第8讲-权限管理基础设施及应用.ppt

  1. 1、本文档共52页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
属性证书的申请与发布: P2930-231 属性证书的分发流程: P230-231 属性证书的撤消流程: P233 属性证书的基本验证过程: P233 PMI模型结构 大多数的访问控制应用都能抽象成一般的权限管理模型,包括:对象、权限声明者(privilege asserter)和权限验证者( privilege verifier)。下图说明了验证者如何控制权限声明者对保护对象的访问。 PMI结构关系示意图 权限验证者 环境变量 权限策略 权限声明者 对象方法(敏感度) PMI访问控制结构 P235 目前,主要的访问控制授权方案有: DAC,自主访问控制 ACL,访问控制列表 MAC,强制访问控制 RBAC,基于角色的访问控制 访问控制的抽象模型 无论任何访问控制授权方案,都可以表示成如下图所示的基本元素和抽象: 访问控制抽象模型 影响决策单元进行决策的因素,可以抽象成如下图所示: 访问控制决策单元抽象模型 上图所示的模型是PMI控制模型的细化。 策略规则 权限管理、访问控制框架、策略规则共同构成了权限管理和访问控制实施的系统平台,或者说构成了属性证书应用支撑的框架。 控制策略规则是随桌应用而变化的,而权限不必依赖于具体的应用来进行管理。 实际上,策略规则包含着应用系统中的所有用户和资源信息,以及用户和信息的组织管理方式;用户和资源之间的权限关系;保证安全的管理授权约束;保证系统安全的其他约束。 策略规则主要包含的因素:访问者、目标、动作、权限信任源和访问规则。 基于PMI建立安全应用 PMI应用结构PKI/PMI和应用逻辑结构,如下图:P238 PMI的应用方式 P240 在安全应用系统中实现访问控制,一般使用3种方式; 基于应用方式 服务器插件方式 代理方式 建立访问控制系统 P240 访问控制流程 P240 系统使用流程 P240 PMI实施结构调整 P241 PMI应用分析 P242 应用系统安全 安全需求 P246 安全模型 P246-247 访问控制策略 P247 应用举例 P248-253 * * * PKI技术 2010-2011学年第1学期 第8讲 权限管理基础设施及应用 第8讲 权限管理基础设施及应用 概述 由于PKI的应用过程中产生了许多问题:一是实施问题,由于当前大多数用户并不了解PKI技术;二是PKI定义了严格的操作协议和严格的信任层次关系,任何向CA申请证书的人必须离线(Offline)身份验证(一般由RA来完成),这样的验证工作很难在扩展整个Internet上,通常只在小范围内实施。因此当今构建的PKI系统都局限在一定范围内,这就造成PKI系统扩展的瓶颈问题;三是为了解决每个独立PKI系统之间信任关系,出现交叉认证、桥-CA(Bridge-CA)等方法。但是由于不同的PKI系统定义了各自的信任策略,在进行相互认证的时候,为了避免由于信任策略不同而产生的问题,一般的做法是忽略信任策略,这样PKI仅起到了身份认证作用,而至于身份有什么权利,可以做哪些事情、哪些事情不能做,在通过认证后就消失了。因此,要实现信任策略只有通过其他方法。为解决上述问题,于是出现了PMI技术。 PMI(Privilege Management Infrastructure),即授权管理基础设施,是国家信息安全基础设施NISI(National Information Security Infrastructure,NISI由PKI和PMI组成,其中,公钥基础设施构成所谓的PKI信息安全平台,提供智能化的信任服务;而授权管理基础设施PMI构成所谓的授权管理平台,在PKI信息安全平台的基础上提供智能化的授权服务。)的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。在ANSI、ITU X.509和IETF PKIX都有PMI的定义,ITU-T(国际电信联盟委员会)在2001年发表的X.509的第四版首次将PMI的证书完全标准化(X.509早期的版本侧重于PKI证书的标准化)。 PMI 授权管理基础设施PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的过程。而且,使用属性证书进行权限管理

文档评论(0)

yingzhiguo + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:5243141323000000

1亿VIP精品文档

相关文档