资源描述
网络信息安全基础网络信息安全基础5.3 公钥基础设施公钥基础设施PKI和授权管和授权管理基础设施理基础设施PMI公开密钥基础设施公开密钥基础设施PKI PKI(Public Key Infrastructure)是一个用公钥)是一个用公钥概念与技术来实施和提供安全服务的具有普适性概念与技术来实施和提供安全服务的具有普适性的安全基础设施。的安全基础设施。 PKI的主要任务是在开放环境中为开放性业务提的主要任务是在开放环境中为开放性业务提供网上身份认证、信息完整性和数字签名服务。供网上身份认证、信息完整性和数字签名服务。 PKI是一种是一种标准的密钥管理平台标准的密钥管理平台,它能够为所有,它能够为所有网络应用透明地提供采用加密和数据签名等密码网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。服务所必须的密钥和证书管理。 PKI是生成、管理、存储、分发和吊销基于公钥是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和策略和规程的总和。PKI的主要功能的主要功能密钥和证书的生成密钥和证书的生成证书存储证书存储/ /目录服务目录服务密钥备份和恢复密钥备份和恢复支持不可抵赖服务支持不可抵赖服务证书废止证书废止证书发放证书发放交叉认证交叉认证时间戳时间戳 从功能上讲,一个完整从功能上讲,一个完整的的PKI系统必须具备如下一些主要功能:系统必须具备如下一些主要功能:密钥更新密钥更新 PKI的构成的构成从总体上讲,从总体上讲,PKI由如下四个方面的部件构成:由如下四个方面的部件构成:PKI的应用的应用PKI策略策略软硬件系统软硬件系统 PKI中的可信第三方中的可信第三方证书认证中心(证书认证中心(CA),),可以解决无边界用户的身份确定问题,提供了信可以解决无边界用户的身份确定问题,提供了信任的基础。因此基于任的基础。因此基于Internet的应用需要的应用需要PKI。 PKI作为一种支撑性基础设施,其本身并不能直作为一种支撑性基础设施,其本身并不能直接为用户提供安全服务,但接为用户提供安全服务,但PKI是其他安全应用是其他安全应用的基础。的基础。PKI基本组成基本组成 PKI由以下几个基本部分组成:由以下几个基本部分组成: 证书库证书库 证书作废处理系统证书作废处理系统 认证机构认证机构(CA Certificate Authority) 注册机构注册机构(RA Registration Authority) 密钥备份与恢复系统密钥备份与恢复系统 PKI应用接口应用接口PKI基本组成基本组成注册机构(注册机构(RA) 负责记录和验证部分或所有有关信息(特别是主负责记录和验证部分或所有有关信息(特别是主体的身份),这些信息用于体的身份),这些信息用于CA发行证书和发行证书和CLR以以及证书管理中。及证书管理中。 认证机构与其用户或证书申请人间的交互是由被认证机构与其用户或证书申请人间的交互是由被称为注册机构称为注册机构(RA) 的中介机构来管理;的中介机构来管理; 注册机构本身并不发放证书,但注册机构可以确注册机构本身并不发放证书,但注册机构可以确认、批准或拒绝证书申请人认、批准或拒绝证书申请人,随后由认证机构给,随后由认证机构给经过批准的申请人发放证书。经过批准的申请人发放证书。PKI基本组成基本组成认证机构(认证机构(CA) 一个可信实体,发放和作废公钥证书,并对各作一个可信实体,发放和作废公钥证书,并对各作废证书列表签名。废证书列表签名。 CA是是PKI系统的核心,包含以下功能:系统的核心,包含以下功能: 接受用户的请求接受用户的请求(由由RA负责对用户的身份信息进行验证负责对用户的身份信息进行验证) 用自己的私钥签发证书用自己的私钥签发证书 提供证书查询提供证书查询 接受证书注销请求接受证书注销请求 提供证书注销表提供证书注销表 证书材料信息的管理证书材料信息的管理PKI理论基础理论基础 密码学密码学( (略略) ) 目录服务目录服务 数字证书数字证书目录服务目录服务 目的是建立全局目的是建立全局/局部统一的命令方案,它从技术局部统一的命令方案,它从技术的角度定义了人的身份和网络对象的关系;的角度定义了人的身份和网络对象的关系; 目录服务是规范网络行为和管理网络的一种重要目录服务是规范网络行为和管理网络的一种重要手段;手段; X.500时一套已经被国际标准化组织(时一套已经被国际标准化组织(ISO)接受)接受的目录服务系统标准;的目录服务系统标准; LDAP(轻量级目录访问协议)最早被看作是(轻量级目录访问协议)最早被看作是X.500目录访问协议中的那些易描述、易执行的目录访问协议中的那些易描述、易执行的功能子集功能子集X.500目录服务目录服务 一个完整的一个完整的X.500系统称为一个系统称为一个”目录目录” 。 X.500目录服务是一个复杂的信息存储机制目录服务是一个复杂的信息存储机制,包括,包括客户机客户机-目录服务器访问协议、服务器目录服务器访问协议、服务器-服务器通信服务器通信协议、完全或部分的目录数据复制、服务器链对协议、完全或部分的目录数据复制、服务器链对查询的响应、复杂搜寻的过滤功能等查询的响应、复杂搜寻的过滤功能等. X.500目录服务可以向需要目录服务可以向需要访问网络任何地方资源访问网络任何地方资源的电子函件系统和应用的电子函件系统和应用,或需要知道在网络上的,或需要知道在网络上的实体名字和地点的管理系统实体名字和地点的管理系统提供信息提供信息。 LDAP的英文全称是的英文全称是Lightweight Directory Access Protocol,轻量级目录访问协议。轻量级目录访问协议。它是基于它是基于X.500标准的,但标准的,但是简单并且可以根据需要定制。与是简单并且可以根据需要定制。与X.500不同,不同,LDAP支持支持TCP/IP,这对访问,这对访问Internet是必须的。是必须的。 LDAP不是数据库而是用来访问存储在信息目录不是数据库而是用来访问存储在信息目录(也就是(也就是LDAP目录)目录)中的信息的协议中的信息的协议。也就是说。也就是说“通过使用通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据可以在信息目录的正确位置读取(或存储)数据”,LDAP主主要是优化数据读取的性能要是优化数据读取的性能。 LDAP协议是跨平台的和标准的协议。协议是跨平台的和标准的协议。LDAP最大的优势是:最大的优势是:可以在任何计算机平台上,用很容易获得的而且数目不断增可以在任何计算机平台上,用很容易获得的而且数目不断增加的加的LDAP的客户端程序访问的客户端程序访问LDAP目录。而且也很容易定制目录。而且也很容易定制应用程序为它加上应用程序为它加上LDAP的支持。的支持。 PKI中使用中使用LDAP服务主要是用于服务主要是用于CA 证书库、证书库、CRL 库库(证书注证书注销库销库)的发布,应用软件可以通过访问的发布,应用软件可以通过访问LADP 来获取公开证书来获取公开证书和和CRLLDAP协议协议PKI中的证书中的证书 PKI适用于异构环境中,所以证书的格式在适用于异构环境中,所以证书的格式在所使用的范围内必须统一所使用的范围内必须统一 证书是一个机构颁发给一个安全个体的证证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权明,所以证书的权威性取决于该机构的权威性威性 一个证书中,最重要的信息是个体名字、一个证书中,最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途个体的公钥、机构的签名、算法和用途 最常用的证书格式为最常用的证书格式为X.509 v3PKI的构建的构建 自建模式自建模式(In-house Model)是指用户购买整套的是指用户购买整套的PKI软件和所需的硬件设备,按照软件和所需的硬件设备,按照PKI的构建要求的构建要求自行建立起一套完整的服务体系。自行建立起一套完整的服务体系。 托管模式托管模式是指用户利用现有的可信第三方是指用户利用现有的可信第三方认证认证中心中心CA提供的提供的PKI服务,用户只需配置并全权管服务,用户只需配置并全权管理一套集成的理一套集成的PKI平台即可建立起一套完整的服务平台即可建立起一套完整的服务体系,对内对外提供全部的体系,对内对外提供全部的PKI服务。服务。与与PKI有关的标准情况有关的标准情况 Certificates X.509 v.3 交叉认证交叉认证 PKIX group in IETF(RFC 2459) 智能卡智能卡/硬件插件硬件插件 PKCS #11 PKCS系列系列 目录服务目录服务LDAP PKI信任模型信任模型 基于层次结构的信任模型基于层次结构的信任模型 交叉认证交叉认证 网状信任模型网状信任模型 混合结构信任模型混合结构信任模型 Web可信列表可信列表 以用户为中心的信任模型以用户为中心的信任模型CA信任关系信任关系 当一个安全个体看到另一个安全个体出示的证书当一个安全个体看到另一个安全个体出示的证书时,他是否信任此证书?时,他是否信任此证书? 信任难以度量,总是与风险联系在一起信任难以度量,总是与风险联系在一起 可信可信CA 如果一个个体假设如果一个个体假设CA能够建立并维持一个准确的能够建立并维持一个准确的“个个体体-公钥属性公钥属性”之间的绑定,则他可以信任该之间的绑定,则他可以信任该CA,该,该CA为为可信可信CACA层次结构信任模型层次结构信任模型对于一个运行对于一个运行CA的大型权威机构而言,签发证书的工作不能仅仅由的大型权威机构而言,签发证书的工作不能仅仅由一个一个CA来完成来完成,它可以建立一个它可以建立一个CA层次结构层次结构以各个域的集中控制为基础,可以建立层次结构的以各个域的集中控制为基础,可以建立层次结构的CA体系。体系。这种模型不适合缺少集中管理域的完全分布环境下的网络应用。这种模型不适合缺少集中管理域的完全分布环境下的网络应用。根根CA中间中间CACA层次结构的建立层次结构的建立 根根CA具有一个自签名的证书具有一个自签名的证书 根根CA依次对它下面的依次对它下面的CA进行签名进行签名 层次结构中叶子节点上的层次结构中叶子节点上的CA用于对安全个体进行用于对安全个体进行签名签名 对于个体而言,它需要信任根对于个体而言,它需要信任根CA,中间的,中间的CA可可以不必关心以不必关心(透明的透明的);同时它的证书是由底层的;同时它的证书是由底层的CA签发的签发的 在在CA的机构中,要维护这棵树的机构中,要维护这棵树 在每个节点在每个节点CA上,需要保存两种上,需要保存两种cert(1) Forward Certificates: 其他其他CA发给它的发给它的certs(2) Reverse Certificates: 它发给其他它发给其他CA的的certs层次结构层次结构CA中证书的验证中证书的验证 假设个体假设个体A看到看到B的一个证书的一个证书 B的证书中含有签发该证书的的证书中含有签发该证书的CA的信息的信息 沿着层次树往上找,可以构成一条证书链,直到沿着层次树往上找,可以构成一条证书链,直到根证书根证书 验证过程:验证过程: 沿相反的方向,从根证书开始,依次往下验证每一个沿相反的方向,从根证书开始,依次往下验证每一个证书中的签名。其中,根证书是自签名的,用它自己证书中的签名。其中,根证书是自签名的,用它自己的公钥进行验证的公钥进行验证 一直到验证一直到验证B的证书中的签名的证书中的签名 如果所有的签名验证都通过,则如果所有的签名验证都通过,则A可以确定所有的证书可以确定所有的证书都是正确的,如果他信任根都是正确的,如果他信任根CA,则他可以相信,则他可以相信B的证的证书和公钥书和公钥树层次结构树层次结构森林型结构森林型结构证书链的验证示例证书链的验证示例CA认证模型认证模型 如果用户如果用户 i和和j都属于都属于CA111,那么,那么i和和j之间的之间的密钥交换,只需要持有密钥交换,只需要持有CA111开具的证明书就可开具的证明书就可以,即:对用户以,即:对用户 i和和j的公钥的公钥PKi 和和PKj分别盖章,分别盖章,如如(Pki)ca111, (Pkj)ca111,那么用户那么用户i和和j就能证明密钥就能证明密钥是对方的密钥。是对方的密钥。CA认证模型认证模型 如果用户如果用户j的证明书是的证明书是CA122开具的,那么情况开具的,那么情况就复杂了,各自具有:就复杂了,各自具有: i方:方:(Pki)ca111 , (CA111)CA11, (CA11)CA1 j方:方:(Pkj)ca122 , (CA122)CA12, (CA12)CA1 这就形成了层层证明的证明链(这就形成了层层证明的证明链( certification chain)。这里,符号)。这里,符号(CA11)CA1是是CA1对对C11的的公钥盖章,只是证明本公钥是公钥盖章,只是证明本公钥是C11的。的。 CA 证明链证明链CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书个人证书个人证书个人证书个人证书(PKI)CA11,(,(PKCA11)CA1,(,(PKCA1)CA(PKJ)CA21,(,(PKCA21)CA2,(,(PKCA2)CAij 交叉认证交叉认证 交叉认证是一种把以前无关的交叉认证是一种把以前无关的CA连接在一起的有连接在一起的有用机制,从而使得在它们各自主体群之间的安全通用机制,从而使得在它们各自主体群之间的安全通信成为可能。信成为可能。 两个两个CA安全地交换密钥信息安全地交换密钥信息,这样每个这样每个CA都可以有都可以有效地验证另一方密钥的可信任性效地验证另一方密钥的可信任性,这个过程称为交叉这个过程称为交叉认证认证; 两个不同的两个不同的CA层次结构之间可以建立信任关系层次结构之间可以建立信任关系 单向交叉认证单向交叉认证 一个一个CA可以承认另一个可以承认另一个CA在一定名字空间范围内的所有被授权在一定名字空间范围内的所有被授权签发的证书签发的证书 双向交叉认证双向交叉认证交叉认证交叉认证交叉认证可以分为交叉认证可以分为域内交叉认证:域内交叉认证:如果两个如果两个CA属于相同的域属于相同的域域间交叉认证:域间交叉认证:如果两个如果两个CA属于不同的域属于不同的域(例如,当在一家公例如,当在一家公司中的司中的CA认证了在另一家公司中的认证了在另一家公司中的CA) 。交叉认证的约束交叉认证的约束名字约束名字约束:一个一个CA信任另一个信任另一个CA在给定的一部分名字空间内的在给定的一部分名字空间内的以其为主体颁发的证书以其为主体颁发的证书路径长度约束路径长度约束: 限制可以出现在一个有效的证书路径中的交叉认限制可以出现在一个有效的证书路径中的交叉认证的数目证的数目策略约束策略约束: 提供一种方法来限制一个证书使用提供一种方法来限制一个证书使用,如使用如使用EMAIL,这这样除样除EMAIL以外的任意证书为非法以外的任意证书为非法例如假设例如假设A已经被已经被CA1认证并持有可信的一份认证并持有可信的一份CA1的公钥的公钥,并且并且B已已经被经被CA2认证并持有可信的一份认证并持有可信的一份CA2的公钥的公钥,最初最初A只信任其证书由只信任其证书由CA1签署的实体签署的实体,因为他能够验证这些证书因为他能够验证这些证书(使用使用CA1的公钥的公钥),但不能但不能验证验证B的证书的证书,因为他没有持可信的一份因为他没有持可信的一份CA2的密钥的密钥,类似的在类似的在B身上身上发生发生,如果如果CA1和和CA2交叉认证后交叉认证后,双方都获得了对方的公钥双方都获得了对方的公钥,这样这样A的信任就能扩展到的信任就能扩展到CA2的主体群的主体群,如如B;交叉认证交叉认证 不同的交叉认证信任模型不同的交叉认证信任模型 子层次型结构子层次型结构 网状交叉认证结构网状交叉认证结构 混合结构混合结构 桥认证结构桥认证结构 信任列表信任列表子层次型交叉认证信任模型子层次型交叉认证信任模型PKI中的中的CA关系控制了关系控制了PKI的可扩展性的可扩展性。:CA:最终用户分布式信任结构模型分布式信任结构模型 分布式信任结构把信任分散在两个或多个分布式信任结构把信任分散在两个或多个CA上,相上,相应的应的CA必须是整个必须是整个PKI系统的一个子集所构成的严格系统的一个子集所构成的严格层次结构的根层次结构的根CA。 如果这些严格层次结构都是可信颁发者层次结构,那如果这些严格层次结构都是可信颁发者层次结构,那么该总体结构被称作么该总体结构被称作完全同位结构完全同位结构(fully peered architecture)。如果所有的严格层次结构都是多层结。如果所有的严格层次结构都是多层结构(构(multi-level hierarchy),那么最终的结构就被),那么最终的结构就被叫作叫作满树结构满树结构(fully treed architecture)。 一般来说,完全同位结构部署在某个组织内部,而满一般来说,完全同位结构部署在某个组织内部,而满树结构和混合结构则是在原来相互独立的树结构和混合结构则是在原来相互独立的PKI系统之系统之间进行互联的结果。间进行互联的结果。网状交叉认证信任模型网状交叉认证信任模型 网状型:相互独立的网状型:相互独立的CA之间可以交叉认证,从之间可以交叉认证,从而形成而形成CA之间的信任关之间的信任关系网络。系网络。 网状配置中,所有的网状配置中,所有的CA之间都可以进行交叉认之间都可以进行交叉认证。证。灵活,便于建立特殊信任关系,也符合商贸中的双边信任关系灵活,便于建立特殊信任关系,也符合商贸中的双边信任关系任何任何PKI中,用户至少要信任其证书颁发中,用户至少要信任其证书颁发CA允许用户频繁通信的允许用户频繁通信的CA之间直接交叉认证,以降低认证路径处之间直接交叉认证,以降低认证路径处理量理量CA私钥泄露引起的恢复仅仅涉及到该私钥泄露引起的恢复仅仅涉及到该CA的证书用户的证书用户混合结构信任模型混合结构信任模型 混合结构中,局部仍可体现出层次型结构。混合结构中,局部仍可体现出层次型结构。 不是所有的根不是所有的根CA之间都进行直接的交叉认证。之间都进行直接的交叉认证。Web模型模型 许多许多CA的公钥被预装在标准的浏览器。这些公钥确定了一组的公钥被预装在标准的浏览器。这些公钥确定了一组浏览器用户最初信任的浏览器用户最初信任的CA,这组根密钥可以被用户修改这组根密钥可以被用户修改。 类似于认证机构的严格层次结构模型,浏览器厂商起到了根类似于认证机构的严格层次结构模型,浏览器厂商起到了根CA的作用,而与被嵌入的密钥相对应的的作用,而与被嵌入的密钥相对应的CA就是它所认证的就是它所认证的CA,这种认证并不通过颁发证书实现的,而是,这种认证并不通过颁发证书实现的,而是物理地把物理地把CA的的密钥嵌入浏览器密钥嵌入浏览器。 Web模型在方便性和简单互操作方面有明显的优势,但是也模型在方便性和简单互操作方面有明显的优势,但是也存在许多安全隐患。例如,因为浏览器的用户自动地信任预存在许多安全隐患。例如,因为浏览器的用户自动地信任预安装的所有公钥,所以即使这些根安装的所有公钥,所以即使这些根CA中有一个是中有一个是“坏的坏的”(例如该(例如该CA没有认真核实被认证的实体),安全性将被完全没有认真核实被认证的实体),安全性将被完全破坏。破坏。 最后该模型还缺少有效的方法在最后该模型还缺少有效的方法在CA和用户间建立合法协议,和用户间建立合法协议,该协议的目的是使该协议的目的是使CA和用户共同承担责任。和用户共同承担责任。以用户为中心的信任模型以用户为中心的信任模型 对于每一个用户而言,应该建立各种信任关系,这对于每一个用户而言,应该建立各种信任关系,这种信任关系可以被扩展种信任关系可以被扩展 例子:用户的浏览器配置例子:用户的浏览器配置以用户为中心的信任模型示例:以用户为中心的信任模型示例:PGP例如,当例如,当Alice 收到一个据称属于收到一个据称属于Bob的证书时,她将发现这的证书时,她将发现这个证书是由她不认识的个证书是由她不认识的David签署的,但是签署的,但是 David的证书是由的证书是由她认识并且信任的她认识并且信任的Catherine签署的。在这种情况下,签署的。在这种情况下,Alice可以决定信任可以决定信任Bob的密钥,也可以决定不信任的密钥,也可以决定不信任Bob的密钥。的密钥。 在著名的安全软件程序在著名的安全软件程序Pretty Good Privacy(PGP)中,)中,一个用户通过担当一个用户通过担当CA(签署其他实体的公钥证书)和使他(签署其他实体的公钥证书)和使他的公钥被其他人所认证来建立(或参加)所谓的的公钥被其他人所认证来建立(或参加)所谓的“Web of Trust”。PKI应用应用 基本的应用基本的应用 文件保护文件保护 E-mail Web应用应用 其他其他 VPN SSL/TLS XML/e-business WAP PKI/CA应用应用 Web应用应用PKI/CA应用应用 电子交易电子交易 网上报税需要解决的安全问题网上报税需要解决的安全问题:通信安全、身通信安全、身份认证、业务安全份认证、业务安全 网上报税安全解决方案网上报税安全解决方案1. 最终用户颁发数字证书的认证子系统,负责最终用户颁发数字证书的认证子系统,负责认证系统的策略制定、认证系统的策略制定、RA注册机关的建设、注册机关的建设、接受证书申请、用户身份的鉴证、协助接受证书申请、用户身份的鉴证、协助CA系系统发放客户证书以及签发证书的各种管理;统发放客户证书以及签发证书的各种管理;2. 整个应用系统中使用证书保证信息传输以及整个应用系统中使用证书保证信息传输以及业务流程的安全可信。业务流程的安全可信。PKI/CA应用应用电子税务电子税务授权管理基础设施授权管理基础设施 PMI 授权管理基础设施授权管理基础设施PMI(Privilege Management Infrastructure)是国家信息安全基础设施是国家信息安全基础设施(National Information Security Infrastructure,NISI)的一个重要的一个重要组成部分组成部分 目标是向用户和应用程序提供授权管理服务,提供用户身目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。机制,简化具体应用系统的开发与维护。 PMI是一个属性证书、属性权威结构、属性证书库等部件是一个属性证书、属性权威结构、属性证书库等部件构成的综合系统构成的综合系统,用来实现权限和证书的产生、管理、存,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。储、分发和撤销等功能。 PMI使用属性证书表示和容纳权限信息,通过管理证书的使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。生命周期实现对权限生命周期的管理。 授权管理基础设施授权管理基础设施 PMI 授权管理基础设施授权管理基础设施PMI以以资源管理为核心资源管理为核心,对资源的访问控,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。访问控制。 同同PKI相比,两者主要区别在于:相比,两者主要区别在于:PKI证明用户是谁,而证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且证明这个用户有什么权限,能干什么,而且PMI需要需要PKI为其为其提供身份认证。提供身份认证。 PMI与与PKI在结构上相似在结构上相似:信任的基础都是有关权威机构,由信任的基础都是有关权威机构,由他们决定建立身份认证系统和属性特权机构。在他们决定建立身份认证系统和属性特权机构。在PKI中,由中,由有关部门建立并管理根有关部门建立并管理根CA,下设各级,下设各级CA、RA和其它机构;和其它机构;在在PMI中,由有关部门建立授权源中,由有关部门建立授权源SOA,下设分布式的,下设分布式的AA(授权管理中心授权管理中心)和其它机构如和其它机构如RM(资源管理中心)中心。资源管理中心)中心。 PMI实际提出了一个新的信息保护基础设施,能够与实际提出了一个新的信息保护基础设施,能够与PKI和和目录服务紧密地集成目录服务紧密地集成,并系统地建立起对认可用户的特定授,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。权服务所需过程。 授权管理基础设施授权管理基础设施 PMI特点特点 授权服务体系主要是为网络空间提供用户操作授权授权服务体系主要是为网络空间提供用户操作授权的管理,即在虚拟网络空间中的用户的管理,即在虚拟网络空间中的用户角色角色与最终应与最终应用系统中用户的用系统中用户的操作权限操作权限之间建立之间建立一种映射关系一种映射关系 PMI技术通过技术通过数字证书机制(属性证书,提供对用户数字证书机制(属性证书,提供对用户身份的鉴别功能,不包含用户的公钥信息身份的鉴别功能,不包含用户的公钥信息)来管理)来管理用户的授权信息用户的授权信息 。 授权操作与业务操作相分离授权操作与业务操作相分离 , 并将授权管理功能从应并将授权管理功能从应用系统中分离出来,以独立服务的方式面向应用系用系统中分离出来,以独立服务的方式面向应用系统提供授权管理服务,因此授权管理模块自身的维统提供授权管理服务,因此授权管理模块自身的维护和更新操作与具体的应用系统无关,可以在不改护和更新操作与具体的应用系统无关,可以在不改变应用系统的前提下完成对授权模型的转换变应用系统的前提下完成对授权模型的转换 PMI体系结构体系结构 信任源点信任源点(SOA中心中心)是是是是整个整个PMI的最终信任源和的最终信任源和最高管理机构。最高管理机构。 AA中心的职责主要包括:中心的职责主要包括:应用授权受理、属性证书应用授权受理、属性证书的发放和管理,以及资源的发放和管理,以及资源管理中心的设立审核和管管理中心的设立审核和管理等理等 资源管理中心资源管理中心RM,是与,是与具体应用用户的接口具体应用用户的接口 ,主,主要是负责对具体的用户应要是负责对具体的用户应用资源进行授权审核,并用资源进行授权审核,并将属性证书的操作请求提将属性证书的操作请求提交到交到AA进行处理进行处理 。 授权和属性证书签发授权和属性证书签发 PMI使用属性证书表示和容纳权限信息使用属性证书表示和容纳权限信息,通过管理证书的,通过管理证书的生命周期实现对权限生命周期的管理。基于生命周期实现对权限生命周期的管理。基于PMI的集中授的集中授权系统采用基于属性证书(权系统采用基于属性证书(AC)的授权模式,向应用系)的授权模式,向应用系统提供与应用相关的授权服务管理,提供用户身份到应用统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能。授权的映射功能。 谢谢 谢谢 !
展开阅读全文