【正文】 性證書為用戶在網(wǎng)絡中的屬性證明，將用戶 ID與用戶屬性綁定在一起。 PKI中的證書 ? 證書 (certificate)，有時候簡稱為 cert ? PKI適用于異構(gòu)環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一 ? 證書是一個機構(gòu)頒發(fā)給一個安全個體的證明，所以證書的權威性取決于該機構(gòu)的權威性 ? 一個證書中，最重要的信息是個體名字、個體的公鑰、機構(gòu)的簽名、算法和用途 ? 簽名證書和加密證書分開 ? 最常用的證書格式為 PKI 的目的和特點 ? 采用數(shù)字證書的應用軟件和 CA信任的機制。 ? 還需要構(gòu)建一個安全有效的網(wǎng)絡用戶證書撤銷系統(tǒng)。 ? 能在證書自然過期之前撤銷它。 ? 證書撤銷的實現(xiàn)方法有多種： ? 一種方法是利用周期性的發(fā)布機制撤銷證書； ? 另一種方法采用在線查詢機制，隨時查詢被撤銷的證書。 ? PKI體系支持： ? （ 1）、身份認證； ? （ 2）、信息傳輸、存儲的完整性； ? （ 3）、信息傳輸、存儲的機密性； ? （ 4）、操作的不可否認性； ? PKI這個具有普適性的安全基礎安全設施適用于多種環(huán)境的框架。 ? 這個框架避免的了零碎的、點對點的，特別是沒有互操作性的解決方案，引入了可管理的機制以及跨越多個應用和計算平臺的一致安全性。 ? 實施 PKI公開密匙基礎設施的商業(yè)驅(qū)動包括了節(jié)省費用、互操作性、簡化管理、真正安全的可能性。 PKI 的功能與基本組成 ? 1 PKI主要功能 ? 一個完整的 PKI系統(tǒng)應具備以下主要功能： ? 根據(jù) ，證書與 CA產(chǎn)生密匙對，密鑰備份及恢復，證書，密鑰對的自動更換，加密密鑰及簽名密鑰的分隔，管理密鑰和證書，支持對數(shù)字簽名的不可抵賴性，密鑰歷史的管理，為用戶提供 PKI服務，如網(wǎng)絡用戶安全登陸、增加和刪除用戶、恢復密鑰、檢驗證書等。 其他相關功能還包括交叉認證、支持 LDAP協(xié)議、支持用于認證的智能卡等。 2 PKI 的基本組成 ? 一個典型的 PKI系統(tǒng)由五個基本的部分組成： ? 證書申請者、注冊機構(gòu)、認證中心、證書庫和證書信任方。其中，認證中心、注冊機構(gòu)和證書庫三部分是 PKI的核心，證書申請者和證書信任方則是利用 PKI進行網(wǎng)上交易的參與者。 ? PKI在實際應用上是一套軟件、硬件系統(tǒng)和安全策略的集合，它提供了一整套安全機制，使網(wǎng)絡用戶在不知道對方身份或者分布地很廣的情況下，以證書為基礎，通過一系列的信任關系進行網(wǎng)絡通信和電子商務交易。 2 PKI的組成 (續(xù) 1) ? 認證機構(gòu) CA 證書的簽發(fā)機構(gòu) ， 它是 PKI的 核心 ， 是PKI應用中權威的 、 可信任的 、 公正的第三方機構(gòu) 。 ? 注冊機構(gòu) RA 注冊功能也可以由 CA直接實現(xiàn) ， 但隨著用戶的增加 ， 多個 RA可以分擔 CA的功能 ， 增強可擴展性 ， 應注意的是 RA不容許頒發(fā)證書或 CRL. ? 證書庫 證書的集中存放地 ， 提供公眾查詢 ， 常用目錄服務器提供服務 ， 采用 LDAP目錄訪問協(xié)議 。 ? 密鑰備份及恢復系統(tǒng) – 簽名密鑰對：簽名私鑰相當于日常生活中的印章效力 ， 為保證其唯一性 ， 簽名私鑰不作備份 。 簽名密鑰的生命期較長 。 – 加密密鑰對：加密密鑰通常用于分發(fā)會話密鑰 ， 為防止密鑰丟失時丟失數(shù)據(jù) ， 解密密鑰應進行備份 。這種密鑰應頻繁更換 。 2 PKI的組成 (續(xù) 2) ? 證書作廢處理系統(tǒng) 證書由于某種原因需要作廢 ， 終止使用 ， 這將通過證書作廢列表 （ CRL） 來完成 。 ? 自動密鑰更新 無需用戶干預 ， 當證書失效日期到來時 ，啟動更新過程 ， 生成新的證書 ? 密鑰歷史檔案 由于密鑰更新 ， 每個用戶都會擁有多個舊證書和至少一個當前證書 ， 這一系列證書及相應私鑰 （ 除簽名私鑰 ） 組成密鑰歷史檔案 。 ? PKI應用接口系統(tǒng) 是為各種各樣的應用提供安全、一致、可信任的方式與 PKI交互，確保所建立起來的網(wǎng)絡環(huán)境安全可信，并降低管理成本。 ? 交叉認證 多個 PKI獨立地運行，相互之間應建立信任關系 PMI系統(tǒng)結(jié)構(gòu) ? 授權管理基礎設施（ PMI）授權服務體系以高度集中的管理網(wǎng)絡用戶和為網(wǎng)絡用戶授權 . ? 并且采用適當?shù)木W(wǎng)絡用戶身份信息來實現(xiàn)網(wǎng)絡用戶認證，主要是 PKI體系下的數(shù)字證書，也包括動態(tài)口令或者指紋認證技術。 ? PMI在結(jié)構(gòu)體系上可以分為三級：信任源點（ SOA： Source of Authority）中心、屬性權威機構(gòu)（ AA： Attribute Authority）中心和 AA代理點。 ? 一，信任源點 SOA是整個授權管理體系的中心業(yè)務節(jié)點，也是整個 PMI的最終信任源和最高管理機構(gòu)。 ? 二，授權服務中心 AA是 PMI的核心服務節(jié)點，對對應于具體應用系統(tǒng)的授權管理分系統(tǒng)，由具有設立 AA中心業(yè)務需求的各種應用單位負責建設，并與 SOA中心通過業(yè)務協(xié)議達成相互信任的關系。 ? 三， AA代理點是 PMI的用戶代理節(jié)點，又稱資源管理中心，是與具體應用網(wǎng)絡用戶的接口，是對應 AA中心的附屬機構(gòu)，接受 AA中心的直接管理，由各 AA中心負責建設，報經(jīng)主管的 SOA中心同意，并簽發(fā)相應的證書。 ? AA代理點的設立和數(shù)目由各 AA中心根據(jù)自身的業(yè)務發(fā)展需求而定。 PKI/PMI 的基于 RBAC模型與實現(xiàn)過程 ? 1 基于角色訪問控制模型 ? 一種基于角色訪問控制（ RBAC）核心思想是權限并不直接分配給用戶，而是分配給角色，角色是分配權限的一種間接手段 。 ? 在 RBAC模式下，首先定義出若干個角色，這些角色代表著企業(yè)中不同的職務，例如經(jīng)理、秘書、職員等等，角色與一定的權限相對應。 ? 然后將角色分配給用戶，用戶可以屬于一個或者多個角色，這樣用戶就繼承了該角色所具有的權限。 ? PMI提供了對簡單的 RBAC的支持，權威源（ SOA）通過頒發(fā)角色規(guī)范屬性證書，可以將權限分配給對應的角色。 ? 屬性權威（ AA）或權威源（ SOA）通過頒發(fā)角色分配屬性證書，可以使用戶具備一個或多個角色。