信息安全導(dǎo)論第12章PKIPMI技術(shù)課件

第12章PKI／PMI技術(shù)

12.1理論基礎(chǔ)12.2PKI(公鑰基礎(chǔ)設(shè)施)的組成12.3PKI的功能和要求12.4PKI相關(guān)協(xié)議12.5PKI的產(chǎn)品、應(yīng)用現(xiàn)狀和前景12.6PMI（授權(quán)管理基礎(chǔ)設(shè)施）

返回目錄第12章PKI／PMI技術(shù) 12.1理論基礎(chǔ)返回PKI公鑰基礎(chǔ)設(shè)施，就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施；公鑰體制廣泛的利用在CA認(rèn)證、數(shù)字簽名和密鑰交換等領(lǐng)域；PMI授權(quán)管理基礎(chǔ)設(shè)施，又稱為屬性特權(quán)機(jī)構(gòu)，依賴于PKI的支持，旨在提供訪問控制和特權(quán)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能，實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對應(yīng)、與具體應(yīng)用系統(tǒng)和管理無關(guān)的訪問控制機(jī)制，并能極大簡化應(yīng)用中訪問控制和權(quán)限管理系統(tǒng)的開發(fā)與維護(hù)。PKI公鑰基礎(chǔ)設(shè)施，就是利用公鑰理論和技術(shù)建立的提供信息安全12.1理論基礎(chǔ)12.1.1可認(rèn)證性與數(shù)字簽名12.1.2信任關(guān)系與信任模型返回本章首頁P(yáng)KI希望從技術(shù)上解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全服務(wù)。只要PKI具有友好的接口，那么用戶只需要知道如何接入PKI就能獲得安全服務(wù)，無需理解PKI是如何實(shí)現(xiàn)安全服務(wù)的。12.1理論基礎(chǔ)12.1.1可認(rèn)證性與數(shù)字簽名返回本12.1.1可認(rèn)證性與數(shù)字簽名1.可認(rèn)證性認(rèn)證的目的有兩個(gè)：一個(gè)是驗(yàn)證信息發(fā)送者的真實(shí)性，確認(rèn)他沒有被冒充；另一驗(yàn)證信息的完整性，確認(rèn)被驗(yàn)證的信息在傳遞或存儲(chǔ)過程中沒有被篡改、重組或延遲。返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名1.可認(rèn)證性返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名認(rèn)證是防止敵手對系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)。認(rèn)證技術(shù)主要包括：數(shù)字簽名；身份識(shí)別；信息完整性校驗(yàn)；返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名認(rèn)證是防止敵手對12.1.1可認(rèn)證性與數(shù)字簽名公鑰密碼技術(shù)提供網(wǎng)絡(luò)中信息安全的全面解決方案。采用公鑰技術(shù)的關(guān)鍵是如何確認(rèn)個(gè)人的公鑰。在PKI中，公鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立的第三方充當(dāng)認(rèn)證中心（CA），來確認(rèn)聲稱擁有公鑰的人的真實(shí)身份。CA制作一個(gè)“數(shù)字證書”，包含用戶身份的部分信息及用戶所持有的公鑰，然后用CA本身的密鑰為證書加上數(shù)字簽名。想要發(fā)放自身公鑰的用戶，可以向CA申請證書。其他用戶只要能驗(yàn)證證書是真實(shí)的，并且信任CA，就可以確認(rèn)用戶的公鑰。返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名公鑰密碼技術(shù)提供網(wǎng)絡(luò)中信息安

2.數(shù)字簽名的算法(1)Hash簽名(接收方必須持有用戶密鑰的副本，以驗(yàn)證簽名，較容易攻破)。(2)DSS簽名。(3)RSA簽名。返回本節(jié)2.數(shù)字簽名的算法返回本節(jié)

12.1.2信任關(guān)系與信任模型

用戶必須完全信任證書分發(fā)機(jī)構(gòu)。信任模型主要闡述以下問題：PKI用戶能夠信任的證書是如何確定的信任是如何建立的如何控制這種信任目前常用的有四種信任模型。返回本節(jié)12.1.2信任關(guān)系與信任模型用戶必須完全信任證書分發(fā)

12.1.2信任關(guān)系與信任模型

1．認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型根（信任錨）CA認(rèn)證（更準(zhǔn)確地說是創(chuàng)立和簽署證書）直接連接在它下面的CA。每個(gè)CA都認(rèn)證零個(gè)或多個(gè)直接連接在它下面的CA。倒數(shù)第二層的CA認(rèn)證終端實(shí)體。返回本節(jié)12.1.2信任關(guān)系與信任模型1．認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)

2．分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上。也就是說，A把CAl作為他的信任錨，而B可以把CA2做為他的信任錨。返回本節(jié)2．分布式信任結(jié)構(gòu)模型返回本節(jié)

3．Web模型在這種模型中，許多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器上。這些公鑰確定了一組瀏覽器用戶最初信任的CA。盡管這組根密鑰可以被用戶修改，然而幾乎沒有普通用戶對于PKI和安全問題能精通到可以進(jìn)行這種修改的程度。返回本節(jié)3．Web模型返回本節(jié)

4．以用戶為中心的信任模型在以用戶為中心的信任模型中，每個(gè)用戶自己決定信任哪些證書。通常，用戶的最初信任對象包括用戶的朋友、家人或同事，但是否信任某證書則被許多因素所左右。返回本節(jié)4．以用戶為中心的信任模型返回本節(jié)12.2PKI的組成12.2.1認(rèn)證機(jī)關(guān)12.2.2證書庫12.2.3密鑰備份及恢復(fù)系統(tǒng)12.2.4證書作廢處理系統(tǒng)12.2.5PKI應(yīng)用接口系統(tǒng)返回本章首頁12.2PKI的組成12.2.1認(rèn)證機(jī)關(guān)返回本章首頁12.2.1認(rèn)證機(jī)關(guān)1．CA的職責(zé)證書是公鑰體制的一種密鑰管理媒介，是一種權(quán)威性的電子文檔，用于證明某一主體的身份及公鑰合法性。CA是證書的簽發(fā)機(jī)構(gòu)，它是PKI的核心。（1）驗(yàn)證并標(biāo)識(shí)證書申請者的身份。（2）確保CA用于簽名證書的非對稱密鑰的質(zhì)量。（3）確保整個(gè)簽證過程的安全性，確保簽名私鑰的安全性。返回本節(jié)12.2.1認(rèn)證機(jī)關(guān)1．CA的職責(zé)返回本節(jié)

（4）證書材料信息（包括公鑰證書序列號(hào)、CA標(biāo)識(shí)等）的管理。（5）確定并檢查證書的有效期限。（6）確保證書主體標(biāo)識(shí)的惟一性，防止重名。（7）發(fā)布并維護(hù)作廢證書表。（8）對整個(gè)證書簽發(fā)過程做日志記錄。（9）向申請人發(fā)通知。（4）證書材料信息（包括公鑰證書序列號(hào)、CA標(biāo)識(shí)等）

2.證書的主要內(nèi)容。

如下表所示：返回本節(jié)2.證書的主要內(nèi)容。如下表所示：返回本節(jié)

（1）主體的公鑰產(chǎn)生方式用戶自己生成密鑰對，然后將公鑰以安全的方式傳送給CA。CA替用戶生成密鑰對，然后將其以安全的方式傳送給用戶，該過程必須確保密鑰對的機(jī)密性、完整性和可驗(yàn)證性。返回本節(jié)（1）主體的公鑰產(chǎn)生方式返回本節(jié)

（2）公鑰的兩大類用途：

用于驗(yàn)證數(shù)字簽名。消息接收者使用發(fā)送者的公鑰對消息的數(shù)字簽名進(jìn)行驗(yàn)證。用于加密信息。消息發(fā)送者使用接收者的公鑰加密用于加密消息的密鑰，進(jìn)行數(shù)據(jù)加密密鑰的傳遞。返回本節(jié)（2）公鑰的兩大類用途：返回本節(jié)

（3）密鑰管理的不同要求簽名密鑰對由簽名私鑰和驗(yàn)證公鑰組成。為保證其惟一性，簽名私鑰絕對不能夠作備份和存檔。加密密鑰對由加密公鑰和脫密私鑰組成。為防止密鑰丟失時(shí)丟失數(shù)據(jù)，脫密私鑰應(yīng)該進(jìn)行備份，同時(shí)還可能需要進(jìn)行存檔。返回本節(jié)（3）密鑰管理的不同要求返回本節(jié)12.2.2證書庫證書庫是證書的集中存放地，是網(wǎng)上的一種公共信息庫，用戶可以從此處獲得其他用戶的證書和公鑰。構(gòu)造證書庫的最佳方法是采用支持LDAP協(xié)議（輕量目錄訪問協(xié)議）的目錄系統(tǒng)，用戶或相關(guān)的應(yīng)用通過LDAP來訪問證書庫。系統(tǒng)必須確保證書庫的完整性，防止偽造、篡改證書。12.2.2證書庫證書庫是證書的集中存放地，是網(wǎng)上的一種公12.2.3密鑰備份及恢復(fù)系統(tǒng)為了防止用戶由于丟失脫密密鑰導(dǎo)致的數(shù)據(jù)丟失，PKI提供備分與恢復(fù)脫密密鑰的機(jī)制。密鑰的備份與恢復(fù)應(yīng)該由可信的機(jī)構(gòu)來完成，例如CA可以充當(dāng)這一角色。值得強(qiáng)調(diào)的是，密鑰備份與恢復(fù)只能針對脫密密鑰，簽名私鑰不能夠作備份。返回本節(jié)12.2.3密鑰備份及恢復(fù)系統(tǒng)為了防止用戶由于丟失脫密密鑰12.2.4證書作廢處理系統(tǒng)

1.作廢證書（有效期）的三種策略（1）作廢一個(gè)或多個(gè)主體的證書。（2）作廢由某一對密鑰簽發(fā)的所有證書。（3）作廢由某CA簽發(fā)的所有證書。返回本節(jié)12.2.4證書作廢處理系統(tǒng)1.作廢證書（有效期）的三

2.作廢證書的處理方法作廢證書一般通過將證書列入作廢證書表CRL（CertificateRevocationList）來完成。通常，系統(tǒng)中由CA負(fù)責(zé)創(chuàng)建并維護(hù)一張及時(shí)更新的CRL，而由用戶在驗(yàn)證證書時(shí)負(fù)責(zé)檢查該證書是否在CRL之列。CRL一般存放在目錄系統(tǒng)中。返回本節(jié)2.作廢證書的處理方法返回本節(jié)12.2.5PKI應(yīng)用接口系統(tǒng)1.作用PKI的價(jià)值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性，同時(shí)降低管理維護(hù)成本。返回本節(jié)12.2.5PKI應(yīng)用接口系統(tǒng)1.作用返回本節(jié)

2.功能完成證書的驗(yàn)證工作，為所有應(yīng)用以一致、可信的方式使用公鑰證書提供支持。以安全、一致的方式與PKI的密鑰備份與恢復(fù)系統(tǒng)交互，為應(yīng)用提供統(tǒng)一的密鑰備份與恢復(fù)支持。在所有應(yīng)用系統(tǒng)中，確保用戶的簽名私鑰始終只在用戶本人的控制之下，阻止備份簽名私鑰的行為。返回本節(jié)2.功能返回本節(jié)

根據(jù)安全策略自動(dòng)為用戶更換密鑰，實(shí)現(xiàn)密鑰更換的自動(dòng)、透明與一致。為方便用戶訪問加密的歷史數(shù)據(jù)，向應(yīng)用提供歷史密鑰的安全管理服務(wù)。為所有應(yīng)用訪問統(tǒng)一的公用證書庫提供支持。以可信、一致的方式與證書作廢系統(tǒng)交互，向所有應(yīng)用提供統(tǒng)一的證書作廢處理服務(wù)。根據(jù)安全策略自動(dòng)為用戶更換密鑰，實(shí)現(xiàn)密鑰更換的自動(dòng)、透明

完成交叉證書的驗(yàn)證工作，為所用應(yīng)用提供統(tǒng)一模式的交叉驗(yàn)證支持。支持多種密鑰存放介質(zhì)，包括IC卡、PC卡、安全文件等。PKI應(yīng)用接口系統(tǒng)應(yīng)該是跨平臺(tái)的。完成交叉證書的驗(yàn)證工作，為所用應(yīng)用提供統(tǒng)一模式的交叉驗(yàn)證12.3PKI的功能和要求

12.3.1證書、密鑰對的自動(dòng)更換12.3.2交叉認(rèn)證12.3.3其他一些功能12.3.4對PKI的性能要求返回本章首頁12.3PKI的功能和要求12.3.1證書、密鑰對的12.3.1證書、密鑰對的自動(dòng)更換證書、密鑰都有一定的生命期限。當(dāng)用戶的私鑰泄露時(shí)，必須更換密鑰對；另外，隨著計(jì)算機(jī)速度日益提高，密鑰長度也必須相應(yīng)地增長。因此，PKI應(yīng)該提供完全自動(dòng)（無須用戶干預(yù)）的密鑰更換以及新證書的分發(fā)工作。返回本節(jié)12.3.1證書、密鑰對的自動(dòng)更換證書、密鑰都有一定的生12.3.2交叉認(rèn)證

每個(gè)CA只能覆蓋一定的作用范圍（域）。兩個(gè)CA安全地交換密鑰信息，這樣每個(gè)CA都可以有效地驗(yàn)證另一方密鑰的可信任性，我們稱這樣的過程為交叉認(rèn)證。事實(shí)上，交叉認(rèn)證是第三方信任的擴(kuò)展，即一個(gè)CA的網(wǎng)絡(luò)用戶信任其他所有自己CA交叉認(rèn)證的CA用戶。返回本節(jié)12.3.2交叉認(rèn)證每個(gè)CA只能覆蓋一定的作用范圍（域）

交叉認(rèn)證的操作（1）兩個(gè)域之間信任關(guān)系的建立，在雙邊交叉認(rèn)證的情況下，兩個(gè)CA安全地交換他們的驗(yàn)證密鑰。這些密鑰用于驗(yàn)證他們在證書上的簽名。為了完成這個(gè)操作，每個(gè)CA簽發(fā)一張包含自己公鑰（這個(gè)公鑰用于對方驗(yàn)證自己的簽名）的證書，該證書稱為交叉證書。返回本節(jié)交叉認(rèn)證的操作返回本節(jié)

（2）由客戶端軟件來做。這個(gè)操作包含了驗(yàn)證由已經(jīng)交叉認(rèn)證的CA簽發(fā)的用戶證書的可信賴性，這個(gè)操作需要經(jīng)常執(zhí)行。這個(gè)操作常常被稱為跟蹤信任鏈。

鏈指的是交叉證書確認(rèn)列表，沿著這個(gè)列表可以跟蹤所有驗(yàn)證用戶證書的CA密鑰。（2）由客戶端軟件來做。這個(gè)操作包含了驗(yàn)證由已經(jīng)交叉認(rèn)證12.3.3其他一些功能

1．加密密鑰和簽名密鑰的分隔如前所述，加密和簽名密鑰的密鑰管理需求是相互抵觸的，因此PKI應(yīng)該支持加密和簽名密鑰的分隔使用。12.3.3其他一些功能1．加密密鑰和簽名密鑰的分隔

2．支持對數(shù)字簽名的不可抵賴任何類型的電子商務(wù)都離不開數(shù)字簽名，因此PKI必須支持?jǐn)?shù)字簽名的不可抵賴性，而數(shù)字簽名的不可抵賴性依賴于簽名私鑰的惟一性和機(jī)密性，為確保這一點(diǎn)，PKI必須保證簽名密鑰與加密密鑰的分隔使用。2．支持對數(shù)字簽名的不可抵賴

3．密鑰歷史的管理每次更新加密密鑰后，相應(yīng)的解密密鑰都應(yīng)該存檔，以便將來恢復(fù)用舊密鑰加密的數(shù)據(jù)。每次更新簽名密鑰后，舊的簽名私鑰應(yīng)該妥善銷毀，防止破壞其惟一性；相應(yīng)的舊驗(yàn)證公鑰應(yīng)該進(jìn)行存檔，以便將來用于驗(yàn)證舊的簽名。3．密鑰歷史的管理12.3.4對PKI的性能要求

1．透明性和易用性2．可擴(kuò)展性3．互操作性4．支持多應(yīng)用5.支持多平臺(tái)12.3.4對PKI的性能要求1．透明性和易用性12.4PKI相關(guān)協(xié)議12.4.1X.500目錄服務(wù)12.4.2X.50912.4.3公開秘鑰證書的標(biāo)準(zhǔn)擴(kuò)展12.4.4LDAP協(xié)議返回本章首頁12.4PKI相關(guān)協(xié)議12.4.1X.500目錄服務(wù)12.4.1X.500目錄服務(wù)1.定義X.500是一種CCITT（ITU）針對已經(jīng)被國際標(biāo)準(zhǔn)化組織（ISO）接受的目錄服務(wù)系統(tǒng)的建議，它定義了一個(gè)機(jī)構(gòu)如何在一個(gè)企業(yè)的全局范圍內(nèi)共享名字和與它們相關(guān)的對象。返回本節(jié)12.4.1X.500目錄服務(wù)1.定義返回本節(jié)

2.作用X.500目錄服務(wù)可以向需要訪問網(wǎng)絡(luò)任何地方資源的電子函件系統(tǒng)和應(yīng)用，或需要知道在網(wǎng)絡(luò)上的實(shí)體名字和地點(diǎn)的管理系統(tǒng)提供信息。這個(gè)目錄是一個(gè)數(shù)據(jù)庫，或在X.500描述中稱為目錄信息數(shù)據(jù)庫（DIB）。在數(shù)據(jù)庫中的實(shí)體稱為對象。2.作用12.4.2X.509X.509是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解決方案。在X.509方案中，默認(rèn)的加密體制是公鑰密碼體制。為進(jìn)行身份認(rèn)證，X.509標(biāo)準(zhǔn)及公共密鑰加密系統(tǒng)提供了數(shù)字簽名的方案。12.4.2X.509X.509是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解

每一版本包含的信息：版本號(hào)：用來區(qū)分X.509的不同版本號(hào)。序列號(hào)：由CA給予每一個(gè)證書的分配惟一的數(shù)字型編號(hào)。簽名算法標(biāo)識(shí)符：用來指定用CA簽發(fā)證書時(shí)所使用的簽名算法。認(rèn)證機(jī)構(gòu)：即發(fā)出該證書的機(jī)構(gòu)惟一的CA的X.500名字。每一版本包含的信息：

有效期限：證書有效的時(shí)間包括兩個(gè)日期：證書開始生效期和證書失效的日期和時(shí)間，在所指定的這兩個(gè)時(shí)間之間有效。主題信息：證書持有人的姓名、服務(wù)處所等信息。認(rèn)證機(jī)構(gòu)的數(shù)字簽名：以確保這個(gè)證書在發(fā)放之后沒有被改過。公鑰信息：包括被證明有效的公鑰值和加上使用這個(gè)公鑰的方法名稱。有效期限：證書有效的時(shí)間包括兩個(gè)日期：證書開始生效期和證書12.4.3公開秘鑰證書的標(biāo)準(zhǔn)擴(kuò)展

1.密鑰和政策信息，包括：機(jī)構(gòu)密鑰識(shí)別符；主體密鑰識(shí)別符；密鑰用途（如數(shù)字簽字，不可否認(rèn)性、密鑰加密、數(shù)據(jù)加密、密鑰協(xié)商、證書簽字、CRL簽字等）；密鑰使用期限等。返回本節(jié)12.4.3公開秘鑰證書的標(biāo)準(zhǔn)擴(kuò)展1.密鑰和政策信息，

2.主體和發(fā)證人屬性，包括：主體代用名；發(fā)證者代用名；主體檢索屬性等。2.主體和發(fā)證人屬性，包括：

3.證書通路約束，包括：基本約束，指明是否可以做證書機(jī)構(gòu)。4.與CRL有關(guān)的補(bǔ)充。3.證書通路約束，包括：12.4.4LDAP協(xié)議LDAP目錄中可以存儲(chǔ)各種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密鑰、聯(lián)系人列表等。通過把LDAP目錄作為系統(tǒng)集成中的一個(gè)重要環(huán)節(jié)，可以簡化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至連主要的數(shù)據(jù)源都可以放在任何地方。返回本節(jié)12.4.4LDAP協(xié)議LDAP目錄中可以存儲(chǔ)各種類型的

LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)，例如，可以把數(shù)據(jù)“推”到遠(yuǎn)程的辦公室，以增加數(shù)據(jù)的安全性。

復(fù)制技術(shù)是內(nèi)置在LDAP服務(wù)器中的而且很容易配置。如果要在DBMS中使用相同的復(fù)制功能，數(shù)據(jù)庫產(chǎn)商就會(huì)要用戶支付額外的費(fèi)用，而且也很難管理。LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)

LDAP允許用戶根據(jù)需要使用ACI（訪問控制列表）控制對數(shù)據(jù)讀和寫的權(quán)限。例如，設(shè)備管理員可以有權(quán)改變員工的工作地點(diǎn)和辦公室號(hào)碼，但是不允許改變記錄中其他的域。ACI可以根據(jù)誰訪問數(shù)據(jù)、訪問什么數(shù)據(jù)、數(shù)據(jù)存在什么地方以及其他對數(shù)據(jù)進(jìn)行訪問控制。LDAP允許用戶根據(jù)需要使用ACI（訪問控制列表）控制對數(shù)12.5PKI的產(chǎn)品、應(yīng)用現(xiàn)狀和前景12.5.1PKI的主要廠商和產(chǎn)品12.5.2PKI的應(yīng)用現(xiàn)狀和前景返回本章首頁12.5PKI的產(chǎn)品、應(yīng)用現(xiàn)狀和前景12.5.1PK12.5.1PKI的主要廠商和產(chǎn)品返回本節(jié)12.5.1PKI的主要廠商和產(chǎn)品返回本節(jié)

2．Entrust公司的PKI產(chǎn)品Entrust的CA具有良好的靈活性，它可以向各種設(shè)備或應(yīng)用程序頒發(fā)數(shù)字證書，包括終端PC用戶、Web服務(wù)器、Web瀏覽器、VPN設(shè)備、SET用戶等。凡是支持X.509證書格式的設(shè)備或應(yīng)用程序都可以獲得數(shù)字證書，這樣就最大限度地利用了PKI所能提供的功能。2．Entrust公司的PKI產(chǎn)品

3．BaltimoreTechnologies公司UniCERT是BaltimoreTechnologies公司推出的PKI產(chǎn)品?？偛吭O(shè)在愛爾蘭首都都柏林，主要從事網(wǎng)絡(luò)安全領(lǐng)域的產(chǎn)品開發(fā)。這些產(chǎn)品在管理多個(gè)CA之間的交互操作方面建立了良好的聲譽(yù)，這使得它們特別適合于公共CA和非常大型的組織。UniCERT是目前世界上最先進(jìn)的PKI產(chǎn)品之一。3．BaltimoreTechnologies公司12.5.2PKI的應(yīng)用現(xiàn)狀和前景 1.PKI在國外的應(yīng)用在美國，隨著電子商務(wù)的日益興旺，電子簽名、數(shù)字證書已經(jīng)在實(shí)際中得到了一定程度的應(yīng)用。返回本節(jié)12.5.2PKI的應(yīng)用現(xiàn)狀和前景 1.PKI在國外的

2.各行業(yè)的應(yīng)用政府部門需要PKI支持管理，商業(yè)企業(yè)內(nèi)部、企業(yè)與企業(yè)之間、區(qū)域性服務(wù)網(wǎng)絡(luò)、電子商務(wù)網(wǎng)站都需要PKI的技術(shù)和解決方案。2.各行業(yè)的應(yīng)用

3.VPN的應(yīng)用基于PKI的虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）市場也隨著B2B電子商務(wù)的發(fā)展而迅速膨脹。據(jù)InfoneticsResearch的調(diào)查和估計(jì)，VPN市場由1997年的2.05億美元開始以100％的增長率增長，到2001年達(dá)到119億美元。3.VPN的應(yīng)用12.6PMI

12.6.1PMI簡介12.6.2PERMIS工程12.6.3PERMIS的權(quán)限管理基礎(chǔ)設(shè)施（PMI）實(shí)現(xiàn)12.6PMI12.6.1PMI簡介12.6.1PMI簡介PMI（PrivilegeManagementInfrastructure），即授權(quán)管理基礎(chǔ)設(shè)施，在ANSI，ITUX.509和IETFPKIX中都有定義。國際電聯(lián)電信委員會(huì)(ITIU—T)2001年發(fā)表的X.509的第四版首次將權(quán)限管理基礎(chǔ)設(shè)旋（PMI）的證書完全標(biāo)準(zhǔn)化。X.509的早期版本側(cè)重于公鑰基礎(chǔ)設(shè)施（PKI）的證書標(biāo)準(zhǔn)化。12.6.1PMI簡介PMI（Privilege12.6.1PMI簡介PMI授權(quán)技術(shù)的基本思想是以資源管理為核心，將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理，即資源的所有者來進(jìn)行訪問控制管理。PKI證明用戶是誰，并將用戶的身份信息保存在用戶的公鑰證書中；PMI證明這個(gè)用戶有什么權(quán)限，有什么屬性，能做什么，并將用戶的屬性信息保存在授權(quán)證書（管理證書）中。12.6.1PMI簡介PMI授權(quán)技術(shù)的基本思想是以資源管

PMI的體系結(jié)構(gòu)：PMI的體系結(jié)構(gòu)：12.6.2PERMIS工程

PERMI是歐洲委員會(huì)投資的權(quán)限和角色管理基礎(chǔ)設(shè)施標(biāo)準(zhǔn)確認(rèn)工程，PERMI在建立X.509基于角色的PMI中遇到了挑戰(zhàn)。PERMIS工程的挑戰(zhàn)性在于建立一個(gè)基于角色的X.509權(quán)限管理基礎(chǔ)設(shè)施，這個(gè)基礎(chǔ)設(shè)施能夠滿足這些不同的應(yīng)用，并且這也意味著它能夠用于更廣泛的應(yīng)用中。12.6.2PERMIS工程PERMI是歐洲委員會(huì)投資的12.6.3PERMIS的權(quán)限管理基礎(chǔ)設(shè)施（PMI）實(shí)現(xiàn)1．授權(quán)策略授權(quán)策略指定在什么條件下，誰對某種客體具有何種訪問權(quán)?；谟虻牟呗允跈?quán)比給每個(gè)客體配置各自獨(dú)立的ACLs(訪問控制列表)更可行。12.6.3PERMIS的權(quán)限管理基礎(chǔ)設(shè)施（PMI）實(shí)現(xiàn)

2．權(quán)限分配者（PA）

PA是SOA或AA(授權(quán)服務(wù)平臺(tái))用來給用戶分配權(quán)限的工具。由于PERMIS使用RBAC，SOA指定角色ACs的形式用PA給用戶分配角色。它將會(huì)指定給不同城市中的不同應(yīng)用中的所有用戶2．權(quán)限分配者（PA）

3．PMIAPI

開放組織已經(jīng)定義了標(biāo)準(zhǔn)授權(quán)API（AZNAPI），并用C語言指定。它以ISO10183-3訪問控制框架為基礎(chǔ)，指定了訪問控制執(zhí)行函數(shù)（AEF）和訪問控制決定函數(shù)（ADF）之間的接口。3．PMIAPI思考題1．闡述信任關(guān)系與信任模型的定義，并列出目前常用的4種信任模型。2．PKI的組成分為哪幾大部分？它們主要的功能各是什么？3．請簡述交叉認(rèn)證的過程。4．X.500、X.509和LDAP三者之間有何區(qū)別和聯(lián)系？5．PKI的主要廠商和產(chǎn)品有哪些？PKI的應(yīng)用現(xiàn)狀和前景如何？6．PERMIS的權(quán)限管理基礎(chǔ)設(shè)施（PMI）是怎樣實(shí)現(xiàn)的?思考題1．闡述信任關(guān)系與信任模型的定義，并列出目前常用的4種第12章PKI／PMI技術(shù)

12.1理論基礎(chǔ)12.2PKI(公鑰基礎(chǔ)設(shè)施)的組成12.3PKI的功能和要求12.4PKI相關(guān)協(xié)議12.5PKI的產(chǎn)品、應(yīng)用現(xiàn)狀和前景12.6PMI（授權(quán)管理基礎(chǔ)設(shè)施）

返回目錄第12章PKI／PMI技術(shù) 12.1理論基礎(chǔ)返回PKI公鑰基礎(chǔ)設(shè)施，就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施；公鑰體制廣泛的利用在CA認(rèn)證、數(shù)字簽名和密鑰交換等領(lǐng)域；PMI授權(quán)管理基礎(chǔ)設(shè)施，又稱為屬性特權(quán)機(jī)構(gòu)，依賴于PKI的支持，旨在提供訪問控制和特權(quán)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能，實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對應(yīng)、與具體應(yīng)用系統(tǒng)和管理無關(guān)的訪問控制機(jī)制，并能極大簡化應(yīng)用中訪問控制和權(quán)限管理系統(tǒng)的開發(fā)與維護(hù)。PKI公鑰基礎(chǔ)設(shè)施，就是利用公鑰理論和技術(shù)建立的提供信息安全12.1理論基礎(chǔ)12.1.1可認(rèn)證性與數(shù)字簽名12.1.2信任關(guān)系與信任模型返回本章首頁P(yáng)KI希望從技術(shù)上解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全服務(wù)。只要PKI具有友好的接口，那么用戶只需要知道如何接入PKI就能獲得安全服務(wù)，無需理解PKI是如何實(shí)現(xiàn)安全服務(wù)的。12.1理論基礎(chǔ)12.1.1可認(rèn)證性與數(shù)字簽名返回本12.1.1可認(rèn)證性與數(shù)字簽名1.可認(rèn)證性認(rèn)證的目的有兩個(gè)：一個(gè)是驗(yàn)證信息發(fā)送者的真實(shí)性，確認(rèn)他沒有被冒充；另一驗(yàn)證信息的完整性，確認(rèn)被驗(yàn)證的信息在傳遞或存儲(chǔ)過程中沒有被篡改、重組或延遲。返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名1.可認(rèn)證性返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名認(rèn)證是防止敵手對系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)。認(rèn)證技術(shù)主要包括：數(shù)字簽名；身份識(shí)別；信息完整性校驗(yàn)；返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名認(rèn)證是防止敵手對12.1.1可認(rèn)證性與數(shù)字簽名公鑰密碼技術(shù)提供網(wǎng)絡(luò)中信息安全的全面解決方案。采用公鑰技術(shù)的關(guān)鍵是如何確認(rèn)個(gè)人的公鑰。在PKI中，公鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立的第三方充當(dāng)認(rèn)證中心（CA），來確認(rèn)聲稱擁有公鑰的人的真實(shí)身份。CA制作一個(gè)“數(shù)字證書”，包含用戶身份的部分信息及用戶所持有的公鑰，然后用CA本身的密鑰為證書加上數(shù)字簽名。想要發(fā)放自身公鑰的用戶，可以向CA申請證書。其他用戶只要能驗(yàn)證證書是真實(shí)的，并且信任CA，就可以確認(rèn)用戶的公鑰。返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名公鑰密碼技術(shù)提供網(wǎng)絡(luò)中信息安

2.數(shù)字簽名的算法(1)Hash簽名(接收方必須持有用戶密鑰的副本，以驗(yàn)證簽名，較容易攻破)。(2)DSS簽名。(3)RSA簽名。返回本節(jié)2.數(shù)字簽名的算法返回本節(jié)

12.1.2信任關(guān)系與信任模型

用戶必須完全信任證書分發(fā)機(jī)構(gòu)。信任模型主要闡述以下問題：PKI用戶能夠信任的證書是如何確定的信任是如何建立的如何控制這種信任目前常用的有四種信任模型。返回本節(jié)12.1.2信任關(guān)系與信任模型用戶必須完全信任證書分發(fā)

12.1.2信任關(guān)系與信任模型

1．認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型根（信任錨）CA認(rèn)證（更準(zhǔn)確地說是創(chuàng)立和簽署證書）直接連接在它下面的CA。每個(gè)CA都認(rèn)證零個(gè)或多個(gè)直接連接在它下面的CA。倒數(shù)第二層的CA認(rèn)證終端實(shí)體。返回本節(jié)12.1.2信任關(guān)系與信任模型1．認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)

2．分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上。也就是說，A把CAl作為他的信任錨，而B可以把CA2做為他的信任錨。返回本節(jié)2．分布式信任結(jié)構(gòu)模型返回本節(jié)

3．Web模型在這種模型中，許多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器上。這些公鑰確定了一組瀏覽器用戶最初信任的CA。盡管這組根密鑰可以被用戶修改，然而幾乎沒有普通用戶對于PKI和安全問題能精通到可以進(jìn)行這種修改的程度。返回本節(jié)3．Web模型返回本節(jié)

4．以用戶為中心的信任模型在以用戶為中心的信任模型中，每個(gè)用戶自己決定信任哪些證書。通常，用戶的最初信任對象包括用戶的朋友、家人或同事，但是否信任某證書則被許多因素所左右。返回本節(jié)4．以用戶為中心的信任模型返回本節(jié)12.2PKI的組成12.2.1認(rèn)證機(jī)關(guān)12.2.2證書庫12.2.3密鑰備份及恢復(fù)系統(tǒng)12.2.4證書作廢處理系統(tǒng)12.2.5PKI應(yīng)用接口系統(tǒng)返回本章首頁12.2PKI的組成12.2.1認(rèn)證機(jī)關(guān)返回本章首頁12.2.1認(rèn)證機(jī)關(guān)1．CA的職責(zé)證書是公鑰體制的一種密鑰管理媒介，是一種權(quán)威性的電子文檔，用于證明某一主體的身份及公鑰合法性。CA是證書的簽發(fā)機(jī)構(gòu)，它是PKI的核心。（1）驗(yàn)證并標(biāo)識(shí)證書申請者的身份。（2）確保CA用于簽名證書的非對稱密鑰的質(zhì)量。（3）確保整個(gè)簽證過程的安全性，確保簽名私鑰的安全性。返回本節(jié)12.2.1認(rèn)證機(jī)關(guān)1．CA的職責(zé)返回本節(jié)

（4）證書材料信息（包括公鑰證書序列號(hào)、CA標(biāo)識(shí)等）的管理。（5）確定并檢查證書的有效期限。（6）確保證書主體標(biāo)識(shí)的惟一性，防止重名。（7）發(fā)布并維護(hù)作廢證書表。（8）對整個(gè)證書簽發(fā)過程做日志記錄。（9）向申請人發(fā)通知。（4）證書材料信息（包括公鑰證書序列號(hào)、CA標(biāo)識(shí)等）

2.證書的主要內(nèi)容。

如下表所示：返回本節(jié)2.證書的主要內(nèi)容。如下表所示：返回本節(jié)

（1）主體的公鑰產(chǎn)生方式用戶自己生成密鑰對，然后將公鑰以安全的方式傳送給CA。CA替用戶生成密鑰對，然后將其以安全的方式傳送給用戶，該過程必須確保密鑰對的機(jī)密性、完整性和可驗(yàn)證性。返回本節(jié)（1）主體的公鑰產(chǎn)生方式返回本節(jié)

（2）公鑰的兩大類用途：

用于驗(yàn)證數(shù)字簽名。消息接收者使用發(fā)送者的公鑰對消息的數(shù)字簽名進(jìn)行驗(yàn)證。用于加密信息。消息發(fā)送者使用接收者的公鑰加密用于加密消息的密鑰，進(jìn)行數(shù)據(jù)加密密鑰的傳遞。返回本節(jié)（2）公鑰的兩大類用途：返回本節(jié)

（3）密鑰管理的不同要求簽名密鑰對由簽名私鑰和驗(yàn)證公鑰組成。為保證其惟一性，簽名私鑰絕對不能夠作備份和存檔。加密密鑰對由加密公鑰和脫密私鑰組成。為防止密鑰丟失時(shí)丟失數(shù)據(jù)，脫密私鑰應(yīng)該進(jìn)行備份，同時(shí)還可能需要進(jìn)行存檔。返回本節(jié)（3）密鑰管理的不同要求返回本節(jié)12.2.2證書庫證書庫是證書的集中存放地，是網(wǎng)上的一種公共信息庫，用戶可以從此處獲得其他用戶的證書和公鑰。構(gòu)造證書庫的最佳方法是采用支持LDAP協(xié)議（輕量目錄訪問協(xié)議）的目錄系統(tǒng)，用戶或相關(guān)的應(yīng)用通過LDAP來訪問證書庫。系統(tǒng)必須確保證書庫的完整性，防止偽造、篡改證書。12.2.2證書庫證書庫是證書的集中存放地，是網(wǎng)上的一種公12.2.3密鑰備份及恢復(fù)系統(tǒng)為了防止用戶由于丟失脫密密鑰導(dǎo)致的數(shù)據(jù)丟失，PKI提供備分與恢復(fù)脫密密鑰的機(jī)制。密鑰的備份與恢復(fù)應(yīng)該由可信的機(jī)構(gòu)來完成，例如CA可以充當(dāng)這一角色。值得強(qiáng)調(diào)的是，密鑰備份與恢復(fù)只能針對脫密密鑰，簽名私鑰不能夠作備份。返回本節(jié)12.2.3密鑰備份及恢復(fù)系統(tǒng)為了防止用戶由于丟失脫密密鑰12.2.4證書作廢處理系統(tǒng)

1.作廢證書（有效期）的三種策略（1）作廢一個(gè)或多個(gè)主體的證書。（2）作廢由某一對密鑰簽發(fā)的所有證書。（3）作廢由某CA簽發(fā)的所有證書。返回本節(jié)12.2.4證書作廢處理系統(tǒng)1.作廢證書（有效期）的三

2.作廢證書的處理方法作廢證書一般通過將證書列入作廢證書表CRL（CertificateRevocationList）來完成。通常，系統(tǒng)中由CA負(fù)責(zé)創(chuàng)建并維護(hù)一張及時(shí)更新的CRL，而由用戶在驗(yàn)證證書時(shí)負(fù)責(zé)檢查該證書是否在CRL之列。CRL一般存放在目錄系統(tǒng)中。返回本節(jié)2.作廢證書的處理方法返回本節(jié)12.2.5PKI應(yīng)用接口系統(tǒng)1.作用PKI的價(jià)值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性，同時(shí)降低管理維護(hù)成本。返回本節(jié)12.2.5PKI應(yīng)用接口系統(tǒng)1.作用返回本節(jié)

2.功能完成證書的驗(yàn)證工作，為所有應(yīng)用以一致、可信的方式使用公鑰證書提供支持。以安全、一致的方式與PKI的密鑰備份與恢復(fù)系統(tǒng)交互，為應(yīng)用提供統(tǒng)一的密鑰備份與恢復(fù)支持。在所有應(yīng)用系統(tǒng)中，確保用戶的簽名私鑰始終只在用戶本人的控制之下，阻止備份簽名私鑰的行為。返回本節(jié)2.功能返回本節(jié)

根據(jù)安全策略自動(dòng)為用戶更換密鑰，實(shí)現(xiàn)密鑰更換的自動(dòng)、透明與一致。為方便用戶訪問加密的歷史數(shù)據(jù)，向應(yīng)用提供歷史密鑰的安全管理服務(wù)。為所有應(yīng)用訪問統(tǒng)一的公用證書庫提供支持。以可信、一致的方式與證書作廢系統(tǒng)交互，向所有應(yīng)用提供統(tǒng)一的證書作廢處理服務(wù)。根據(jù)安全策略自動(dòng)為用戶更換密鑰，實(shí)現(xiàn)密鑰更換的自動(dòng)、透明

完成交叉證書的驗(yàn)證工作，為所用應(yīng)用提供統(tǒng)一模式的交叉驗(yàn)證支持。支持多種密鑰存放介質(zhì)，包括IC卡、PC卡、安全文件等。PKI應(yīng)用接口系統(tǒng)應(yīng)該是跨平臺(tái)的。完成交叉證書的驗(yàn)證工作，為所用應(yīng)用提供統(tǒng)一模式的交叉驗(yàn)證12.3PKI的功能和要求

12.3.1證書、密鑰對的自動(dòng)更換12.3.2交叉認(rèn)證12.3.3其他一些功能12.3.4對PKI的性能要求返回本章首頁12.3PKI的功能和要求12.3.1證書、密鑰對的12.3.1證書、密鑰對的自動(dòng)更換證書、密鑰都有一定的生命期限。當(dāng)用戶的私鑰泄露時(shí)，必須更換密鑰對；另外，隨著計(jì)算機(jī)速度日益提高，密鑰長度也必須相應(yīng)地增長。因此，PKI應(yīng)該提供完全自動(dòng)（無須用戶干預(yù)）的密鑰更換以及新證書的分發(fā)工作。返回本節(jié)12.3.1證書、密鑰對的自動(dòng)更換證書、密鑰都有一定的生12.3.2交叉認(rèn)證

每個(gè)CA只能覆蓋一定的作用范圍（域）。兩個(gè)CA安全地交換密鑰信息，這樣每個(gè)CA都可以有效地驗(yàn)證另一方密鑰的可信任性，我們稱這樣的過程為交叉認(rèn)證。事實(shí)上，交叉認(rèn)證是第三方信任的擴(kuò)展，即一個(gè)CA的網(wǎng)絡(luò)用戶信任其他所有自己CA交叉認(rèn)證的CA用戶。返回本節(jié)12.3.2交叉認(rèn)證每個(gè)CA只能覆蓋一定的作用范圍（域）

交叉認(rèn)證的操作（1）兩個(gè)域之間信任關(guān)系的建立，在雙邊交叉認(rèn)證的情況下，兩個(gè)CA安全地交換他們的驗(yàn)證密鑰。這些密鑰用于驗(yàn)證他們在證書上的簽名。為了完成這個(gè)操作，每個(gè)CA簽發(fā)一張包含自己公鑰（這個(gè)公鑰用于對方驗(yàn)證自己的簽名）的證書，該證書稱為交叉證書。返回本節(jié)交叉認(rèn)證的操作返回本節(jié)

（2）由客戶端軟件來做。這個(gè)操作包含了驗(yàn)證由已經(jīng)交叉認(rèn)證的CA簽發(fā)的用戶證書的可信賴性，這個(gè)操作需要經(jīng)常執(zhí)行。這個(gè)操作常常被稱為跟蹤信任鏈。

鏈指的是交叉證書確認(rèn)列表，沿著這個(gè)列表可以跟蹤所有驗(yàn)證用戶證書的CA密鑰。（2）由客戶端軟件來做。這個(gè)操作包含了驗(yàn)證由已經(jīng)交叉認(rèn)證12.3.3其他一些功能

1．加密密鑰和簽名密鑰的分隔如前所述，加密和簽名密鑰的密鑰管理需求是相互抵觸的，因此PKI應(yīng)該支持加密和簽名密鑰的分隔使用。12.3.3其他一些功能1．加密密鑰和簽名密鑰的分隔

2．支持對數(shù)字簽名的不可抵賴任何類型的電子商務(wù)都離不開數(shù)字簽名，因此PKI必須支持?jǐn)?shù)字簽名的不可抵賴性，而數(shù)字簽名的不可抵賴性依賴于簽名私鑰的惟一性和機(jī)密性，為確保這一點(diǎn)，PKI必須保證簽名密鑰與加密密鑰的分隔使用。2．支持對數(shù)字簽名的不可抵賴

3．密鑰歷史的管理每次更新加密密鑰后，相應(yīng)的解密密鑰都應(yīng)該存檔，以便將來恢復(fù)用舊密鑰加密的數(shù)據(jù)。每次更新簽名密鑰后，舊的簽名私鑰應(yīng)該妥善銷毀，防止破壞其惟一性；相應(yīng)的舊驗(yàn)證公鑰應(yīng)該進(jìn)行存檔，以便將來用于驗(yàn)證舊的簽名。3．密鑰歷史的管理12.3.4對PKI的性能要求

1．透明性和易用性2．可擴(kuò)展性3．互操作性4．支持多應(yīng)用5.支持多平臺(tái)12.3.4對PKI的性能要求1．透明性和易用性12.4PKI相關(guān)協(xié)議12.4.1X.500目錄服務(wù)12.4.2X.50912.4.3公開秘鑰證書的標(biāo)準(zhǔn)擴(kuò)展12.4.4LDAP協(xié)議返回本章首頁12.4PKI相關(guān)協(xié)議12.4.1X.500目錄服務(wù)12.4.1X.500目錄服務(wù)1.定義X.500是一種CCITT（ITU）針對已經(jīng)被國際標(biāo)準(zhǔn)化組織（ISO）接受的目錄服務(wù)系統(tǒng)的建議，它定義了一個(gè)機(jī)構(gòu)如何在一個(gè)企業(yè)的全局范圍內(nèi)共享名字和與它們相關(guān)的對象。返回本節(jié)12.4.1X.500目錄服務(wù)1.定義返回本節(jié)

2.作用X.500目錄服務(wù)可以向需要訪問網(wǎng)絡(luò)任何地方資源的電子函件系統(tǒng)和應(yīng)用，或需要知道在網(wǎng)絡(luò)上的實(shí)體名字和地點(diǎn)的管理系統(tǒng)提供信息。這個(gè)目錄是一個(gè)數(shù)據(jù)庫，或在X.500描述中稱為目錄信息數(shù)據(jù)庫（DIB）。在數(shù)據(jù)庫中的實(shí)體稱為對象。2.作用12.4.2X.509X.509是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解決方案。在X.509方案中，默認(rèn)的加密體制是公鑰密碼體制。為進(jìn)行身份認(rèn)證，X.509標(biāo)準(zhǔn)及公共密鑰加密系統(tǒng)提供了數(shù)字簽名的方案。12.4.2X.509X.509是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解

每一版本包含的信息：版本號(hào)：用來區(qū)分X.509的不同版本號(hào)。序列號(hào)：由CA給予每一個(gè)證書的分配惟一的數(shù)字型編號(hào)。簽名算法標(biāo)識(shí)符：用來指定用CA簽發(fā)證書時(shí)所使用的簽名算法。認(rèn)證機(jī)構(gòu)：即發(fā)出該證書的機(jī)構(gòu)惟一的CA的X.500名字。每一版本包含的信息：

有效期限：證書有效的時(shí)間包括兩個(gè)日期：證書開始生效期和證書失效的日期和時(shí)間，在所指定的這兩個(gè)時(shí)間之間有效。主題信息：證書持有人的姓名、服務(wù)處所等信息。認(rèn)證機(jī)構(gòu)的數(shù)字簽名：以確保這個(gè)證書在發(fā)放之后沒有被改過。公鑰信息：包括被證明有效的公鑰值和加上使用這個(gè)公鑰的方法名稱。有效期限：證書有效的時(shí)間包括兩個(gè)日期：證書開始生效期和證書12.4.3公開秘鑰證書的標(biāo)準(zhǔn)擴(kuò)展

1.密鑰和政策信息，包括：機(jī)構(gòu)密鑰識(shí)別符；主體密鑰識(shí)別符；密鑰用途（如數(shù)字簽字，不可否認(rèn)性、密鑰加密、數(shù)據(jù)加密、密鑰協(xié)商、證書簽字、CRL簽字等）；密鑰使用期限等。返回本節(jié)12.4.3公開秘鑰證書的標(biāo)準(zhǔn)擴(kuò)展1.密鑰和政策信息，

2.主體和發(fā)證人屬性，包括：主體代用名；發(fā)證者代用名；主體檢索屬性等。2.主體和發(fā)證人屬性，包括：

3.證書通路約束，包括：基本約束，指明是否可以做證書機(jī)構(gòu)。4.與CRL有關(guān)的補(bǔ)充。3.證書通路約束，包括：12.4.4LDAP協(xié)議LDAP目錄中可以存儲(chǔ)各種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密鑰、聯(lián)系人列表等。通過把LDAP目錄作為系統(tǒng)集成中的一個(gè)重要環(huán)節(jié)，可以簡化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至連主要的數(shù)據(jù)源都可以放在任何地方。返回本節(jié)12.4.4LDAP協(xié)議LDAP目錄中可以存儲(chǔ)各種類型的

LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)，例如，可以把數(shù)據(jù)“推”到遠(yuǎn)程的辦公室，以增加數(shù)據(jù)的安全性。

復(fù)制技術(shù)是內(nèi)置在LDAP服務(wù)器中的而且很容易配置。如果要在DBMS中使用相同的復(fù)制功能，數(shù)據(jù)庫產(chǎn)商就會(huì)要用戶支付額外的費(fèi)用，而且也很難管理。LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)

LDAP允許用戶根據(jù)需要使用ACI（訪問控制列表）控制對數(shù)據(jù)讀和寫的權(quán)限。例如，設(shè)備管理員可以有權(quán)改變員工的工作地點(diǎn)和辦公室號(hào)碼，但是不允許改變記錄中其他的域。ACI可以根據(jù)誰訪問數(shù)據(jù)、訪問什么數(shù)據(jù)、數(shù)據(jù)存在什么地方以及其他對數(shù)據(jù)進(jìn)行訪問控制。LDAP允許用戶根據(jù)需要使用ACI（訪問控制列表）控制對數(shù)12.5PKI的產(chǎn)品、應(yīng)用現(xiàn)狀和前景12.5.1PKI的主要廠商和產(chǎn)品12.5.2PKI的應(yīng)用現(xiàn)狀和前景返回本章首頁12.5PKI的產(chǎn)品、應(yīng)用現(xiàn)狀和前景12.5.1PK12.5.1PKI的主要廠商和產(chǎn)品返回本節(jié)12.5.1PKI的主要廠商和產(chǎn)品返回本節(jié)

2．Entrust公司的PKI產(chǎn)品Entrust的CA具有良好的靈活性，它可以向各種設(shè)備或應(yīng)用程序頒發(fā)數(shù)字證書，包括終端PC用戶、Web服務(wù)器、Web瀏覽器、VPN設(shè)備、SET用戶等。凡是支持X.509證書格式的設(shè)備或應(yīng)用程序都可以獲得數(shù)字證書，這樣就最大限度地利用了PKI所能提供的功能。2．Entrust公司的PKI產(chǎn)品

3．BaltimoreTechnologies公司UniCERT是BaltimoreTechnologies公司推出的PKI產(chǎn)品。總部設(shè)在愛爾蘭首都都柏林，主要從事網(wǎng)絡(luò)安全領(lǐng)域的產(chǎn)品開發(fā)。這些產(chǎn)品在管理多個(gè)CA之間的交互操作方面建立了良好的聲譽(yù)，這使得它們特別適合于公共