《公钥基础设施PKI和授权管理基础设施PMI.ppt》由会员分享,可在线阅读,更多相关《公钥基础设施PKI和授权管理基础设施PMI.ppt(48页珍藏版)》请在金锄头文库上搜索。
1、网络信息安全基础网络信息安全基础授课教师:张全海授课教师:张全海5.3公钥基础设施公钥基础设施PKI和授权管和授权管理基础设施理基础设施PMI公开密钥基础设施公开密钥基础设施PKI PKI(PublicKeyInfrastructure)是一个用公钥是一个用公钥概念与技术来实施和提供安全服务的具有普适性概念与技术来实施和提供安全服务的具有普适性的安全基础设施。的安全基础设施。PKI的主要任务是在开放环境中为开放性业务提供的主要任务是在开放环境中为开放性业务提供网上身份认证、信息完整性和数字签名服务。网上身份认证、信息完整性和数字签名服务。PKI是一种是一种标准的密钥管理平台标准的密钥管理平台,
2、它能够为所有网,它能够为所有网络应用透明地提供采用加密和数据签名等密码服络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。务所必须的密钥和证书管理。 PKI是生成、管理、存储、分发和吊销基于公钥是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和策略和规程的总和。PKI的主要功能的主要功能密钥和证书的生成密钥和证书的生成证书存储证书存储/ /目录服务目录服务密钥备份和恢复密钥备份和恢复支持不可抵赖服务支持不可抵赖服务证书废止证书废止证书发放证书发放交叉认证交叉认证时间戳时间戳 从功能上讲,一
3、个完整从功能上讲,一个完整的的PKI系统必须具备如下一些主要功能:系统必须具备如下一些主要功能:密钥更新密钥更新PKI的构成的构成从总体上讲,从总体上讲,PKI由如下四个方面的部件构成:由如下四个方面的部件构成:认证中心认证中心认证中心认证中心CACAPKI的应用的应用PKI策略策略注册机构注册机构注册机构注册机构RARA证书发布系统证书发布系统证书发布系统证书发布系统软硬件系统软硬件系统PKI中的可信第三方中的可信第三方证书认证中心(证书认证中心(CA),可),可以解决无边界用户的身份确定问题,提供了信任以解决无边界用户的身份确定问题,提供了信任的基础。因此基于的基础。因此基于Interne
4、t的应用需要的应用需要PKI。PKI作为一种支撑性基础设施,其本身并不能直接作为一种支撑性基础设施,其本身并不能直接为用户提供安全服务,但为用户提供安全服务,但PKI是其他安全应用的基是其他安全应用的基础。础。PKI基本组成基本组成 PKI由以下几个基本部分组成:由以下几个基本部分组成:证书库证书库证书作废处理系统证书作废处理系统认证机构认证机构(CACertificateAuthority)注册机构注册机构(RARegistrationAuthority)密钥备份与恢复系统密钥备份与恢复系统PKI应用接口应用接口PKI基本组成基本组成注册机构(注册机构(RA)负负责责记记录录和和验验证证部部
5、分分或或所所有有有有关关信信息息(特特别别是是主主体体的的身身份份),这这些些信信息息用用于于CA发发行行证证书书和和CLR以以及证书管理中。及证书管理中。认证机构与其用户或证书申请人间的交互是由被认证机构与其用户或证书申请人间的交互是由被称为注册机构称为注册机构(RA)的中介机构来管理;的中介机构来管理;注册机构本身并不发放证书,但注册机构可以确注册机构本身并不发放证书,但注册机构可以确认、批准或拒绝证书申请人认、批准或拒绝证书申请人,随后由认证机构给,随后由认证机构给经过批准的申请人发放证书。经过批准的申请人发放证书。PKI基本组成基本组成认证机构(认证机构(CA)一一个个可可信信实实体体
6、,发发放放和和作作废废公公钥钥证证书书,并并对对各各作作废证书列表签名。废证书列表签名。CA是是PKI系统的核心,包含以下功能:系统的核心,包含以下功能:接受用户的请求接受用户的请求(由由RA负责对用户的身份信息进行验证负责对用户的身份信息进行验证)用自己的私钥签发证书用自己的私钥签发证书提供证书查询提供证书查询接受证书注销请求接受证书注销请求提供证书注销表提供证书注销表证书材料信息的管理证书材料信息的管理PKI理论基础理论基础密码学密码学( (略略) )目录服务目录服务数字证书数字证书目录服务目录服务目的是建立全局目的是建立全局/局部统一的命令方案,它从技术局部统一的命令方案,它从技术的角度
7、定义了人的身份和网络对象的关系;的角度定义了人的身份和网络对象的关系;目录服务是规范网络行为和管理网络的一种重要目录服务是规范网络行为和管理网络的一种重要手段;手段;X.500时一套已经被国际标准化组织(时一套已经被国际标准化组织(ISO)接受)接受的目录服务系统标准;的目录服务系统标准;LDAP(轻量级目录访问协议)最早被看作是(轻量级目录访问协议)最早被看作是X.500目录访问协议中的那些易描述、易执行的功目录访问协议中的那些易描述、易执行的功能子集能子集X.500目录服务目录服务一个完整的一个完整的X.500系统称为一个系统称为一个”目录目录”。X.500目录服务是一个复杂的信息存储机制
8、目录服务是一个复杂的信息存储机制,包括,包括客户机客户机-目录服务器访问协议、服务器目录服务器访问协议、服务器-服务器通信服务器通信协议、完全或部分的目录数据复制、服务器链对查协议、完全或部分的目录数据复制、服务器链对查询的响应、复杂搜寻的过滤功能等询的响应、复杂搜寻的过滤功能等.X.500目录服务可以向需要目录服务可以向需要访问网络任何地方资源访问网络任何地方资源的电子函件系统和应用的电子函件系统和应用,或需要知道在网络上的实,或需要知道在网络上的实体名字和地点的管理系统体名字和地点的管理系统提供信息提供信息。LDAP的的 英英 文文 全全 称称 是是 Lightweight Directo
9、ry AccessProtocol,轻轻量量级级目目录录访访问问协协议议。它它是是基基于于X.500标标准准的的,但但是是简简单单并并且且可可以以根根据据需需要要定定制制。与与X.500不不同同,LDAP支支持持TCP/IP,这对访问这对访问Internet是必须的。是必须的。LDAP不不是是数数据据库库而而是是用用来来访访问问存存储储在在信信息息目目录录(也也就就是是LDAP目目录录)中中的的信信息息的的协协议议。也也就就是是说说“通通过过使使用用LDAP,可可以以在在信信息息目目录录的的正正确确位位置置读读取取(或或存存储储)数数据据”,LDAP主主要是优化数据读取的性能要是优化数据读取的
10、性能。LDAP协协议议是是跨跨平平台台的的和和标标准准的的协协议议。LDAP最最大大的的优优势势是是:可可以以在在任任何何计计算算机机平平台台上上,用用很很容容易易获获得得的的而而且且数数目目不不断断增增加加的的LDAP的的客客户户端端程程序序访访问问LDAP目目录录。而而且且也也很很容容易易定定制制应用程序为它加上应用程序为它加上LDAP的支持。的支持。PKI中使用中使用LDAP服务主要是用于服务主要是用于CA证书库、证书库、CRL库库(证书证书注销库注销库)的发布,应用软件可以通过访问的发布,应用软件可以通过访问LADP来获取公开证来获取公开证书和书和CRLLDAP协议协议PKI中的证书中
11、的证书PKI适用于异构环境中,所以证书的格式在适用于异构环境中,所以证书的格式在所使用的范围内必须统一所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明,证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性所以证书的权威性取决于该机构的权威性一个证书中,最重要的信息是个体名字、个一个证书中,最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途体的公钥、机构的签名、算法和用途最常用的证书格式为最常用的证书格式为X.509v3PKI的构建的构建自建模式自建模式(In-houseModel)是指用户购买整套的是指用户购买整套的PKI软件和所需的硬件设备,按照软
12、件和所需的硬件设备,按照PKI的构建要求的构建要求自行建立起一套完整的服务体系。自行建立起一套完整的服务体系。托管模式托管模式是指用户利用现有的可信第三方是指用户利用现有的可信第三方认证中认证中心心CA提供的提供的PKI服务,用户只需配置并全权管理服务,用户只需配置并全权管理一套集成的一套集成的PKI平台即可建立起一套完整的服务体平台即可建立起一套完整的服务体系,对内对外提供全部的系,对内对外提供全部的PKI服务。服务。与与PKI有关的标准情况有关的标准情况CertificatesX.509v.3交叉认证交叉认证PKIXgroupinIETF(RFC2459)智能卡智能卡/硬件插件硬件插件PK
13、CS#11PKCS系列系列目录服务目录服务LDAP PKI信任模型信任模型 基于层次结构的信任模型基于层次结构的信任模型交叉认证交叉认证网状信任模型网状信任模型混合结构信任模型混合结构信任模型Web可信列表可信列表以用户为中心的信任模型以用户为中心的信任模型CA信任关系信任关系当一个安全个体看到另一个安全个体出示的证书当一个安全个体看到另一个安全个体出示的证书时,他是否信任此证书?时,他是否信任此证书?信任难以度量,总是与风险联系在一起信任难以度量,总是与风险联系在一起可信可信CA如果一个个体假设如果一个个体假设CA能够建立并维持一个准确的能够建立并维持一个准确的“个个体体-公钥属性公钥属性”
14、之间的绑定,则他可以信任该之间的绑定,则他可以信任该CA,该,该CA为为可信可信CACA层次结构信任模型层次结构信任模型对于一个运行对于一个运行CA的大型权威机构而言,签发证书的工作不能仅仅由的大型权威机构而言,签发证书的工作不能仅仅由一个一个CA来完成来完成,它可以建立一个它可以建立一个CA层次结构层次结构以各个域的集中控制为基础,可以建立层次结构的以各个域的集中控制为基础,可以建立层次结构的CA体系。体系。这种模型不适合缺少集中管理域的完全分布环境下的网络应用。这种模型不适合缺少集中管理域的完全分布环境下的网络应用。根根CA中间中间CACACA层次结构层次结构层次结构层次结构CA层次结构的
15、建立层次结构的建立根根CA具有一个自签名的证书具有一个自签名的证书根根CA依次对它下面的依次对它下面的CA进行签名进行签名层次结构中叶子节点上的层次结构中叶子节点上的CA用于对安全个体进行用于对安全个体进行签名签名对于个体而言,它需要信任根对于个体而言,它需要信任根CA,中间的中间的CA可可以不必关心以不必关心(透明的透明的);同时它的证书是由底层的;同时它的证书是由底层的CA签发的签发的在在CA的机构中,要维护这棵树的机构中,要维护这棵树在每个节点在每个节点CA上,需要保存两种上,需要保存两种cert(1)ForwardCertificates:其他其他CA发给它的发给它的certs(2)R
16、everseCertificates:它发给其他它发给其他CA的的certs层次结构层次结构CA中证书的验证中证书的验证假设个体假设个体A看到看到B的一个证书的一个证书B的证书中含有签发该证书的的证书中含有签发该证书的CA的信息的信息沿着层次树往上找,可以构成一条证书链,直到沿着层次树往上找,可以构成一条证书链,直到根证书根证书验证过程:验证过程:沿相反的方向,从根证书开始,依次往下验证每一个证沿相反的方向,从根证书开始,依次往下验证每一个证书中的签名。其中,根证书是自签名的,用它自己的公书中的签名。其中,根证书是自签名的,用它自己的公钥进行验证钥进行验证一直到验证一直到验证B的证书中的签名的
17、证书中的签名如果所有的签名验证都通过,则如果所有的签名验证都通过,则A可以确定所有的证书可以确定所有的证书都是正确的,如果他信任根都是正确的,如果他信任根CA,则他可以相信,则他可以相信B的证的证书和公钥书和公钥树层次结构树层次结构森林型结构森林型结构证书链的验证示例证书链的验证示例CA认证模型认证模型 如如果果用用户户i和和j都都属属于于CA111,那那么么i和和j之之间间的的密密钥钥交交换换,只只需需要要持持有有CA111开开具具的的证证明明书书就就可可以以,即即:对对用用户户i和和j的的公公钥钥PKi和和PKj分分别别盖盖章章,如如(Pki)ca111,(Pkj)ca111,那那么么用用
18、户户i和和j就就能能证证明明密密钥是对方的密钥。钥是对方的密钥。CA认证模型认证模型 如如果果用用户户j的的证证明明书书是是CA122开开具具的的,那那么么情情况况就复杂了,各自具有:就复杂了,各自具有:i方:方:(Pki)ca111,(CA111)CA11,(CA11)CA1j方:方:(Pkj)ca122,(CA122)CA12,(CA12)CA1这这就就形形成成了了层层层层证证明明的的证证明明链链(certificationchain)。这这里里,符符号号(CA11)CA1是是CA1对对C11的的公钥盖章,只是证明本公钥是公钥盖章,只是证明本公钥是C11的。的。CA证明链证明链CACA1C
19、A2CA11CA12CA21CA22个人证书个人证书个人证书个人证书个人证书个人证书个人证书个人证书(PKI)CA11,(,(PKCA11)CA1,(,(PKCA1)CA(PKJ)CA21,(,(PKCA21)CA2,(,(PKCA2)CAij 交叉认证交叉认证 交叉认证是一种把以前无关的交叉认证是一种把以前无关的CA连接在一起的有连接在一起的有用机制,从而使得在它们各自主体群之间的安全通用机制,从而使得在它们各自主体群之间的安全通信成为可能。信成为可能。两个两个CA安全地交换密钥信息安全地交换密钥信息,这样每个这样每个CA都可以有都可以有效地验证另一方密钥的可信任性效地验证另一方密钥的可信任
20、性,这个过程称为交这个过程称为交叉认证叉认证;两个不同的两个不同的CA层次结构之间可以建立信任关系层次结构之间可以建立信任关系单向交叉认证单向交叉认证一个一个CA可以承认另一个可以承认另一个CA在一定名字空间范围内的所有被授权在一定名字空间范围内的所有被授权签发的证书签发的证书双向交叉认证双向交叉认证交叉认证交叉认证交叉认证可以分为交叉认证可以分为域内交叉认证:域内交叉认证:如果两个如果两个CA属于相同的域属于相同的域域间交叉认证:域间交叉认证:如果两个如果两个CA属于不同的域属于不同的域(例如,当在一家公例如,当在一家公司中的司中的CA认证了在另一家公司中的认证了在另一家公司中的CA)。交叉
21、认证的约束交叉认证的约束名字约束名字约束:一个一个CA信任另一个信任另一个CA在给定的一部分名字空间内的在给定的一部分名字空间内的以其为主体颁发的证书以其为主体颁发的证书路径长度约束路径长度约束:限制可以出现在一个有效的证书路径中的交叉限制可以出现在一个有效的证书路径中的交叉认证的数目认证的数目策略约束策略约束:提供一种方法来限制一个证书使用提供一种方法来限制一个证书使用,如使用如使用EMAIL,这这样除样除EMAIL以外的任意证书为非法以外的任意证书为非法例如假设例如假设A已经被已经被CA1认证并持有可信的一份认证并持有可信的一份CA1的公钥的公钥,并且并且B已已经被经被CA2认证并持有可信
22、的一份认证并持有可信的一份CA2的公钥的公钥,最初最初A只信任其证书由只信任其证书由CA1签署的实体签署的实体,因为他能够验证这些证书因为他能够验证这些证书(使用使用CA1的公钥的公钥),但不但不能验证能验证B的证书的证书,因为他没有持可信的一份因为他没有持可信的一份CA2的密钥的密钥,类似的在类似的在B身身上发生上发生,如果如果CA1和和CA2交叉认证后交叉认证后,双方都获得了对方的公钥双方都获得了对方的公钥,这这样样A的信任就能扩展到的信任就能扩展到CA2的主体群的主体群,如如B;交叉认证交叉认证不同的交叉认证信任模型不同的交叉认证信任模型 子层次型结构子层次型结构 网状交叉认证结构网状交
23、叉认证结构 混合结构混合结构 桥认证结构桥认证结构 信任列表信任列表子层次型交叉认证信任模型子层次型交叉认证信任模型PKI中的中的CA关系控制了关系控制了PKI的可扩展性的可扩展性。:CA:最终用户分布式信任结构模型分布式信任结构模型分布式信任结构把信任分散在两个或多个分布式信任结构把信任分散在两个或多个CA上,相上,相应的应的CA必须是整个必须是整个PKI系统的一个子集所构成的严格系统的一个子集所构成的严格层次结构的根层次结构的根CA。如果这些严格层次结构都是可信颁发者层次结构,那如果这些严格层次结构都是可信颁发者层次结构,那么该总体结构被称作么该总体结构被称作完全同位结构完全同位结构(fu
24、llypeeredarchitecture)。如果所有的严格层次结构都是多层结。如果所有的严格层次结构都是多层结构(构(multi-levelhierarchy),那么最终的结构就被),那么最终的结构就被叫作叫作满树结构满树结构(fullytreedarchitecture)。一般来说,完全同位结构部署在某个组织内部,而满一般来说,完全同位结构部署在某个组织内部,而满树结构和混合结构则是在原来相互独立的树结构和混合结构则是在原来相互独立的PKI系统之系统之间进行互联的结果。间进行互联的结果。网状交叉认证信任模型网状交叉认证信任模型网状型:相互独立的网状型:相互独立的CA之间可以交叉认证,从之间
25、可以交叉认证,从而形成而形成CA之间的信任关之间的信任关系网络。系网络。网状配置中,所有的网状配置中,所有的CA之间都可以进行交叉认之间都可以进行交叉认证。证。灵活,便于建立特殊信任关系,也符合商贸中的双边信任关系灵活,便于建立特殊信任关系,也符合商贸中的双边信任关系任何任何PKI中,用户至少要信任其证书颁发中,用户至少要信任其证书颁发CA允许用户频繁通信的允许用户频繁通信的CA之间直接交叉认证,以降低认证路径处之间直接交叉认证,以降低认证路径处理量理量CA私钥泄露引起的恢复仅仅涉及到该私钥泄露引起的恢复仅仅涉及到该CA的证书用户的证书用户混合结构信任模型混合结构信任模型混合结构中,局部仍可体
26、现出层次型结构。混合结构中,局部仍可体现出层次型结构。不是所有的根不是所有的根CA之间都进行直接的交叉认证。之间都进行直接的交叉认证。Web模型模型许多许多CA的公钥被预装在标准的浏览器。这些公钥确定了一组的公钥被预装在标准的浏览器。这些公钥确定了一组浏览器用户最初信任的浏览器用户最初信任的CA,这组根密钥可以被用户修改这组根密钥可以被用户修改。类似于认证机构的严格层次结构模型,浏览器厂商起到了根类似于认证机构的严格层次结构模型,浏览器厂商起到了根CA的作用,而与被嵌入的密钥相对应的的作用,而与被嵌入的密钥相对应的CA就是它所认证的就是它所认证的CA,这种认证并不通过颁发证书实现的,而是,这种
27、认证并不通过颁发证书实现的,而是物理地把物理地把CA的的密钥嵌入浏览器密钥嵌入浏览器。Web模型在方便性和简单互操作方面有明显的优势,但是也存模型在方便性和简单互操作方面有明显的优势,但是也存在许多安全隐患。例如,因为浏览器的用户自动地信任预安装在许多安全隐患。例如,因为浏览器的用户自动地信任预安装的所有公钥,所以即使这些根的所有公钥,所以即使这些根CA中有一个是中有一个是“坏的坏的”(例如(例如该该CA没有认真核实被认证的实体),安全性将被完全破坏。没有认真核实被认证的实体),安全性将被完全破坏。最后该模型还缺少有效的方法在最后该模型还缺少有效的方法在CA和用户间建立合法协议,和用户间建立合
28、法协议,该协议的目的是使该协议的目的是使CA和用户共同承担责任。和用户共同承担责任。以用户为中心的信任模型以用户为中心的信任模型对于每一个用户而言,应该建立各种信任关系,这对于每一个用户而言,应该建立各种信任关系,这种信任关系可以被扩展种信任关系可以被扩展例子:用户的浏览器配置例子:用户的浏览器配置以用户为中心的信任模型示例:以用户为中心的信任模型示例:PGP例如,当例如,当Alice收到一个据称属于收到一个据称属于Bob的证书时,她将发现这的证书时,她将发现这个证书是由她不认识的个证书是由她不认识的David签署的,但是签署的,但是David的证书是的证书是由她认识并且信任的由她认识并且信任
29、的Catherine签署的。在这种情况下,签署的。在这种情况下,Alice可以决定信任可以决定信任Bob的密钥,也可以决定不信任的密钥,也可以决定不信任Bob的密的密钥。钥。在著名的安全软件程序在著名的安全软件程序PrettyGoodPrivacy(PGP)中,)中,一个用户通过担当一个用户通过担当CA(签署其他实体的公钥证书)和使他的(签署其他实体的公钥证书)和使他的公钥被其他人所认证来建立(或参加)所谓的公钥被其他人所认证来建立(或参加)所谓的“WebofTrust”。PKI应用应用基本的应用基本的应用文件保护文件保护E-mailWeb应用应用其他其他VPNSSL/TLSXML/e-bus
30、inessWAPPKI/CA应用应用 Web应用应用PKI/CA应用应用 电子交易电子交易网上报税需要解决的安全问题网上报税需要解决的安全问题:通信安全、身通信安全、身份认证、业务安全份认证、业务安全网上报税安全解决方案网上报税安全解决方案1.最终用户颁发数字证书的认证子系统,负责认最终用户颁发数字证书的认证子系统,负责认证系统的策略制定、证系统的策略制定、RA注册机关的建设、接注册机关的建设、接受证书申请、用户身份的鉴证、协助受证书申请、用户身份的鉴证、协助CA系统系统发放客户证书以及签发证书的各种管理;发放客户证书以及签发证书的各种管理;2.整个应用系统中使用证书保证信息传输以及业整个应用
31、系统中使用证书保证信息传输以及业务流程的安全可信。务流程的安全可信。PKI/CA应用应用电子税务电子税务授权管理基础设施授权管理基础设施PMI授权管理基础设施授权管理基础设施PMI(PrivilegeManagementInfrastructure)是国家信息安全基础设施是国家信息安全基础设施(NationalInformationSecurityInfrastructure,NISI)的一个重要的一个重要组成部分组成部分目标是向用户和应用程序提供授权管理服务,提供用户身目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对份到应用授权的映射功能,
32、提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。机制,简化具体应用系统的开发与维护。PMI是一个属性证书、属性权威结构、属性证书库等部件是一个属性证书、属性权威结构、属性证书库等部件构成的综合系统构成的综合系统,用来实现权限和证书的产生、管理、存,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。生命周期实现对权限生命周期的
33、管理。授权管理基础设施授权管理基础设施PMI授权管理基础设施授权管理基础设施PMI以以资源管理为核心资源管理为核心,对资源的访问控,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。访问控制。同同PKI相比,两者主要区别在于:相比,两者主要区别在于:PKI证明用户是谁,而证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且证明这个用户有什么权限,能干什么,而且PMI需要需要PKI为其为其提供身份认证。提供身份认证。PMI与与PKI在结构上相似在结构上相似:信任的基础都是有关权威机构,由信任的基础都是有关权威机
34、构,由他们决定建立身份认证系统和属性特权机构。在他们决定建立身份认证系统和属性特权机构。在PKI中,由中,由有关部门建立并管理根有关部门建立并管理根CA,下设各级,下设各级CA、RA和其它机构;和其它机构;在在PMI中,由有关部门建立授权源中,由有关部门建立授权源SOA,下设分布式的,下设分布式的AA(授权管理中心授权管理中心)和其它机构如和其它机构如RM(资源管理中心)中心。资源管理中心)中心。PMI实际提出了一个新的信息保护基础设施,能够与实际提出了一个新的信息保护基础设施,能够与PKI和和目录服务紧密地集成目录服务紧密地集成,并系统地建立起对认可用户的特定授,并系统地建立起对认可用户的特
35、定授权,对权限管理进行了系统的定义和描述,完整地提供了授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。权服务所需过程。 授权管理基础设施授权管理基础设施PMI特点特点授权服务体系主要是为网络空间提供用户操作授权的授权服务体系主要是为网络空间提供用户操作授权的管理,即在虚拟网络空间中的用户管理,即在虚拟网络空间中的用户角色角色与最终应用系与最终应用系统中用户的统中用户的操作权限操作权限之间建立之间建立一种映射关系一种映射关系PMI技术通过技术通过数字证书机制(属性证书,提供对用户数字证书机制(属性证书,提供对用户身份的鉴别功能,不包含用户的公钥信息身份的鉴别功能,不包含用户
36、的公钥信息)来管理用)来管理用户的授权信息户的授权信息。授权操作与业务操作相分离授权操作与业务操作相分离,并将授权管理功能从并将授权管理功能从应用系统中分离出来,以独立服务的方式面向应用系应用系统中分离出来,以独立服务的方式面向应用系统提供授权管理服务,因此授权管理模块自身的维护统提供授权管理服务,因此授权管理模块自身的维护和更新操作与具体的应用系统无关,可以在不改变应和更新操作与具体的应用系统无关,可以在不改变应用系统的前提下完成对授权模型的转换用系统的前提下完成对授权模型的转换PMI体系结构体系结构信任源点信任源点(SOA中心中心)是是整是是整个个PMI的最终信任源和最的最终信任源和最高管
37、理机构。高管理机构。AA中心的职责主要包括:中心的职责主要包括:应用授权受理、属性证书应用授权受理、属性证书的发放和管理,以及资源的发放和管理,以及资源管理中心的设立审核和管管理中心的设立审核和管理等理等资源管理中心资源管理中心RM,是与,是与具体应用用户的接口具体应用用户的接口,主,主要是负责对具体的用户应要是负责对具体的用户应用资源进行授权审核,并用资源进行授权审核,并将属性证书的操作请求提将属性证书的操作请求提交到交到AA进行处理进行处理。授权和属性证书签发授权和属性证书签发 PMI使用属性证书表示和容纳权限信息使用属性证书表示和容纳权限信息,通过管理证书的,通过管理证书的生命周期实现对权限生命周期的管理。基于生命周期实现对权限生命周期的管理。基于PMI的集中授的集中授权系统采用基于属性证书(权系统采用基于属性证书(AC)的授权模式,向应用系统)的授权模式,向应用系统提供与应用相关的授权服务管理,提供用户身份到应用授提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能。权的映射功能。 谢谢 谢谢 !
