PKI，PMI技术研究PKI，PMI技术研究
周小为（江南计算技术研究所，江苏无锡214083）摘要：本文对公钥基础设施PKI及特权管理基础设施PMI技术的概念、基本组成及系统框架等进摘要行了简要的介绍及分析。关键词：PKI，PMI，属性证书，RBAC
TheA
alysisofPKIa
dPMITech
ologies
ZHOUXiaoWeiJia
g
a
I
stituteofComputerTech
ologyJia
gSuWuXi214083AbstractThispaperi
stroducestwosecurei
frastructuretech
ologiesthePublicKeyI
frastructurea
dthePrivilegeMa
ageme
tI
frastructureA
di
thepaperwea
alyzethesystemframeofthemKeyWordsPKIPMIACRABC随着公钥（publickey）技术的产生和发展，以提供认证、完整性和保密性服务为核心的公钥基础设施（PKI，PublicKeyI
frastructure）已成为在异构环境中为分布式信息系统的各类业务提供统一的安全支撑的重要技术，而基于角色的访问控制（RBAC，RoleBasedAccessCo
trol）技术和在PKI基础上发展起来的特权管理基础设施（PMI，PrivilegeMa
ageme
tI
frastructure）则为分布式信息系统的各类业务提供了统一的授权管理和访问控制策略与机制。
1．PKI技术PKI技术
11
PKI基本概念PKI基本概念PKI（PublicKeyI
frastructure）公钥基础设施，它是在公开密钥的理论和技术基础上
发展起来的一种综合安全平台。它能够为所有网络应用透明地提供加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事各种活动。12PKI基本组成PKI基本组成PKI系统的基本组成及结构如图1所示。
f图1
PKI系统基本组成
认证中心CA（CertificateAuthority）：即数字证书的签发机关，CA必须具备权威性的特征。它通过对一个包含身份信息和相应公钥的数据结构进行数字签名来捆绑用户的公钥和身份。注册中心RA（RegisterAuthority）：注册中心RA是PKI可选择的组成部分。使用独立的RA时，它是CA签发证书的可信终端实体。它作为用户和CA的接口，所获得的用户标识的准确性是CA颁发证书的基础。CA可委托RA完成其管理功能的一部分，它可以分担CA的一定功能以增强系统的可扩展性并且降低运营成本。数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。时间戳（TimeStamp）：时间戳技术是证明电子文档在某一特定时间创建或签署的一系列技术。时间戳主要应用于以下两个方面：建立文档的存在时间，例如签署的合同或是实验笔记r