文档介绍:一、安全基础设施普业适性基础就是一个大环境例如公司组织的基目本框架,一个基础设施可视作一个普适性基础。电力供应基础设施就是我们熟悉的一个例子。电源插座可以让各种电力设备获得运行所需要的电压和电流。基础设施所遵循的原理是:只要遵循需要的原则,不同的实体就可以方便地使用基础设施所提供的服务。用于安全的基础设施必须遵循同样的原理,同样是要提供基础服务。安全基础设施就是为整个组织(“组织”是可以被定义的)提供安全的基本框架,可以被组织中任何需要安全的应用和对象使用。安全基础设施的“接入点”必须是统一的,便于使用(就象墙上的电源插座一样)。只有这样,那些需要使用这种基础设施的对象在使用安全服务时,才不会遇到太多的麻烦。安全基础设施的主要目标就是实现“应用支撑”的功能。从某种意义上说,电力系统就是一个应用支撑,它可以让“应用”,如烤面包机、电灯正常地工作。进一步地讲,由于电力基础设施具有通用性和实用性的特点,使它能支撑新的“应用”(如吹风机),而这些“应用”在电力基础设施设计的时候,还没有出现。。怎样使增加安全功能变得简单、易于实现是最有用的。甚至可以说,使用安全基础设施应当象将电器设备插入墙上的插座一样简单:(1)具有易于使用、众所周知的界面;(2)基础设施提供的服务可预测且有效;(3)应用设备无需了解基础设施如何提供服务。以烤面包机为例,对烤面包机来说,电能怎样从发电站传送到房间,或者传送到房间里墙上的各种各样的插座是没有区别的。可是,当烤面包机一旦插入任何一个墙上的电源插座。它就可以从众所周知的界面(电源插座)得到指定的电压和电流,从中获取能量r并正常地工作。安全基础设施必须具有同样友好的接入点,为应用设备提供安全服务。应用设备无须知道基础设施如何实现安全服务,但基础设施能够一致有效地提供安全服务才是最重要的。目前最流行的、最有诱惑力的安全基础设施是公开密钥基础设施(PublicKey)nfrastoucture一PKI)。简单地讲PKI就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。二、PKI的定义PKI的基本定义十分简单。所谓PKI就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。但PKI的定义在不断的延伸和扩展。库也是扩展的PKI系统的一个组成部分(因为一个大阴没有证书库是无法使用的)。(1)证书撤消。CA签发证书来捆绑用户的身份和公钥。可是在现实环境中,必须存在一种机制来撤消这种认可。通常的原因包括用户身份的改变(例如婚前姓名改为婚后姓名)或私钥遭到破坏(例如被黑客发现),所以必须存在一种方法警告其他用户不要再使用这个公钥。在PK1中这种告警机制被称为证书撤销。(2)密钥备份和恢复。在很多环境下他们通过对一个包含身份信息和相应公钥的;阅数据结构进行数字签名来捆绑用户的公钥和身份户嘛声这个数据结构被称为公钥证书(简称证书)。尽管CA不是每个可想象到的PKI的必须部分(特别是范围有限并且相对封闭的环境中,用户可以作为自己的权威机构),但CA是很多大规模PKI的关键组成部分。(3)证书库。很容易认识到CA只能解决前面章节所提问题的一部分(所提问题就是A需要找到日的公钥以便和B进行保密通信)。证书机构颁发了一个证书来捆绑日的身份和