3.4-授权技术PPT格式课件下载.ppt
《3.4-授权技术PPT格式课件下载.ppt》由会员分享,可在线阅读,更多相关《3.4-授权技术PPT格式课件下载.ppt(15页珍藏版)》请在冰点文库上搜索。
二是PKI定义了严格的操作协议和严格的信任层次关系,任何向CA申请证书的人必须离线(Offline)身份验证(一般由RA来完成),这样的验证工作很难在扩展整个Internet上,通常只在小范围内实施。
因此当今构建的PKI系统都局限在一定范围内,这就造成PKI系统扩展的瓶颈问题;
三是为了解决每个独立PKI系统之间信任关系,出现交叉认证、桥-CA(Bridge-CA)等方法。
但是由于不同的PKI系统定义了各自的信任策略,在进行相互认证的时候,为了避免由于信任策略不同而产生的问题,一般的做法是忽略信任策略,这样PKI仅起到了身份认证作用,而至于身份有什么权利,可以做哪些事情、哪些事情不能做,在通过认证后就消失了。
因此,要实现信任策略只有通过其他方法。
为解决上述问题,于是出现了PMI技术。
PMI(PrivilegeManagementInfrastructure),即授权管理基础设施,是国家信息安全基础设施NISI(NationalInformationSecurityInfrastructure,NISI由PKI和PMI组成,其中,公钥基础设施构成所谓的PKI信息安全平台,提供智能化的信任服务;
而授权管理基础设施PMI构成所谓的授权管理平台,在PKI信息安全平台的基础上提供智能化的授权服务。
)的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。
在ANSI、ITUX.509和IETFPKIX都有PMI的定义,ITU-T(国际电信联盟委员会)在2001年发表的X.509的第四版首次将PMI的证书完全标准化(X.509早期的版本侧重于PKI证书的标准化)。
授权管理基础设施PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。
属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的过程。
而且,使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用,而且有利于权限的安全分布式应用。
授权管理基础设施PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。
同公钥基础设施PKI相比,两者主要区别在于:
PKI证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。
PMI与PKI在结构上是非常相似的。
信任的基础都是有关权威机构,由他们决定建立身份认证系统和属性特权机构。
在PKI中,由有关部门建立并管理根CA,下设各级CA(CertificateAuthority)、RA(RegistrationAuthority)和其它机构;
在PMI中,由有关部门建立授权源SOA(SourceofAuthority),下设分布式的AA(Attributeauthority)和其它机构。
PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。
建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。
为什么不是PKI?
PMI技术的优势,目前,建立授权服务体系的关键技术主要是授权管理基础设施PMI技术。
PMI技术通过数字证书机制来管理用户的授权信息,并将授权管理功能从传统的应用系统中分离出来,以独立服务的方式面向应用系统提供授权管理服务。
与传统的同应用密切捆绑的授权管理模式相比,基于PMI技术的授权管理模式主要存在以下三个方面的优势:
(1)授权管理的灵活性基于PMI技术的授权管理模式可以通过属性证书的有效期以及委托授权机制来灵活地进行授权管理,从而实现了传统的访问控制技术领域中的强制访问控制模式与自主访问控制模式的有机结合,其灵活性是传统的授权管理模式所无法比拟的。
(2)授权操作与业务操作相分离基于授权服务体系的授权管理模式将业务管理工作与授权管理工作完全分离,更加明确了业务管理员和安全管理员之间的职责分工,可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。
基于PMI技术的授权管理模式还可以通过属性证书的审核机制来提供对操作授权过程的审核,进一步加强了授权管理的可信度。
与传统的授权管理模式相比,采用属性证书机制的授权管理技术对授权管理信息提供了更多的保护功能;
而与直接采用公钥证书的授权管理技术相比,则进一步增加了授权管理机制的灵活性,并保持了信任服务体系的相对稳定性。
(3)多授权模型的灵活支持基于PMI技术的授权管理模式将整个授权管理体系从应用系统中分离出来,授权管理模块自身的维护和更新操作将与具体的应用系统无关,因此,可以在不影响原有应用系统正常运行的前提下,实现对多授权模型的支持。
目前,欧洲委员会投资的权限和角色管理基础设施标准确认(PERMIS)工程在建立X.509基于角色PMI遇到了挑战,该挑战在于建立一个基于角色的X.509权限管理基础设施,这个基础设施能够满足许多不同的应用,这也意味着它能够有着广阔的应用天地。
由于授权管理基础设施PMI技术是一个新出现的领域,我国在这方面的研究比国外先进水平落后不多,相信在许多应用领域一定会与国外并驾齐驱。
PMI在ANSI、ITUX.509和IETFPKIX中都有定义。
3.4.2基本结构和应用模型,各个组成部分的说明,1访问者和目标2策略实施点(PEPs)3策略决策点(PDP)4安全授权策略说明授权遵循的原则和具体的授权信息5属性权威(AA)6属性库7策略库,3.4.3体系结构与主要功能,1两种工作模式:
集中式与分布式,3.4.4性能指标,应用层服务器端密码设备应达到的性能指标:
1234,应用层客户端密码设备应达到的性能指标:
123,
升级会员 