9.9 元
下载资源

公钥基础设施PKI和授权管理基础设施PMI

上传人:max****ui 文档编号:23025333 上传时间:2021-06-03 格式:PPT 页数:48 大小:1.01MB
返回 下载 相关 举报
公钥基础设施PKI和授权管理基础设施PMI_第1页
第1页 / 共48页
公钥基础设施PKI和授权管理基础设施PMI_第2页
第2页 / 共48页
公钥基础设施PKI和授权管理基础设施PMI_第3页
第3页 / 共48页
点击查看更多>>
资源描述
网 络 信 息 安 全 基 础 5.3 公 钥 基 础 设 施 PKI和 授 权 管理 基 础 设 施 PMI 公 开 密 钥 基 础 设 施 PKI PKI( Public Key Infrastructure) 是 一 个 用 公 钥概 念 与 技 术 来 实 施 和 提 供 安 全 服 务 的 具 有 普 适 性的 安 全 基 础 设 施 。 PKI的 主 要 任 务 是 在 开 放 环 境 中 为 开 放 性 业 务 提供 网 上 身 份 认 证 、 信 息 完 整 性 和 数 字 签 名 服 务 。 PKI是 一 种 标 准 的 密 钥 管 理 平 台 , 它 能 够 为 所 有网 络 应 用 透 明 地 提 供 采 用 加 密 和 数 据 签 名 等 密 码服 务 所 必 须 的 密 钥 和 证 书 管 理 。 PKI是 生 成 、 管 理 、 存 储 、 分 发 和 吊 销 基 于 公 钥密 码 学 的 公 钥 证 书 所 需 要 的 硬 件 、 软 件 、 人 员 、策 略 和 规 程 的 总 和 。 PKI的 主 要 功 能密 钥 和 证 书 的 生 成 证 书 存 储 /目 录 服 务 密 钥 备 份 和 恢 复支 持 不 可 抵 赖 服 务 证 书 废 止 证 书 发 放交 叉 认 证 时 间 戳 从 功 能 上 讲 , 一 个 完 整 的 PKI系 统 必 须 具 备 如 下 一 些 主 要 功 能 :密 钥 更 新 PKI的 构 成从 总 体 上 讲 , PKI由 如 下 四 个 方 面 的 部 件 构 成 : PKI的 应 用PKI策 略 软 硬 件 系 统 PKI中 的 可 信 第 三 方 证 书 认 证 中 心 ( CA) ,可 以 解 决 无 边 界 用 户 的 身 份 确 定 问 题 , 提 供 了 信任 的 基 础 。 因 此 基 于 Internet的 应 用 需 要 PKI。 PKI作 为 一 种 支 撑 性 基 础 设 施 , 其 本 身 并 不 能 直接 为 用 户 提 供 安 全 服 务 , 但 PKI是 其 他 安 全 应 用的 基 础 。 PKI基 本 组 成 PKI由 以 下 几 个 基 本 部 分 组 成 : 证 书 库 证 书 作 废 处 理 系 统 认 证 机 构 ( CA Certificate Authority) 注 册 机 构 ( RA Registration Authority) 密 钥 备 份 与 恢 复 系 统 PKI应 用 接 口 PKI基 本 组 成注 册 机 构 ( RA) 负 责 记 录 和 验 证 部 分 或 所 有 有 关 信 息 ( 特 别 是 主体 的 身 份 ) , 这 些 信 息 用 于 CA发 行 证 书 和 CLR以及 证 书 管 理 中 。 认 证 机 构 与 其 用 户 或 证 书 申 请 人 间 的 交 互 是 由 被称 为 注 册 机 构 (RA) 的 中 介 机 构 来 管 理 ; 注 册 机 构 本 身 并 不 发 放 证 书 , 但 注 册 机 构 可 以 确认 、 批 准 或 拒 绝 证 书 申 请 人 , 随 后 由 认 证 机 构 给经 过 批 准 的 申 请 人 发 放 证 书 。 PKI基 本 组 成认 证 机 构 ( CA) 一 个 可 信 实 体 , 发 放 和 作 废 公 钥 证 书 , 并 对 各 作废 证 书 列 表 签 名 。 CA是 PKI系 统 的 核 心 , 包 含 以 下 功 能 : 接 受 用 户 的 请 求 (由 RA负 责 对 用 户 的 身 份 信 息 进 行 验 证 ) 用 自 己 的 私 钥 签 发 证 书 提 供 证 书 查 询 接 受 证 书 注 销 请 求 提 供 证 书 注 销 表 证 书 材 料 信 息 的 管 理 PKI理 论 基 础 密 码 学 (略 ) 目 录 服 务 数 字 证 书 目 录 服 务 目 的 是 建 立 全 局 /局 部 统 一 的 命 令 方 案 , 它 从 技 术的 角 度 定 义 了 人 的 身 份 和 网 络 对 象 的 关 系 ; 目 录 服 务 是 规 范 网 络 行 为 和 管 理 网 络 的 一 种 重 要手 段 ; X.500时 一 套 已 经 被 国 际 标 准 化 组 织 ( ISO) 接 受的 目 录 服 务 系 统 标 准 ; LDAP( 轻 量 级 目 录 访 问 协 议 ) 最 早 被 看 作 是X.500目 录 访 问 协 议 中 的 那 些 易 描 述 、 易 执 行 的功 能 子 集 X.500目 录 服 务 一 个 完 整 的 X.500系 统 称 为 一 个 ” 目 录 ” 。 X.500目 录 服 务 是 一 个 复 杂 的 信 息 存 储 机 制 , 包 括客 户 机 -目 录 服 务 器 访 问 协 议 、 服 务 器 -服 务 器 通 信协 议 、 完 全 或 部 分 的 目 录 数 据 复 制 、 服 务 器 链 对查 询 的 响 应 、 复 杂 搜 寻 的 过 滤 功 能 等 . X.500目 录 服 务 可 以 向 需 要 访 问 网 络 任 何 地 方 资 源的 电 子 函 件 系 统 和 应 用 , 或 需 要 知 道 在 网 络 上 的实 体 名 字 和 地 点 的 管 理 系 统 提 供 信 息 。 LDAP的 英 文 全 称 是 Lightweight Directory Access Protocol, 轻 量 级 目 录 访 问 协 议 。 它 是 基 于 X.500标 准 的 , 但是 简 单 并 且 可 以 根 据 需 要 定 制 。 与 X.500不 同 , LDAP支 持TCP/IP, 这 对 访 问 Internet是 必 须 的 。 LDAP不 是 数 据 库 而 是 用 来 访 问 存 储 在 信 息 目 录 ( 也 就 是LDAP目 录 ) 中 的 信 息 的 协 议 。 也 就 是 说 “ 通 过 使 用 LDAP,可 以 在 信 息 目 录 的 正 确 位 置 读 取 ( 或 存 储 ) 数 据 ” , LDAP主要 是 优 化 数 据 读 取 的 性 能 。 LDAP协 议 是 跨 平 台 的 和 标 准 的 协 议 。 LDAP最 大 的 优 势 是 :可 以 在 任 何 计 算 机 平 台 上 , 用 很 容 易 获 得 的 而 且 数 目 不 断 增加 的 LDAP的 客 户 端 程 序 访 问 LDAP目 录 。 而 且 也 很 容 易 定 制应 用 程 序 为 它 加 上 LDAP的 支 持 。 PKI中 使 用 LDAP服 务 主 要 是 用 于 CA 证 书 库 、 CRL 库 (证 书 注销 库 )的 发 布 , 应 用 软 件 可 以 通 过 访 问 LADP 来 获 取 公 开 证 书和 CRL LDAP协 议 PKI中 的 证 书 PKI适 用 于 异 构 环 境 中 , 所 以 证 书 的 格 式 在所 使 用 的 范 围 内 必 须 统 一 证 书 是 一 个 机 构 颁 发 给 一 个 安 全 个 体 的 证明 , 所 以 证 书 的 权 威 性 取 决 于 该 机 构 的 权威 性 一 个 证 书 中 , 最 重 要 的 信 息 是 个 体 名 字 、个 体 的 公 钥 、 机 构 的 签 名 、 算 法 和 用 途 最 常 用 的 证 书 格 式 为 X.509 v3 PKI的 构 建 自 建 模 式 (In-house Model)是 指 用 户 购 买 整 套 的PKI软 件 和 所 需 的 硬 件 设 备 , 按 照 PKI的 构 建 要 求自 行 建 立 起 一 套 完 整 的 服 务 体 系 。 托 管 模 式 是 指 用 户 利 用 现 有 的 可 信 第 三 方 认 证中 心 CA提 供 的 PKI服 务 , 用 户 只 需 配 置 并 全 权 管理 一 套 集 成 的 PKI平 台 即 可 建 立 起 一 套 完 整 的 服 务体 系 , 对 内 对 外 提 供 全 部 的 PKI服 务 。 与 PKI有 关 的 标 准 情 况 Certificates X.509 v.3 交 叉 认 证 PKIX group in IETF(RFC 2459) 智 能 卡 /硬 件 插 件 PKCS #11 PKCS系 列 目 录 服 务 LDAP PKI信 任 模 型 基 于 层 次 结 构 的 信 任 模 型 交 叉 认 证 网 状 信 任 模 型 混 合 结 构 信 任 模 型 Web可 信 列 表 以 用 户 为 中 心 的 信 任 模 型 CA信 任 关 系 当 一 个 安 全 个 体 看 到 另 一 个 安 全 个 体 出 示 的 证 书时 , 他 是 否 信 任 此 证 书 ? 信 任 难 以 度 量 , 总 是 与 风 险 联 系 在 一 起 可 信 CA 如 果 一 个 个 体 假 设 CA能 够 建 立 并 维 持 一 个 准 确 的 “ 个体 -公 钥 属 性 ” 之 间 的 绑 定 , 则 他 可 以 信 任 该 CA, 该CA为 可 信 CA CA层 次 结 构 信 任 模 型 对 于 一 个 运 行 CA的 大 型 权 威 机 构 而 言 , 签 发 证 书 的 工 作 不 能 仅 仅 由一 个 CA来 完 成 ,它 可 以 建 立 一 个 CA层 次 结 构 以 各 个 域 的 集 中 控 制 为 基 础 , 可 以 建 立 层 次 结 构 的 CA体 系 。 这 种 模 型 不 适 合 缺 少 集 中 管 理 域 的 完 全 分 布 环 境 下 的 网 络 应 用 。根 CA 中 间 CA CA层 次 结 构 的 建 立 根 CA具 有 一 个 自 签 名 的 证 书 根 CA依 次 对 它 下 面 的 CA进 行 签 名 层 次 结 构 中 叶 子 节 点 上 的 CA用 于 对 安 全 个 体 进 行签 名 对 于 个 体 而 言 , 它 需 要 信 任 根 CA, 中 间 的 CA可以 不 必 关 心 (透 明 的 ); 同 时 它 的 证 书 是 由 底 层 的CA签 发 的 在 CA的 机 构 中 , 要 维 护 这 棵 树 在 每 个 节 点 CA上 , 需 要 保 存 两 种 cert(1) Forward Certificates: 其 他 CA发 给 它 的 certs(2) Reverse Certificates: 它 发 给 其 他 CA的 certs 层 次 结 构 CA中 证 书 的 验 证 假 设 个 体 A看 到 B的 一 个 证 书 B的 证 书 中 含 有 签 发 该 证 书 的 CA的 信 息 沿 着 层 次 树 往 上 找 , 可 以 构 成 一 条 证 书 链 , 直 到根 证 书 验 证 过 程 : 沿 相 反 的 方 向 , 从 根 证 书 开 始 , 依 次 往 下 验 证 每 一 个证 书 中 的 签 名 。 其 中 , 根 证 书 是 自 签 名 的 , 用 它 自 己的 公 钥 进 行 验 证 一 直 到 验 证 B的 证 书 中 的 签 名 如 果 所 有 的 签 名 验 证 都 通 过 , 则 A可 以 确 定 所 有 的 证 书都 是 正 确 的 , 如 果 他 信 任 根 CA, 则 他 可 以 相 信 B的 证书 和 公 钥 树 层 次 结 构 森 林 型 结 构 证 书 链 的 验 证 示 例 CA认 证 模 型 如 果 用 户 i和 j都 属 于 CA111, 那 么 i和 j之 间 的密 钥 交 换 , 只 需 要 持 有 CA111开 具 的 证 明 书 就 可以 , 即 : 对 用 户 i和 j的 公 钥 PKi 和 PKj分 别 盖 章 ,如 (Pki)ca111, (Pkj)ca111,那 么 用 户 i和 j就 能 证 明 密 钥是 对 方 的 密 钥 。 CA认 证 模 型 如 果 用 户 j的 证 明 书 是 CA122开 具 的 , 那 么 情 况就 复 杂 了 , 各 自 具 有 : i方 : (Pki)ca111 , (CA111)CA11, (CA11)CA1 j方 : (Pkj)ca122 , (CA122)CA12, (CA12)CA1 这 就 形 成 了 层 层 证 明 的 证 明 链 ( certification chain) 。 这 里 , 符 号 (CA11)CA1是 CA1对 C11的公 钥 盖 章 , 只 是 证 明 本 公 钥 是 C11的 。 CA 证 明 链CACA1 CA2CA11 CA12 CA21 CA22个 人 证 书 个 人 证 书 个 人 证 书 个 人 证 书 ( PKI) CA11, ( PKCA11) CA1, ( PKCA1) CA( PKJ) CA21, ( PKCA21) CA2, ( PKCA2) CAi j 交 叉 认 证 交 叉 认 证 是 一 种 把 以 前 无 关 的 CA连 接 在 一 起 的 有用 机 制 , 从 而 使 得 在 它 们 各 自 主 体 群 之 间 的 安 全 通信 成 为 可 能 。 两 个 CA安 全 地 交 换 密 钥 信 息 ,这 样 每 个 CA都 可 以 有效 地 验 证 另 一 方 密 钥 的 可 信 任 性 ,这 个 过 程 称 为 交 叉认 证 ; 两 个 不 同 的 CA层 次 结 构 之 间 可 以 建 立 信 任 关 系 单 向 交 叉 认 证 一 个 CA可 以 承 认 另 一 个 CA在 一 定 名 字 空 间 范 围 内 的 所 有 被 授 权签 发 的 证 书 双 向 交 叉 认 证 交 叉 认 证 交 叉 认 证 可 以 分 为 域 内 交 叉 认 证 : 如 果 两 个 CA属 于 相 同 的 域 域 间 交 叉 认 证 : 如 果 两 个 CA属 于 不 同 的 域 (例 如 , 当 在 一 家 公司 中 的 CA认 证 了 在 另 一 家 公 司 中 的 CA) 。 交 叉 认 证 的 约 束 名 字 约 束 :一 个 CA信 任 另 一 个 CA在 给 定 的 一 部 分 名 字 空 间 内 的以 其 为 主 体 颁 发 的 证 书 路 径 长 度 约 束 : 限 制 可 以 出 现 在 一 个 有 效 的 证 书 路 径 中 的 交 叉 认证 的 数 目 策 略 约 束 : 提 供 一 种 方 法 来 限 制 一 个 证 书 使 用 ,如 使 用 EMAIL,这样 除 EMAIL以 外 的 任 意 证 书 为 非 法 例 如 假 设 A已 经 被 CA1认 证 并 持 有 可 信 的 一 份 CA1的 公 钥 ,并 且 B已经 被 CA2认 证 并 持 有 可 信 的 一 份 CA2的 公 钥 ,最 初 A只 信 任 其 证 书 由CA1签 署 的 实 体 ,因 为 他 能 够 验 证 这 些 证 书 (使 用 CA1的 公 钥 ),但 不 能验 证 B的 证 书 ,因 为 他 没 有 持 可 信 的 一 份 CA2的 密 钥 ,类 似 的 在 B身 上发 生 ,如 果 CA1和 CA2交 叉 认 证 后 ,双 方 都 获 得 了 对 方 的 公 钥 ,这 样 A 的 信 任 就 能 扩 展 到 CA2的 主 体 群 ,如 B; 交 叉 认 证 不 同 的 交 叉 认 证 信 任 模 型 子 层 次 型 结 构 网 状 交 叉 认 证 结 构 混 合 结 构 桥 认 证 结 构 信 任 列 表 子 层 次 型 交 叉 认 证 信 任 模 型PKI中 的 CA关 系 控 制 了 PKI的 可 扩 展 性 。:CA: 最 终 用 户 分 布 式 信 任 结 构 模 型 分 布 式 信 任 结 构 把 信 任 分 散 在 两 个 或 多 个 CA上 , 相应 的 CA必 须 是 整 个 PKI系 统 的 一 个 子 集 所 构 成 的 严 格层 次 结 构 的 根 CA。 如 果 这 些 严 格 层 次 结 构 都 是 可 信 颁 发 者 层 次 结 构 , 那么 该 总 体 结 构 被 称 作 完 全 同 位 结 构 ( fully peered architecture)。 如 果 所 有 的 严 格 层 次 结 构 都 是 多 层 结构 ( multi-level hierarchy) , 那 么 最 终 的 结 构 就 被叫 作 满 树 结 构 ( fully treed architecture)。 一 般 来 说 , 完 全 同 位 结 构 部 署 在 某 个 组 织 内 部 , 而 满树 结 构 和 混 合 结 构 则 是 在 原 来 相 互 独 立 的 PKI系 统 之间 进 行 互 联 的 结 果 。 网 状 交 叉 认 证 信 任 模 型 网 状 型 : 相 互 独 立 的 CA之 间 可 以 交 叉 认 证 , 从而 形 成 CA之 间 的 信 任 关系 网 络 。 网 状 配 置 中 , 所 有 的 CA之 间 都 可 以 进 行 交 叉 认证 。灵 活 , 便 于 建 立 特 殊 信 任 关 系 , 也 符 合 商 贸 中 的 双 边 信 任 关 系任 何 PKI中 , 用 户 至 少 要 信 任 其 证 书 颁 发 CA允 许 用 户 频 繁 通 信 的 CA之 间 直 接 交 叉 认 证 , 以 降 低 认 证 路 径 处理 量CA私 钥 泄 露 引 起 的 恢 复 仅 仅 涉 及 到 该 CA的 证 书 用 户 混 合 结 构 信 任 模 型 混 合 结 构 中 , 局 部 仍 可 体 现 出 层 次 型 结 构 。 不 是 所 有 的 根 CA之 间 都 进 行 直 接 的 交 叉 认 证 。 Web模 型 许 多 CA的 公 钥 被 预 装 在 标 准 的 浏 览 器 。 这 些 公 钥 确 定 了 一 组浏 览 器 用 户 最 初 信 任 的 CA, 这 组 根 密 钥 可 以 被 用 户 修 改 。 类 似 于 认 证 机 构 的 严 格 层 次 结 构 模 型 , 浏 览 器 厂 商 起 到 了 根CA的 作 用 , 而 与 被 嵌 入 的 密 钥 相 对 应 的 CA就 是 它 所 认 证 的CA, 这 种 认 证 并 不 通 过 颁 发 证 书 实 现 的 , 而 是 物 理 地 把 CA的密 钥 嵌 入 浏 览 器 。 Web模 型 在 方 便 性 和 简 单 互 操 作 方 面 有 明 显 的 优 势 , 但 是 也存 在 许 多 安 全 隐 患 。 例 如 , 因 为 浏 览 器 的 用 户 自 动 地 信 任 预安 装 的 所 有 公 钥 , 所 以 即 使 这 些 根 CA中 有 一 个 是 “ 坏 的 ”( 例 如 该 CA没 有 认 真 核 实 被 认 证 的 实 体 ) , 安 全 性 将 被 完 全破 坏 。 最 后 该 模 型 还 缺 少 有 效 的 方 法 在 CA和 用 户 间 建 立 合 法 协 议 ,该 协 议 的 目 的 是 使 CA和 用 户 共 同 承 担 责 任 。 以 用 户 为 中 心 的 信 任 模 型 对 于 每 一 个 用 户 而 言 , 应 该 建 立 各 种 信 任 关 系 , 这种 信 任 关 系 可 以 被 扩 展 例 子 : 用 户 的 浏 览 器 配 置 以 用 户 为 中 心 的 信 任 模 型 示 例 : PGP 例 如 , 当 Alice 收 到 一 个 据 称 属 于 Bob的 证 书 时 , 她 将 发 现 这个 证 书 是 由 她 不 认 识 的 David签 署 的 , 但 是 David的 证 书 是 由她 认 识 并 且 信 任 的 Catherine签 署 的 。 在 这 种 情 况 下 , Alice可 以 决 定 信 任 Bob的 密 钥 , 也 可 以 决 定 不 信 任 Bob的 密 钥 。 在 著 名 的 安 全 软 件 程 序 Pretty Good Privacy( PGP) 中 ,一 个 用 户 通 过 担 当 CA( 签 署 其 他 实 体 的 公 钥 证 书 ) 和 使 他的 公 钥 被 其 他 人 所 认 证 来 建 立 ( 或 参 加 ) 所 谓 的 “ Web of Trust”。 PKI应 用 基 本 的 应 用 文 件 保 护 E-mail Web应 用 其 他 VPN SSL/TLS XML/e-business WAP PKI/CA应 用 Web应 用 PKI/CA应 用 电 子 交 易 网 上 报 税 需 要 解 决 的 安 全 问 题 :通 信 安 全 、 身份 认 证 、 业 务 安 全 网 上 报 税 安 全 解 决 方 案 最 终 用 户 颁 发 数 字 证 书 的 认 证 子 系 统 , 负 责认 证 系 统 的 策 略 制 定 、 RA注 册 机 关 的 建 设 、接 受 证 书 申 请 、 用 户 身 份 的 鉴 证 、 协 助 CA系统 发 放 客 户 证 书 以 及 签 发 证 书 的 各 种 管 理 ; 整 个 应 用 系 统 中 使 用 证 书 保 证 信 息 传 输 以 及业 务 流 程 的 安 全 可 信 。PKI/CA应 用电 子 税 务 授 权 管 理 基 础 设 施 PMI 授 权 管 理 基 础 设 施 PMI(Privilege Management Infrastructure)是 国 家 信 息 安 全 基 础 设 施 (National Information Security Infrastructure, NISI)的 一 个 重 要组 成 部 分 目 标 是 向 用 户 和 应 用 程 序 提 供 授 权 管 理 服 务 , 提 供 用 户 身份 到 应 用 授 权 的 映 射 功 能 , 提 供 与 实 际 应 用 处 理 模 式 相 对应 的 、 与 具 体 应 用 系 统 开 发 和 管 理 无 关 的 授 权 和 访 问 控 制机 制 , 简 化 具 体 应 用 系 统 的 开 发 与 维 护 。 PMI是 一 个 属 性 证 书 、 属 性 权 威 结 构 、 属 性 证 书 库 等 部 件构 成 的 综 合 系 统 , 用 来 实 现 权 限 和 证 书 的 产 生 、 管 理 、 存储 、 分 发 和 撤 销 等 功 能 。 PMI使 用 属 性 证 书 表 示 和 容 纳 权 限 信 息 , 通 过 管 理 证 书 的生 命 周 期 实 现 对 权 限 生 命 周 期 的 管 理 。 授 权 管 理 基 础 设 施 PMI 授 权 管 理 基 础 设 施 PMI以 资 源 管 理 为 核 心 , 对 资 源 的 访 问 控制 权 统 一 交 由 授 权 机 构 统 一 处 理 , 即 由 资 源 的 所 有 者 来 进 行访 问 控 制 。 同 PKI相 比 , 两 者 主 要 区 别 在 于 : PKI证 明 用 户 是 谁 , 而 PMI证 明 这 个 用 户 有 什 么 权 限 , 能 干 什 么 , 而 且 PMI需 要 PKI为 其提 供 身 份 认 证 。 PMI与 PKI在 结 构 上 相 似 :信 任 的 基 础 都 是 有 关 权 威 机 构 , 由他 们 决 定 建 立 身 份 认 证 系 统 和 属 性 特 权 机 构 。 在 PKI中 , 由有 关 部 门 建 立 并 管 理 根 CA, 下 设 各 级 CA、 RA和 其 它 机 构 ;在 PMI中 , 由 有 关 部 门 建 立 授 权 源 SOA, 下 设 分 布 式 的AA(授 权 管 理 中 心 )和 其 它 机 构 如 RM(资 源 管 理 中 心 ) 中 心 。 PMI实 际 提 出 了 一 个 新 的 信 息 保 护 基 础 设 施 , 能 够 与 PKI和目 录 服 务 紧 密 地 集 成 , 并 系 统 地 建 立 起 对 认 可 用 户 的 特 定 授权 , 对 权 限 管 理 进 行 了 系 统 的 定 义 和 描 述 , 完 整 地 提 供 了 授权 服 务 所 需 过 程 。 授 权 管 理 基 础 设 施 PMI特 点 授 权 服 务 体 系 主 要 是 为 网 络 空 间 提 供 用 户 操 作 授 权的 管 理 , 即 在 虚 拟 网 络 空 间 中 的 用 户 角 色 与 最 终 应用 系 统 中 用 户 的 操 作 权 限 之 间 建 立 一 种 映 射 关 系 PMI技 术 通 过 数 字 证 书 机 制 ( 属 性 证 书 , 提 供 对 用 户身 份 的 鉴 别 功 能 , 不 包 含 用 户 的 公 钥 信 息 ) 来 管 理用 户 的 授 权 信 息 。 授 权 操 作 与 业 务 操 作 相 分 离 , 并 将 授 权 管 理 功 能 从 应用 系 统 中 分 离 出 来 , 以 独 立 服 务 的 方 式 面 向 应 用 系统 提 供 授 权 管 理 服 务 , 因 此 授 权 管 理 模 块 自 身 的 维护 和 更 新 操 作 与 具 体 的 应 用 系 统 无 关 , 可 以 在 不 改变 应 用 系 统 的 前 提 下 完 成 对 授 权 模 型 的 转 换 PMI体 系 结 构 信 任 源 点 (SOA中 心 )是 是整 个 PMI的 最 终 信 任 源 和最 高 管 理 机 构 。 AA中 心 的 职 责 主 要 包 括 :应 用 授 权 受 理 、 属 性 证 书的 发 放 和 管 理 , 以 及 资 源管 理 中 心 的 设 立 审 核 和 管理 等 资 源 管 理 中 心 RM, 是 与具 体 应 用 用 户 的 接 口 , 主要 是 负 责 对 具 体 的 用 户 应用 资 源 进 行 授 权 审 核 , 并将 属 性 证 书 的 操 作 请 求 提交 到 AA进 行 处 理 。 授 权 和 属 性 证 书 签 发 PMI使 用 属 性 证 书 表 示 和 容 纳 权 限 信 息 , 通 过 管 理 证 书 的生 命 周 期 实 现 对 权 限 生 命 周 期 的 管 理 。 基 于 PMI的 集 中 授权 系 统 采 用 基 于 属 性 证 书 ( AC) 的 授 权 模 式 , 向 应 用 系统 提 供 与 应 用 相 关 的 授 权 服 务 管 理 , 提 供 用 户 身 份 到 应 用授 权 的 映 射 功 能 。 谢 谢 !
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 中学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!