身份认证、访问控制与系统审计ppt课件

1、 第 8 章 身份认证、访问控制与系统审计Network and Information Security.Network and Information Security图8-1 经典平安模型 8.1 计算机平安模型 .Network and Information Security经典平安模型包含如下根本要素：(1) 明确定义的主体和客体；(2) 描画主体如何访问客体的一个授权数据库；(3) 约束主体对客体访问尝试的参考监视器；(4) 识别和验证主体和客体的可信子系统；(5) 审计参考监视器活动的审计子系统。.Network and Information Security可以看出，这里为

2、了实现计算机系统平安所采取的根本平安措施，即平安机制有身份认证、访问控制和审计。 参考监视器是主体/角色对客体进展访问的桥梁.身份识别与验证，即身份认证是主体/角色获得访问授权的第一步，这也是早期黑客入侵系统的突破口。访问控制是在主体身份得到认证后，根据平安战略对主体行为进展限制的机制和手段。审计作为一种平安机制，它在主体访问客体的整个过程中都发扬着作用，为平安分析提供了有利的证据支持。它贯穿于身份认证、访问控制的前前后后。同时，身份认证、访问控制为审计的正确性提供保证。它们之间是互为制约、相互促进的。 .Network and Information Security图8-2 平安机制.Ne

3、twork and Information Security访问控制模型根本构造.Network and Information Security8.2 身份认证在有平安需求的运用系统中，识别用户的身份是系统的根本要求，身份认证是平安系统中不可短少的一部分，也是防备入侵的第一道防线。身份认证的方法多种多样，其平安强度也各不一样，详细方法可归结为3类：根据用户知道什么,拥有什么,是什么来进展认证。.Network and Information Security8.2.1 用户名和口令认证经过用户名和口令进展身份认证是最简单，也是最常见的认证方式，但是认证的平安强度不高。一切的多用户系统、网络效

4、力器、Web的电子商务等系统都要求提供用户名或标识符ID，还要求提供口令。系统将用户输入的口令与以前保管在系统中的该用户的口令进展比较，假设完全一致那么以为认证经过，否那么不能经过认证。根据处置方式的不同，有3种方式：口令的明文传送、利用单向散列函数处置口令、利用单向散列函数和随机数处置口令，这3种方式的平安强度依次增高，处置复杂度也依次增大。.Network and Information Security1口令以明文方式传送时，没有任何维护 .Network and Information Security2 为防止口令被窃听，可用单向散列函数处置口令，传输口令的散列值，而不传输口令本身。

5、 传输口令的散列值也存在不平安要素，黑客虽然不知道口令的原文，但是他可以截获口令的散列值，直接把散列值发送给验证效力器，也能验证经过，这是一种重放攻击。.Network and Information Security3 为处理重放攻击，效力器首先生成一个随机数并发给用户，用户把口令散列值与该随机数衔接或异或后再用单向散列函数处置一遍，把最后的散列值发给效力器。 .Network and Information Security8.2.2 令牌和USB key认证令牌实践上就是一种智能卡，私钥存储在令牌中，对私钥的访问用口令进展控制。令牌没有物理接口，无法与计算机衔接，运用总是不方便 . 可以

6、用USB key替代。USB key经过USB接口直接衔接在计算机上，不需求用户手动键入数据，比令牌方便得多。.Network and Information Security8.2.3 生物识别认证运用生物识别技术的身份认证方法 ，主要是根据用户的图像、指纹、气味、声音等作为认证数据。在平安性要求很高的系统中，可以把这3种认证方法结合起来，到达最高的平安性。.Network and Information Security8.3 访 问 控 制 在计算机平安防御措施中，访问控制是极其重要的一环，它是在身份认证的根底上，根据身份的合法性对提出的资源访问恳求加以控制。.Network and I

7、nformation Security 8.3.1 根本概念广义地讲， 一切的计算机平安都与访问控制有关。实践上RFC 2828 定义计算机平安如下：用来实现和保证计算机系统的平安效力的措施， 特别是保证访问控制效力的措施。访问控制(Access Control)是指主体访问客体的权限或才干的限制，以及限制进入物理区域(出入控制)和限制运用计算机系统和计算机存储数据的过程(存取控制)。在访问控制中，主体是访问的发起者，访问客体的活动资源，通常为进程、程序或用户。客体那么是指对其访问必需进展控制的资源，客体普通包括各种资源，如文件、设备、信号量等。访问控制中的第三个元素是维护规那么，它定义了主体

8、与客体之间能够的相互作用途径。.Network and Information Security维护域的概念。每一主体(进程)都在一特定的维护域下任务，维护域规定了进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。可对客体操作的才干称为访问权(Access Right)，访问权定义为有序对的方式。 一个域是访问权的集合。如域X有访问权，那么在域X下运转的进程可对文件A执行读写，但不能执行任何其它的操作。 维护域并不是彼此独立的。它们可以有交叉，即它们可以共享权限。域X和域Y对打印机都有写的权限，从而产生了访问权交叉景象。.Network and Information Secur

9、ity图8-3 有重叠的维护域.Network and Information Security 根据访问控制战略的不同，访问控制普通分为自主访问控制、强迫访问控制、基于角色的访问控制、基于义务的访问控制、运用控制等 。自主访问控制是以前计算机系统中实现较多的访问控制机制，它是根据访问者的身份和授权来决议访问方式的。强迫访问控制是将主体和客体分级，然后根据主体和客体的级别标志来决议访问方式。“强迫主要表达在系统强迫主体服从访问控制战略上。基于角色的访问控制的根本思想是：授权给用户的访问权限通常由用户在一个组织中担当的角色来确定。它根据用户在组织内所处的角色作出访问授权和控制，但用户不能自主地将

10、访问权限传给他人。.Network and Information Security 8.3.2 自主访问控制 自主访问控制又称恣意访问控制(Discretionary Access Control，DAC)，是指根据主体身份或者主体所属组的身份或者二者的结合，对客体访问进展限制的一种方法。 它是访问控制措施中常用的一种方法，这种访问控制方法允许用户可以自主地在系统中规定谁可以存取它的资源实体，即用户(包括用户程序和用户进程)可选择同其它用户一同共享某个文件。 .Network and Information Security 在各种以自主访问控制机制进展访问控制的系统中，存取方式主要有：读(

11、read)，即允许主体对客体进展读和拷贝的操作；写(write)，即允许主体写入或修正信息，包括扩展、紧缩及删除等；执行(execute)，就是允许将客体作为一种可执行文件运转，在一些系统中该方式还需求同时拥有读方式；空方式(null)，即主体对客体不具有任何的存取权。 自主访问控制缺陷.Network and Information Security自主访问控制的详细实施可采用以下四种方法。(1) 目录表(Directory List)在目录表访问控制方法中借用了系统对文件的目录管理机制，为每一个欲实施访问操作的主体，建立一个能被其访问的“客体目录表(文件目录表)。例如某个主体的客体目录表能

12、够为：客体1:权限1 客体2:权限2 客体n:权限n 。当然，客体目录表中各个客体的访问权限的修正只能由该客体的合法属主确定，不允许其它任何用户在客体目录表中进展写操作，否那么将能够出现对客体访问权的伪造。操作系统必需在客体的拥有者控制下维护一切的客体目录。.Network and Information Security目录表访问控制机制的优点是容易实现，每个主体拥有一张客体目录表，这样主体能访问的客体及权限就一目了然了，根据该表对主体和客体的访问与被访问进展监视比较简便。缺陷之一是系统开销、浪费较大，这是由于每个用户都有一张目录表，假设某个客体允许一切用户访问，那么将给每个用户逐一填写文件

13、目录表，因此会呵斥系统额外开销；二是由于这种机制允许客体属主用户对访问权限实施传送并可多次进展，呵斥同一文件能够有多个属主的情形，各属主每次传送的访问权限也难以一样，甚至能够会把客体改用别名，因此使得能越权访问的用户大量存在，在管理上繁乱易错。.Network and Information Security(2) 访问控制列表(Access Control List)访问控制列表的战略正好与目录表访问控制相反，它是从客体角度进展设置的、面向客体的访问控制。每个客体有一个访问控制列表，用来阐明有权访问该客体的一切主体及其访问权限。访问控制列表方式的最大优点就是能较好地处理多个主体访问一个客体的

14、问题，不会像目录表访问控制那样因授权繁乱而出现越权访问。缺陷是由于访问控制列表需占用存储空间，并且由于各个客体的长度不同而出现存放空间碎片，呵斥浪费；每个客体被访问时都需求对访问控制列表从头到尾扫描一遍，影响系统运转速度和浪费了存储空间。 .Network and Information Security(3) 访问控制矩阵(Access Control Matrix)访问控制矩阵是对上述两种方法的综合。存取控制矩阵模型是用形状和形状转换进展定义的，系统和形状用矩阵表示，形状的转换那么用命令来进展描画。直观地看，访问控制矩阵是一张表格，每行代表一个用户(即主体)，每列代表一个存取目的(即客体)

15、，表中纵横对应的项是该用户对该存取客体的访问权集合(权集)。访问控制矩阵原理表示图 .Network and Information Security笼统地说，系统的访问控制矩阵表示了系统的一种维护形状，假设系统中用户发生了变化，访问对象发生了变化，或者某一用户对某个对象的访问权限发生了变化，都可以看作是系统的维护形状发生了变化。由于访问控制矩阵模型只规定了系统形状的迁移必需有规那么，而没有规定是什么规那么，因此该模型的灵敏性很大，但却给系统埋下了潜在的平安隐患。 .Network and Information Security强迫访问控制(Mandatory Access Control，

16、MAC)是根据客体中信息的敏感标签和访问敏感信息的主体的访问等级，对客体的访问实行限制的一种方法。它主要用于维护那些处置特别敏感数据(例如，政府严密信息或企业敏感数据)的系统。在强迫访问控制中，用户的权限和客体的平安属性都是固定的，由系统决议一个用户对某个客体能否进展访问。所谓“强迫，就是平安属性由系统管理员人为设置，或由操作系统自动地按照严厉的平安战略与规那么进展设置，用户和他们的进程不能修正这些属性。 8.3.3 强迫访问控制.Network and Information Security图8-7 强迫访问控制.Network and Information Security 8.3.4

17、 基于角色的访问控制基于角色的访问控制(Role-Based Access Control，RBAC)的中心思想就是：授权给用户的访问权限通常由用户在一个组织中担当的角色来确定。 引入了“角色这一重要的概念，所谓“角色，是指一个或一群用户在组织内可执行的操作的集合。这里的角色就充任着主体(用户)和客体之间的关系的桥梁。这是与传统的访问控制战略的最大区别所在。.Network and Information Security图8-8 基于角色的访问控制一个主体可以具有多个角色，一个角色可以分给多个主体；一个角色可以访问多个客体，一个客体可以被多个角色访问 .Network and Informa

18、tion Security 基于角色的访问控制有以下五个特点。 1) 以角色作为访问控制的主体 用户以什么样的角色对资源进展访问，决议了用户拥有的权限以及可执行何种操作。 2) 角色承继 为了提高效率，防止一样权限的反复设置，RBAC采用了“角色承继的概念，定义的各类角色，它们都有本人的属性，但能够还承继其它角色的属性和权限。角色承继把角色组织起来，可以很自然地反映组织内部人员之间的职权、责任关系。 .Network and Information Security图8-8 角色承继.Network and Information Security 3) 最小特权原那么(Least Privi

19、lege Theorem) 最小特权原那么是系统平安中最根本的原那么之一。所谓最小特权，是指“在完成某种操作时所赋予网络中每个主体(用户或进程)的必不可少的特权。 最小特权原那么那么是指“应限定网络中每个主体所必需的最小特权，确保由于能够的事故、错误、网络部件的篡改等缘由呵斥的损失最小。 换句话说，最小特权原那么是指用户所拥有的权益不能超越他执行任务时所需的权限。 .Network and Information Security在RBAC中，可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只需角色执行所需求的才授权给角色。 当一个主体需访问某资源时，假设该操作不在主体当前所扮演

20、的角色授权操作之内，该访问将被回绝。 最小特权原那么一方面给予主体“必不可少的特权，这就保证了一切的主体都能在所赋予的特权之下完成所需求完成的义务或操作；另一方面，它只给予主体“必不可少的特权，这就限制了每个主体所能进展的操作。 .Network and Information Security 4) 职责分别主体与角色的分别 对于某些特定的操作集，某一个角色或用户不能够同时独立地完成一切这些操作。“职责分别可以有静态和动态两种实现方式。静态职责分别：只需当一个角色与用户所属的其它角色彼此不互斥时，这个角色才干授权给该用户。动态职责分别：只需当一个角色与一主体的任何一个当前活泼角色都不互斥时，

21、该角色才干成为该主体的另一个活泼角色。.Network and Information Security 5) 角色容量 在创建新的角色时，要指定角色的容量。在一个特定的时间段内，有一些角色只能由一定人数的用户占用。.Network and Information Security 基于角色的访问控制是根据用户在系统里表现的活动性质而定的，这种活动性质阐明用户充任了一定的角色。 用户访问系统时，系统必需先检查用户的角色，一个用户可以充任多个角色，一个角色也可以由多个用户担任。.Network and Information Security基于角色的访问控制机制优缺陷：模型的优点在于便于授权管

22、理、角色划分、RBAC可以很容易地将组织的平安战略映射到信息系统中，简化平安战略的实施、具有自我管理才干、支持数据笼统和最小特权原那么等。 基于角色的访问控制是一种有效而灵敏的平安措施，目前仍处在深化研讨和广泛运用之中。但也存在缺陷，RBAC模型是基于主体客体观念的被动平安模型,它是从系统的角度(控制环境是静态的)出发维护资源。授权是静态的,不具备动态顺应性，这显然使系统面临极大的平安要挟，难以顺应动态开放的网络环境。 .Network and Information Security8.3.5基于义务的访问控制(Task-Based Access Control)TBAC模型是一种基于义务、

23、采用动态授权的自动平安模型。它从运用和企业的角度来处理平安问题。TBAC模型采用面向义务的观念,从义务的角度来建立平安模型和实现平安机制,在义务处置的过程中提供实时的平安管理。它将访问权限与义务相结合, 客体的访问控制权限并不是静止不变的,而是随着执行义务的上下文环境的变化而变化。.Network and Information SecurityTBAC 的根本概念如下(1)(1)授权步骤Authorization Step：是指在一个任务流程中对处置对象(如办公流程中的原文档)的一次处置过程。它是访问控制所能控制的最小单元。授权步由受托人集Trustee Set和多个答应集Permissio

24、ns Set组成。受托人集是可被授予执行授权步的用户的集合，答应集那么是受托人集的成员被授予授权步时拥有的访问答应。.Network and Information Security(2)授权单元Authorization Unit：授权单元是由一个或多个授权步骤组成的单元，它们在逻辑上是相互联络的。授权单元分为普通授权单元和复合授权单元。普通授权单元内的授权步骤按顺序依次执行;复合授权单元内部的每个授权步骤严密联络，其中任何一个授权步骤失败都会导致整个单元的失败。.Network and Information SecurityTBAC 的根本概念如下(2)(3)义务Task：义务是任务流程

25、中的一个逻辑单元。它是一个可区分的动作，能够与多个用户相关，也能够包括几个子义务。一个义务包含如下特征：长期存在；能够包括多个子义务；完成一个子义务能够需求不同的人。.Network and Information Security(4)依赖Dependency：依赖是指授权步骤之间或授权单元之间的相互关系，包括顺序依赖、失败依赖、分权依赖和代理依赖。依赖反映了基于义务的访问控制的原那么。.Network and Information Security图3-3 TBAC模型.Network and Information SecurityTBAC 的优缺陷TBAC的自动、动态等特性,使其广泛

26、运用于任务流、分布式处置、多点访问控制的信息处置和事务管理系统的决策制定等方面。虽然TBAC具备许多特点,但当运用于复杂的企业环境时,就会暴显露本身的缺陷。例如在实践的企业环境中,角色是一个非常重要的概念,但TBAC中并没有将角色与义务清楚地别分开来,也不支持角色的层次等级，也无法表示职责分别约束；另外,访问控制并非都是自动的,也有属于被动方式的,但TBAC并不支持被动访问控制，同时，义务的划分也不明确。.Network and Information Security2.3.6基于义务和角色的访问控制模型TRBACTRBAC是一种动态授权的自动平安模型，它将从系统角度出发维护资源的RBAC模

27、型和从运用和企业层角度出发处理平安问题的TBAC模型结合在一同，结合二者的优点而构建的访问控制模型。其主要思想是将角色与义务相关联,然后再给义务赋予相关的权限。这样,在任务流运用访问控制时,权限与义务相关联的主要目的是实现对权限的动态管理,而将角色与义务相关联有利于管理人员掌握角色所执行的义务和客体之间的相关信息。在更新角色的权限时,以义务为中介非常便于管理人员对角色的管理。.Network and Information SecurityTRBAC同时拥有角色与义务两个同等重要元素，符合企业环境中职员经过接受义务而进展任务的思想。一定程度上实现了动静结合的访问控制，使角色的操作、维护和义务的

28、管理变得简一方便, 也使得系统变得更为平安。.Network and Information SecurityTRBAC基于义务-角色层次模型 .Network and Information Security但TRBAC模型也存在其缺乏，其授权战略大都是基于任务流运用环境出发思索的访问控制。虽然改良了的TRBAC模型满足了有效性，但对于现今高动态、开放式的网络环境还存在诸多缺乏，例如客体属性的更新不仅能够发生在主体访问客体前，而且能够在整个访问的过程中和访问后也需求更新。主体在访问客体时需求完成一定的操作行为，系统才允许访问。或者访问需求满足执行环境和系统形状才可以进展。而这些需求在TRBA

29、C模型中还不能完全处理，短少对现代访问控制领域的假设干新概念的支持。.Network and Information Security8.3.8 访问控制小结 访问控制主要优点主要缺点DAC是基于授权者的访问控制手段，访问控制灵活安全可靠性低，会造成存储空间和查找时间的浪费MAC基于管理的信息流控制原则，支持多种级别的安全梯度，具有高安全性授权方式不太灵活，安全级别划分困难RBAC是一种策略中立的访问控制方式，授权灵活，使用继承和约束的概念，能容易的融合新技术最小权限约束还不够细化，效率低且动态适应性差，只能用于被动访问控制TBAC基于活动的动态安全模型，访问控制的客体是动态变化的，且权限的使

30、用也是有时效的角色和任务没有分离，且只能进行主动的访问控制TRBAC是一种动态授权的主动安全模型，同时拥有角色与任务两个同等重要元素，实现了动静结合的访问控制思想只针对于工作流来考虑，缺少对任务特性的细化，以及不能适应系统的多样性访问控制需求UCON是一种将传统的访问控制、信任管理和数字版权管理集成的一个访问控制框架。在定义了授权、义务、和条件的同时提出了连续性易变性两大特性。丰富和完善了访问控制，适用于现代开放式网络环境。还只是一种高度抽象的参考性的基本框架模型，它阐述了使用控制中最基本的问题，但是不涉及到管理，委托授权，以及其它后期工作中出现的诸如并发性等重要问题.Network and

31、Information Security8.4 案例：企业Web系统中的RBAC 这个简单的例子包括3个模块：模块管理、角色管理和用户管理，采用以角色为中心的平安模型。此模型将系统的模块权限和用户分开，运用角色作为一个中间层。用户访问模块时，经过其所对应的角色对该模块的访问权限来获得访问模块的权限，经过这种分层的管理方式可以实现有效的访问控制。.Network and Information Security角色1角色2部门1部门2部门3部门4用户1用户2用户3模块1模块2模块3模块4图8-10 用户、角色和模块间的关系.Network and Information Security阐明角色

32、是为系统平安而设计的笼统层，同一角色里的成员具有一样的模块操作权限。但是角色不像机构部门那样有固定成员和组织构造，并非真正的实体，可以根据需求恣意地建立和删除角色。角色的成员为部门员工，角色的成员也可以不受限制进展恣意组合。经过这种设计思想构成三层平安模型，第一层为用户，第二层为角色，第三层为系统模块。用户和角色之间建立关系，角色和模块权限之间建立关系，而用户和模块权限之间没有直接的关系。 .Network and Information Security用户、角色和模块数据访问构造图用户信息用户角色关系信息角色信息角色模块信息模块信息数据库.Network and Information S

33、ecurity8.5 系统审计 美国国防部(DOD)在20世纪70年代支持的一项内容广泛的研讨方案，该方案研讨平安战略、平安指南和“可信系统的控制。可信系统定义为：“可以提供足够的硬件和软件，以确保系统同时处置一定范围内的敏感或分级信息。审计机制被纳入(“橙皮书)中。.Network and Information Security 8.5.1 审计及审计跟踪 审计(Audit)是指产生、记录并检查按时间顺序陈列的系统事件记录的过程，它是一个被信任的机制 。同时，它也是计算机系统平安机制的一个不可或缺的部分，对于C2及其以上平安级别的计算机系统来讲，审计功能是其必备的平安机制。而且，审计是其它

34、平安机制的有力补充，它贯穿计算机平安机制实现的整个过程，从身份认证到访问控制这些都离不开审计。同时，审计还是后来人们研讨的入侵检测系统的前提。.Network and Information Security 审计跟踪(Audit Trail 是系统活动的记录，这些记录足以重构、评价、审查环境和活动的次序，这些环境和活动是同一项事务的开场到最后终了期间围绕或导致一项操作、一个过程或一个事件相关的。 从这个意义来讲，审计跟踪可用来实现：确定和坚持系统活动中每个人的责任；重建事件；评价损失；监测系统问题区；提供有效的灾难恢复；阻止系统的不正当运用等。.Network and Information

35、 Security 作为一种平安机制，计算机系统的审计机制的平安目的有： 审查基于每个目的或每个用户的访问方式，并运用系统的维护机制。 发现试图绕过维护机制的外部人员和内部人员。 发现用户从低等级到高等级的访问权限转移。 制止用户企图绕过系统维护机制的尝试。 作为另一种机制确保记录并发现用户企图绕过维护的尝试，为损失控制提供足够的信息。.Network and Information Security 8.5.2 平安审计审计是记录用户运用计算机网络系统进展一切活动的过程，它是提高平安性的重要工具。平安审计跟踪机制的价值在于：经过事后的平安审计可以检测和调查平安破绽。 (1) 它不仅可以识别谁

36、访问了系统，还能指出系统正被怎样的运用。 (2) 对于确定能否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。 .Network and Information Security (3) 系统事件的记录可以更迅速和系统地识别问题，并且它是后面阶段事故处置的重要根据。 (4) 经过对平安事件的不断搜集与积累并且加以分析，有选择性地对其中的某些站点或用户进展审计跟踪，以提供发现能够产生破坏性行为的有力证据。.Network and Information Security 平安审计就是对系统的记录与行为进展独立的品评调查，目的是： (1) 测试系统的控制能否恰当，保证与既定平安战略和操作可以

37、协调一致。 (2) 有助于作出损害评价。 (3) 对控制、战略与规程中特定的改动作出评价。 .Network and Information Security 平安审计跟踪将思索： 1) 要选择记录什么信息 审计记录必需包括网络中任何用户、进程、实体获得某一级别的平安等级的尝试：包括注册、注销，超级用户的访问，产生的各种票据，其它各种访问形状的改动，并特别留意公共效力器上的匿名或客人账号。 实践搜集的数据随站点和访问类型的不同而不同。通常要搜集的数据包括：用户名和主机名，权限的变卦情况，时间戳，被访问的对象和资源。当然这也依赖于系统的空间。(留意不要搜集口令信息).Network and In

38、formation Security 2) 在什么条件下记录信息 3) 为了交换平安审计跟踪信息所采用的语法和语义定义 搜集审计跟踪的信息，经过列举被记录的平安事件的类别(例如明显违反平安要求的或胜利完成操作的)，应能顺应各种不同的需求。知平安审计的存在可对某些潜在的进犯平安的攻击源起到威摄作用。.Network and Information Security 审计是系统平安战略的一个重要组成部分，它贯穿整个系统不同平安机制的实现过程，它为其它平安战略的改良和完善提供了必要的信息。而且，它的深化研讨为后来的一些平安战略的诞生和开展提供了契机。后来开展起来的入侵检测系统就是在审计机制的根底上得

39、到启示而迅速开展起来的。.Network and Information Security8.6 PMI访问控制就是控制用户访问资源的权限，如何证明用户所具有的权限正是PMI要做的事情。8.6.1 PMI概述授权管理根底设备PMI(Privilege Management Infrastructure)是国家信息平安根底设备(National Information Security Infrastructure，NISI)的一个重要组成部分。目的是：向用户和运用程序提供授权管理效力 提供用户身份到运用授权的映射功能提供与实践运用途置方式相对应的、与详细运用系统开发和管理无关的授权和访问控制机

40、制简化详细运用系统的开发与维护。.Network and Information Security属性证书授权管理根底设备PMI是一个由属性证书(Attribute Certificate,AC)、属性权威(Attribute Authority,AA)、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI运用属性证书表示和包容权限信息，经过管理证书的生命周期实现对权限生命周期的管理。属性证书的恳求、签发、撤销、验证流程对应着权限的恳求、发放、撤销、运用和验证的过程。而且，运用属性证书进展权限管理使得权限的管理不用依赖某个详细的运用，而且利于权限的平安

41、分布式运用。.Network and Information SecurityPMI与PKI的比较授权管理根底设备PMI以资源管理为中心，对资源的访问控制权一致交由授权机构一致处置。同公钥根底设备PKI相比，两者主要区别在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且授权管理根底设备PMI需求公钥根底设备PKI为其提供身份认证。PMI与PKI在构造上是非常类似的。信任的根底都是有关权威机构，由他们决议建立身份认证系统和属性特权机构。.Network and Information Security在PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其它机构；在P

42、MI中，由有关部门建立权威源点SOA(Source Of Authority)，下设分布式的AA和其它机构。PMI实践上提出了一个新的信息维护根底设备，可以与PKI和目录效力严密地集成，并系统地建立起对认可用户的特定授权，对权限管理进展了系统的定义和描画，完好地提供了授权效力所需过程。.Network and Information Security8.6.2 PMI技术的授权管理方式及其优点授权效力体系主要是为网络空间提供用户操作授权的管理，即在虚拟网络空间中的用户角色与最终运用系统中用户的操作权限之间建立一种映射关系。目前建立授权效力体系的关键技术主要是授权管理根底设备PMI技术。PMI技

43、术经过数字证书机制来管理用户的授权信息，并将授权管理功能从传统的运用系统中分别出来，以独立效力的方式面向运用系统提供授权管理效力。.Network and Information Security由于数字证书机制提供了对授权信息的平安维护功能，因此，作为用户授权信息存放载体的属性证书同样可以经过公开方式对外发布。 在PMI中主要运用基于角色的访问控制。其中角色提供了间接分配权限的方法。在实践运用中，个人被签发角色分配证书使之具有一个或多个对应的角色，而每个角色具有的权限经过角色定义来阐明，而不是将权限放在属性证书中分配给个人。这种间接的权限分配方式使得角色权限更新时，不用撤销每一个属性证书，极

44、大地减小了管理开销。.Network and Information Security基于PMI技术的授权管理方式主要存在以下三个方面的优势：1.授权管理的灵敏性基于PMI技术的授权管理方式可以经过属性证书的有效期以及委托授权机制来灵敏地进展授权管理，从而实现了传统的访问控制技术领域中的强迫访问控制方式与自主访问控制方式的有机结合，其灵敏性是传统的授权管理方式所无法比较的。 2.授权操作与业务操作相分别基于授权效力体系的授权管理方式将业务管理任务与授权管理任务完全分别，更加明确了业务管理员和平安管理员之间的职责分工，可以有效地防止由于业务管理人员参与到授权管理活动中而能够带来的一些问题。加强了

45、授权管理的可信度。3.多授权模型的灵敏支持基于PMI技术的授权管理方式将整个授权管理体系从运用系统中分别出来，授权管理模块本身的维护和更新操作将与详细的运用系统无关。.Network and Information Security8.6.3 PMI系统的架构PMI授权效力体系以高度集中的方式管理用户和为用户授权，并且采用适当的用户身份信息来实现用户认证，主要是PKI体系下的数字证书，也包括动态口令或者指纹认证技术。平安平台将授权管理功能从运用系统中分别出来，以独立和集中效力的方式面向整个网络，一致为各运用系统提供授权管理效力。PMI在体系上可以分为三级，分别是信任源点SOA中心、属性权威机构

46、AA中心和AA代理点。在实践运用中，这种分级体系可以根据需求进展灵敏配置，可以是三级、二级或一级。 .Network and Information Security图8.18 授权管理系统的总体架构表示图SOAAAAAAA代理点AA代理点AA代理点AA代理点访问控制执行者.Network and Information Security授权管理系统阐明 1.权威源点SOA权威源点(SOA中心)是整个授权管理体系的中心业务节点，也是整个PMI的最终信任源和最高管理机构。SOA中心的职责主要包括：授权管理战略的管理、运用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。.Netwo

47、rk and Information Security授权管理系统阐明 2.属性权威机构AA属性权威机构AA中心是PMI的中心效力节点，是对应于详细运用系统的授权管理分系统，由具有设立AA中心业务需求的各运用单位担任建立，并与SOA中心经过业务协议达成相互的信任关系。AA中心的职责主要包括：运用授权受理、属性证书的发放和管理，以及AA代理点的设立审核和管理等。AA中心需求为其所发放的一切属性证书维持一个历史记录和更新记录。.Network and Information Security授权管理系统阐明 3.AA代理点AA代理点是PMI的用户代理节点，也称为资源管理中心，是详细运用用户的接口。

48、是对应AA中心的附属机构，接受AA中心的直接纳理，由各AA中心担任建立，报经主管的SOA中心赞同，并签发相应的证书。AA代理点的职责主要包括: 运用授权效力代理和运用授权审核代理等，担任对详细的用户运用资源进展授权审核，并将属性证书的操作恳求提交到AA进展处置。.Network and Information Security授权管理系统阐明 4.访问控制执行者访问控制执行者是指用户运用系统中详细对授权验证效力的调用模块，因此，实践上并不属于PMI，但却是授权管理体系的重要组成部分。访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一同提交到授权效力代理点，并根据授权效力中心前往的授权结果，进展详细的运用授权处置。.Network and Information Security8.6.4 对PMI系统的要求PMI经过结合授权管理系统和身份认证系统补充了PKI的弱点，提供了将PKI集成到运用计算环境的模型。PMI权限管理和授权效力根底平台应该满足下面的要求： 平台战略的定制应该灵敏，可以根据不同的情况定制出不同的战略。 平台管理功能的操作应该简单。 平台应该具有很好的扩展才干。 平台应该具有较好的效率，防止决策过