信息安全(身份认证与授权控制)

信息平安

----身份认证与授权控制1概述JamesP.Anderson在1972年提出了一个经典平安模型的最初雏形。在这里，参考监视器是个抽象的概念，可以说是平安机制的代名词。为了实现计算机系统平安所采取的根本平安措施有身份认证、访问控制和审计。授权数据库2身份认证系统识别主体身份，然后访问监控器。

访问控制是在主体身份得到认证后，根据用户身份和授权数据库决定用户能否访问客体。审计系统贯穿于整个过程，记录用户的请求和行为。3身份认证身份认证是指用户必须提供他是谁的证明。认证的目的就是弄清楚他是谁，具有什么特征。

单机下的身份认证明网络环境下的身份认证访问控制和审计都依赖于身份认证提供的信息——用户身份。身份认证是最根本的平安效劳，黑客攻击的目标往往是身份认证系统一旦攻破，所有平安措施形同虚设。4单机状态下的身份认证形式：用户所知道的东西，如用户号，密码。用户所拥有的东西：如智能卡、身份证、护照、密钥盘用户所具有的生物特征，如指纹、声音、视网膜扫描、NDA等。5基于口令的认证方式口令的存储：直接明文存储Hash散列存储〔MD5加密，存储口令的散列值，而不是明文〕基于口令认证方式存在的平安问题：单因素认证，平安性完全依赖于口令。密码泄漏基于口令的认证方式是最常用的一种技术，用户输入口令，计算机验证并给予用户相应的权限。这种方式最重要的问题是口令存储：6基于智能卡的认证方式智能卡〔SmartCard〕又称集成电路卡，即IC卡双因素认证：智能卡+PIN(个人身份识别码)基于智能卡认证方式存在的平安问题：智能卡与接口设备之间的信息流通被截取伪造智能卡在交易中偷换智能卡雇员作弊7基于生物特征的认证方式指纹识别指纹识别技术主要涉及四个功能：读取指纹图像、提取特征、保存数据和比对。

指纹根本点8虹膜识别技术手形识别签名识别声纹识别基于生物特征的认证方式9网络环境下的身份认证网络环境下的身份认证较为复杂，因为验证双方一般都通过网络而非直接接触，容易遭受黑客攻击，所以目前一般采用高强度的密码认证协议技术进行身份认证。10一次性口令〔OTP，One-TimePassword〕技术动态口令克服了静态口令的缺陷。20世纪80年代初由美国科学家LeslieLamport提出了一次性口令的概念。之后贝尔通信研究中心于1991年研制出了第一个动态口令认证系统S/KEY。随后美国著名加密算法研究室RAS研制成功了基于时间同步的动态口令认证系统RSASecureID。自此身份认证步入了动态口令身份认证系统的时代。静态口令的缺点：易被嗅探劫持，受到字典攻击。11根据动态因子的不同，动态口令认证技术主要分为两种，即同步认证技术和异步认证技术。其中同步认证技术又分为基于时间同步认证技术〔TimeSynchronous〕和基于事件同步认证技术〔EventSynchronous〕；异步认证技术即为挑战/应答认证技术〔Challenge/Response〕。动态口令〔一次性口令〕是变化的密码，其变化来源于产生密码的运算因子是变化的。动态口令的生成算法一般都采用双运算因子，用户身份的识别码:固定不变的，如用户的私有密钥；变动因子:如时间、随机数、计数器值等。根据动态因子的不同，产生了不同的动态口令。12基于时间同步〔TimeSynchronous〕认证技术：以流逝的时间作变动因子。所谓同步指用户和认证效劳器产生的密码在时间上必须同步。

基于事件同步〔EventSynchronous〕认证技术：以变动的数字序列〔事件序列〕作变动因子，与用户的私钥共同产生动态密码。所谓同步指用户和认证效劳器保持相同的事件序列。挑战/应答方式：由认证效劳器产生的随机数字序列〔Challenge〕作为变动因子，由于每一个Challenge都是唯一的、不会重复使用，并且Challenge是在同一个地方产生，所以不存在同步问题。13基于挑战/应答〔Challenge/Response〕方式的身份认证机制就是每次认证时认证效劳器端都给客户端发送一个不同的"挑战"字串，客户端程序收到这个"挑战"字串后，做出相应的"应答"。14

1)客户向认证效劳器发出请求，要求进行身份认证；

2)认证效劳器从用户数据库中查询用户是否是合法的用户，假设不是，那么不做进一

步处理；

3)认证效劳器内部产生一个随机数，作为“提问〞，发送给客户；

4)客户将用户名字和随机数合并，使用单向Hash函数〔例如MD5算法〕生成一个

字节串作为应答；

5)认证效劳器将应答串与自己的计算结果比较，假设二者相同，那么通过一次认证；

否那么，认证失败；

6)认证效劳器通知客户认证成功或失败。认证过程为：15一次性口令产生和验证过程①用户输入登录名和相关身份信息ID。②如果系统接受用户的访问，那么给用户传送随机数seed,一次性密码k和序列号n。③用户合并seed和密码k为x，用Hash函数计算z=fn〔x〕,第一次向系统传送数据〔k，z〕。④系统核对〔k，z〕，假设正确，那么将〔ID，fn〔x〕〕保存。⑤当用户第二次访问系统时，将〔ID，fn-1〔x〕〕送系统。系统计算f〔fn-1〔x〕〕，将其与存储的数据对照，如果一致，那么接受用户的访问，并将〔ID，fn-1〔x〕〕保存。⑥当用户第三次访问系统时，将〔ID，fn-2〔x〕〕送系统。系统计算f〔fn-2〔x〕〕，将其与存储的数据对照，如果一致，那么接受用户的访问，并保存新计算的数据。⑦当用户每一次想要登录时，函数作用的次数减1。S/KEY协议认证过程基于一次性口令思想开发的身份认证系统是S/KEY,现已成为标准协议。16S/KEY认证过程的优点用户口令本身未在网上传播，黑客得到的是用户口令经hash散列算法〔MD4,MD5〕生成的秘文。而hash函数是不可逆的。

每一次生成的口令都是不一样的，n’=n-1。

实现原理简单，hash函数可以用硬件实现。17S/KEY认证过程的缺点口令使用一定时间后要重新初始化，有一点麻烦。

S/KEY依赖于MD4/MD5的不可逆性，当可逆计算研究有所突破时，系统将被迫更换算法。

维护很大的一次性密钥列表很麻烦：纸/硬件密钥复用问题18Kerberos认证效劳MIT针对分布式网络环境开发的网络身份认证系统

GreekKerberos是古希腊神话中的有三个头的狗，是地狱之门的守卫。ModernKerberos是指有三个组成局部的网络之门保护者：认证〔Authentication〕计费〔Accounting〕审计〔Audit〕概述19Kerberos认证主要用于解决密钥管理与分发问题中的

身份认证问题

涉及KDC(keyDistributionCenter)

Kerberos使用DES加密Kerberos认证系统概述20Kerberos4认证过程认证服务器AS票据服务器TGS数据库(1)(2)(3)(4)(5)(6)服务器VClient第一阶段,用户从AS获取：票据许可票据第二阶段,用户从TGS获取：效劳许可票据第三阶段,用户从效劳器获取：效劳(2)TGT+sessionkey1(1)RequestTGT(3)RequestTGS(4)Ticket+sessionkey2(5)RequestService(6)ServerAuthenticatorTGT：ticketgrantingticketK〔ticket〕DC21Kerberos认证过程第一阶段,用户从AS获取：票据许可票据(1)C->AS:IDc||IDtgs||TS1(2)AS->C:EKc[Kc,tgs||IDtgs||TS2||lifetime2||Tickettgs]其中:Tickettgs=EKtgs[Kc,tgs||IDc||ADc||IDtgs||TS2||lifetime2]

第二阶段,用户从TGS获取：效劳许可票据(3)C->TGS:IDv||Tickettgs||Authenticatorc(4)TGS->C:EKc,tgs[Kc,v||IDv||TS4||Ticketv]其中:Authenticatorc=EKc,tgs[IDc||ADc||TS3]Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||lifetime4]C的网络地址，防止票据不是由初始请求票据的工作站使用IDV告诉TGS用户要访问的效劳器EKC:C和AS共享的加密密钥EKV:C和server共享的加密密钥EKgs:C和TGS共享的加密密钥22Kerberos认证过程(续…)第三阶段,用户从效劳器获取效劳(5)C->V:Ticketv||Authenticatorv(6)V->C:EKc,v[TS5+1]其中：Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||lifetime4]Authenticatorv=EKc,v[IDc||ADc||TS5]23RADIUS协议RemoteAuthenticationDial-inUserService是一个在拨号网络中提供注册、验证和计费功能的工业标准.RADIUS是由郎讯公司提出的，现已成为一项通用的认证计费协议标准〔RFC2138，2139，2200〕RADIUS认证要用到基于挑战/应答〔Challenge/Response〕的认证方式。

24RADIUS结构图网络接入效劳器PSDNInternet认证效劳器用户数据库计费效劳器ModemModemNASHUBRADIUS使得拨号和认证放在两个别离的网络设备上。25RADIUS的认证过程用户接入NASNAS向RADIUS效劳器使用Access-Require数据提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS效劳器对用户名和密码的合法性进行检验，如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否那么返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS效劳器提出计费请求Account-Require，RADIUS效劳器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。RADIUS的根本工作原理:26RADIUS效劳器和NAS效劳器通过UDP协议进行通信，RADIUS效劳器的1812端口负责认证，1813端口负责计费工作。采用UDP的根本考虑是因为NAS和RADIUS效劳器大多在同一个局域网中，使用UDP更加快捷方便。RADIUS协议应用范围很广，包括普通上网业务计费，支持VPN。RADIUS的特点27授权与访问控制28授权与访问控制机制在ISO标准中，访问控制是五大效劳的重要组成之一,在用户身份已得到认证的前提下，限制主体对访问客体的访问权限，使计算机系统在合法的范围内使用；解决的是：“你能做什么？你有什么样的权限？〞访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。——防范越权使用资源，限制对关键资源的访问；——防止非法用户入侵，或合法用户的不慎操作引起的破坏。定义访问控制技术不能取代身份认证，建立在身份认证根底之上。认证、访问控制、数据保密性、数据完整性、防抵赖性2930主体〔Subject〕：发出访问操作、存取要求的主动方，是用户或用户的某个进程；

客体〔Object〕：被访问的对象，是被调用的程序、进程，要存取的数据、信息、要访问的文件、系统或各种网络设备等资源；

平安访问政策：一套规那么，包括策略与机制，用以确定一个主体否对客体拥有访问能力。访问控制包括31访问控制模型32访问控制矩阵访问控制列表〔AccessControllist〕访问能力表授权关系表访问控制方式目前最广泛采用的方式33访问矩阵〔AccessMatrix〕r,w,Ownr,w,Ownrr,w,Ownwr,wrFile1File2File3JohnAliceBob对象主体访问权访问控制矩阵是一张表格，每行代表一个用户(即主体)，每列代表一个存取目标(即客体)，表中纵横对应的项是该用户对该存取客体的访问权集合(权集)。缺点：存在很多空白项，系统开销和浪费大。34ACL是访问控制矩阵的另一种表示方式。它从主体出发，表达访问控制矩阵的每一行，无空集出现。对一个特定资源指定任意一个用户的访问权限访问控制列表〔ACL〕JohnOwnRW

AliceRBobRWAliceOwnRWBobRFile1File2JohnOwnRWAliceWFile335直观而易理解;容易查出对某特定资源拥有访问权限的所有用户;有效实施管理;优点不宜用于网络规模大，需求复杂的企业内部网络不易实现最小权限原那么缺点36访问能力表也是是访问控制矩阵的另一种表示方式。它将访问控制矩阵的每一列作为一个客体而形成一个存取表。无空集出现。访问能力表(CapabilityList)File1OwnRW

File3WFile3RWFile1RWFile2Own

RWJohnAliceFile1RWFile2RBob37授权〔Authorization〕关系列表38

每一行〔一个元组〕表示了主体和客体的一个权限关系；

John访问Filel的权限关系需要3行；表格按客体排序，可以拥有访问能力表的优势，按主体排序拥有访问控制表的优势；适合于关系型数据库的访问能力与控制；39访问控制策略自主访问控制〔DiscretionaryAccessControl，DAC〕

强制访问控制(MandatoryAccessControl，MAC)

基于角色的访问(Role-basedAccessControl，RBAC)目前最新的方式Tcsec将计算机系统的平安划分为4个等级、8个级别：C级：具有自主访问控制DACB级：以上具有强制访问控制MACRBAC出现于20世纪90年代，具有很大优势，开展很快。40访问控制策略并不互相排斥，可以综合应用41目前使用最多在确认主体身份及所属组的根底上对访问进行限定。根本思想：允许主体显示地指定其他主体对主体所拥有的信息资源是否可以访问及可执行的访问类型。〔Windows，UNIX〕自主型：一个拥有一定权限的访问主体可以直接/间接的将权限传给其他主体。自主型访问控制策略

概述42自主访问控制根据访问者的身份和授权来决定访问模式，主体访问者对访问的控制有一定权力。用户A可以将其对客体目标O的访问权限传递给B，使不具备对O访问权限的B也可以访问O，容易产生漏洞，使自主访问控制的平安级别很低。DAC将赋予或取消访问权限的局部权利留给个人，管理员难以确定哪些用户对哪些资源有访问权限，不利于实现全局访问控制。组织本身是资源的拥有者，用户并不具有授权权限，DAC与组织内部的规章制度不一致。自主型访问控制策略

缺点DAC已不能适应这些要求43

强制访问控制策略〔MandatoryAccessControl,MAC〕强制访问控制策略是“强加〞给访问主体的，即系统强制主体服从访问控制政策。MAC预先将主、客体分级别，定义主体的可信级别和客体信息的敏感度级别；用户可信级别：〔绝密、机密、秘密、非保密〕信息的敏感度：〔绝密-TS、机密-S、秘密-C、非保密-U，TS＞S＞C＞U〕；用户提出访问时，系统对主、客体两者进行比较以确定访问是否合法。典型应用时，MAC访问控制分两类：用下读/上写来保证数据的保密性〔BLP模型〕和用上读/下写来保证数据的完整性。概述44

依据Bell-Lapadula安全模型（BLP）所制定的原则是利用下读/上写（不上读/不下写）来保证数据的保密性（防止敏感信息向下传播）:主体可以读安全级别比他低或相等的客体，可以写安全级别比他高或相等的客体禁止信息从高级别流向低级别MAC采取下读/上写的意义在于可以实现数据的保密性45依据Biba安全模型所制定的原则是利用上读/下写（不下读/不上写）来保证数据的完整性。主体可以读安全级别比他高或相等的客体，禁止写安全级别比他高或相等的客体主要是为了避免应用程序修改某些重要的系统程序或系统数据库。MAC采取上读/下写的意义在于可以实现数据的完整性46MAC主要用于多层次平安级别的军事应用中。MAC可用于抵御特洛伊木马等攻击木马攻击需要同时上读和上写，获取特权，修改程序MAC的主要缺陷在于实现工作量太大，管理不够灵活，过于偏重保密性，对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效。

47基于角色访问控制策略(Role-BasedAccessControl，RBAC)RBAC的核心思想就是：授权给用户的访问权限通常由用户在一个组织中担当的角色来确定。所谓“角色〞，是指一个或一群用户在组织内可执行的操作的集合。用户在一定部门内具有一定的角色。RBAC是目前实施面向企业的平安策略的一种有效访问控制方式。48角色就充当着主体(用户)和客体之间的关系的桥梁。这是与传统的访问控制策略的最大区别所在。用户所执行的操作与其角色相匹配。49RBAC与DAC:用户不能自主的将访问权限授权给其他用户。

RBAC与MAC:MAC基于多级平安需求，重点限制“谁可以读/写信息〞。RBAC主要关注“谁可以对什么信息执行什么操作？〞RBAC中角色的控制灵活，可以根据配置是某些角色接近与DAC或MAC。比较50角色由系统管理员定义和管理，授权强加给用户，用户只能被动接受，不能将权限授予他人。是一种非自主型访问控制。角色:用户集+权限集客体1客体2客体3角色1角色2用户1用户2用户3权限a权限b权限c权限d51RBAC96模型GeorgeMason大学的RBAC96模型最具有代表性。RABC96模型的根本结构如下：RABC1RABC0RABC3RABC2RABC0：根本模型，RABC1：分级模型RABC2:限制模型，RABC3：统一模型52RABC0：根本模型RABC1：在RABC0的根底上引入角色等级来反映一个组织的职权和责任分布的关系。

RABC2：在RABC0的根底上引入角色限制的概念。角色之间相互限制，一个用户只能分配到互斥角色中的一个。

RABC3:包含了限制模型和分级模型，即在RABC0根底上引入角色等级和限制概念。RABC0：根本模型，RABC1：分级模型RABC2:限制模型，RABC3：统一模型RBAC0定义了能构成一个RBAC控制系统的最小的元素集合

53在RBAC之中，权限被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RABC模型由4个主要实体组成：用户〔U〕，角色〔R〕，权限〔P〕，一组会话〔S〕54根本模型RBAC0定义用户〔U〕，角色〔R〕，权限〔P〕，一组会话〔S〕两个关系两个函数RBAC0模型指明用户、角色、访问权限和会话之间的关系。55等级关系56限制条件〔constraints) 互斥角色：一个用户不能同时拥有两个互斥角色 基数限制：一个角色可被分配的最大用户数 必备限制：用户必须拥有必备角色彩能分配其他角色 会话限制：如：一个用户不能在同一个会话中激活它所拥有

的两个角色 等级限制：分配给低级角色的权限也应分配给高级角色。限制模型RBAC257

UUsers

RRoles

PPermissionConstraintsSSessionusersrolesPAPermissionAssignmentUAUserAssignmentRHRoleHierarchyRBAC3RBAC1RBAC2RBAC0581)便于授权管理RBAC将对用户的授权变为对角色的授权。当用户职责

发生变化，组织功能变化时，便于管理。

2)便于角色划分和继承为了提高效率，防止相同权限的重复设置，RBAC采用

了“角色继承〞的概念，定义的各类角色，它们都有自己

的属性，但可能还继承其它角色的属性和权限。角色

继承把角色组织起来，能够很自然地反映组织内部人

员之间的职权、责任关系。基于角色的访问控制有以下五个特点593〕便于赋予最小特权原那么(LeastPrivilegeTheorem)最小特权原那么是指用户所拥有的权利不能超过他执行工作时所需的权限。这是系统平安中最根本的原那么之一。实现最小权限原那么，要求分清用户的工作内容，确定执行该项工作的最小权限集，然后将用户限制在这些权限范围之内。而在RBAC中，可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色执行所需要的才授权给角色。因此便于实施最小特权原那么。604)便于职责别离(主体与角色的别离)对于某些特定的操作集，某一个角色或用户不可能同时独立地完成所有这些操作。如：校内支票本上领款人签名和工程负责人签名必须不同。静态职责别离：只有当一个角色与用户所属的其它角色彼此不互斥时，这个角色才能授权给该用户。动态职责别离：只有当一个角色与一主体的任何一个当前活泼角色都不互斥时，该角色才能成为该主体的另一个活泼角色。61END62Windows2000平安访问控制机制安全ID（SID）组SID特权默认所有者默认ACLWin2000的平安访问控制由两个实体管理：

a.访问令牌：与每个进程相关联

b.平安描述符：与每个对象相关联标记所有者系统访问控制表（SACL）自由访问控制表（DACL）a访问令牌结构b平安描述符结构63Windows2000的平安访问控制过程：用户登录创建用户进程

一个访问令牌与之关联派生额外进程

继承同一访问令牌用户进程访问对象O对象管理程序从访问令牌中读SID、组SID扫描对象DACL进程SID与对象DACL是否匹配允许拒绝yesnoID/口令64访问控制列表是Windows2000平安访问控制的核心。以下图显示了Windows2000的访问控制列表的结构：ACL头ACE头访问掩码SIDACE头访问掩码SID……ACL项ACL项65Linux的平安访问控制机制〔一〕Linux系统的登录过程与Win2000一样，Linux通过用户ID和口令的方式来登录系统。用户帐号信息存放在文件/etc/passwd中。一个典型的passwd文件如下：Root:x:o:o:root:/root:/bin/bash

bin:x:1:1:bin:/bin:

adm:x:3:4:adm:/var/adm:

……

passwd文件中每条用户记录都具有以下格式：

登录帐号：密码域：用户标识符UID：组标识符GID：用户信息：主目录：用户shell66Linux的平安访问控制机制现在的Linux系统中使用了shadow加密技术，将加密后的口令放在/etc/shadow文件中。下面是一个典型的shadow文件的一局部：root:y9e2Gzjq/MCCc:11145:0:99999:7:::

bin:*:11145:0:99999:7:::

adm:*:11145:0:99999:7:::

……shadow文件对一般用户是不可读的，只有超级用户root才可读〔仅能看到加密后的密文〕。67Linux的平安访问控制机制〔二〕ACL在文件目录中的使用以下图显示了Linux的文件与目录的许可权域：-(file)

d(directory)

l(symbolic)

b(blockspecialfile)

c(characterspecialfile)

p(namedpipespecialfile)

s(localsocketspecialfile)tpyerwxrwxrwxusergroupotherr-read

w-write

x-execute68Linux的平安访问控制机制为了给不同的用户或组定义不同的使用权限，Linux同样使用访问控制列表〔ACL〕来配置文件域目录。下面是Linux中经过抽象了的ACL表：关键字域访问者域权限域关键字域访问者域权限域……ACL项ACL项69Linux的平安访问控制机制基于ACL在平安访问控制中的主要地位，我们来看看Linux中ACL的结构是如何用程序来描述：structacl{

intacl_magic;

intacl_num;

intacl_alloc_size;

acl_entry_tacl_current;

acl_entry_tacl_first;

attribute_t*attr_data;

};

acl*acl_t;structacl_entry{

acl_t*entry;

void*head;

structacl_entry*next;

structacl_entry*pre;

intacl_magic;

intsize;

};

acl_entry*acl_entry_t;70比较结果比较项Windows2000Linux比较说明帐号保存注册表保存在文本etc/passwd中，密码域以x代替各有特色用户验证用户ID/密码，采用NTLM、KerverosV5

TLS认证协议

用户ID/密码，采用建立新进程，系统调用的方法后者简单但有效，前者存在著名的IPC$空连接漏洞，而且保留Guest帐号，易被hacker利用（进行权限提升），造成破坏。

下表是对Windows2000和Linux的平安访问控制机制的比较分析：71比较结果比较项Windows2000Linux比较说明密码处理隐藏在系统文件中，用户不可见采用shadow技术加密，仅有root可见加密后的密码在防止口令攻击和字典攻击上后者比前者稍强用户标识SID和组SIDUid和gid各有特色保护机制完全ACL压缩为9位的ACL后者效率高，严密性好权限传递继承访问令牌继承ACL各有特色从上表可以看出，在平安访问控制机制上，Linux系统要比Windows2000系统更加健壮有力。而且由于Linux设计上的公开性，使的这个系统即使在某些方面存在着一些漏洞，也将会很快得到修补。72END73

PMI〔PrivilegeManagementInfrastructure〕称特权管理根底设施l

问题的提出—虽已有很多成熟的访问控制或授权效劳模型等，但缺乏全面有效的权限管理平台。存在权限管理混乱，影响系统平安；—由于不同系统采用不同权限管理策略，增加了系统管理员的负担；—应用开发复杂、费用增高。l

l

PMI的定义PMI是权限管理根底设施或称授权管理根底设施。它是属性证书、属性权威、属性证书库某部件的集合体，用来实现权限和证书的产生、管理、存贮、分发和撤消等功能。74

六、基于PMI的访问控制2、PMI的组成l

属性权威AA〔Attributeauthority〕：用来生成并签发属性证书〔AttributeCertificate,即AC〕的机构；它负责管理属性证书的整个生命周期；l

属性证书AC：对于一个褓的权限的即定是由一个被数字签名了的数据结构来提供的，这种数据结构称为属性证书，由属性权威签发并管理。AC一般被称作身份证书PKC〔PublickeyCertificate〕l

PMI能够与PKI和目录效劳紧密地集成；——系统的建立对认可用户的特定授权；——对权限管理进行了系统的定义和描述；——提供授权的完整过程。75

3PMI目标向用户和应用程序提供权限管理和授权效劳为目标，访问控制与审计结合，对系统中所有的用户需求和行为进行后验分析，确保被授权的用户不滥用其特权。4、PMI功能：l

负责向业务应用系统提供与应用相关的授权效劳和理；l

提供用户身份到应用授权的映射功能；l

实现与实际应相对应、与具体应用系统开发和管理无关的访问控制机制；5、PKI与PMI的关系二者之间的主要区别：76

lPMI主要进行授权管理，证明这个用户有什么权限，“你能干什么？〞lPKI主要进行身份认证，即身份识别与鉴别，证明用户身份，即“你是谁？〞它们之间的关系类似于护照和签证的关系l

相似概念：——ACPKC——AACA——根CASOA77

6、属性证书和格式：属性证书AC：对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的，这种数据结构称为属性证书,由属性权威签发并管理。一些应用使用属性证书来提供基于角色的访问控制。属性证书的格式如下：版本号；属性证书的版本号；持有者；属性证书持有者信息。一般是持有者公钥证书DN和公钥证书颁发者DN的组合〕；颁发者；属性证书的颁发者信息〔一般是颁发者公钥证书DN〕签名算法；78

属性证书的格式〔续〕：属性证书使用的签名算法序列号属性证书的序列号有效期属性证书的生效和失效日期属性属性证书签发者对属性证书的签名属性证书持有者