PKIPMI技術(shù)分類和身份認(rèn)證

1、PKI/PMI技術(shù)分類和身份認(rèn)證2一、PKI技術(shù)二、PMI技術(shù)三、身份認(rèn)證技術(shù)3PKI就在我們身邊電子商務(wù)（包括移動(dòng)商務(wù)）電子支付，電子合同、數(shù)字簽名國(guó)防在線訪問軍事資源、通信保密、文件保密、秘密分級(jí)管理、各部門通信協(xié)調(diào)。電子政務(wù)電子公章、資源訪問控制、文件保密登錄授權(quán)VPN456國(guó)內(nèi)外PKI發(fā)展二十世紀(jì)八十年代，美國(guó)學(xué)者提出了PKI（公開密鑰基礎(chǔ)設(shè)施）的概念1996年成立了聯(lián)邦PKI指導(dǎo)委員會(huì)1999年，PKI論壇成立 2000年4月，美國(guó)國(guó)防部宣布要采用PKI安全倡議方案 2001年6月13日， “亞洲PKI論壇”成立2002年2月經(jīng)國(guó)家計(jì)委批準(zhǔn)，正式成立了“中國(guó)PKI論壇”籌備工作組20

2、02年7月2日到5日在北京召開了“亞洲PKI論壇”第二屆年會(huì) 2007年11月7日，“亞洲PKI聯(lián)盟”（APKIC，Asia PKI Consortium）成立大會(huì)在中國(guó)西安召開。7中國(guó)的PKI建設(shè)(1)區(qū)域型上海CA中心（SHECA）；北京CA（BJCA）；天津CA中心；福建CA中心，湖北CA（簡(jiǎn)稱HBECA）；海南電子商務(wù)認(rèn)證中心（HNECA）；廣東省電子商務(wù)認(rèn)證中心 行業(yè)型金融、電信和外經(jīng)貿(mào)等行業(yè)建立的相關(guān)證書機(jī)構(gòu) 國(guó)內(nèi)十三家商業(yè)銀行聯(lián)合建設(shè)中國(guó)金融認(rèn)證中心(CFCA)中國(guó)電信組建的CTCA由國(guó)家外經(jīng)貿(mào)部建立的中國(guó)國(guó)際電子商務(wù)中心（CIECC）國(guó)家根CA國(guó)家密碼管理局8中國(guó)的PKI建設(shè)(

3、2)獲證機(jī)構(gòu)和發(fā)證數(shù)量，逐年增加至2005年底，15家CA，發(fā)證總量236萬(wàn)至2006年底，21家CA，累計(jì)發(fā)證546萬(wàn)至2007年底，26家CA，初步統(tǒng)計(jì)發(fā)證約740多萬(wàn)上海CA累計(jì)發(fā)證突破90萬(wàn)（2007年7月）CFCA累計(jì)發(fā)證突破100萬(wàn)（2006年7月）山東CA已發(fā)放證書40多萬(wàn)張（2006年1月）9中國(guó)的PKI建設(shè)(3)應(yīng)用領(lǐng)域網(wǎng)上支付2006年3月，支付寶公司推出國(guó)內(nèi)支付領(lǐng)域首張數(shù)字證書電子病歷截至2007年12月，廣西醫(yī)科大學(xué)第一附屬醫(yī)院36個(gè)臨床病區(qū)采用電子病歷，5萬(wàn)份電子病歷使用電子簽名2007年，廣東中山市人民醫(yī)院1300余名醫(yī)護(hù)人員制作了證書網(wǎng)上交易平臺(tái)2007年，廣東省

4、開通網(wǎng)上藥品采購(gòu)平臺(tái)，發(fā)放6000多張證書10一、PKI技術(shù)PKI的概述PKI （Public Key Infrastructure）是硬件、軟件、策略和人組成的系統(tǒng)，當(dāng)完全并且正確的實(shí)施后，能夠提供一整套的信息安全保障，這些保障對(duì)保護(hù)敏感的通信和交易是非常重要的。PKI的主要目的是通過自動(dòng)管理密鑰和證書，為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下應(yīng)用PKI提供的服務(wù)，從而實(shí)現(xiàn)網(wǎng)上傳輸數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性和有效性要求。普適性：只要遵循必要的原則，就能使用提供的服務(wù)。比如：網(wǎng)絡(luò)基礎(chǔ)設(shè)施、電力基礎(chǔ)設(shè)施等。安全服務(wù)：公鑰密碼的功能、密碼的功能等。11PKI是一個(gè)完整系統(tǒng)維

5、持一個(gè)可靠的網(wǎng)絡(luò)環(huán)境 提供非對(duì)稱式加密算法數(shù)字簽名可向許多不同類型的應(yīng)用提供服務(wù)PKI意味著密鑰管理證書管理 PKI模式12認(rèn)證：采用數(shù)字簽名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上被認(rèn)證的數(shù)據(jù) 數(shù)據(jù)源認(rèn)證服務(wù)用戶發(fā)送的遠(yuǎn)程請(qǐng)求 身份認(rèn)證服務(wù)遠(yuǎn)程設(shè)備生成的challenge信息 身份認(rèn)證完整性：PKI采用了兩種技術(shù)數(shù)字簽名：既可以是實(shí)體認(rèn)證，也可以是數(shù)據(jù)完整性MAC(消息認(rèn)證碼)：如DES-CBC-MAC或者HMAC-MD5保密性：用公鑰分發(fā)隨機(jī)密鑰，然后用隨機(jī)密鑰對(duì)數(shù)據(jù)加密不可否認(rèn)：發(fā)送方的不可否認(rèn) 數(shù)字簽名其他：性能問題、使用方式問題等 PKI作用13PKI系統(tǒng)由認(rèn)證中心CA(Certificate

6、 Authority)、證書庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)和應(yīng)用接口等主要組成部分，如圖 PKI認(rèn)證中心CA證書庫(kù)密鑰備份和恢復(fù)系統(tǒng)證書作廢處理系統(tǒng)應(yīng)用接口 PKI組成141CA CA是PKI的核心，它是數(shù)字證書的簽發(fā)機(jī)構(gòu)。 CA的功能有：證書發(fā)放、證書更新、證書撤銷和證書驗(yàn)證。CA的核心功能就是發(fā)放和管理數(shù)字證書。 CA主要由安全服務(wù)器、 CA服務(wù)器 、注冊(cè)機(jī)構(gòu)RA (Registry Authority，負(fù)責(zé)證書申請(qǐng)受理審核)、數(shù)據(jù)庫(kù)服務(wù)器、LDAP目錄服務(wù)器等部分組成。 2證書庫(kù) 證書庫(kù)就是證書的集中存放地，包括LDAP(輕型目錄訪問協(xié)議)目錄服務(wù)器和普通數(shù)據(jù)庫(kù)，用于對(duì)用戶申請(qǐng)

7、、證書、密鑰、CRL(證書撤銷列表)和日志等信息進(jìn)行存儲(chǔ)和管理，并提供一定的查詢功能。 一般來說，為了獲得及時(shí)的服務(wù)，證書庫(kù)的訪問和查詢操作時(shí)間必須盡量的短，證書和證書撤銷信息必須盡量小，這樣才能減少總共要消耗的網(wǎng)絡(luò)帶寬。 PKI組成153密鑰備份及恢復(fù)系統(tǒng) 密鑰的備份與恢復(fù)應(yīng)該由可信的機(jī)構(gòu)來完成，認(rèn)證中心CA可以充當(dāng)這一角色。4證書作廢處理系統(tǒng) 作廢證書一般通過將證書列入作廢證書列表（CRL）來完成。證書的作廢處理必須在安全及可驗(yàn)證的情況下進(jìn)行，系統(tǒng)還必須保證CRL的完整性。5應(yīng)用接口 PKI的價(jià)值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此，一個(gè)完整的PKI必須提供良好的應(yīng)用接口

8、系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性，同時(shí)降低管理維護(hù)成本。 PKI組成16 PKI關(guān)鍵技術(shù)數(shù)字證書證書認(rèn)證中心（CA）證書廢除機(jī)制CA信任模式17數(shù)字證書什么是數(shù)字證書一段包括用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)一個(gè)經(jīng)證書認(rèn)證中心（CA）簽名的包括公鑰擁有者信息及公鑰信息的文件數(shù)字證書的作用網(wǎng)絡(luò)通信的身份證明，解決相互間信任問題用戶公鑰信息用于數(shù)據(jù)加密，保證數(shù)據(jù)保密性、用戶身份的不可抵賴性18相互關(guān)系示意圖證書序列號(hào) xxxxx:有效期: Nov.08,2001 - Nov.08,2008用戶名組織名部門Sta

9、tus:公鑰: ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl簽名信息公鑰認(rèn)證機(jī)構(gòu)私鑰19數(shù)字證書的格式公鑰證書是專為Internet的應(yīng)用環(huán)境制定的，但很多建議都可以應(yīng)用于企業(yè)環(huán)境 ,第3版的證書結(jié)構(gòu)如圖: 證書的有效時(shí)間段證書的版本標(biāo)識(shí)符(例如，版本3)標(biāo)識(shí)證書的唯一整數(shù)用于簽證書的算法識(shí)別符和簽名值證書頒發(fā)者的唯一識(shí)別名證書擁有者的公鑰(和算法識(shí)別符）由授權(quán)CA簽名(頒發(fā)者)版本號(hào)序列號(hào)簽名頒發(fā)者有效期主體主體公鑰信息頒發(fā)者唯一標(biāo)識(shí)符主體唯一標(biāo)識(shí)符擴(kuò)展頒發(fā)者的可選唯一標(biāo)識(shí)符主體的唯一標(biāo)識(shí)符可選擴(kuò)展證書

10、擁有者的唯一識(shí)別名2021證書的申請(qǐng)有兩種方式，一是在線申請(qǐng)，另外一個(gè)就是離線申請(qǐng)。在線申請(qǐng)就是通過瀏覽器或其他應(yīng)用系統(tǒng)通過在線的方式來申請(qǐng)證書，這種方式一般用于申請(qǐng)普通用戶證書或測(cè)試證書。離線方式一般通過人工的方式直接到證書機(jī)構(gòu)證書受理點(diǎn)去辦理證書申請(qǐng)手續(xù)，通過審核后獲取證書，這種方式一般用于比較重要的場(chǎng)合，如服務(wù)器證書和商家證書等。 證書的申請(qǐng)和撤銷22一般的證書產(chǎn)生流程狀態(tài)查詢認(rèn)證機(jī)構(gòu)證書資料庫(kù)注冊(cè)機(jī)構(gòu)RA發(fā)布證書及CRL私鑰證書公鑰證書申請(qǐng)證書公鑰公鑰公鑰23證書申請(qǐng)的步驟用戶首先下載CA的證書，又叫根證書。然后在證書的申請(qǐng)過程中使用SSL安全方式與服務(wù)器建立連接，用戶填寫個(gè)人信息，瀏

11、覽器生成私鑰和公鑰對(duì)，將私鑰保存客戶端特定文件中，并且要求用口令保護(hù)私鑰，同時(shí)將公鑰和個(gè)人信息提交給安全服務(wù)器。安全服務(wù)器將用戶的申請(qǐng)信息傳送給注冊(cè)機(jī)構(gòu)服務(wù)器。 24注冊(cè)機(jī)構(gòu)審核用戶與注冊(cè)機(jī)構(gòu)人員聯(lián)系，證明自己的真實(shí)身份。 注冊(cè)機(jī)構(gòu)操作員利用自己的瀏覽器與注冊(cè)機(jī)構(gòu)服務(wù)器建立SSL安全通信，該服務(wù)器需要對(duì)操作員進(jìn)行嚴(yán)格的身份認(rèn)證，包括操作員的數(shù)字證書、IP地址，為了進(jìn)一步保證安全性，可以設(shè)置固定的訪問時(shí)間。操作員首先查看目前系統(tǒng)中的申請(qǐng)人員，從列表中找出相應(yīng)的用戶，點(diǎn)擊用戶名，核對(duì)用戶信息，并且可以進(jìn)行適當(dāng)?shù)男薷模绻僮鲉T同意用戶申請(qǐng)證書請(qǐng)求，必須對(duì)證書申請(qǐng)信息進(jìn)行數(shù)字簽名。操作員也有權(quán)利拒絕

12、用戶的申請(qǐng)。操作員與服務(wù)器之間的所有通信都采用加密和簽名，保證了系統(tǒng)的安全性和有效性。25CA發(fā)行證書注冊(cè)機(jī)構(gòu)RA通過硬拷貝的方式向CA傳輸用戶的證書申請(qǐng)與操作員的數(shù)字簽名，CA操作員查看用戶的詳細(xì)信息，并且驗(yàn)證操作員的數(shù)字簽名，如果簽名驗(yàn)證通過，則同意用戶的證書請(qǐng)求，頒發(fā)證書。然后CA將證書輸出。反之，則拒絕證書申請(qǐng)。 CA頒發(fā)的數(shù)字證書中包含關(guān)于用戶及CA自身的各種信息，如：能唯一標(biāo)識(shí)用戶的姓名及其他標(biāo)識(shí)信息，如個(gè)人的email地址；證書持有者的公鑰。 公鑰用于為證書持有者加密敏感信息、簽發(fā)個(gè)人證書的認(rèn)證機(jī)構(gòu)的名稱、個(gè)人證書的序列號(hào)和個(gè)人證書的有效期等 。26注冊(cè)機(jī)構(gòu)證書轉(zhuǎn)發(fā)注冊(cè)機(jī)構(gòu)RA操

13、作員從CA處得到新的證書，首先將證書輸出到LDAP目錄服務(wù)器以提供目錄瀏覽服務(wù)，最后操作員向用戶發(fā)送一封電子郵件，通知用戶證書已經(jīng)發(fā)行成功，并且把用戶的證書序列號(hào)告訴用戶到指定的網(wǎng)址去下載自己的數(shù)字證書。并且告訴用戶如何使用安全服務(wù)器上的LDAP配置，讓用戶修改瀏覽器的客戶端配置文件以便訪問LDAP服務(wù)器，獲得他人的數(shù)字證書。 27用戶證書獲取用戶使用證書申請(qǐng)時(shí)的瀏覽器到指定的網(wǎng)址，鍵入自己的證書序列號(hào)，服務(wù)器要求用戶必須使用申請(qǐng)證書時(shí)的瀏覽器，因?yàn)闉g覽器需要用該證書相應(yīng)的私鑰去驗(yàn)證數(shù)字證書。只有保存了相應(yīng)私鑰的瀏覽器才能成功下載用戶的數(shù)字證書。 這時(shí)用戶打開瀏覽器的安全屬性，就可以發(fā)現(xiàn)自己已

14、經(jīng)擁有了CA頒發(fā)的數(shù)字證書，可以利用該數(shù)字證書與其他人以及web服務(wù)器（擁有相同CA頒發(fā)的證書）使用加密、數(shù)字簽名進(jìn)行安全通信。28證書撤銷流程用戶向注冊(cè)機(jī)構(gòu)操作員CRLManager發(fā)送一封簽名加密的郵件，聲明自己自愿撤消證書。注冊(cè)機(jī)構(gòu)同意證書撤消，操作員鍵入用戶的序列號(hào)，對(duì)請(qǐng)求進(jìn)行數(shù)字簽名。CA查詢證書撤消請(qǐng)求列表，選出其中的一個(gè)，驗(yàn)證操作員的數(shù)字簽名，如果正確的話，則同意用戶的證書撤消申請(qǐng)，同時(shí)更新CRL列表，然后將CRL以多種格式輸出。注冊(cè)機(jī)構(gòu)轉(zhuǎn)發(fā)證書撤消列表。操作員導(dǎo)入CRL，以多種不同的格式將CRL公布于眾。 用戶瀏覽安全服務(wù)器，下載或?yàn)g覽CRL。 29證書認(rèn)證中心（CA）CA的功

15、能證書的申請(qǐng)證書的審批和頒發(fā)證書的更新證書的查詢證書的注銷證書的歸檔CA自身的管理30CA的層次結(jié)構(gòu)自上而下信任，下級(jí)信任上級(jí)、下級(jí)由上級(jí)簽發(fā)31CA的分類 1、區(qū)域性CA針對(duì)某一特定區(qū)域進(jìn)行證書服務(wù)。上海、山東、廣東、深圳及福建等省份。 2、行業(yè)性CA針對(duì)某一特定行業(yè)進(jìn)行證書服務(wù)。CFCA（人行）、外經(jīng)貿(mào)委CA、電信CA等。 3、企業(yè)級(jí)CA企業(yè)內(nèi)部的小型CA，一般不對(duì)外服務(wù)。32CA根證書CA自身?yè)碛幸粚?duì)密鑰對(duì)，是CA的核心秘密。CA利用自己的私有密鑰簽發(fā)用戶的公鑰證書。根證書是上級(jí)CA給本CA簽發(fā)的數(shù)字證書，是CA自身的公鑰證書。構(gòu)成證書信任鏈： CA根證書用戶公鑰證書用戶33證書廢除機(jī)制

16、CRL數(shù)據(jù)格式3435CA信任模式級(jí)聯(lián)模式(層次信任模型)適合大型組織機(jī)構(gòu)部署方便不適合互聯(lián)網(wǎng)不適合非層次機(jī)構(gòu)信任是絕對(duì)的單點(diǎn)失敗危害大和現(xiàn)實(shí)生活中的信任關(guān)系差別大36網(wǎng)狀模型(分布式信任模型)具有更好的靈活性增加新的CA容易系統(tǒng)的安全性較高路徑發(fā)現(xiàn)比較困難37橋接模式實(shí)用性強(qiáng)，保證不同信任之間的互通增加了復(fù)雜度策略對(duì)應(yīng)困難可操作性差38Web信任模型 Web信任模型構(gòu)建在Web瀏覽器的基礎(chǔ)上，瀏覽器廠商在瀏覽器（如Internet Explorer、Tencent Traveler、Mozilla Firefox、Opera等）中內(nèi)置了多個(gè)根CA，每個(gè)根CA相互間是平行的，瀏覽器用戶同時(shí)信任

17、多個(gè)根CA并把這些根CA作為自己的信任錨。 39二、PMI技術(shù) 授權(quán)管理基礎(chǔ)設(shè)施（Privilege Management Infrastructure，PMI）是國(guó)家信息安全基礎(chǔ)設(shè)施的一個(gè)重要組成部分，目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù)，提供用戶身份到應(yīng)用授權(quán)的映射功能，提供與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制，簡(jiǎn)化具體應(yīng)用系統(tǒng)的開發(fā)和維護(hù)。40PMI的概念 PMI是在PKI發(fā)展的過程中為了將用戶權(quán)限的管理與其公鑰的管理分離，由IETF提出的一種標(biāo)準(zhǔn)。PKI以公鑰證書為基礎(chǔ)，實(shí)現(xiàn)用戶身份的統(tǒng)一管理，而PMI以2000年推出的X.509 v4標(biāo)準(zhǔn)中提

18、出的屬性證書為基礎(chǔ)，實(shí)現(xiàn)用戶權(quán)限的統(tǒng)一管理。 概括地講：PMI以資源管理為核心，對(duì)資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理。同PKI相比，兩者主要區(qū)別在于PKI證明用戶是誰(shuí)，而PMI證明這個(gè)用戶有什么權(quán)限、能干什么。PMI需要PKI為其提供身份認(rèn)證。 41PMI的組成 PMI主要由屬性權(quán)威（Attribute Authority，AA)、屬性證書（Attribute Certification，AC)和屬性證書庫(kù)3部分組成。1屬性權(quán)威（AA） 屬性權(quán)威（AA）也稱為“授權(quán)管理中心”或“屬性權(quán)威機(jī)構(gòu)”，是整個(gè)PMI系統(tǒng)的核心，它為不同的用戶和機(jī)構(gòu)進(jìn)行屬性證書（AC）創(chuàng)建、存儲(chǔ)、簽發(fā)和撤銷，負(fù)責(zé)管

19、理AC的整個(gè)生命周期。 42 如圖3-10所示的是AA的層次結(jié)構(gòu)。其中，在該樹型結(jié)構(gòu)最頂端（樹根）的是權(quán)威源（Source of Authority，SOA）。 圖3-10 AA的層次結(jié)構(gòu) 432屬性證書（AC） 屬性證書（AC）是由PMI的權(quán)威機(jī)構(gòu)（即屬性權(quán)威，AA）簽發(fā)的將實(shí)體與其享有的權(quán)限屬性捆綁在一起的數(shù)據(jù)結(jié)構(gòu)，權(quán)威機(jī)構(gòu)的數(shù)字簽名保證了綁定的有效性和合法性。AC主要用于授權(quán)管理。屬性證書的格式如圖所示。 443屬性證書庫(kù) 屬性證書庫(kù)用于存儲(chǔ)屬性證書，一般情況下采用LDAP目錄服務(wù)器。在屬性證書庫(kù)中采用LDAP目錄服務(wù)器主要出于以下幾點(diǎn)考慮：(1) LDAP目錄服務(wù)器能夠處理大量的用戶并

20、發(fā)，便于屬性證書的檢索，并具有更快的響應(yīng)速度；(2) LDAP服務(wù)器具有完善的安全機(jī)制，可以通過訪問控制列表(ACL)設(shè)置對(duì)目錄數(shù)據(jù)的讀和寫的權(quán)限，通過支持基于SSL的安全機(jī)制完成對(duì)明文的加密，可以為屬性證書的管理提供安全保障；(3) LDAP服務(wù)可以跨平臺(tái)操作，支持幾乎所有的主流操作系統(tǒng)；(4) 同步復(fù)制功能。例如，分布在不同地理位置的兩臺(tái)目錄服務(wù)器可以使服務(wù)器保持?jǐn)?shù)據(jù)的同步和一致；(5) LDAP服務(wù)器的數(shù)據(jù)的組織方式采用樹型層次結(jié)構(gòu)，便于擴(kuò)展。45基于角色的訪問控制 傳統(tǒng)的訪問控制機(jī)制主要有自主訪問控制（Discretionary Access Control，DAC）和強(qiáng)制訪問控制（M

21、andatory Access Control，MAC）。1）自主訪問控制（基于身份的訪問控制） 主要思想：系統(tǒng)的主體可以自主地將其擁有的對(duì)客體的訪問權(quán)限授予其 他主體，且這種授予具有可傳遞性。 特點(diǎn)：靈活性高，但授權(quán)管理復(fù)雜，安全性低。 2）強(qiáng)制訪問控制（基于規(guī)則的訪問控制） 主要思想：將主體和客體分級(jí)，根據(jù)主體和客體的級(jí)別標(biāo)識(shí)來決定訪問 控制。 特點(diǎn)：便于管理，但靈活性差，完整性方面控制不夠。 463）基于角色的訪問控制RBAC：Role-Based Access Control， 20世紀(jì)90年代發(fā)展起來。主要思想：根據(jù)用戶在組織內(nèi)的職稱、職務(wù)及所屬的業(yè)務(wù)部門等信息 來定義用戶擁有的角色

22、。特點(diǎn)：減少授權(quán)管理的復(fù)雜度，降低管理開銷，提高訪問控制的安全性，而且能夠?qū)崿F(xiàn)基于策略的授權(quán)管理和訪問控制。 以資源分配管理為主的PMI系統(tǒng)，其授權(quán)管理是基于角色的。與傳統(tǒng)的訪問控制機(jī)制相比，在PMI系統(tǒng)中的基于角色的授權(quán)管理模式主要存在以下三個(gè)方面的優(yōu)勢(shì)： （1）授權(quán)管理的靈活性。 （2）授權(quán)操作與業(yè)務(wù)操作相分離。 （3）多授權(quán)模型的靈活支持。47PMI系統(tǒng)框架 授權(quán)管理基礎(chǔ)設(shè)施（PMI）在體系上可以分為三級(jí)，分別是：權(quán)威源（Source of Authority, SOA）、屬性權(quán)威（AA）和AA代理點(diǎn)。在實(shí)際應(yīng)用中，這種分級(jí)體系可以根據(jù)需要進(jìn)行靈活配置，可以是三級(jí)、二級(jí)或一級(jí)。PMI系統(tǒng)

23、的基本框架如圖所示。 48PMI與PKI之間的關(guān)系 在建設(shè)PMI設(shè)施時(shí)，必須擁有足夠安全性的PKI設(shè)施。其中，PKI負(fù)責(zé)公鑰信息的管理，而PMI負(fù)責(zé)權(quán)限的管理。PMI設(shè)施中的每一個(gè)AA實(shí)體和終端用戶都是PKI設(shè)施的用戶，所以此從應(yīng)用角度來看，PMI和PKI的發(fā)展是相輔相成并互為條件的。雖然PMI是在PKI的基礎(chǔ)上提出的，但是PMI的應(yīng)用和發(fā)展離不開PKI設(shè)施的支持。 可以將PMI和PKI綁定在一起，也可以讓PMI與PKI在物理上分開。 49三、身份認(rèn)證技術(shù)在現(xiàn)實(shí)社會(huì)中，常常被問到：你是誰(shuí)？在網(wǎng)絡(luò)世界里，這個(gè)問題仍然很重要，許多信息系統(tǒng)在使用前，都要求用戶注冊(cè)，通過驗(yàn)證后才能進(jìn)入。身份認(rèn)證也稱“

24、身份驗(yàn)證”或“身份鑒別”，是防止未授權(quán)用戶進(jìn)入信息系統(tǒng)的第一道防線。是指在計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中確認(rèn)操作者身份的過程。50身份認(rèn)證含義身份認(rèn)證包含身份的識(shí)別和驗(yàn)證， 身份識(shí)別就是確定某一實(shí)體的身份，知道這個(gè)實(shí)體是誰(shuí)； 身份驗(yàn)證就是對(duì)聲稱是誰(shuí)的聲稱者的身份進(jìn)行或檢驗(yàn)的過程。前者是主動(dòng)識(shí)別對(duì)方的身份，后者是對(duì)對(duì)方身份的檢驗(yàn)和證明。51身份認(rèn)證含義在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，給用戶的授權(quán)也是針對(duì)用戶數(shù)字身份進(jìn)行的。而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無二的物理身份。保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，就是身

25、份認(rèn)證管理系統(tǒng)所需要解決的問題。52身份認(rèn)證的基本途徑基于所知道的（What you know ）知識(shí)、口令、密碼基于所擁有的（What you have ）身份證、信用卡、鑰匙、智能卡、令牌等基于個(gè)人特征（What you are）指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜雙因素、多因素認(rèn)證53身份認(rèn)證方法1. 基于用戶已知信息的身份認(rèn)證(1) 口令 口令（或通行字）是最被廣泛研究和應(yīng)用的一種身份驗(yàn)證方法，也是最簡(jiǎn)單的身份認(rèn)證方法。 口令的優(yōu)點(diǎn)：用戶名/口令方式已經(jīng)成為信息系統(tǒng)最為常見的限制非法 用戶的手段，使用非常方便。只要管理適當(dāng)，口令不失 為一種有效的安全保障手段。 口令的缺點(diǎn)：信息系

26、統(tǒng)的安全依賴于口令的安全。 此外，許多信息系統(tǒng)對(duì)用戶名/口令的身份認(rèn)證方式進(jìn)行了改進(jìn)，采用用戶名+口令+驗(yàn)證碼的方式，驗(yàn)證碼要求用戶從圖片或其他載體中讀取，有效地避免了暴力攻擊。 54身份認(rèn)證方法(2) 密鑰 此處密鑰的概念是針對(duì)密碼學(xué)原理而言的，即指對(duì)稱密碼算法的密鑰、非對(duì)稱密碼算法的公開密鑰和私有密鑰。 密鑰的優(yōu)點(diǎn)：基于復(fù)雜的密碼運(yùn)算，算法的安全性大為提高。 密鑰的缺點(diǎn)：運(yùn)算復(fù)雜，效率不高，使用不方便。使用對(duì)稱密 鑰算法時(shí)，認(rèn)證對(duì)方身份的前提是他必須保守共 享密鑰這個(gè)秘密，這本身就是脆弱的。55身份認(rèn)證方法2. 基于用戶所擁有的物品的身份認(rèn)證(1) 記憶卡最普通的記憶卡是磁卡，磁卡的表面貼

27、有磁條，磁條上記錄用于機(jī)器識(shí)別的個(gè)人信息。 記憶卡的優(yōu)點(diǎn)：記憶卡明顯比口令安全，廉價(jià)易于生產(chǎn)。 記憶卡的缺點(diǎn)：易于制造，磁條上的數(shù)據(jù)也不難轉(zhuǎn)錄。(2) 智能卡智能卡是一種內(nèi)置集成電路的芯片，包含微處理器、存儲(chǔ)器和輸入輸出接口設(shè)備。存儲(chǔ)信息遠(yuǎn)大于磁條的250字節(jié)的容量，具有信息處理功能。智能卡由合法用戶隨身攜帶，登錄時(shí)將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。56身份認(rèn)證方法智能卡內(nèi)存有用戶的密鑰和數(shù)字證書等信息，而且還能進(jìn)行有關(guān)加密和數(shù)字簽名運(yùn)算，功能比較強(qiáng)大。這些運(yùn)算都在卡內(nèi)完成，不使用計(jì)算機(jī)內(nèi)存，因而十分安全。由于智能卡結(jié)合了先進(jìn)的集成電路芯片，具有快速運(yùn)算、存儲(chǔ)量大、安全

28、性高以及難以破譯等優(yōu)點(diǎn)，是未來卡片的發(fā)展趨勢(shì)。(3) USB KeyUSB Key是一種USB接口的硬件存儲(chǔ)設(shè)備，它內(nèi)置單片機(jī)或芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key 內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?；赨SB Key 身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI 體系的認(rèn)證模式。它的原理類似智能卡，區(qū)別在于外形、功能和使用方式方面。57身份認(rèn)證方法3. 基于用戶生物特征的身份認(rèn)證生物識(shí)別技術(shù)主要是指通過可測(cè)量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征是指唯一的可以測(cè)量或可自動(dòng)識(shí)別和驗(yàn)證的生理特征或行為方式。生物特征分為身體特征和

29、行為特征兩類。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型和DNA 等；行為特征包括：簽名、語(yǔ)音、行走步態(tài)等。目前部分學(xué)者將視網(wǎng)膜識(shí)別、虹膜識(shí)別和指紋識(shí)別等歸為高級(jí)生物識(shí)別技術(shù)；將掌型識(shí)別、臉型識(shí)別、語(yǔ)音識(shí)別和簽名識(shí)別等歸為次級(jí)生物識(shí)別技術(shù)；將血管紋理識(shí)別、人體氣味識(shí)別、DNA 識(shí)別等歸為“深?yuàn)W的”生物識(shí)別技術(shù)。58身份認(rèn)證方法與傳統(tǒng)身份認(rèn)證技術(shù)相比，生物識(shí)別技術(shù)具有以下特點(diǎn)：( 1) 隨身性：生物特征是人體固有的特征，具有隨身性。( 2) 安全性：人體特征是個(gè)人身份的最好證明，滿足更高的安全需求。( 3) 唯一性：每個(gè)人擁有的生物特征各不相同。( 4) 穩(wěn)定性：人體特征不會(huì)隨時(shí)間等條件的變化而變化。(5) 方便性：生物識(shí)別技術(shù)不需記憶密碼與使用特殊工具， 不會(huì)遺失。59身份認(rèn)證協(xié)議之SSL協(xié)議SSL (Secure socket Layer)安全套接層協(xié)議是一種在客戶端和服務(wù)器端之間建立安全通道的協(xié)議，主要是使用公開密鑰體制和數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的