【文章內(nèi)容簡介】 A,rA,B}2. B回信息 A,B{tB,rB,A,trA}：。用 B的公鑰簽名，確定數(shù)據(jù)的完整性。檢查上述數(shù)據(jù)的識別數(shù)據(jù)，確認 A是否此數(shù)據(jù)的接收方。檢查 tB是否在有效期內(nèi)，確定數(shù)據(jù)的有效性。檢查 rB是否重復(fù)出現(xiàn)，確定數(shù)據(jù)是否重放51（ 3）三向認證發(fā)送方接收方BA 213識別過程： B∪ A{tA,r1A,B}到 B2. B回信息 A,B{tB,rB,A,r2A}給 A r2A與 r1A是否相等，若相等， A發(fā)識別數(shù)據(jù) A(R3B,B)給 BB收到信息后執(zhí)行 A的公鑰驗證簽名，確定數(shù)據(jù)的完整性 R3B是否與自己發(fā)送時產(chǎn)生的 R2B相等特點1. A,B三次通信2. 確保安全52l 2． 2 授權(quán)管理基礎(chǔ)設(shè)施 PMIl （ Privilege Management Infrastructure）l Qu: l 1．什么是 PMIl 2． PMI與 PKI的區(qū)別、聯(lián)系l 3． PMI的功能結(jié)構(gòu)，特點l 4．基于 PMI的授權(quán)管理模式l （與傳統(tǒng)的應(yīng)用系統(tǒng)相比）l 53 PMIl Def:PMI是建立在 PKI的基礎(chǔ)上，與 PKI結(jié)合，利用屬性證書提供實體身份到應(yīng)用權(quán)限的映射，實現(xiàn)對系統(tǒng)資源訪問的統(tǒng)一管理機制。l PKI：證明實體身份的合法性（用戶是誰）l PMI：證明實體具有什么權(quán)限，能以何種方式訪問什么資源（用戶有什么權(quán)限，能干什么）l 聯(lián)系： PMI需要 PKI為其提供身份認證服務(wù)屬性證書的定義 l 屬性證書是由屬性權(quán)威機構(gòu)AA(AttributeAuthority)簽發(fā)的包含持有者的屬性集 (如角色、訪問權(quán)限或組成員等 )和一些與持有者相關(guān)的數(shù)據(jù)結(jié)構(gòu)。由于這些屬性集能夠定義系統(tǒng)中用戶的權(quán)限，因此可以把作為一種授權(quán)機制的屬性證書看作是權(quán)限信息的載體。54屬性證書的定義 l 　　屬性證書由簽發(fā)它的 AA簽名，以此來保證屬性證書和其權(quán)限信息的有效性和合法性。屬性證書中包含的信息包括 :證書的版本號、證書所有者的信息、證書的簽發(fā)機構(gòu)、用來創(chuàng)建數(shù)字簽名的算法、證書的序列號、有效期、屬性 (權(quán)力信息 )、可選的證書簽發(fā)機構(gòu)的唯一ID號和可選的擴展域。 55角色屬性證書 – 為了實現(xiàn)對角色、權(quán)限的靈活動態(tài)管理，屬性證書進行了一定的擴展， 兩種與角色有關(guān)的屬性證書 :角色規(guī)范屬性證書 (RoleSpeeifieationAC)和角色分配屬性證書 (RoleAssignmentAC)。56角色屬性證書 l 角色規(guī)范屬性證書的持有者 (Hofder)是角色，屬性是該角色擁有的權(quán)限 .而在角色分配證書中，證書的持有者 (Hofder)是用戶，屬性是分配給該用戶的角色所有角色規(guī)范屬性證書都由人 A預(yù)先簽發(fā)，存放在 LDAP目錄服務(wù)器的證書庫中，不隨用戶的變化而變化。57角色屬性證書 l 角色分配屬性證書也是由 AA簽發(fā)后存放在LDAP服務(wù)器的證書中 (不為用戶持有 )。l AA可能給一個用戶多個角色，此時該屬性的值是角色列表，角色可以有等級之分，上一級角色可以擁有下一級角色的權(quán)限，角色之間也可以互相交叉，也可以互相排斥，例如，運動員和裁判是互相排斥的一對角色。 5859用戶權(quán)限管理 UPA簽發(fā)機構(gòu) AA發(fā)布系統(tǒng)應(yīng)用接口策略機構(gòu)PA屬性證書 DB用戶屬性策略策略分配證書發(fā)布獲取證書獲取證書21 43560l 1）授權(quán)管理的靈活性l 實現(xiàn)了強制訪問控制和自主訪問控制的結(jié)合l 2）授權(quán)操作與業(yè)務(wù)操作分離進行615.權(quán)限控制邏輯結(jié)構(gòu)PKI/CA策略實施 目標 授權(quán)中心 AA訪問控制服務(wù)器用戶管理資源管理權(quán)限分配注冊申請策略制定 PB策略決策PDP策略庫策略機構(gòu) PAPMI應(yīng)用系統(tǒng)654321發(fā)布系統(tǒng)+62權(quán)限控制過程l 1.實體發(fā)出請求到目標，例如讀數(shù)據(jù)l 2.策略實施點處理請求，形成決策請求l 3.訪問控制服務(wù)器根據(jù)用戶身份證書等信息得到用戶屬性證書，計算有關(guān)信息，得到用戶權(quán)限信息l 4.策略決策點根據(jù)用戶權(quán)限信息作出決定l 5.策略實施636． PMI的授權(quán)體系結(jié)構(gòu)PMI的核心：屬性證書簽發(fā)機構(gòu)信任源點 SOA二級授權(quán)服務(wù)中心 AA二級授權(quán)服務(wù)中心 AA授權(quán)服務(wù)中心 AA資源管理中心RM資源管理中心RM業(yè)務(wù)受理點 業(yè)務(wù)受理點 業(yè)務(wù)受理點安全策略服務(wù) LDAP服務(wù) 操作授權(quán)服務(wù)。三級64l （ 1）系統(tǒng)遵循的標準：l 。 :公鑰和屬性證書框架l 。 PKCS6:擴展的數(shù)字證書語法標準l （ 2）系統(tǒng)工作模式 （集中式，分布式）l ① 集中式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計l 功能：用戶管理，審核管理，資源管理，l 角色管理，操作員管理，日志管理l 體系結(jié)構(gòu)：65。 ① 集中式授權(quán)管理服務(wù)系統(tǒng)體系結(jié)構(gòu)：資源管理策略引擎授權(quán)信息目錄服務(wù)器授權(quán)管理 密碼服務(wù)系統(tǒng)訪問控制表日志用戶權(quán)限請求部分功能：資源管理：向策略引擎發(fā)出訪問控制請求，將訪問控制表提交給策略引擎策略引擎：根據(jù)以上請求，訪問授權(quán)服務(wù)器，取得用戶權(quán)限授權(quán)管理：授權(quán)、撤銷、委托權(quán)限密碼服務(wù)系統(tǒng)：基礎(chǔ)安全服務(wù)：加、解密，簽名、驗證簽名，信封數(shù)字等66② 分布式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計l 系統(tǒng)功能：l .資源訪問授權(quán) l .更改、刪除授權(quán)l(xiāng) .操作員管理l .日志管理l 體系結(jié)構(gòu)：67。 分布式授權(quán)管理服務(wù)系統(tǒng)的體系結(jié)構(gòu)l 部分功能：l 電子政務(wù)客戶端：接受授權(quán)，完成用戶對資源的授權(quán)、簽名l 應(yīng)用資源服務(wù)器：接受客戶請求，發(fā)出訪問控制請求l 授權(quán)管理服務(wù)器：存儲資源的授權(quán)信息，計算權(quán)限值l 密碼服務(wù)系統(tǒng)：同前電子政務(wù)客戶端 授權(quán)模塊 應(yīng)用資源服務(wù)器授權(quán)管理服務(wù)器 密碼服務(wù)系統(tǒng)688. 授權(quán)管理中心 AA的設(shè)計系統(tǒng)結(jié)構(gòu)PKI網(wǎng)關(guān)…………入侵檢查漏洞掃描安全審計防病毒…………InterLDAP服務(wù) 日志服務(wù) 信息安全服務(wù)引擎 系統(tǒng)狀態(tài)管理 簽名服務(wù) LDAP DB日志服務(wù) 信息安全服務(wù)引擎 系統(tǒng)狀態(tài)管理 簽名服務(wù) WEB服務(wù) 證書策略服務(wù) AA業(yè)務(wù)服務(wù)699． PMI的通用業(yè)務(wù)（屬性證書的申請與發(fā)布） AA驗證PKC證書驗證通過AA判斷該用戶是否已注冊將提交信息寫入 DB 申請證書將角色信息寫入 DB生成證書取出用戶注冊信息用戶角色信息核實以上兩信息是否相符用戶提交PKC證書返回出錯信息 返回注冊頁面 返回用戶信息頁面 加密提交信息 用戶信息注冊結(jié)束 返回角色選擇頁面加密提交信息 NNNNYYNY通過審核 70l 10. 屬性證書分發(fā)的兩種模式（ “ 推 ”“ 拉 ” ）授權(quán)管理證書服務(wù)器 Inter 授權(quán)屬性證書應(yīng)用目錄服務(wù)系統(tǒng)DB客戶端 拉 推 查詢 提交 特點推模式：用戶將自己的屬性證書推給資源服務(wù)管理器 拉模式：授權(quán)機構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng)，由服務(wù)器從目錄服務(wù)系統(tǒng)拉回71兩種模式的比較：l 推模式 ： 用戶將自己的屬性證書推給資源服務(wù)管理器l ?？蛻襞c服務(wù)器不需建立新的連接，查詢證書很方便，因而提高服務(wù)器性能 l 拉模式 ： 授權(quán)機構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng)，由服務(wù)器從目錄服務(wù)系統(tǒng)拉回l 。不需對客戶端及客戶、服務(wù)器協(xié)議作任何改動72（公鑰證書）系統(tǒng)結(jié)構(gòu) 用戶 資源服務(wù)器策略引擎日志服務(wù)器 證書服務(wù)器訪問控制判斷請求 取 AC證書 寫入信息 PKC731