维普资讯 http://www.cqvip.com 实用技术I学术.技术 l I技术研究 江南计算技术研究所 周小为 摘 要该文对公钥基础设施PKI及管理基础 施PMI技术的概念、基本组成及系统框架等进行了简要 的介绍及分析。 关键词PKI PMI属性证书EBAC 随着公钥(public key)技术的产生和发展,以提供 认证、完整性和保密性服务为核心的公钥基础设施(PKI, Public Key Infrastructure)已成为在异构环境中为分布式 信息系统的各类业务提供统一的安全支撑的重要技术,而基 户的公钥和身份。 (2)注册中心RA(Register Authority) 注册中心 RA是PKI可选择的组成部分。使用的RA时,它是 CA签发证书的可信终端实体。它作为用户和CA的接口, 所获得的用户标识的准确性是CA颁发证书的基础。CA可 于角色的访问控制(RBAC,Roie Based Access Contro1) 技术和在PKI基础上发展起来的管理基础设施(PMI, Privilege Management Infrastructure)则为分布式信息 系统的各类业务提供了统一的授权管理和访问控制策略与 机制。 一委托RA完成其管理功能的一部分,它可以分担C A的一定 功能以增强系统的可扩展性并且降低运营成本。 (3)数字证书库用于存储已签发的数字证书及公钥, 用户可由此获得所需的其他用户的证书及公钥。 、PKI技术 (4)时间戳(Time Stamp) 时间戳技术是证明电子文 档在某一特定时间创建或签署的一系列技术。时间戳主要应 用于以下两个方面:建立文档的存在时间,例如签署的合同 或是实验笔记,与专利权相关;延长数字签名的生命期,保 证不可否认性。 1、PKI基本概念 PKI(Public Key Infrastructure)公钥基础设施,它 是在公开密钥的理论和技术基础上发展起来的一种综合安全 平台。它能够为所有网络应用透明地提供加密和数字签名等 密码服务所必需的密钥和证书管理,从而达到保证网上传递 信息的安全、真实、完整和不可抵赖的目的。利用PKI可以 (5)应用接口PKI的价值在于使用户能够方便地使用 加密、数字签名等安全服务,因此一个完整的PKI必须提供 良好的应用接口系统,使得各种各样的应用能够以安全、一 致、可信的方式与PKI交互,确保安全网络环境的完整性和 易用性。 方便地建立和维护一个可信的网络计算环境,从而使得人们 在这个无法直接相互面对的环境里,能够确认彼此的身份和 所交换的信息,能够安全地从事各种活动。 2、PKI基本组成 PKI系统的基本组成及结构如图l所示。 3、PKI的应用 建立PKI基础设施的目的是管理密钥和证书。通过PKI 对密钥和证书的管理,一个组织可以建立并维护可信赖的网 络环境。以下是PKI提供的几项基本服务: (1)鉴别(Authentication) 确认实体就是它自己所声 明的。 Izz“ (2)数据完整性(Data Integrity) 确认信息在传递或 存储过程中没有被篡改、重组或延迟。 目 图1 PKI系统基本组成 (3)数据保密性(Data Confidentiality) 确保数据的 (1)认证中心CA(Certificate Authority) 即数字证 书的签发机关,C A必须具备权威性的特征。它通过对一个 包含身份信息和相应公钥的数据结构进行数字签名来捆绑用 秘密,除了接收者之外,无人能够读出数据信息。 (4)不可抵赖性(Non—Repudiation) 发送者不能否认 已发送的信息。可使用数字签名获得不可抵赖性。 维普资讯 http://www.cqvip.com c丁u∞∽ka1丁cluJoo o≥ ∞z U学术.技术l实用技术 二、PMI技术 1 PMI的基本概念 管理基础设施(PMI)是在PKI提出并解决了信任 和统一的安全认证问题后提出的,其目的是解决统一的授权 管理和访问控制问题。 PMI的基本思想是,将授权管理和访问控制决策机制从 具体的应用系统中剥离出来,在通过安全认证确定用户真实 身份的基础上,由可信的权威机构对用户进行统一的授权, 并提供统一的访问控制决策服务。 PMI实现的机制有多种,如Kerberos机制、集中的访 问控制列表(ACL)机制和基于属性证书(AC,Attribute Certificate)的机制等。基于Kerberos机制和集中的访问控 制列表(ACL)机制的PMI通常是集中式的,无法满足跨地域、 分布式环境下的应用需求,缺乏良好的可伸缩性。 基于属性证书的PMI通过属性证书的签发、发布、撤销 等,在确保授权策略、授权信息、访问控制决策信息安全、 可信的基础上,实现了PMI的跨地域、分布式应用。 (1)属性证书 属性证书(AC,Attribute Certificate)是一种轻量级 的数字证书,2000年颁布的ITU-T X.509 V4版对属性证 书的格式进行了标准化,为将属性证书应用于管理基础 设施,实现策略信息和授权信息的可信发布和安全应用奠定 了基础。 属性证书的内容包括两大部分:待签名的属性证书信息 和对属性证书证书的数字签名。其中,待签名的属性证书信 息包括与属性拥有者的主体名称、属性证书发行者的名称和 标识、属性证书的惟一序列号、属性证书的有效期及以属性 项形式表示的资源信息、策略信息、角色信息等。 属性证书的内容如表1所示。 表1属性证书的内容 i E Ⅱ ∞n∞g ∞ 一 (2)基于角色的访问控制 随着计算机网络技术和信息技术的迅速发展,通过网络 传输和处理的信息和数据越来越多,需要进行访问控制的资 源数量迅速扩大,访问控制的难度不断增加,对系统资源访 问控制的要求也越来越高。 在网络和分布式应用环境下,对于安全性要求较高的信息 资源,既要求能够由信息资源的管理部门统一进行管理,确 保信息资源受控、合法、安全地使用,又需要授权管理和 访问控制的复杂度不能因为资源和用户数量的增长而迅速 增加,以确保授权和访问控制的可管理性,实现统一、高 效、灵活的访问控制。传统的访问控制机制,如自主访问控 制(DAC,Discretionary Access Contro1)、强制访问控 制(MAC,Mandatory Access Contro1)等已远远不能满 足访问控制的上述要求。 20世纪90年代以来发展起来的基于角色的访问控制 (RBA C)技术可以减少授权管理的复杂度,降低管理开销, 提高访问控制的安全性,而且能够实现基于策略的授权管理 和访问控制。 在基于角色的访问控制(RBAC)中,引入了角色这 一重要概念。角色是对用户拥有的职能和权限的一种抽象, RBAC的基本思想是,根据用户在组织内的职称、职务及所 属的业务部门等定义用户拥有的角色,而授权给用户的访问 权限,由用户在组织中担当的角色来确定。 鉴于基于角色的访问控制技术的优势,需要在PMI中采 用基于角色的访问控制技术进行授权管理和访问控制,以角 色为中介,建立以对象与操作、权限、角色、组织结构、系 统结构为核心的层次化的资源结构和关系的描述、定义和管 理框架,充分反映信息系统资源配置和部署的现状以及未来 资源结构动态变化和业务发展的需求,为授权管理和访问控 制提供基础信息,并通过角色的分配实现对用户的授权,提 高授权的可管理性和安全性,简化授权管理的复杂度,降低 资源管理和授权管理的成本,提高管理的效率。 2、PMI系统框架 授权管理基础设施PMI在体系上可以分为三级,分别 是信任源点SOA中心、属性权威机构AA中心和AA代理 点。在实际应用中,这种分级体系可以根据需要进行灵活配 置,可以是三级、二级或一级。授权管理系统的总体架构如 图2所示。■■__=_=j_ _— _= :—『I ] L 一 、、 _、三一薯 j _ _l ’: 一 …一一 一 ……一0蔓j…一一…■点 …一 图2授权服务体系的总体架构示意图 (1)信任源点SOA 信任源点(SOA中心)是整个授权管理体系的中心业务 节点,也是整个授权管理基础设施PMI的最终信任源和最高 维普资讯 http://www.cqvip.com 管理机构。 SOA中心的职责主要包括:授权管理策略的管理、应用 授权受理、AA中心的设立审核及管理和授权管理体系业务 的规范化等。 (2)授权服务中心AA 属性权威机构AA中心是授权管理基础设施PMI的核心 服务节点,是对应于具体应用系统的授权管理分系统,由具 有设立AA中心业务需求的各应用单位负责建设,并与SOA 中心通过业务协议达成相互的信任关系。 AA中心的职责主要包括:应用授权受理、属性证书的 发放和管理,以及AA代理点的设立审核和管理等。AA中 心需要为其所发放的所有属性证书维持一个历史记录和更新 记录。 (3)授权服务代理点 A A代理点是授权管理基础设施PM I的用户代理节点, 也称为资源管理中心,是与具体应用用户的接口,是对应 AA中心的附属机构,接受AA中心的直接管理,由各AA 中心负责建设,报经主管的SOA中心同意,并签发相应的 证书。AA代理点的设立和数目由各AA中心根据自身的业 务发展需求而定。 AA代理点的职责主要包括应用授权服务代理和应用授 权审核代理等,负责对具体的用户应用资源进行授权审核, 并将属性证书的操作请求提交到授权服务中心进行处理。 (4)访问控制执行者 访问控制执行者是指用户应用系统中具体对授权验证服 务的调用模块,因此,实际上并不属于授权管理基础设施的 部分,但却是授权管理体系的重要组成部分。 访问控制执行者的主要职责是:将最终用户针对特定的 操作授权所提交的授权信息(属性证书)连同对应的身份验 证信息(公钥证书)一起提交到授权服务代理点,并根据授 权服务中心返回的授权结果,进行具体的应用授权处理。 _ a C_ #((:-tCi(({; 三、PMI与PKI的关系 PK I和PM I都是重要的安全基础设施,它们是针对不 同的安全需求和安全应用目标设计的,PK I主要进行身份鉴 别,证明用户身份,即“你是谁”;PMI主要进行授权管理 和访问控制决策,证明这个用户有什么权限,即“你能干什 么”,因此它们的实现的功能是不同的。 尽管如此,PKI和基于属性证书PMI两者又具有密切的 关系。基于属性证书的PMI是建立在PKI基础之上的,一 方面,对用户的授权要基于用户的真实身份,即用户的公钥 数字证书,并采用公钥技术对属性证书进行数字签名,另一 实用技术l学术.技术 方面,访问控制决策是建立在对用户身份认证的基础上的, 只有在确定了用户的真实身份后,才能确定用户能干什么。 此外,PKI和基于属性证书的PMI还具有相似的层次化 结构、相同的证书与信息绑定机制和许多相似的概念,如属 性证书和公钥证书,授权管理机构和证书认证机构等,表2 给出了PKI与基于属性证书的PMI中概念和实体的对照关 系。 表2 PKI与基于属性证书的PMI的对照 昔 } 、 证 量 c n ^1堪 【s。^ }^ 肌 }¨l 晰蕾 H 公钥基础设施PKI,是一种遵循既定标准的密钥管理平 台,它能够为所有网络应用提供加密和数字签名等密码服务 及所必需的密钥和证书管理体系,简单来说,PKI就是利用 公钥理论和技术建立的提供安全服务的基础设施。PKI技术 已成为在异构环境中为分布式信息系统的各类业务提供统一 的安全支撑的重要技术。 管理基础设施PMI实际提出了一个新的信息保护基 础设施,能够与PKI和目录服务紧密地集成,并系统地建立 起对认可用户的特定授权,对权限管理进行了系统的定义和 描述,完整地提供了授权服务所需过程。建立在PKI基础上 的PMI技术为分布式信息系统的各类业务提供了统一的授权 管理和访问控制策略与机制。 参考文献 【1】冯登国译.car1.s】eAdamssteveL10yd.公开密钥基础设施概念、 标准和实施【M】.北京:人民邮电出版社,2001. 【2】关振胜.公钥基础设施PKI与认证机构CA【M】.北京:电 子工业出版社.2002 【5】MessaoudBenanta r.互联网公钥基础设施概论.张千里译 【M】.北京:人民邮电出版社,2005. 【4】李晏睿,赵政,一种基于PK]/PM]的企业安全构架【J】.计 算机工程与设计2005.12;24(12):95-1 02 【5】谭强,黄蕾,PMI原理及实现初探【J】.计算机工程 2002.8;28(8):1 87-1 89 【6】ITU--T gec X.812(1 995)IIS0/IEC 1 01 81-;3:1 996 Security Frame-works for open systems:Access control framework[S.S] 【7】DAV1D CHADW1CH,ALEXANDER 0TENK0.RBAC PoliciesinxmlforX.509 Based Privilege Management[g】.SEC 2002. Egypt,2002-05
