授權管理基礎設施(以下簡稱PMI)是國家信息安全基礎設施的一個重要組成部分,目標是向用戶和應用程式提供授權管理服務,提供用戶身份到套用授權的映射功能,提供與實際套用處理模式相對應的、與具體套用系統開發和管理無關的授權和訪問控制機制,簡化具體套用系統的開發與維護。授權管理基礎設施PMI是一個屬性證書、屬性權威、屬性證書庫等部件構成的綜合系統,用來實現許可權和證書的產生、管理、存儲、分發和撤銷等功能。PMI使用屬性證書表示和容納許可權信息,通過管理證書的生命周期實現對許可權生命周期的管理。屬性證書的申請、簽發、註銷、驗證流程對應著許可權的申請、發放、撤銷、使用和驗證的過程。而且,使用屬性證書進行許可權管理方式使得許可權的管理不必依賴某個具體的套用,而且利於許可權的安全分散式套用。
基本介紹
- 中文名:授權管理基礎設施
- 外文名:Privilege Management Infrastructure
內涵,功能操作,安全性,標準化,發展情況,
內涵
授權管理基礎設施PMI以資源管理為核心,對資源的訪問控制權統一交由授權機構統一處理,即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比,兩者主要區別在於:PKI證明用戶是誰,而PMI證明這個用戶有什麼許可權,能幹什麼,而且授權管理基礎設施PMI需要公鑰基礎設施PKI為其提供身份認證。PMI與PKI在結構上是非常相似的。信任的基礎都是有關權威機構,由他們決定建立身份認證系統和屬性特權機構。在PKI中,由有關部門建立並管理根CA,下設各級CA、RA和其他機構;在PMI中,由有關部門建立授權源SOA,下設分散式的AA和其他機構。
建立在PKI基礎上的PMI,以向用戶和應用程式提供許可權管理和授權服務為目標,主要負責向業務套用系統提供與套用相關的授權服務管理,提供用戶身份到套用授權的映射功能,實現與實際套用處理模式相對應的、與具體套用系統開發和管理無關的訪問控制機制,極大地簡化套用中訪問控制和許可權管理系統的開發與維護,並減少管理成本和複雜性。
功能操作
PKI具有以下12種功能操作:
- 產生、驗證和分發密鑰
- 簽名和驗證
- 證書的獲取
- 證書的驗證
- 保存證書
- 本地保存的證書的獲取
- 證書的廢止申請
- 密鑰的恢復
- CRL的獲取
- 密鑰的更新
- 審計
- 存檔
這些功能大部分都是由PKI的核心組成部分CA完成的。
安全性
PKI是以公鑰加密為基礎的,為網路安全保障的基礎設施。從理論上來講,是目前比較完善和有效的實現身份認證和保證數據完整性、有效性的手段。但在實際的實施中,仍有一些需要注意的問題。
與PKI安全相關的最主要問題是私有密鑰的存儲安全性。私有密鑰保存的責任是由持有者承擔的,而非PKI系統的責任。私鑰的丟失,會導致PKI的整個驗證過程沒有意義。另一個問題是廢止證書時間與廢紙證書的聲明出現在公共可訪問列表的時間之間會有一段時間的延遲,而無效證書可能在這一段時間內被使用。另外,Intemet使得獲得個人身份信息很容易,如身份證號等,一個人可以利用別人的這些信息獲得數字證書,而使申請看起來像來自別人。同時,PKI系統的安全很大程度上依賴於運行CA的伺服器、軟體等,如果黑客非法侵入一個不安全的CA伺服器,就可能危害整個PKI系統。因此,從私鑰的保存到PKI系統本身的安全方面還要加強防範。在這幾方面獨有比較好的安全性的前提下,PKI不失為一個保證網路安全的合理和有效的解決方案。
標準化
PKI的標準化問題實現不同的PKI域具有良好的藉口的必要條件。
目前世界上很多的標準化小組都在關注和從事PKI的標準化工作。PKI標準化的主要內容涉及四個方面:基本安全算法、公約基礎實施、E-mail安全和對稱加密算法(DES、IDEA)、數字簽名算法(RSA、DSA)等。公鑰基礎實施的標準包括ANS.1規範、CA證書格式、Intemet X.509標準、PKIX、SET安全協定等。E-mail安全標準包括S/MIME、PEM、PGP協定標準。Web的安全標準有安全HTFP協定(S/HTIP)、安全套接層(SSL)協定等。PKI的標準化工作已取得了很大的進展,許多標準已相對穩定,但仍有許多方面的標準需要迸一步的發展和完善。預計在未來的幾年裡,會有更多的標準將進入完善和穩定階段,並被PKI產品和服務商所採用。這些標準將大大增強PKI產品或服務的功能和互操作性。
