信息安全導(dǎo)論第章KIMI技術(shù)

第12章PKI／PMI技術(shù)

12.1理論基礎(chǔ)12.2PKI(公鑰基礎(chǔ)設(shè)施)的組成12.3PKI的功能和要求12.4PKI相關(guān)協(xié)議12.5PKI的產(chǎn)品、應(yīng)用現(xiàn)狀和前景12.6PMI（授權(quán)管理基礎(chǔ)設(shè)施）

返回目錄PKI公鑰基礎(chǔ)設(shè)施，就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施；公鑰體制廣泛的利用在CA認(rèn)證、數(shù)字簽名和密鑰交換等領(lǐng)域；PMI授權(quán)管理基礎(chǔ)設(shè)施，又稱為屬性特權(quán)機(jī)構(gòu)，依賴于PKI的支持，旨在提供訪問(wèn)控制和特權(quán)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能，實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)、與具體應(yīng)用系統(tǒng)和管理無(wú)關(guān)的訪問(wèn)控制機(jī)制，并能極大簡(jiǎn)化應(yīng)用中訪問(wèn)控制和權(quán)限管理系統(tǒng)的開(kāi)發(fā)與維護(hù)。12.1理論基礎(chǔ)12.1.1可認(rèn)證性與數(shù)字簽名12.1.2信任關(guān)系與信任模型返回本章首頁(yè)P(yáng)KI希望從技術(shù)上解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全服務(wù)。只要PKI具有友好的接口，那么用戶只需要知道如何接入PKI就能獲得安全服務(wù)，無(wú)需理解PKI是如何實(shí)現(xiàn)安全服務(wù)的。12.1.1可認(rèn)證性與數(shù)字簽名1.可認(rèn)證性認(rèn)證的目的有兩個(gè)：一個(gè)是驗(yàn)證信息發(fā)送者的真實(shí)性，確認(rèn)他沒(méi)有被冒充；另一驗(yàn)證信息的完整性，確認(rèn)被驗(yàn)證的信息在傳遞或存儲(chǔ)過(guò)程中沒(méi)有被篡改、重組或延遲。返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名認(rèn)證是防止敵手對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)。認(rèn)證技術(shù)主要包括：數(shù)字簽名；身份識(shí)別；信息完整性校驗(yàn)；返回本節(jié)12.1.1可認(rèn)證性與數(shù)字簽名公鑰密碼技術(shù)提供網(wǎng)絡(luò)中信息安全的全面解決方案。采用公鑰技術(shù)的關(guān)鍵是如何確認(rèn)個(gè)人的公鑰。在PKI中，公鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立的第三方充當(dāng)認(rèn)證中心（CA），來(lái)確認(rèn)聲稱擁有公鑰的人的真實(shí)身份。CA制作一個(gè)“數(shù)字證書(shū)”，包含用戶身份的部分信息及用戶所持有的公鑰，然后用CA本身的密鑰為證書(shū)加上數(shù)字簽名。想要發(fā)放自身公鑰的用戶，可以向CA申請(qǐng)證書(shū)。其他用戶只要能驗(yàn)證證書(shū)是真實(shí)的，并且信任CA，就可以確認(rèn)用戶的公鑰。返回本節(jié)

2.數(shù)字簽名的算法(1)Hash簽名(接收方必須持有用戶密鑰的副本，以驗(yàn)證簽名，較容易攻破)。(2)DSS簽名。(3)RSA簽名。返回本節(jié)

12.1.2信任關(guān)系與信任模型

用戶必須完全信任證書(shū)分發(fā)機(jī)構(gòu)。信任模型主要闡述以下問(wèn)題：PKI用戶能夠信任的證書(shū)是如何確定的信任是如何建立的如何控制這種信任目前常用的有四種信任模型。返回本節(jié)

12.1.2信任關(guān)系與信任模型

1．認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型根（信任錨）CA認(rèn)證（更準(zhǔn)確地說(shuō)是創(chuàng)立和簽署證書(shū)）直接連接在它下面的CA。每個(gè)CA都認(rèn)證零個(gè)或多個(gè)直接連接在它下面的CA。倒數(shù)第二層的CA認(rèn)證終端實(shí)體。返回本節(jié)

2．分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上。也就是說(shuō)，A把CAl作為他的信任錨，而B(niǎo)可以把CA2做為他的信任錨。返回本節(jié)3．Web模型在這種種模型型中，，許多多CA的公鑰鑰被預(yù)預(yù)裝在在標(biāo)準(zhǔn)準(zhǔn)的瀏瀏覽器器上。。這些些公鑰鑰確定定了一一組瀏瀏覽器器用戶戶最初初信任任的CA。盡管管這組組根密密鑰可可以被被用戶戶修改改，然然而幾幾乎沒(méi)沒(méi)有普普通用用戶對(duì)對(duì)于PKI和安全全問(wèn)題題能精精通到到可以以進(jìn)行行這種種修改改的程程度。。返回本本節(jié)4．以用用戶為為中心心的信信任模模型在以用用戶為為中心心的信信任模模型中中，每每個(gè)用用戶自自己決決定信信任哪哪些證證書(shū)。。通常常，用用戶的的最初初信任任對(duì)象象包括括用戶戶的朋朋友、、家人人或同同事，，但是是否信信任某某證書(shū)書(shū)則被被許多多因素素所左左右。。返回本本節(jié)12.2PKI的組成成認(rèn)證機(jī)機(jī)關(guān)證書(shū)庫(kù)庫(kù)密鑰備備份及及恢復(fù)復(fù)系統(tǒng)統(tǒng)證書(shū)作作廢處處理系系統(tǒng)應(yīng)用接接口系系統(tǒng)返回本本章首首頁(yè)認(rèn)證機(jī)機(jī)關(guān)1．CA的職責(zé)責(zé)證書(shū)是是公鑰鑰體制制的一一種密密鑰管管理媒媒介，，是一一種權(quán)權(quán)威性性的電電子文文檔，，用于于證明明某一一主體體的身身份及及公鑰鑰合法法性。。CA是證書(shū)書(shū)的簽簽發(fā)機(jī)機(jī)構(gòu)，，它是是PKI的核心心。（1）驗(yàn)證證并標(biāo)標(biāo)識(shí)證證書(shū)申申請(qǐng)者者的身身份。。（2）確保保CA用于簽簽名證證書(shū)的的非對(duì)對(duì)稱密密鑰的的質(zhì)量量。（3）確保保整個(gè)個(gè)簽證證過(guò)程程的安安全性性，確確保簽簽名私私鑰的的安全全性。。返回本本節(jié)（4）證書(shū)書(shū)材料料信息息（包包括公公鑰證證書(shū)序序列號(hào)號(hào)、CA標(biāo)識(shí)等等）的的管理理。（5）確定定并檢檢查證證書(shū)的的有效效期限限。（6）確保保證書(shū)書(shū)主體體標(biāo)識(shí)識(shí)的惟惟一性性，防防止重重名。。（7）發(fā)布布并維維護(hù)作作廢證證書(shū)表表。（8）對(duì)整整個(gè)證證書(shū)簽簽發(fā)過(guò)過(guò)程做做日志志記錄錄。（9）向申申請(qǐng)人人發(fā)通通知。。2.證書(shū)的的主要要內(nèi)容容。如下表表所示示：返回本本節(jié)（1）主體體的公公鑰產(chǎn)產(chǎn)生方方式用戶自自己生生成密密鑰對(duì)對(duì)，然然后將將公鑰鑰以安安全的的方式式傳送送給CA。CA替用戶戶生成成密鑰鑰對(duì)，，然后后將其其以安安全的的方式式傳送送給用用戶，，該過(guò)過(guò)程必必須確確保密密鑰對(duì)對(duì)的機(jī)機(jī)密性性、完完整性性和可可驗(yàn)證證性。。返回本本節(jié)（2）公鑰鑰的兩兩大類類用途途：用于驗(yàn)驗(yàn)證數(shù)數(shù)字簽簽名。。消息息接收收者使使用發(fā)發(fā)送者者的公公鑰對(duì)對(duì)消息息的數(shù)數(shù)字簽簽名進(jìn)進(jìn)行驗(yàn)驗(yàn)證。。用于加加密信信息。。消息息發(fā)送送者使使用接接收者者的公公鑰加加密用用于加加密消消息的的密鑰鑰，進(jìn)進(jìn)行數(shù)數(shù)據(jù)加加密密密鑰的的傳遞遞。返回本本節(jié)（3）密鑰鑰管理理的不不同要要求簽名密密鑰對(duì)對(duì)由簽簽名私私鑰和和驗(yàn)證證公鑰鑰組成成。為為保證證其惟惟一性性，簽簽名私私鑰絕絕對(duì)不不能夠夠作備備份和和存檔檔。加密密密鑰對(duì)對(duì)由加加密公公鑰和和脫密密私鑰鑰組成成。為為防止止密鑰鑰丟失失時(shí)丟丟失數(shù)數(shù)據(jù)，，脫密密私鑰鑰應(yīng)該該進(jìn)行行備份份，同同時(shí)還還可能能需要要進(jìn)行行存檔檔。返回本本節(jié)證書(shū)庫(kù)庫(kù)證書(shū)庫(kù)庫(kù)是證證書(shū)的的集中中存放放地，，是網(wǎng)網(wǎng)上的的一種種公共共信息息庫(kù)，，用戶戶可以以從此此處獲獲得其其他用用戶的的證書(shū)書(shū)和公公鑰。。構(gòu)造證證書(shū)庫(kù)庫(kù)的最最佳方方法是是采用用支持持LDAP協(xié)議（（輕量量目錄錄訪問(wèn)問(wèn)協(xié)議議）的的目錄錄系統(tǒng)統(tǒng)，用用戶或或相關(guān)關(guān)的應(yīng)應(yīng)用通通過(guò)LDAP來(lái)訪問(wèn)問(wèn)證書(shū)書(shū)庫(kù)。。系統(tǒng)統(tǒng)必須須確保保證書(shū)書(shū)庫(kù)的的完整整性，，防止止偽造造、篡篡改證證書(shū)。。密鑰備份及及恢復(fù)系統(tǒng)統(tǒng)為了防止用用戶由于丟丟失脫密密密鑰導(dǎo)致的的數(shù)據(jù)丟失失，PKI提供備分與與恢復(fù)脫密密密鑰的機(jī)機(jī)制。密鑰的備份份與恢復(fù)應(yīng)應(yīng)該由可信信的機(jī)構(gòu)來(lái)來(lái)完成，例例如CA可以充當(dāng)這這一角色。。值得強(qiáng)調(diào)的的是，密鑰鑰備份與恢恢復(fù)只能針針對(duì)脫密密密鑰，簽名名私鑰不能能夠作備份份。返回本節(jié)證書(shū)作廢處處理系統(tǒng)1.作廢證書(shū)（（有效期））的三種策策略（1）作廢一個(gè)個(gè)或多個(gè)主主體的證書(shū)書(shū)。（2）作廢由某某一對(duì)密鑰鑰簽發(fā)的所所有證書(shū)。。（3）作廢由某某CA簽發(fā)的所有有證書(shū)。返回本節(jié)2.作廢證書(shū)的的處理方法法作廢證書(shū)一一般通過(guò)將將證書(shū)列入入作廢證書(shū)書(shū)表CRL（CertificateRevocationList）來(lái)完成。。通常，系系統(tǒng)中由CA負(fù)責(zé)創(chuàng)建并并維護(hù)一張張及時(shí)更新新的CRL，而由用戶戶在驗(yàn)證證證書(shū)時(shí)負(fù)責(zé)責(zé)檢查該證證書(shū)是否在在CRL之列。CRL一般存放在在目錄系統(tǒng)統(tǒng)中。返回本節(jié)應(yīng)用接口系系統(tǒng)1.作用PKI的價(jià)值在于于使用戶能能夠方便地地使用加密密、數(shù)字簽簽名等安全全服務(wù)，因因此一個(gè)完完整的PKI必須提供良良好的應(yīng)用用接口系統(tǒng)統(tǒng)，使得各各種各樣的的應(yīng)用能夠夠以安全、、一致、可可信的方式式與PKI交互，確保保所建立起起來(lái)的網(wǎng)絡(luò)絡(luò)環(huán)境的可可信性，同同時(shí)降低管管理維護(hù)成成本。返回本節(jié)2.功能完成證書(shū)的的驗(yàn)證工作作，為所有有應(yīng)用以一一致、可信信的方式使使用公鑰證證書(shū)提供支支持。以安全、一一致的方式式與PKI的密鑰備份份與恢復(fù)系系統(tǒng)交互，，為應(yīng)用提提供統(tǒng)一的的密鑰備份份與恢復(fù)支支持。在所有應(yīng)用用系統(tǒng)中，，確保用戶戶的簽名私私鑰始終只只在用戶本本人的控制制之下，阻阻止備份簽簽名私鑰的的行為。返回本節(jié)根據(jù)安全策策略自動(dòng)為為用戶更換換密鑰，實(shí)實(shí)現(xiàn)密鑰更更換的自動(dòng)動(dòng)、透明與與一致。為方便用戶戶訪問(wèn)加密密的歷史數(shù)數(shù)據(jù)，向應(yīng)應(yīng)用提供歷歷史密鑰的的安全管理理服務(wù)。為所有應(yīng)用用訪問(wèn)統(tǒng)一一的公用證證書(shū)庫(kù)提供供支持。以可信、一一致的方式式與證書(shū)作作廢系統(tǒng)交交互，向所所有應(yīng)用提提供統(tǒng)一的的證書(shū)作廢廢處理服務(wù)務(wù)。完成交叉證證書(shū)的驗(yàn)證證工作，為為所用應(yīng)用用提供統(tǒng)一一模式的交交叉驗(yàn)證支支持。支持多種密密鑰存放介介質(zhì)，包括括IC卡、PC卡、安全文文件等。PKI應(yīng)用接口系系統(tǒng)應(yīng)該是是跨平臺(tái)的的。12.3PKI的功能和要要求證書(shū)、密鑰鑰對(duì)的自動(dòng)動(dòng)更換交叉認(rèn)證其他一些功功能對(duì)PKI的性能要求求返回本章首首頁(yè)證書(shū)、密鑰鑰對(duì)的自動(dòng)動(dòng)更換證書(shū)、密鑰鑰都有一定定的生命期期限。當(dāng)用用戶的私鑰鑰泄露時(shí)，，必須更換換密鑰對(duì)；；另外，隨著著計(jì)算機(jī)速速度日益提提高，密鑰鑰長(zhǎng)度也必必須相應(yīng)地地增長(zhǎng)。因因此，PKI應(yīng)該提供完完全自動(dòng)（（無(wú)須用戶戶干預(yù)）的的密鑰更換換以及新證證書(shū)的分發(fā)發(fā)工作。返回本節(jié)交叉認(rèn)證每個(gè)CA只能覆蓋一一定的作用用范圍（域域）。兩個(gè)CA安全地交換換密鑰信息息，這樣每每個(gè)CA都可以有效效地驗(yàn)證另另一方密鑰鑰的可信任任性，我們們稱這樣的的過(guò)程為交交叉認(rèn)證。。事實(shí)上，交交叉認(rèn)證是是第三方信信任的擴(kuò)展展，即一個(gè)個(gè)CA的網(wǎng)絡(luò)用戶戶信任其他他所有自己己CA交叉認(rèn)證的的CA用戶。返回本節(jié)交叉認(rèn)證的的操作（1）兩個(gè)域之之間信任關(guān)關(guān)系的建立立，在雙邊邊交叉認(rèn)證證的情況下下，兩個(gè)CA安全地交換換他們的驗(yàn)驗(yàn)證密鑰。。這些密鑰鑰用于驗(yàn)證證他們?cè)谧C證書(shū)上的簽簽名。為了了完成這個(gè)個(gè)操作，每每個(gè)CA簽發(fā)一張包包含自己公公鑰（這個(gè)個(gè)公鑰用于于對(duì)方驗(yàn)證證自己的簽簽名）的證證書(shū)，該證證書(shū)稱為交交叉證書(shū)。。返回本節(jié)（2）由客戶端端軟件來(lái)做做。這個(gè)操操作包含了了驗(yàn)證由已已經(jīng)交叉認(rèn)認(rèn)證的CA簽發(fā)的用戶戶證書(shū)的可可信賴性，，這個(gè)操作作需要經(jīng)常常執(zhí)行。這這個(gè)操作常常常被稱為為跟蹤信任任鏈。鏈指的是交交叉證書(shū)確確認(rèn)列表，，沿著這個(gè)個(gè)列表可以以跟蹤所有有驗(yàn)證用戶戶證書(shū)的CA密鑰。其他一些功功能1．加密密鑰鑰和簽名密密鑰的分隔隔如前所述，，加密和簽簽名密鑰的的密鑰管理理需求是相相互抵觸的的，因此PKI應(yīng)該支持加加密和簽名名密鑰的分分隔使用。。2．支持對(duì)數(shù)數(shù)字簽名的的不可抵賴賴任何類型的的電子商務(wù)務(wù)都離不開(kāi)開(kāi)數(shù)字簽名名，因此PKI必須支持?jǐn)?shù)數(shù)字簽名的的不可抵賴賴性，而數(shù)數(shù)字簽名的的不可抵賴賴性依賴于于簽名私鑰鑰的惟一性性和機(jī)密性性，為確保保這一點(diǎn)，，PKI必須保證簽簽名密鑰與與加密密鑰鑰的分隔使使用。3．密鑰歷史史的管理每次更新加加密密鑰后后，相應(yīng)的的解密密鑰鑰都應(yīng)該存存檔，以便便將來(lái)恢復(fù)復(fù)用舊密鑰鑰加密的數(shù)數(shù)據(jù)。每次次更新簽名名密鑰后，，舊的簽名名私鑰應(yīng)該該妥善銷(xiāo)毀毀，防止破破壞其惟一一性；相應(yīng)應(yīng)的舊驗(yàn)證證公鑰應(yīng)該該進(jìn)行存檔檔，以便將將來(lái)用于驗(yàn)驗(yàn)證舊的簽簽名。對(duì)PKI的性能要求求1．透明性和和易用性2．可擴(kuò)展性性3．互操作性性4．支持多應(yīng)應(yīng)用5.支持多平臺(tái)臺(tái)12.4PKI相關(guān)協(xié)議目錄服務(wù)公開(kāi)秘鑰證證書(shū)的標(biāo)準(zhǔn)準(zhǔn)擴(kuò)展協(xié)議返回本章首首頁(yè)12.4.1X.500目錄服務(wù)1.定義義X.500是一種CCITT（ITU）針對(duì)已經(jīng)經(jīng)被國(guó)際標(biāo)標(biāo)準(zhǔn)化組織織（ISO）接受的目目錄服務(wù)系系統(tǒng)的建議議，它定義義了一個(gè)機(jī)機(jī)構(gòu)如何在在一個(gè)企業(yè)業(yè)的全局范范圍內(nèi)共享享名字和與與它們相關(guān)關(guān)的對(duì)象。。返回本節(jié)2.作用用X.500目錄服務(wù)可可以向需要要訪問(wèn)網(wǎng)絡(luò)絡(luò)任何地方方資源的電電子函件系系統(tǒng)和應(yīng)用用，或需要要知道在網(wǎng)網(wǎng)絡(luò)上的實(shí)實(shí)體名字和和地點(diǎn)的管管理系統(tǒng)提提供信息。。這個(gè)目錄是是一個(gè)數(shù)據(jù)據(jù)庫(kù)，或在在X.500描述中稱為為目錄信息息數(shù)據(jù)庫(kù)（（DIB）。在數(shù)據(jù)據(jù)庫(kù)中的實(shí)實(shí)體稱為對(duì)對(duì)象。X.509是一一種種行行業(yè)業(yè)標(biāo)標(biāo)準(zhǔn)準(zhǔn)或或者者行行業(yè)業(yè)解解決決方方案案。。在X.509方案案中中，，默默認(rèn)認(rèn)的的加加密密體體制制是是公公鑰鑰密密碼碼體體制制。。為為進(jìn)進(jìn)行行身身份份認(rèn)認(rèn)證證，，X.509標(biāo)準(zhǔn)準(zhǔn)及及公公共共密密鑰鑰加加密密系系統(tǒng)統(tǒng)提提供供了了數(shù)數(shù)字字簽簽名名的的方方案案。。每一一版版本本包包含含的的信信息息：：版本本號(hào)號(hào)：：用用來(lái)來(lái)區(qū)區(qū)分分X.509的不不同同版版本本號(hào)號(hào)。。序列列號(hào)號(hào)：：由由CA給予予每每一一個(gè)個(gè)證證書(shū)書(shū)的的分分配配惟惟一一的的數(shù)數(shù)字字型型編編號(hào)號(hào)。。簽名名算算法法標(biāo)標(biāo)識(shí)識(shí)符符：：用用來(lái)來(lái)指指定定用用CA簽發(fā)發(fā)證證書(shū)書(shū)時(shí)時(shí)所所使使用用的的簽簽名名算算法法。。認(rèn)證證機(jī)機(jī)構(gòu)構(gòu)：：即即發(fā)發(fā)出出該該證證書(shū)書(shū)的的機(jī)機(jī)構(gòu)構(gòu)惟惟一一的的CA的X.500名字字。。有效效期期限限：：證證書(shū)書(shū)有有效效的的時(shí)時(shí)間間包包括括兩兩個(gè)個(gè)日日期期：：證證書(shū)書(shū)開(kāi)開(kāi)始始生生效效期期和和證證書(shū)書(shū)失失效效的的日日期期和和時(shí)時(shí)間間，，在在所所指指定定的的這這兩兩個(gè)個(gè)時(shí)時(shí)間間之之間間有有效效。。主題題信信息息：：證證書(shū)書(shū)持持有有人人的的姓姓名名、、服服務(wù)務(wù)處處所所等等信信息息。。認(rèn)證證機(jī)機(jī)構(gòu)構(gòu)的的數(shù)數(shù)字字簽簽名名：：以以確確保保這這個(gè)個(gè)證證書(shū)書(shū)在在發(fā)發(fā)放放之之后后沒(méi)沒(méi)有有被被改改過(guò)過(guò)。。公鑰鑰信信息息：：包包括括被被證證明明有有效效的的公公鑰鑰值值和和加加上上使使用用這這個(gè)個(gè)公公鑰鑰的的方方法法名名稱稱。。公開(kāi)開(kāi)秘秘鑰鑰證證書(shū)書(shū)的的標(biāo)標(biāo)準(zhǔn)準(zhǔn)擴(kuò)擴(kuò)展展1.密鑰鑰和和政政策策信信息息，，包包括括：：機(jī)構(gòu)構(gòu)密密鑰鑰識(shí)識(shí)別別符符；；主體體密密鑰鑰識(shí)識(shí)別別符符；；密鑰鑰用用途途（（如如數(shù)數(shù)字字簽簽字字，，不不可可否否認(rèn)認(rèn)性性、、密密鑰鑰加加密密、、數(shù)數(shù)據(jù)據(jù)加加密密、、密密鑰鑰協(xié)協(xié)商商、、證證書(shū)書(shū)簽簽字字、、CRL簽字字等等））；；密鑰鑰使使用用期期限限等等。。返回回本本節(jié)節(jié)2.主體體和和發(fā)發(fā)證證人人屬屬性性，，包包括括：：主體體代代用用名名；；發(fā)證證者者代代用用名名；；主體體檢檢索索屬屬性性等等。。3.證書(shū)書(shū)通通路路約約束束，，包包括括：：基本本約約束束，，指指明明是是否否可可以以做做證證書(shū)書(shū)機(jī)機(jī)構(gòu)構(gòu)。。4.與CRL有關(guān)關(guān)的的補(bǔ)補(bǔ)充充。。協(xié)議議LDAP目錄錄中中可可以以存存儲(chǔ)儲(chǔ)各各種種類類型型的的數(shù)數(shù)據(jù)據(jù)：：電電子子郵郵件件地地址址、、郵郵件件路路由由信信息息、、人人力力資資源源數(shù)數(shù)據(jù)據(jù)、、公公用用密密鑰鑰、、聯(lián)聯(lián)系系人人列列表表等等。。通過(guò)過(guò)把把LDAP目錄錄作作為為系系統(tǒng)統(tǒng)集集成成中中的的一一個(gè)個(gè)重重要要環(huán)環(huán)節(jié)節(jié)，，可可以以簡(jiǎn)簡(jiǎn)化化員員工工在在企企業(yè)業(yè)內(nèi)內(nèi)部部查查詢?cè)冃判畔⑾⒌牡牟讲襟E驟，，甚甚至至連連主主要要的的數(shù)數(shù)據(jù)據(jù)源源都都可可以以放放在在任任何何地地方方。。返回回本本節(jié)節(jié)LDAP服務(wù)務(wù)器器可可以以用用““推推””或或““拉拉””的的方方法法復(fù)復(fù)制制部部分分或或全全部部數(shù)數(shù)據(jù)據(jù)，，例例如如，，可可以以把把數(shù)數(shù)據(jù)據(jù)““推推””到到遠(yuǎn)遠(yuǎn)程程的的辦辦公公室室，，以以增增加加數(shù)數(shù)據(jù)據(jù)的的安安全全性性。。復(fù)制技術(shù)是內(nèi)內(nèi)置在LDAP服務(wù)器中的而而且很容易配配置。如果要要在DBMS中使用相同的的復(fù)制功能，，數(shù)據(jù)庫(kù)產(chǎn)商商就會(huì)要用戶戶支付額外的的費(fèi)用，而且且也很難管理理。LDAP允許用戶根據(jù)據(jù)需要使用ACI（訪問(wèn)控制列列表）控制對(duì)對(duì)數(shù)據(jù)讀和寫(xiě)寫(xiě)的權(quán)限。例例如，設(shè)備管管理員可以有有權(quán)改變員工工的工作地點(diǎn)點(diǎn)和辦公室號(hào)號(hào)碼，但是不不允許改變記記錄中其他的的域。ACI可以根據(jù)誰(shuí)訪訪問(wèn)數(shù)據(jù)、訪訪問(wèn)什么數(shù)據(jù)據(jù)、數(shù)據(jù)存在在什么地方以以及其他對(duì)數(shù)數(shù)據(jù)進(jìn)行訪問(wèn)問(wèn)控制。12.5PKI的產(chǎn)品、應(yīng)用用現(xiàn)狀和前景景12.5.1PKI的主要廠商和和產(chǎn)品12.5.2PKI的應(yīng)用現(xiàn)狀和和前景返回本章首頁(yè)頁(yè)12.5.1PKI的主要廠商和和產(chǎn)品返回本節(jié)2．Entrust公司的PKI產(chǎn)品Entrust的CA具有良好的靈靈活性，它可可以向各種設(shè)設(shè)備或應(yīng)用程程序頒發(fā)數(shù)字字證書(shū)，包括括終端PC用戶、Web服務(wù)器、Web瀏覽器、VPN設(shè)備、SET用戶等。凡是是支持X.509證書(shū)格式的設(shè)設(shè)備或應(yīng)用程程序都可以獲獲得數(shù)字證書(shū)書(shū)，這樣就最最大限度地利利用了PKI所能提供的功功能。3．BaltimoreTechnologies公司UniCERT是BaltimoreTechnologies公司推出的PKI產(chǎn)品?？偛吭O(shè)在愛(ài)爾爾蘭首都都柏柏林，主要從從事網(wǎng)絡(luò)安全全領(lǐng)域的產(chǎn)品品開(kāi)發(fā)。這些些產(chǎn)品在管理理多個(gè)CA之間的交互操操作方面建立立了良好的聲聲譽(yù)，這使得得它們特別適適合于公共CA和非常大型的的組織。UniCERT是目前世界上上最先進(jìn)的PKI產(chǎn)品之一。12.5.2PKI的應(yīng)用現(xiàn)狀和和前景1.PKI在國(guó)外的應(yīng)用用在美國(guó)，隨著著電子商務(wù)的的日益興旺，，電子簽名、、數(shù)字證書(shū)已已經(jīng)在實(shí)際中中得到了一定定程度的應(yīng)用用。返回本節(jié)2.各行業(yè)的應(yīng)用用政府部門(mén)需要要PKI支持管理，商商業(yè)企業(yè)內(nèi)部部、企業(yè)與企企業(yè)之間、區(qū)區(qū)域性服務(wù)網(wǎng)網(wǎng)絡(luò)、電子商商務(wù)網(wǎng)站都需需要PKI的技術(shù)和解決決方案。3.VPN的應(yīng)用基于PKI的虛擬專用網(wǎng)網(wǎng)VPN（VirtualPrivateNetwork）市場(chǎng)也隨著著B(niǎo)2B電子商務(wù)的發(fā)發(fā)展而迅速膨膨脹。據(jù)InfoneticsResearch的調(diào)查和估計(jì)計(jì)，VPN市場(chǎng)由1997年的2.05億美元開(kāi)始以以100％的增長(zhǎng)率增增長(zhǎng)，到2001年達(dá)到119億美元。12.6PMI12.6.1PMI簡(jiǎn)介12.6.2PERMIS工程12.6.3PERMIS的權(quán)限管理基基礎(chǔ)設(shè)施（PMI）實(shí)現(xiàn)12.6.1PMI簡(jiǎn)介PMI（PrivilegeManagementInfrastructure），即授權(quán)管管理基礎(chǔ)設(shè)施施，在ANSI，ITUX.509和IETFPKIX中都有定義。。國(guó)際電聯(lián)電電信委員會(huì)(ITIU——T)2001年發(fā)表的X.509的第四版首次次將權(quán)限管理理基礎(chǔ)設(shè)旋（（PMI）的證書(shū)完全全標(biāo)準(zhǔn)化。X.509的早期版本側(cè)側(cè)重于公鑰基