過(guò)證書作廢列表 （ CRL） 來(lái)完成 。 ? 自動(dòng)密鑰更新 無(wú)需用戶干預(yù) ， 當(dāng)證書失效日期到來(lái)時(shí) ，啟動(dòng)更新過(guò)程 ， 生成新的證書 ? 密鑰歷史檔案 由于密鑰更新 ， 每個(gè)用戶都會(huì)擁有多個(gè)舊證書和至少一個(gè)當(dāng)前證書 ， 這一系列證書及相應(yīng)私鑰 （ 除簽名私鑰 ） 組成密鑰歷史檔案 。 ? PKI應(yīng)用接口系統(tǒng) 是為各種各樣的應(yīng)用提供安全、一致、可信任的方式與 PKI交互，確保所建立起來(lái)的網(wǎng)絡(luò)環(huán)境安全可信，并降低管理成本。 ? 交叉認(rèn)證 多個(gè) PKI獨(dú)立地運(yùn)行，相互之間應(yīng)建立信任關(guān)系 PMI系統(tǒng)結(jié)構(gòu) ? 授權(quán)管理基礎(chǔ)設(shè)施（ PMI）授權(quán)服務(wù)體系以高度集中的管理網(wǎng)絡(luò)用戶和為網(wǎng)絡(luò)用戶授權(quán) . ? 并且采用適當(dāng)?shù)木W(wǎng)絡(luò)用戶身份信息來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)用戶認(rèn)證，主要是 PKI體系下的數(shù)字證書，也包括動(dòng)態(tài)口令或者指紋認(rèn)證技術(shù)。 ? PMI在結(jié)構(gòu)體系上可以分為三級(jí)：信任源點(diǎn)（ SOA： Source of Authority）中心、屬性權(quán)威機(jī)構(gòu)（ AA： Attribute Authority）中心和 AA代理點(diǎn)。 ? 一，信任源點(diǎn) SOA是整個(gè)授權(quán)管理體系的中心業(yè)務(wù)節(jié)點(diǎn)，也是整個(gè) PMI的最終信任源和最高管理機(jī)構(gòu)。 ? 二，授權(quán)服務(wù)中心 AA是 PMI的核心服務(wù)節(jié)點(diǎn)，對(duì)對(duì)應(yīng)于具體應(yīng)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由具有設(shè)立 AA中心業(yè)務(wù)需求的各種應(yīng)用單位負(fù)責(zé)建設(shè)，并與 SOA中心通過(guò)業(yè)務(wù)協(xié)議達(dá)成相互信任的關(guān)系。 ? 三， AA代理點(diǎn)是 PMI的用戶代理節(jié)點(diǎn)，又稱資源管理中心，是與具體應(yīng)用網(wǎng)絡(luò)用戶的接口，是對(duì)應(yīng) AA中心的附屬機(jī)構(gòu)，接受 AA中心的直接管理，由各 AA中心負(fù)責(zé)建設(shè)，報(bào)經(jīng)主管的 SOA中心同意，并簽發(fā)相應(yīng)的證書。 ? AA代理點(diǎn)的設(shè)立和數(shù)目由各 AA中心根據(jù)自身的業(yè)務(wù)發(fā)展需求而定。 PKI/PMI 的基于 RBAC模型與實(shí)現(xiàn)過(guò)程 ? 1 基于角色訪問(wèn)控制模型 ? 一種基于角色訪問(wèn)控制（ RBAC）核心思想是權(quán)限并不直接分配給用戶，而是分配給角色，角色是分配權(quán)限的一種間接手段 。 ? 在 RBAC模式下，首先定義出若干個(gè)角色，這些角色代表著企業(yè)中不同的職務(wù)，例如經(jīng)理、秘書、職員等等，角色與一定的權(quán)限相對(duì)應(yīng)。 ? 然后將角色分配給用戶，用戶可以屬于一個(gè)或者多個(gè)角色，這樣用戶就繼承了該角色所具有的權(quán)限。 ? PMI提供了對(duì)簡(jiǎn)單的 RBAC的支持，權(quán)威源（ SOA）通過(guò)頒發(fā)角色規(guī)范屬性證書，可以將權(quán)限分配給對(duì)應(yīng)的角色。 ? 屬性權(quán)威（ AA）或權(quán)威源（ SOA）通過(guò)頒發(fā)角色分配屬性證書，可以使用戶具備一個(gè)或多個(gè)角色。