网络安全技术第三章——PKI/PMI技术及应用

最新推荐文章于 2024-05-02 13:47:34 发布
最新推荐文章于 2024-05-02 13:47:34 发布
阅读量1.1w 收藏 43
点赞数 8
分类专栏: 网络安全技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arieszsw/article/details/106437152
版权

为了方便大家观看,我每章都不会很长,因为太长了容易看不下去,我本人耐性就比较差,对那些太长的文章就感觉不是很能看下去,学到的知识也很有限,所以我写的话很长的文章我会尽量避免一下。

PKI/PMI技术及应用

一、PKI技术

1.概念

公钥基础设施( PKI )是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。
基础机制

  1. 公开密钥机制
  2. 加密机制
    PKI作用:
    PKI可以作为支持认证、完整性、机密性不可否认性的技术基础
    解决网上身份认证、信息完整性、不可抵赖等安全问题

2.PKI机制

主要思想:通过公钥证书对某些行为进行授权。
目标:可以根据管理者的安全策略建立起-一个分布式的安全体系。
PKI机制;
核心:要解决网络环境中的信任问题。确定网络环境中行为主体(包括个人和组织)身份的唯一性、真实性和合法性,保护行为主体合法的安全利益。

3.PKI组成

在这里插入图片描述
**PK|系统的关键:**如何实现对密钥的安全管理

公开密钥机制涉及公钥私钥,私钥由用户自己保存,公钥在一定范围内是公开的。
公开密钥体制的密钥管理主要是对公钥的管理,目前较好的解决方法是采用大家共同信任的认证机构( CA )。

4.认证机构(CA)

CA的概念
认证机构( CA)是整个网上电子交易等安全活动的关键环节,主要负责产生、分配并管理所有参与网上安全活动的实体所需的数字证书。
在公开密钥体制中,数字证书是一种存储和管理密钥的文件。
CA具有权威性、可依赖性、公正。

CA的主要职能:

  1. 制订并发布本地CA策略。但本地CA策略只能是对上级CA策略的的补充,而不能违背。
  2. 对下属各成员进行身份认证和鉴别。
  3. 发布本CA的证书,或代替上级CA发布证书。
  4. 产生和管理下属成员证书。
  5. 证实RA的证书申请,向RA返回证书制作的确认信息,或返回已制作好的证书。
  6. 接收和认证对它所签发的证书的撤销申请。
  7. 产生和发布它所签发的证书和CRL,
  8. 保存证书信息、CRL信息、审计信息和它所制订的策略。
    CA的组成:

在这里插入图片描述
证书及管理:
PKI采用证书管理公钥。通过第三方的可信任机构CA把用户的公钥和用户的其他标识信息捆绑在一起,在Internet或Intranet上验证用户的身份。数字证书的营理方式在PKI系统中起着关键作用。

5.数字证书

数字证书概念:
也称为数字标识( Digital Certificate,或Digital ID)。
它提供了一种在Internet等公共网络中进行身份验证的方式,是用来标识和证明网络通信双方身份的数字信息文件。
跟日常生活中的身份证差不多。.
证书的概念:数字证书由一个权威的证书认证机构(CA)发行

比较专业的数字证书定义:
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
**最简单的证书组成:**公开密钥、名称、证书授权中心的数字签名
**一般来说:**证书里面还会有密钥的有效时间、发证机关名称、证书的序列号等信息。
**数字证书格式:**X.509、WTLS ( WAP )、PGP等多种

X.509最为通用,它的通用格式为:
在这里插入图片描述

数字证书的管理:证书申请、证书发放、证书撤销、证书更新。

  1. 证书申请:在线申请、离线申请。
  2. 证书撤销:(1)利用周期性发布机制,主要有证书撤销列表( CRL) ;(2)利用在线查询机制,如在线证书状态协议(OCSP).
  3. 证书更新:普通用户证书更新、机构证书更新

二、PMI技术

1.概念

PMI(授权管理基础设施)
PMI的概念
PMI是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离,由IETF提出的一种标准。PMI以资源管理为核心。对资源的访问控制权统一交由授权机构统管理。

2. PMI与PKI的区别:

PKI证明用户是谁。
PMI证明这个用户有什么权限、能干什么。
PMI需要PKI为其提供身份认证。
PKI:身份鉴别
PMI:授权管理

3. PMI组成

属性权威(Attribute Authority, AA)、属性证书(Attribute Certification, AC)、属性证书库
属性权威(AA);
也称为“授权管理中心"或“属性权威机构”, 是整个PMI系统的核心,
它为不同的用户和机构进行属性证书(AC)创建、存储、签发和撤销,负责管理AC的整个生命周期。
属性证书(AC)
是由PMI的权威机构签发的将实体与其享有的权限属性捆绑在一起的数据结构,权威机构的数字签名保证了绑定的有效性和合法性。

在这里插入图片描述

属性证书库
用于存储属性证书,一般情况下采用LDAP目录服务器。
对于授权管理;最常用的就是基于角色的访问控制。
PMI中基于角色的访问控制的优势:

  1. 授权管理的灵活性
  2. 授权操作与业务操作相分离
  3. 多授权模型的灵活支持
    PMI系统框架:
    授权管理基础设施在体系上可分为三级:
  4. 权威源(SOA)
  5. 属性权威(AA)
  6. AA代理点
    三级二级一级可以灵活配置。
    在这里插入图片描述

PMI与PKI之间的关系:在建设PMI设施的时候必须拥有足够安全的PKI信息。
PKI负责公钥信息的管理
PMI负责权限的管理
PMI设施中的每一个AA实体和终端用户都是PKI设施的用户
应用角度:PMI和PKI的发展是相辅相成,并互为条件的

Z---A
关注
  • 8
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PKI/PMI与电子商务安全
gotohbu的专栏
06-05 2051
PKI/PMI与电子商务安全摘要:  随着网络的飞速发展,网络与信息系统的安全与保密问题越来越重要,电子商务安全问题引起了人们的密切关注。本文对电子商务安全的需求及PKI/PMI技术进行了探讨。 关键字:  PKI/PMI  电子商务  安全 一、电子商务及其安全需求 近年来,随着网络技术和电子商务的迅猛发展,人们以各种方式使用着Internet从事电子商务活动。电子商务已经成为人们进行商务活
PKIPMI认证技术(信任模型)
11-12
PKIPMI认证技术(信任模型),能够让你充分的了解PKIPMI认证技术
网安笔记 09 PKI PMI
JamSlade的博客
05-10 776
PKI PMI
最新【网络信息安全】PKI 技术
最新发布
2401_84300239的博客
05-02 885
密钥档案 —— 用户应该可靠地保存已经过期的用于验证他人数字签名的该用户公钥,以便再次对他人的数字签名进行验证,主要用于审计和出现交易争端时。PGP 的一个用户通过担当 CA(签发其他实体的公钥)来发布其他实体的公钥——建立信任网(Web of Trust)。密钥恢复——解密私钥已被破坏但没被泄露时, 从备份(用户的密钥历史)中重新得到该密钥。密钥的所有拷贝都被销毁,重新生成该密钥的全部信息也被删除时,该密钥的生命周期才终止。只能由CA创建,所有要与该用户进行安全通信的其他用户都会向CA请求该用户的证书。
数字证书相关知识结构PKI/PMI基本概念、组成部分、工作原理
热门推荐
zymx(u010820135)的专栏
02-09 1万+
from http://www.smartsys.cn/faq-7.html PKI 一、 PKI基本概念   公钥基础设施PKI(Public Key Infrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
22.1 信息系统安全-PKI公钥基础设施.PMI权限基础设施
u010025781的博客
05-30 3853
公钥基础设施PKI (Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。
基于PKI/PMI的IP宽带城域网安全应用解决方案
07-08
随着网络技术的发展演变,IP宽带城域网已成为宽带网络的发展方向,各种信息化应用都将基于IP技术。本文在分析目前IP宽带城域网在安全应用与管理方面存在问题的基础上,首先简单介绍了PKI/PMI,然后阐述了如何应用基于PKI/PMI的智能化信任与授权技术来建立IP宽带城域网的可信任环境,如何利用数字证书来实现基于证书和端口的IP宽带城域网安全应用与管理模式,该模式类似于PSTN中基于号线的应用与管理模式,从而构建一个“可控制、可管理、可经营”的电信级IP宽带城域网,为各种信息化应用提供一个安全可信的基础电信网络平台。
通信与网络中的基于PKI/PMI的IP宽带城域网解决方案
11-12
本文在分析目前IP宽带城域网在安全应用与管理方面存在问题的基础上,首先简单介绍了PKI/PMI,然后阐述了如何应用基于PKI/PMI的智能化信任与授权技术来建立IP宽带城域网的可信任环境,如何利用数字证书来实现基于证书...
基于PKI/PMI的IP宽带城域网解决方案
08-04
基于PKI/PMI的IP宽带城域网安全应用解决方案旨在建立一个可信任的网络环境。首先,通过引入PKI技术,可以实现对用户身份的强有力认证,防止非法用户进入网络。数字证书被用于标识和验证用户身份,避免了“用户名+...
PKI/CA与数字证书技术大全
12-06
9. **PKI应用案例**:例如电子邮件安全(S/MIME)、文件加密、代码签名、IPSec网络隧道等,展示PKI在不同场景下的实际运用。 10. **风险与安全管理**:讨论PKI面临的威胁,如中间人攻击、证书伪造,以及如何通过...
PKI&PMI基础知识
12-23
PKI&PMI基础知识,讲解PKI&PMI基础知识
PMI实用工具和模板
03-09
自己收集的非常不错的一些工具和模板,分享出来,供各位老板借鉴使用。
PKI/PMI安全模型及在数字版权交易平台中的应用 (2010年)
05-10
通过分析传统网络应用系统在身份认证、权限验证这 2个方面存在的问题,引入 PKIPMI技术,提出一种系统访问安全模型,并应用于某数字版权交易平台的安全架构中,保证应用系统的安全运行。
PKI体系
LynnZhang的博客
09-27 1384
PKI体系        PKI是Public Key Infrastructure的首字母缩写,翻译过来就是公钥基础设施;PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中,为了区别于权限管理基础设施(Privilege Management Infrastructure,简称PMI),将PKI定义为支持公开密钥管理并能
PMI权限(授权)管理基础设施
seacean2000的专栏
02-20 6837
访问控制的基本概念 访问控制是信息安全保障机制的核心内容之一,是现实数据保密性和完整性的主要手段之一,是为了限制访问主题对访问客体的访问权限。访问限制的两个重要过程:1.认证过程,检验主体的合法身份;2.授权管理,赋予用户对某项资源的访问权限。 因实现理念的差别,访问控制机制分为两种:强制访问机制;自主访问机制。 强制访问机制中,系统独立于用户的强制访问机制,用户不能改变他们的安全级别或对象
网络安全——身份认证与PKI原理
Yushiba972的博客
10-17 5490
文章总结了网络安全PKI系统的组成以及特点、运作机制,并介绍了RADIUS协议、Kerberos协议、SSL协议三大身份认证协议。
PKI/PMI系统建设依据的国际标准
zwahut的专栏
02-28 727
PKI/PMI系统建设依据的国际标准 ●加密 数字加密标准 (DES),符合FIPS PUB 46-2 和 ANSIX 3.92 CAST 分组密码,符合 Internet RFC 2144 三重数字加密标准,符合 ANSI X9.52 RC2,符合因特网草案:"RC2 (r) 加密算法说明" 1997年6月24日 使用 CBC 操作模式的 DES、CAST、RC2和Triple...
windows PKI
09-10
PKI (Public Key Infrastructure) 是一种用于安全地管理和分发数字证书的框架。在Windows操作系统中也提供了PKI的支持,用于建立和管理数字证书、加密、身份验证和其他安全相关的功能。 在Windows PKI中,有几个关键的组件: 1. 证书颁发机构(CA):负责颁发数字证书,对证书申请者进行身份验证,并将其公钥与身份信息绑定在一起。Windows提供了自己的CA服务,可以用来设置企业内部的私有CA。 2. 证书存储:Windows操作系统提供了多个证书存储区域,包括用户证书存储和计算机证书存储。这些存储区域用于存放已颁发的证书,并提供了对证书的查看、导入和导出等功能。 3. 证书模板:Windows中的证书模板定义了具体的证书属性和使用限制。通过配置不同的证书模板,可以满足不同安全需求下的证书申请。 4. 证书链:Windows操作系统会自动构建证书链来验证数字证书的有效性。证书链是由一系列数字证书组成,每个证书都直接或间接地信任下一个证书,最终信任根证书。通过验证证书链,可以确保数字证书的合法性和可信度。 使用Windows PKI,可以实现以下功能: - 加密通信:使用数字证书对通信进行加密,确保数据在传输过程中的安全性。 - 数字签名:使用私钥对数据进行签名,验证数据的完整性和身份。 - 身份验证:使用数字证书验证用户身份,确保只有合法用户可以访问特定资源。 需要注意的是,Windows PKI是一个复杂的系统,涉及到密钥管理、证书颁发、证书更新等多个方面。在实际应用中,需要仔细规划和配置PKI组件,确保其安全可靠地运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值