PKI/PMI在网络安全中的应用

来源 :考试周刊 | 被引量 : 0次 | 上传用户:lw8307817
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要: 本文对公钥基础设施PKI、特权管理基础设施PMI技术的概念、体系结构及应用前景做了详细的分析。
  关键词: PKI/PMI 密钥管理 技术区别 体系结构 应用前景
  
  一、引言
  
  随着Internet的迅猛发展,电子商务、电子政务、网上银行、网上证券等网上活动日益频繁,网络安全问题随之而来,需要构建一个安全的信息基础设施平台,为各类网上活动提供身份认证、访问授权、机密性、完整性、真实性、不可否认性等安全保证。PKI/PMI技术能很好地满足这一需求。
  
  二、PKI/PMI概述
  
  1.公钥基础设施PKI
  PKI是Public Key Infrastructure的缩写,即公钥基础设施,是一种遵循既定标准,利用密码技术为网上安全通信提供一整套安全服务的密钥管理平台。如同电力、水利等其他基础设施一样,公钥基础设施能为各种不同安全需求的用户、提供各种不同的安全服务。简单来说,PKI就是利用公钥理论的技术建立的提供安全服务的基础设施。它能够为各类网络应用提供一个安全基础平台,是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体。
  2.授权管理基础设施PMI
  PMI是Privilege Management Infrastructure的缩写,即授权管理基础设施。它依赖于PKI的支持,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,简化具体应用系统的开发与维护。PMI是一个由属性证书、属性权威、属性证书库等部件构成的综合系统,通过对用户的认证和授权来实现权限和证书的产生、管理、存储、分发和撤销等功能,从而解决信息安全中重要的权限管理问题。
  
  三、PKI/PMI技术区别及体系结构
  
  1.PKI/PMI技术区别
  PKI能够实现身份认证、访问控制、数据保密性、数据完整性、不可否认性等ISO7498-2定义的五大安全服务中的大部分功能,但在访问控制上存在一些不足,这主要是因为作为PKI基础的CA证书只是绑定了用户的身份。在有些情况下,单独的身份认证技术不能完全满足系统要求,如基于角色的访问控制。PMI是在PKI发展过程中被提出并逐渐从PKI中分离出来的一个新的概念。PMI能够系统地建立起对认可用户的授权。它利用属性证书,将用户的一组属性和其它信息通过认证机构的私钥进行数字签名,使其不能伪造。其签名和颁发的机构是属性管理机构(Attribute Authority,AA)。赋予属性证书的签名不是用于证明公钥/私钥和身份之间的关系,而是用于证明证书所有者拥有的特权。基于PMI的集中授权系统采用基于属性证书的授权模式,向应用提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能。PMI作为一个基础设施,能够系统地建立起对认可用户的授权,通过结合授权管理系统和身份认证系统弥补了PKI的弱点。
  PMI与PKI结构非常相似。信任的基础都是有关权威机构,由它们决定建立身份认证系统和属性特权机构。在PKI中,由有关部门建立并管理根CA,下设各级CA、RA和其它机构;在PMI中,由有关部门建立授权源SOA,下设分布式的AA和其它机构。另外,PMI和PKI有很多相似的概念。如属性证书(AC)与公钥证书(PKC) ,公钥证书是对用户名称和他的公钥进行绑定,而属性证书是将用户名称与一个或更多的权限属性进行绑定;属性权威( AA )与认证权威(CA)。数字签名公钥证书的实体被称为CA,签名属性证书的实体被称为AA。
  PMI与PKI的区别在于:PKI主要进行身份鉴别,证明用户身份,即"你是谁"。而PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即"你能做什么"。另外,PMI需要PKI为其提供身份认证。将PKI和PMI技术结合,实现可信的身份认证和可信授权管理是目前较为完善的安全保障措施。
  2.PKI/PMI体系结构
  PKI技术是一种新的网络安全技术,是一个集硬件、软件、人力资源、相关政策和操作规范为一体的综合系统,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成。一个完善的PKI具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口系统等组成部分。其中,认证机构CA是整个系统的核心。用户使用由证书授权认证中心(Certificate Authority,CA)签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性,并进行用户身份的识别。PKI的基础是加密技术,核心是证书服务。
  PMI作为权限管理和授权服务的基础设施,可以为不同类型的应用提供授权管理和访问控制的平台支持。PMI在体系上可以分为三级,分别是信任源点SOA中心、属性权威机构AA中心和资源管理中心RM。
  信任源点SOA是整个授权管理体系的中心业务节点,也是整个授权管理基础设施PMI的最终信任源和最高管理机构。SOA中心的职责主要包括:授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。
  授权服务中心AA是PMI的核心服务节点,是对应于具体应用系统的授权管理分系统,由具有设立AA中心业务需求的各应用单位负责建设,并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括:应用授权受理,属性证书的发放和管理,以及AA代理点的设立审核和管理等。
  资源管理中心RM是PMI的用户代理节点,是与具体应用用户的接口,是对应AA中心的附属机构,接受AA中心的直接管理,由各AA中心负责建设,报经主管的SOA中心同意,并签发相应的证书。资源管理中心RM的职责主要包括应用授权服务代理和应用授权审核代理等,负责对具体的用户应用资源进行授权审核,并将属性证书的操作请求提交到授权服务中心进行处理。
  另外,用户应用系统中具体对授权验证服务的调用模块也是授权管理体系的重要组成部分。
  
  四、应用前景
  
  在电子商务领域以电子交易和电子支付为主导的行业应用,在电子政务领域以网络文档和网络办公为主导的政务应用,还有诸如在远程教育领域以学历管理和凭证确认为主导的应用,在网络媒体领域以内容交换和内容保护为主导的应用,在网上娱乐领域以会员参与和有偿服务为主体的应用,在远程医疗领域以医疗文档和会诊确认为主导的应用,在协同设计领域以成果交换和交互设计为主导的应用,以及WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易等,都离不开应用PKI/PMI技术构建的网络信任体系。政府部门需要PKI/PMI支持电子政务管理,商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI/PMI的技术和解决方案,大企业需要建立自己的PKI平台,小企业需要社会提供的商业性PKI服务。使用PKI/PMI技术应做到以应用需求为基础,以是优化业务流程为保障,务求实效。
  
  五、小结
  
  随着Internet应用的不断普及和深入,PKI/PMI为用户建立起一个安全的网络运行环境,为各类网上活动提供身份认证、访问控制、数据保密性、数据完整性及不可否认性等系统安全保障。随着PKI/PMI技术的应用和发展,它的市场应用前景非常广阔。
  
  参考文献:
  [1]李逢天.网络运营中的网络安全问题及解决思路.电信技术,2003-1-9.
  [2]胡道元,闵京华.网络安全.清华大学出版社,2004-01-01.
  [3]田跃欣.PKI技术与电子商务安全问题的研究[J].福建电脑,2007年06期.
  [4]蔡东蛟.网络信任体系和PKI/PMI应用[J].信息技术,2007年09期.
其他文献
摘要: 翻译活动在世界上存在了几千年,在跨文化交流中起着非常重要的作用。翻译理论研究也已存在了超过2000年,随着20世纪初西方翻译理论进入我国,我国的翻译理论体系也发生了巨大的变化。本文概括研究了在西方两位著名翻译家奈达和纽马克翻译理论影响下的中国现代翻译理论。  关键词: 翻译 中国现代翻译理论的发展 特点    一、概述    前国际译联主席、索非亚大学教授安娜·利洛娃1985年在《普通翻译
期刊
摘要: 情感是语文教学的一个重要因素,通过对实现语文情感教学的实施,从而达到深化教学改革,提高教学质量的目的,为培养创新型人才打下基础。  关键词: 语文课堂 情感教育 融情入景    现代教学理论认为,教学过程是一个以心理活动为基础的情感过程和认知过程的统一。教学中,师生情感的参与有利于学生非智力因素的开发,并直接影响着课堂效率。课本选取的文章,往往有感而发,无论记叙描写还是说明议论,表达出来的
期刊
摘要: 隐性辍学学生群是一个庞大的群体,这个以“差生”为核心、以厌学为主要表现形式、以辍学为最后归宿的学生群体大约占中学生总数的40%左右。隐性辍学学生的受教育权客观上受到了不同程度的侵害。这种侵害主要表现在班级编排歧视排斥、课时保证有效性不足、座位安排靠后靠边、课堂教学被忽视遗忘、教师态度冷漠偏心、管理要求松弛放任、升学机会被公然剥夺等方面。隐性辍学的学生总是被教师或家长有意无意地给予心理挫伤,
期刊
摘要: 养成良好的习惯是学好语文的基础,而基础水平决定人的发展水平,要想学好语文,取得卓越的成绩,必须先养成这些良好的习惯。  关键词: 习惯 工具书 阅读 摘录 日记    养成良好的习惯是学好语文的基础,而基础水平决定人的发展水平,因此,要想学好语文,取得卓越的成绩,必须先养成这些良好的习惯。根据自己的教学经验总结,我认为至少应养成如下语文学习习惯。  1.查阅工具书的习惯  战国后期著名的思
期刊
新课改有“三新”,即数学儿童化,数学生活化,数学活动化。其中数学生活化是其最显著的特征,它重视学生创新精神与实践能力的培养,关注学生的兴趣与经验,关注学生的现实世界,将教学目标转化为学生的“自我需求”,密切与学生生活及现代社会、科技发展相联系,从而使学生获得适应未来社会进一步发展所必需的重要的数学知识(包括数学事实、数学活动经验)以及基本的数学思想方法和必要的应用技能。学生的数学学习内容应当是现实
期刊
苏霍姆林斯基在总结一生的工作时说:“我在学校里工作了将近35年,直到20年前我才明白,在课堂上要做两件事:第一,要教给儿童一定范围的知识;第二,要使儿童变得更聪明。”充分说明了教育既是一门科学,又是一门艺术,只有高深的学问,而不懂教育规律,没有掌握教育教学的艺术,就根本谈不上上好课。  数学教学是我们数学教育工作者传授数学知识,培养学生数学能力的一种需要和形式,而真正地上好一节数学课,是一种富有创
期刊
摘要: 新一轮课改十分重视数学史内容的渗透。笔者通过在高职校数学教学中对数学史融入课堂进行的一些尝试,探讨了高职课堂中融入数学史的困难,并提出了相应的教学建议。  关键词: 数学史 高职教育 高职数学教学    1.问题的提出  对不少高职校的学生来说,数学是一门枯燥、抽象难懂的学科,更有人发出了“数学,想说爱你不容易”的感叹。数学教育工作者尝试了很多办法来改善这种状况,HPM(数学史与数学教育关
期刊
摘要: 优选论产生于上个世纪90年代,为音系学的研究提供了一个新的视角,可以说是语言研究方法上的一个革命。本文拟根据优选论的基本理论假设和相关音系制约条件,找出制约英语规则动词过去时标志-ed的读音规则及其等级排列顺序。  关键词: 优选论 制约条件 -ed读音规则    一、引言    优选论(Optimality Theory)最先是由音系学家Paul McCarthy 和Alan Princ
期刊
摘要: 整体语言教学作为一种语言教学思想,被引入第二语言——外语教学中。而游戏作为一种集规则、目标和乐趣于一体的活动,被教师和学生所接受。本文将二者紧密地结合起来,概述了各自的定义、特点及原则,并具体探讨了二者在大学英语课堂中的实施,说明这种以游戏为手段而进行的大学英语语言教学有助于提高学生的综合英语能力。  关键词: 游戏 整体语言教学 综合英语能力    一、引言    《大学英语课程教学要求
期刊
摘要: 本文通过一堂英语课的实验,指出中等职业学校必须实行教学模式改革,即通过教学设计,创设语言学习情境,激发学生的学习兴趣,使学生对所学话题有所认知,从而使师生在学习中共同发展。  关键词: 中职 英语教学法 探究    一、引言    按照国家英语新课程标准,结合中职英语教学的自身特点,这一阶段教学目标是:通过听、说、读、写和综合性语言实践等教学活动,激发和培养学生的学习兴趣,使其养成良好的学
期刊