【文章內(nèi)容簡介】 A,rA,B}2. B回信息 A,B{tB,rB,A,trA}：。用 B的公鑰簽名，確定數(shù)據(jù)的完整性。檢查上述數(shù)據(jù)的識別數(shù)據(jù)，確認(rèn) A是否此數(shù)據(jù)的接收方。檢查 tB是否在有效期內(nèi)，確定數(shù)據(jù)的有效性。檢查 rB是否重復(fù)出現(xiàn)，確定數(shù)據(jù)是否重放51（ 3）三向認(rèn)證發(fā)送方接收方BA 213識別過程： B∪ A{tA,r1A,B}到 B2. B回信息 A,B{tB,rB,A,r2A}給 A r2A與 r1A是否相等，若相等， A發(fā)識別數(shù)據(jù) A(R3B,B)給 BB收到信息后執(zhí)行 A的公鑰驗(yàn)證簽名，確定數(shù)據(jù)的完整性 R3B是否與自己發(fā)送時(shí)產(chǎn)生的 R2B相等特點(diǎn)1. A,B三次通信2. 確保安全52l 2． 2 授權(quán)管理基礎(chǔ)設(shè)施 PMIl （ Privilege Management Infrastructure）l Qu: l 1．什么是 PMIl 2． PMI與 PKI的區(qū)別、聯(lián)系l 3． PMI的功能結(jié)構(gòu)，特點(diǎn)l 4．基于 PMI的授權(quán)管理模式l （與傳統(tǒng)的應(yīng)用系統(tǒng)相比）l 53 PMIl Def:PMI是建立在 PKI的基礎(chǔ)上，與 PKI結(jié)合，利用屬性證書提供實(shí)體身份到應(yīng)用權(quán)限的映射，實(shí)現(xiàn)對系統(tǒng)資源訪問的統(tǒng)一管理機(jī)制。l PKI：證明實(shí)體身份的合法性（用戶是誰）l PMI：證明實(shí)體具有什么權(quán)限，能以何種方式訪問什么資源（用戶有什么權(quán)限，能干什么）l 聯(lián)系： PMI需要 PKI為其提供身份認(rèn)證服務(wù)屬性證書的定義 l 屬性證書是由屬性權(quán)威機(jī)構(gòu)AA(AttributeAuthority)簽發(fā)的包含持有者的屬性集 (如角色、訪問權(quán)限或組成員等 )和一些與持有者相關(guān)的數(shù)據(jù)結(jié)構(gòu)。由于這些屬性集能夠定義系統(tǒng)中用戶的權(quán)限，因此可以把作為一種授權(quán)機(jī)制的屬性證書看作是權(quán)限信息的載體。54屬性證書的定義 l 　　屬性證書由簽發(fā)它的 AA簽名，以此來保證屬性證書和其權(quán)限信息的有效性和合法性。屬性證書中包含的信息包括 :證書的版本號、證書所有者的信息、證書的簽發(fā)機(jī)構(gòu)、用來創(chuàng)建數(shù)字簽名的算法、證書的序列號、有效期、屬性 (權(quán)力信息 )、可選的證書簽發(fā)機(jī)構(gòu)的唯一ID號和可選的擴(kuò)展域。 55角色屬性證書 – 為了實(shí)現(xiàn)對角色、權(quán)限的靈活動態(tài)管理，屬性證書進(jìn)行了一定的擴(kuò)展， 兩種與角色有關(guān)的屬性證書 :角色規(guī)范屬性證書 (RoleSpeeifieationAC)和角色分配屬性證書 (RoleAssignmentAC)。56角色屬性證書 l 角色規(guī)范屬性證書的持有者 (Hofder)是角色，屬性是該角色擁有的權(quán)限 .而在角色分配證書中，證書的持有者 (Hofder)是用戶，屬性是分配給該用戶的角色所有角色規(guī)范屬性證書都由人 A預(yù)先簽發(fā)，存放在 LDAP目錄服務(wù)器的證書庫中，不隨用戶的變化而變化。57角色屬性證書 l 角色分配屬性證書也是由 AA簽發(fā)后存放在LDAP服務(wù)器的證書中 (不為用戶持有 )。l AA可能給一個(gè)用戶多個(gè)角色，此時(shí)該屬性的值是角色列表，角色可以有等級之分，上一級角色可以擁有下一級角色的權(quán)限，角色之間也可以互相交叉，也可以互相排斥，例如，運(yùn)動員和裁判是互相排斥的一對角色。 5859用戶權(quán)限管理 UPA簽發(fā)機(jī)構(gòu) AA發(fā)布系統(tǒng)應(yīng)用接口策略機(jī)構(gòu)PA屬性證書 DB用戶屬性策略策略分配證書發(fā)布獲取證書獲取證書21 43560l 1）授權(quán)管理的靈活性l 實(shí)現(xiàn)了強(qiáng)制訪問控制和自主訪問控制的結(jié)合l 2）授權(quán)操作與業(yè)務(wù)操作分離進(jìn)行615.權(quán)限控制邏輯結(jié)構(gòu)PKI/CA策略實(shí)施 目標(biāo) 授權(quán)中心 AA訪問控制服務(wù)器用戶管理資源管理權(quán)限分配注冊申請策略制定 PB策略決策PDP策略庫策略機(jī)構(gòu) PAPMI應(yīng)用系統(tǒng)654321發(fā)布系統(tǒng)+62權(quán)限控制過程l 1.實(shí)體發(fā)出請求到目標(biāo)，例如讀數(shù)據(jù)l 2.策略實(shí)施點(diǎn)處理請求，形成決策請求l 3.訪問控制服務(wù)器根據(jù)用戶身份證書等信息得到用戶屬性證書，計(jì)算有關(guān)信息，得到用戶權(quán)限信息l 4.策略決策點(diǎn)根據(jù)用戶權(quán)限信息作出決定l 5.策略實(shí)施636． PMI的授權(quán)體系結(jié)構(gòu)PMI的核心：屬性證書簽發(fā)機(jī)構(gòu)信任源點(diǎn) SOA二級授權(quán)服務(wù)中心 AA二級授權(quán)服務(wù)中心 AA授權(quán)服務(wù)中心 AA資源管理中心RM資源管理中心RM業(yè)務(wù)受理點(diǎn) 業(yè)務(wù)受理點(diǎn) 業(yè)務(wù)受理點(diǎn)安全策略服務(wù) LDAP服務(wù) 操作授權(quán)服務(wù)。三級64l （ 1）系統(tǒng)遵循的標(biāo)準(zhǔn)：l 。 :公鑰和屬性證書框架l 。 PKCS6:擴(kuò)展的數(shù)字證書語法標(biāo)準(zhǔn)l （ 2）系統(tǒng)工作模式 （集中式，分布式）l ① 集中式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計(jì)l 功能：用戶管理，審核管理，資源管理，l 角色管理，操作員管理，日志管理l 體系結(jié)構(gòu)：65。 ① 集中式授權(quán)管理服務(wù)系統(tǒng)體系結(jié)構(gòu)：資源管理策略引擎授權(quán)信息目錄服務(wù)器授權(quán)管理 密碼服務(wù)系統(tǒng)訪問控制表日志用戶權(quán)限請求部分功能：資源管理：向策略引擎發(fā)出訪問控制請求，將訪問控制表提交給策略引擎策略引擎：根據(jù)以上請求，訪問授權(quán)服務(wù)器，取得用戶權(quán)限授權(quán)管理：授權(quán)、撤銷、委托權(quán)限密碼服務(wù)系統(tǒng)：基礎(chǔ)安全服務(wù)：加、解密，簽名、驗(yàn)證簽名，信封數(shù)字等66② 分布式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計(jì)l 系統(tǒng)功能：l .資源訪問授權(quán) l .更改、刪除授權(quán)l(xiāng) .操作員管理l .日志管理l 體系結(jié)構(gòu)：67。 分布式授權(quán)管理服務(wù)系統(tǒng)的體系結(jié)構(gòu)l 部分功能：l 電子政務(wù)客戶端：接受授權(quán)，完成用戶對資源的授權(quán)、簽名l 應(yīng)用資源服務(wù)器：接受客戶請求，發(fā)出訪問控制請求l 授權(quán)管理服務(wù)器：存儲資源的授權(quán)信息，計(jì)算權(quán)限值l 密碼服務(wù)系統(tǒng)：同前電子政務(wù)客戶端 授權(quán)模塊 應(yīng)用資源服務(wù)器授權(quán)管理服務(wù)器 密碼服務(wù)系統(tǒng)688. 授權(quán)管理中心 AA的設(shè)計(jì)系統(tǒng)結(jié)構(gòu)PKI網(wǎng)關(guān)…………入侵檢查漏洞掃描安全審計(jì)防病毒…………InterLDAP服務(wù) 日志服務(wù) 信息安全服務(wù)引擎 系統(tǒng)狀態(tài)管理 簽名服務(wù) LDAP DB日志服務(wù) 信息安全服務(wù)引擎 系統(tǒng)狀態(tài)管理 簽名服務(wù) WEB服務(wù) 證書策略服務(wù) AA業(yè)務(wù)服務(wù)699． PMI的通用業(yè)務(wù)（屬性證書的申請與發(fā)布） AA驗(yàn)證PKC證書驗(yàn)證通過AA判斷該用戶是否已注冊將提交信息寫入 DB 申請證書將角色信息寫入 DB生成證書取出用戶注冊信息用戶角色信息核實(shí)以上兩信息是否相符用戶提交PKC證書返回出錯(cuò)信息 返回注冊頁面 返回用戶信息頁面 加密提交信息 用戶信息注冊結(jié)束 返回角色選擇頁面加密提交信息 NNNNYYNY通過審核 70l 10. 屬性證書分發(fā)的兩種模式（ “ 推 ”“ 拉 ” ）授權(quán)管理證書服務(wù)器 Inter 授權(quán)屬性證書應(yīng)用目錄服務(wù)系統(tǒng)DB客戶端 拉 推 查詢 提交 特點(diǎn)推模式：用戶將自己的屬性證書推給資源服務(wù)管理器 拉模式：授權(quán)機(jī)構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng)，由服務(wù)器從目錄服務(wù)系統(tǒng)拉回71兩種模式的比較：l 推模式 ： 用戶將自己的屬性證書推給資源服務(wù)管理器l ?？蛻襞c服務(wù)器不需建立新的連接，查詢證書很方便，因而提高服務(wù)器性能 l 拉模式 ： 授權(quán)機(jī)構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng)，由服務(wù)器從目錄服務(wù)系統(tǒng)拉回l 。不需對客戶端及客戶、服務(wù)器協(xié)議作任何改動72（公鑰證書）系統(tǒng)結(jié)構(gòu) 用戶 資源服務(wù)器策略引擎日志服務(wù)器 證書服務(wù)器訪問控制判斷請求 取 AC證書 寫入信息 PKC731