https://blog.csdn.net/kexiuyi/article/details/54944360
一、 PKI基本概念
公鑰基礎設施PKI(Public Key Infrastructure),是一種遵循既定標准的密鑰管理平台,它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。
原有的單密鑰加密技術采用特定加密密鑰加密數據,而解密時用於解密的密鑰與加密密鑰相同,這稱之為對稱型加密算法。采用此加密技術的理論基礎的加密方法如果用於網絡傳輸數據加密,則不可避免地出現安全漏洞。因為在發送加密數據的同時,也需要將密鑰通過網絡傳輸通知接收者,第三方在截獲加密數據的同時,只需再截取相應密鑰即可將數據解密使用或進行非法篡改。
區別於原有的單密鑰加密技術,PKI采用非對稱的加密算法,即由原文加密成密文的密鑰不同於由密文解密為原文的密鑰,以避免第三方獲取密鑰后將密文解密。
PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。
二、 PKI的基本組成
完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口(API)等基本構成部分,構建PKI也將圍繞着這五大系統來着手構建。
認證機構(CA):即數字證書的申請及簽發機關,CA必須具備權威性的特征;
數字證書庫:用於存儲已簽發的數字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公鑰;
密鑰備份及恢復系統:如果用戶丟失了用於解密數據的密鑰,則數據將無法被解密,這將造成合法數據丟失。為避免這種情況,PKI提供備份與恢復密鑰的機制。但須注意,密鑰的備份與恢復必須由可信的機構來完成。並且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰為確保其唯一性而不能夠作備份。
證書作廢系統:證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內也可能需要作廢,原因可能是密鑰介質丟失或用戶身份變更等。為實現這一點,PKI必須提供作廢證書的一系列機制。
應用接口(API):PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務,因此一個完整的PKI必須提供良好的應用接口系統,使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保安全網絡環境的完整性和易用性。
通常來說,CA是證書的簽發機構,它是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理。公鑰體制涉及到一對密鑰(即私鑰和公鑰),私鑰只由用戶獨立掌握,無須在網上傳輸,而公鑰則是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是針對公鑰的管理問題,目前較好的解決方案是數字證書機制。
數字證書是公開密鑰體系的一種密鑰管理媒介。它是一種權威性的電子文檔,形同網絡計算環境中的一種身份證,用於證明某一主體(如人、服務器等)的身份以及其公開密鑰的合法性,又稱為數字ID。數字證書由一對密鑰及用戶信息等數據共同組成,並寫入一定的存儲介質內,確保用戶信息不被非法讀取及篡改。
PMI
三、授權管理基礎設施PMI
授權管理基礎設施PMI (Privilege Management Infrastructure)是國家信息安全基礎設施的一個重要組成部分,目標是向用戶和應用程序提供授權管理服務,提供用戶身份到應用授權的映射功能,提供與實際應用處理模式相對應的、與具體應用系統開發和管理無關的授權和訪問控制機制,簡化具體應用系統的開發與維護。
授權管理基礎設施PMI以資源管理為核心,對資源的訪問控制權統一交由授權機構統一處理,即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比,兩者主要區別在於:PKI證明用戶是誰,而PMI證明這個用戶有什么權限,能干什么,而且授權管理基礎設施PMI需要公鑰基礎設施PKI為其提供身份認證。
授權管理基礎設施PMI 在體系上可分為三級,分別是SOA 中心、AA 中心和AA 代理點。在實際應用中這種分級體系需要靈活配置,可以是三級、二級或一級。
SOA 中心
信任源點(SOA 中心)是整個授權管理體系的中心業務節點,也是整個授權管理基礎設施PMI 的最終信任源和最高管理機構。SOA 中心的職責主要包括授權管理策略的管理、應用授權受理、AA 中心的設立審核及管理、授權管理體系業務的規范化等。
AA 中心
AA中心是授權管理基礎設施PMI 的核心服務節點,是對應於具體應用系統的授權管理分系統,由具有設立AA 中心業務需求的各應用單位負責建設,並與SOA 中心通過業務協議達成相互信任關系。AA 中心的職責主要包括應用授權受理、屬性證書的發放和管理以及AA代理點的設立審核和管理等。AA 中心需要為其所發放的所有屬性證書維持一個歷史記
錄和更新記錄
AA 代理點
AA 代理點是授權管理基礎設施PMI 的用戶代理節點,也稱為資源管理中心,是與具體應用用戶的接口,是對應AA 中心的附屬機構,接受AA 中心的直接管理,由各AA 中心負責建設,並報經主管的SOA 中心同意並簽發相應的證書。AA 代理點的設立和數目由各AA 中心根據自身的業務發展需求而定。AA 代理點的職責主要包括應用授權服務代理和應用授權審核代理等,負責對具體的用戶應用資源進行授權審核,並將屬性證書的操作請求提交到授權服務中心進行處理。