網絡安全基礎設施

1、網絡平安根底設網絡平安根底設施施 PKI的組件的組件 PKI信任框架信任框架 認證標準與認證過程認證標準與認證過程 PMI介紹介紹 PKI的組件的組件 PKI信任框架信任框架 認證標準與認證過程認證標準與認證過程 PMI介紹介紹 數字證書 證書簽發(fā)機構(CA) 注冊權威機構RA 證書管理協議 證書的注銷 目錄效勞與證書存儲庫 時間戳頒發(fā)機構 目前使用的是目前使用的是X509 v3X509 v3標準的證書樣式。證書標準確實標準的證書樣式。證書標準確實定經歷了一個較長的過程。早在定經歷了一個較長的過程。早在19881988年，年，ISO/IEC/ITU ISO/IEC/ITU 9594-89594

2、-8發(fā)布了發(fā)布了X509 v1X509 v1證書標準，到證書標準，到19931993年又修訂為年又修訂為X509 v2X509 v2，同年，同年，InternetInternet增強型私用電子郵件小組增強型私用電子郵件小組PEMPEM發(fā)布了基于發(fā)布了基于X509 v1X509 v1證書的證書的PKIPKI標準，針對該標標準，針對該標準中的缺乏，準中的缺乏，ISO/IEC/ITUISO/IEC/ITU和和ANSI X9ANSI X9小組在小組在19961996年年6 6月正月正式發(fā)布了式發(fā)布了X509 v3X509 v3的標準證書格式，的標準證書格式，PKIXPKIX小組以此為標小組以此為標準創(chuàng)

3、立了準創(chuàng)立了InternetInternet上的配置文件。上的配置文件。 證書簽發(fā)機構證書簽發(fā)機構CACA是公鑰根底設施中受信任的第三方實是公鑰根底設施中受信任的第三方實體，體，CACA負責向主體發(fā)行證書，并通過主體親自簽署的證書負責向主體發(fā)行證書，并通過主體親自簽署的證書說明主體的身份和主體使用的公開密鑰的真實性，這在使說明主體的身份和主體使用的公開密鑰的真實性，這在使用公鑰根底設施的網絡環(huán)境中是至關重要的措施。用公鑰根底設施的網絡環(huán)境中是至關重要的措施。CACA是實是實現現PKIPKI的核心組件，負責證書的發(fā)行、注銷、更新和續(xù)用的核心組件，負責證書的發(fā)行、注銷、更新和續(xù)用等管理任務，證書與

4、等管理任務，證書與CRLCRL的發(fā)布、以及圍繞證書的簽發(fā)與的發(fā)布、以及圍繞證書的簽發(fā)與維護管理過程中的事件的日志工作。維護管理過程中的事件的日志工作。 在某些實現中，在某些實現中，CACA將某些責任委派給注冊權威機構將某些責任委派給注冊權威機構RARARegistry AuthorityRegistry Authority擔負。根據擔負。根據RFC 2510RFC 2510的的InternetInternet公鑰根底設施證書管理協議公鑰根底設施證書管理協議(CMPCertificate (CMPCertificate Management Protocols)Management Protoc

5、ols)規(guī)定的規(guī)定的RARA功能包括個人認證、令功能包括個人認證、令牌分發(fā)、注銷報告、名稱指定、密鑰生成、存儲密鑰對等牌分發(fā)、注銷報告、名稱指定、密鑰生成、存儲密鑰對等內容，在多數情況下，內容，在多數情況下，RARA負責在證書登記過程中核實證書負責在證書登記過程中核實證書申請者的身份。申請者的身份。 證書管理協議包括公鑰加密系統標準證書管理協議包括公鑰加密系統標準PKCSPKCS、證書管理協議、證書管理協議CMPCMP和證書管理消息和證書管理消息CMCCMC等協議，這幾個證書管理協議定義等協議，這幾個證書管理協議定義了證書登記的某些細節(jié)如加密算法，在某些情況下，了證書登記的某些細節(jié)如加密算法，

6、在某些情況下，這些協議也有助于定義證書注銷過程，有一些供給商甚至這些協議也有助于定義證書注銷過程，有一些供給商甚至提供了諸如密鑰恢復和證書自動續(xù)用等附加能力，更加擴提供了諸如密鑰恢復和證書自動續(xù)用等附加能力，更加擴展了這些協議的作用。展了這些協議的作用。 公鑰加密系統標準公鑰加密系統標準PKCSPKCS 證書管理協議證書管理協議CMPCMP 證書管理消息證書管理消息CMCCMC 公鑰加密系統標準公鑰加密系統標準PKCSPKCSPublic Key Cryptographic Public Key Cryptographic StandardsStandards是由是由RSA SecurityR

7、SA Security開發(fā)的一組標準協議，用開發(fā)的一組標準協議，用以定義平安信息交換的方法。這一族協議的編號為從以定義平安信息交換的方法。這一族協議的編號為從PKCS PKCS #1#1到到PKCS #15PKCS #15，其中除，其中除PKCS #13PKCS #13和和PKCS #14PKCS #14是已提交待批是已提交待批的標準外，其他幾個標準都已經正式發(fā)布，而的標準外，其他幾個標準都已經正式發(fā)布，而PKCS #2PKCS #2和和PKCS #4PKCS #4兩個協議都包含在兩個協議都包含在PKCS #1PKCS #1中。中。 證書管理協議證書管理協議CMP(Certificate Ma

8、nagement Protocol)CMP(Certificate Management Protocol)是是由由PKIXPKIX工作組根據工作組根據RFC2510RFC2510Internet Internet 公鑰根底設施證書公鑰根底設施證書管理協議和管理協議和RFC2511RFC2511InternetInternet公鑰根底設施證書請求公鑰根底設施證書請求管理框架兩個標準而制定的。在處理證書的請求和響應管理框架兩個標準而制定的。在處理證書的請求和響應消息方面可替代消息方面可替代PKCSPKCS中相應協議。中相應協議。CMPCMP協議的功能比較強，協議的功能比較強，可以支持許多不同的證

9、書管理功能，如交叉證明的請求與可以支持許多不同的證書管理功能，如交叉證明的請求與響應消息，注銷證書的請求和響應消息，恢復密鑰的請求響應消息，注銷證書的請求和響應消息，恢復密鑰的請求與響應消息，以及證書和與響應消息，以及證書和CRLCRL的分發(fā)消息等。雖然的分發(fā)消息等。雖然CMPCMP的功的功能豐富，而且也得到了很多能豐富，而且也得到了很多CACA產品的支持，但在同產品的支持，但在同CACA交互交互的應用程序和設備中，的應用程序和設備中，CMPCMP協議并未得到廣泛的支持。協議并未得到廣泛的支持。 CMPCMP的大而全與復雜性在一定程度上影響了的大而全與復雜性在一定程度上影響了CMPCMP的推廣

10、應用。的推廣應用。為了替代為了替代CMPCMP，PKIXPKIX工作組又發(fā)布了基于加密系統消息語工作組又發(fā)布了基于加密系統消息語法的證書管理消息協議法的證書管理消息協議CMC(Certificate Management CMC(Certificate Management Messages over CMS)Messages over CMS)，該協議的總體目標是在保持簡潔性該協議的總體目標是在保持簡潔性的同時，提供高級證書管理功能，并且能夠支持廣泛使用的同時，提供高級證書管理功能，并且能夠支持廣泛使用的的PKCSPKCS協議族。在協議族。在CMCCMC中，使用中，使用PKCS #10PKC

11、S #10處理證書請求消處理證書請求消息，使用息，使用PKCS #7PKCS #7處理證書的響應消息。處理證書的響應消息。CMCCMC還引用還引用RFC2511RFC2511來支持由來支持由CMPCMP定義的更高級的證書請求格式。定義的更高級的證書請求格式。 負責證書注銷功能的系統是負責證書注銷功能的系統是PKIPKI的一個重要組件。的一個重要組件。在有的情況下，一個證書的繼續(xù)存在會對主體或在有的情況下，一個證書的繼續(xù)存在會對主體或單位的信息平安造成威脅單位的信息平安造成威脅. . 注銷證書的管理注銷證書的管理 實時證書注銷檢測實時證書注銷檢測 一個證書一旦被注銷，就要為其建立一張證書注銷表一

12、個證書一旦被注銷，就要為其建立一張證書注銷表CRLCRLCertificate Revocation ListCertificate Revocation List。證書注銷系統要負。證書注銷系統要負責為被注銷的證書創(chuàng)立和維護一張及時更新的責為被注銷的證書創(chuàng)立和維護一張及時更新的CRLCRL，并把，并把它放入它放入CRLCRL列表內，當一個用戶需要使用某證書時，首先列表內，當一個用戶需要使用某證書時，首先應該檢查該證書是否在應該檢查該證書是否在CRLCRL列表中，列表中，CRLCRL一般用目錄系統的一般用目錄系統的形式存放在公共存儲庫中。一個證書一旦被注銷，就要為形式存放在公共存儲庫中。一個證

13、書一旦被注銷，就要為其建立一張證書注銷表其建立一張證書注銷表CRLCRLCertificate Revocation Certificate Revocation ListList。 對于某些涉及高敏感級數據如公司之間往來的財務數據對于某些涉及高敏感級數據如公司之間往來的財務數據的的PKIPKI設施，注銷證書和使該注銷生效之間是不允許有時設施，注銷證書和使該注銷生效之間是不允許有時間間隔的。如果一個被注銷的證書不能立刻失去效用，就間間隔的。如果一個被注銷的證書不能立刻失去效用，就有可能被惡意用戶再次利用。有可能被惡意用戶再次利用。 關鍵問題是能夠讓用戶及時查詢證書當前的狀態(tài)有效關鍵問題是能夠讓

14、用戶及時查詢證書當前的狀態(tài)有效/ /注銷，在線證書狀態(tài)協議注銷，在線證書狀態(tài)協議OCSP(Online Certificate OCSP(Online Certificate Status Protocol)Status Protocol)就是解決這一問題的一種實時證書注銷就是解決這一問題的一種實時證書注銷檢查機制。終端實體向檢查機制。終端實體向OSCPOSCP響應程序發(fā)出證書狀態(tài)查詢請響應程序發(fā)出證書狀態(tài)查詢請求，求，OCSPOCSP響應程序對查詢請求將給出證書是否處于注銷狀響應程序對查詢請求將給出證書是否處于注銷狀態(tài)的答復，在答復返回給終端之前，證書是不能被使用的。態(tài)的答復，在答復返回給終

15、端之前，證書是不能被使用的。OCSPOCSP響應程序通常作為一種由響應程序通常作為一種由CACA提供的或被提供的或被CACA委派的效勞委派的效勞的形式提供。的形式提供。 證書和證書和CRLCRL是一種經常受到用戶查詢的電子文檔，需要采是一種經常受到用戶查詢的電子文檔，需要采用適當的形式進行存儲與管理。雖然利用電子郵件也可以用適當的形式進行存儲與管理。雖然利用電子郵件也可以完成完成CACA與用戶之間的證書與與用戶之間的證書與CRLCRL交換，而且也是一種簡單交換，而且也是一種簡單可行的方案，但是當涉及的證書數量很大成千上萬的可行的方案，但是當涉及的證書數量很大成千上萬的時候，這種方式的負擔會很重

16、，并且不能滿足終端直接檢時候，這種方式的負擔會很重，并且不能滿足終端直接檢索證書與索證書與CRLCRL的要求。的要求。 比較常用的方法是把證書與比較常用的方法是把證書與CRLCRL集中存放在連網的證書存集中存放在連網的證書存儲庫中，這樣就可以支持所有終端用戶與儲庫中，這樣就可以支持所有終端用戶與CACA可隨時訪問證可隨時訪問證書庫的要求。但需要為證書存儲庫定義良好的存儲結構和書庫的要求。但需要為證書存儲庫定義良好的存儲結構和訪問協議。訪問協議。 PKIPKI利用證書機制保護網絡用戶間交換信息的保密性，利利用證書機制保護網絡用戶間交換信息的保密性，利用數字簽名可以保證數據的來源認證和數據的完整性

17、。為用數字簽名可以保證數據的來源認證和數據的完整性。為了保證通信雙方都不能否認自己已經做過的事情，了保證通信雙方都不能否認自己已經做過的事情， PKI PKI還還必須提供不可抵賴效勞。實現不可抵賴效勞效勞，除了數必須提供不可抵賴效勞。實現不可抵賴效勞效勞，除了數字簽名機制外，還要幾種附加組件字簽名機制外，還要幾種附加組件 其一是提供某種形式的數字收條，其一是提供某種形式的數字收條，S/MIME v3S/MIME v3支持使用數支持使用數字簽名的收條；字簽名的收條； 其二是提供時間戳效勞，防止否認接收方對所接收信息的其二是提供時間戳效勞，防止否認接收方對所接收信息的時間的否認。在數字簽名中附加時

18、間戳還可以防止網絡中時間的否認。在數字簽名中附加時間戳還可以防止網絡中發(fā)生重放攻擊的事件。發(fā)生重放攻擊的事件。 PKI的組件的組件 PKI信任框架信任框架 認證標準與認證過程認證標準與認證過程 PMI介紹介紹 有關信任的概念 信任模型 信任信任 信任域信任域 信任被定義為：信任被定義為：“一般說來，如果一個實體假一般說來，如果一個實體假定另一個實體會嚴格地象它期望的那樣行動，定另一個實體會嚴格地象它期望的那樣行動，那么就稱它信任那個實體。那么就稱它信任那個實體。 信任域是在公共控制下或執(zhí)行一組公同策信任域是在公共控制下或執(zhí)行一組公同策略的系統集。如果一個組織中的所有用戶略的系統集。如果一個組織

19、中的所有用戶都遵守同樣的策略，那么就稱該組織是在都遵守同樣的策略，那么就稱該組織是在單信任域中運作，否那么這個組織就是在單信任域中運作，否那么這個組織就是在多信任域中運作。多信任域中運作。 嚴格層次信任模型嚴格層次信任模型分布式信任模型分布式信任模型WEBWEB信任模型信任模型 以用戶為中心的信任模型以用戶為中心的信任模型 在嚴格層次信任模型中，一個認證機構在嚴格層次信任模型中，一個認證機構CACA及其子機構及其子機構和它們的用戶嚴格按照倒置的樹的層次結構定義它們之間和它們的用戶嚴格按照倒置的樹的層次結構定義它們之間的信任關系。樹根在上，樹葉在下。的信任關系。樹根在上，樹葉在下。 位于樹根的位

20、于樹根的CACA代表整個代表整個PKIPKI最高權利的認證機構，稱為根最高權利的認證機構，稱為根CACA，也整個結構中各個實體的信任錨。，也整個結構中各個實體的信任錨。 分布式信任模型中，把信任分布到兩個以上的分布式信任模型中，把信任分布到兩個以上的CACA上。分布上。分布式信任模型可以通過逐步擴展的方式把原來是分散孤立的式信任模型可以通過逐步擴展的方式把原來是分散孤立的CACA互相通過交叉認證的方式建立起信任關系。互相通過交叉認證的方式建立起信任關系。 個交叉信任模型是指多個對等個交叉信任模型是指多個對等CACA機構之間通過互相成認證機構之間通過互相成認證書的有效性而建立起來的橫向信任關系，

21、通過交叉認證方書的有效性而建立起來的橫向信任關系，通過交叉認證方式，可以建立起更大范圍內的式，可以建立起更大范圍內的PKIPKI認證系統，這一過程稱認證系統，這一過程稱為為PKIPKI連網連網PKI NetworkingPKI Networking。 WEBWEB信任模型應用于信任模型應用于WWWWWW網絡環(huán)境中，得到諸如網絡環(huán)境中，得到諸如NavigatorNavigator和和Internet ExplorerInternet Explorer等著名瀏覽器的支持。廠家在瀏覽等著名瀏覽器的支持。廠家在瀏覽器上預裝了一些器上預裝了一些CACA的公鑰，這些公鑰確定了一組的公鑰，這些公鑰確定了一組

22、CA,CA,瀏覽瀏覽器用戶最初信任它們，并把它們作為證書驗證的根。器用戶最初信任它們，并把它們作為證書驗證的根。 外表上看這種模型的結構與分布式信任結構類似，其實更外表上看這種模型的結構與分布式信任結構類似，其實更類似于嚴格層次信任結構，根類似于嚴格層次信任結構，根CACA由瀏覽器廠商負責實施，由瀏覽器廠商負責實施，與被嵌入的密鑰相對應的與被嵌入的密鑰相對應的CACA是根是根CACA所認證的子所認證的子CACA，這種認，這種認證方式是通過預先嵌入密鑰，而不是通過授受證書方式實證方式是通過預先嵌入密鑰，而不是通過授受證書方式實現的，根現的，根CACA對它所認證的實體并未認真核實過，而是物理對它所

23、認證的實體并未認真核實過，而是物理地嵌入到軟件中進行發(fā)布，作為對地嵌入到軟件中進行發(fā)布，作為對CACA名字與它的密鑰的平名字與它的密鑰的平安綁定。在安綁定。在WebWeb信任結構中，瀏覽器廠商是實質上的根信任結構中，瀏覽器廠商是實質上的根CACA，而根而根CACA下面的第一層是所有已嵌入的下面的第一層是所有已嵌入的CACA的公鑰。的公鑰。 在相互比較熟悉的小型社交或商務活動圈內的用戶，可以在相互比較熟悉的小型社交或商務活動圈內的用戶，可以在平安軟件在平安軟件PGPPGP的支持下，建立以用戶為中心的信任關系。的支持下，建立以用戶為中心的信任關系。在在PGPPGP中，一個用戶可以自愿承擔中，一個用

24、戶可以自愿承擔CACA的義務，為其他用戶的義務，為其他用戶簽署公鑰證書，同時他自己的公鑰也被其他用戶所認證，簽署公鑰證書，同時他自己的公鑰也被其他用戶所認證，通過這種方式可以建立起一個信任網，參加這個網的用戶通過這種方式可以建立起一個信任網，參加這個網的用戶互相之間就可以交換機密信息。互相之間就可以交換機密信息。 PKI的組件的組件 PKI信任框架信任框架 認證標準與認證過程認證標準與認證過程 PMI介紹介紹 簡單認證標準強認證標準 明文傳送驗證數據 利用單向散列函數傳送密碼 二次散列與對稱加密傳送 在這種驗證方式中，用戶的密碼與在這種驗證方式中，用戶的密碼與IDID以明文的形以明文的形式從客

25、戶端傳送給效勞器端的驗證程序，驗證程式從客戶端傳送給效勞器端的驗證程序，驗證程序檢查傳送來的用戶密碼與序檢查傳送來的用戶密碼與IDID是否存儲在效勞端是否存儲在效勞端上的該用戶的密碼與上的該用戶的密碼與IDID是否一致，如果一致，驗是否一致，如果一致，驗證程序就向終端用戶回送認可的信息，并允許該證程序就向終端用戶回送認可的信息，并允許該用戶進行下一步的操作。用戶進行下一步的操作。 為了防止攻擊者半路竊聽用戶的密碼口令與為了防止攻擊者半路竊聽用戶的密碼口令與IDID，X509X509建議了這種利用單向散列函數的傳送建議了這種利用單向散列函數的傳送方式。方式。 這種傳送方式又分為兩種，一種是采用直

26、接單向這種傳送方式又分為兩種，一種是采用直接單向散列函數傳送密碼，另一種是基于隨機或時間數散列函數傳送密碼，另一種是基于隨機或時間數據的單向散列函數傳送密碼。據的單向散列函數傳送密碼。 為了防范對散列值的窮舉攻擊，除了可以通過勤為了防范對散列值的窮舉攻擊，除了可以通過勤換口令的方式來降低這類攻擊的威脅外，還可以換口令的方式來降低這類攻擊的威脅外，還可以使用二次散列法增加系統的平安性。二次散列是使用二次散列法增加系統的平安性。二次散列是將散列值再次散列，使反向恢復原值更困難，增將散列值再次散列，使反向恢復原值更困難，增加了窮舉攻擊的難度。但這種改進對系統的平安加了窮舉攻擊的難度。但這種改進對系統

27、的平安性增加有限，最主要的還是對用戶口令的選擇。性增加有限，最主要的還是對用戶口令的選擇。 單向認證過程 雙向認證過程 三向認證過程 私鑰的保存問題 用戶身份三因素鑒別 單向認證方式只需發(fā)送者向接收者發(fā)送一條身份認證數據單向認證方式只需發(fā)送者向接收者發(fā)送一條身份認證數據就可以確定發(fā)送者與接收者的身份，并能防止攻擊者的重就可以確定發(fā)送者與接收者的身份，并能防止攻擊者的重放攻擊。放攻擊。 在這種認證方式中，發(fā)送者利用數字簽名把自己的身份識在這種認證方式中，發(fā)送者利用數字簽名把自己的身份識別數據發(fā)送給接收者，用以證實自己的身份；發(fā)送者利用別數據發(fā)送給接收者，用以證實自己的身份；發(fā)送者利用接收方的公鑰

28、加密自己的身份識別信息，確定該認證信息接收方的公鑰加密自己的身份識別信息，確定該認證信息確實是要給接收者的因為只有接收者的私鑰才能解密發(fā)確實是要給接收者的因為只有接收者的私鑰才能解密發(fā)送者的身份信息。這種方式可以確保發(fā)送者身份識別數送者的身份信息。這種方式可以確保發(fā)送者身份識別數據的完整性，接收者也可以確認數據是發(fā)送者發(fā)出的由據的完整性，接收者也可以確認數據是發(fā)送者發(fā)出的由單向散列與簽名提供保證，而且也能防止重放式攻擊單向散列與簽名提供保證，而且也能防止重放式攻擊由隨機數由隨機數rArA提供保證。提供保證。 雙向認證過程需要在通信雙方之間進行兩次信息交換，一雙向認證過程需要在通信雙方之間進行兩

29、次信息交換，一次是上述單向認證方法中由發(fā)送方發(fā)出的信息，另一次是次是上述單向認證方法中由發(fā)送方發(fā)出的信息，另一次是接收方回送給發(fā)送方的信息。雙向認證除了可完成單向認接收方回送給發(fā)送方的信息。雙向認證除了可完成單向認證所能完成的認證功能外，接收方可以回送由接收方簽名證所能完成的認證功能外，接收方可以回送由接收方簽名的發(fā)送方的身份識別數據，可以確認數據是接收方產生的，的發(fā)送方的身份識別數據，可以確認數據是接收方產生的，可以確定此信息的接收方是原數據的發(fā)送方。在雙向認證可以確定此信息的接收方是原數據的發(fā)送方。在雙向認證過程中，接收方可以通過回送信息說明發(fā)送方數據的完整過程中，接收方可以通過回送信息說

30、明發(fā)送方數據的完整性，雙方可以共享身份識別數據中的秘密局部可選項。性，雙方可以共享身份識別數據中的秘密局部可選項。 三次認證的過程的前兩次通信與雙向認證的步驟三次認證的過程的前兩次通信與雙向認證的步驟類似，只是所傳送的時間標記參數為類似，只是所傳送的時間標記參數為0 0或不傳送，或不傳送，而接收方那么不檢查時間標記。第三次通信是當而接收方那么不檢查時間標記。第三次通信是當發(fā)送方發(fā)送方A A收到接收方收到接收方B B的回復信息后，的回復信息后，A A再給再給B B回復回復一次信息。一次信息。 私鑰保存的平安性問題是利用證書機制實現身份私鑰保存的平安性問題是利用證書機制實現身份認證時應該重點考慮的

31、問題。由于網絡攻擊技術認證時應該重點考慮的問題。由于網絡攻擊技術的不斷開展，把證書對應的私鑰存儲在計算機硬的不斷開展，把證書對應的私鑰存儲在計算機硬盤中有可能失竊。即使采用加密存儲的方式，也盤中有可能失竊。即使采用加密存儲的方式，也有可能被惡意用戶刪除。采用口令加密會因口令有可能被惡意用戶刪除。采用口令加密會因口令的長度有限而使這種方法的平安強度不夠。相比的長度有限而使這種方法的平安強度不夠。相比較之下，采用令牌形式存儲密鑰，可以提高驗證較之下，采用令牌形式存儲密鑰，可以提高驗證的平安強度。的平安強度。 三因素是指依據用戶知道什么、用戶擁有什么和用戶本身三因素是指依據用戶知道什么、用戶擁有什么

32、和用戶本身是什么生物特征等三因素對用戶身份進行認證與鑒別。是什么生物特征等三因素對用戶身份進行認證與鑒別。三因素認證是目前強認證基于密鑰的驗證中使用最多三因素認證是目前強認證基于密鑰的驗證中使用最多的手段。在平安性要求較高的系統中，認證必須必須能對的手段。在平安性要求較高的系統中，認證必須必須能對用戶身份進行鑒別。用戶身份進行鑒別。 把認證的三因素結合起來使用，可以對認證的密鑰證書把認證的三因素結合起來使用，可以對認證的密鑰證書的私鑰或對稱密鑰進行保護，其中用戶知道什么，決定的私鑰或對稱密鑰進行保護，其中用戶知道什么，決定了用戶在使用時的保護；用戶擁有什么，對用戶使用的密了用戶在使用時的保護；

33、用戶擁有什么，對用戶使用的密鑰進行了物理保護；用戶本身是什么，用于直接對用戶的鑰進行了物理保護；用戶本身是什么，用于直接對用戶的身份進行鑒別。認證的強度取決于密鑰的長度，應該根據身份進行鑒別。認證的強度取決于密鑰的長度，應該根據不同的平安需求選擇適宜的密鑰長度。在要求比較高的系不同的平安需求選擇適宜的密鑰長度。在要求比較高的系統中一般都使用多因素認證方式，以便增強對密鑰的保護統中一般都使用多因素認證方式，以便增強對密鑰的保護力度，和對用戶的身份進行鑒別力度，和對用戶的身份進行鑒別 。 PKI的組件的組件 PKI信任框架信任框架 認證標準與認證過程認證標準與認證過程 PMI介紹介紹 PMIPMI

34、Privilege Management InfrastruturePrivilege Management Infrastruture是權限管是權限管理根底設施的簡稱。理根底設施的簡稱。 PMIPMI的根本思想是以資源管理為核心，將對資源的訪問控的根本思想是以資源管理為核心，將對資源的訪問控制權統一交由授權機構進行管理，即由資源的所有者負責制權統一交由授權機構進行管理，即由資源的所有者負責資源的訪問控制管理。資源的訪問控制管理。PMIPMI技術與技術與PKIPKI的主要區(qū)別是，的主要區(qū)別是，PKIPKI的作用是證明用戶的身份，并將其身份信息保存在用戶的的作用是證明用戶的身份，并將其身份信息保存在用戶的公鑰證書中；公鑰證書中；PMIPMI的作用那么是證明這個用戶有什么權限、的作用那么是證明這個用戶有什么權限、什么屬性，能干什么，并將用戶的這些屬性信息保存在授什么屬性，能干什么，并將用戶的這些屬性信息保存在授權證書中。因此，權證書中。因此，PMIPMI證書也被稱為屬性證書。證書也被稱為屬性證書。 PMIPMI系統主要分為授權管理中心稱為系統主要分為授權管理中心稱為AAAA中心和資源管中心和資源管理中心稱為理中心稱為RMRM中心兩大局部，授權效勞平臺是授權管中心兩大局部，授權效勞平臺是授權管理中心的主要設備，是實現理中心的主要設備，是實現PMIPMI授權