PKI技术 作者 荆继武 第16讲 属性证书与PMI.pptVIP

PKI技术 回顾 PKI中，提供服务的最基本方式就是： Certificate 数字证书、证书 根据X.509 The binding of a public-key to an entity is provided by an authority through a digitally signed data structure called a public-key certificate. 证书就是 权威的、数字签名保护的 绑定了公钥和某个实体 PKI提供的重要服务之一 鉴别Authentication 身份鉴别： 提供了关于某个实体的身份的保证。也就是： 当某个实体声称具有一个特定的身份时（例如，声称“我就是拉登”），鉴别服务将提供某种方法来证实这一声称是正确或者错误。 PKI的鉴别服务通过如下方式实现 如下图 PKI的鉴别服务 验证 证书是否有效？ 是否具有证书所对应的私钥？ 声称者的身份就是证书Subject 信息安全的另一方面——授权 授权Authorization 赋予某个实体（用户、进程等）对客体（数据、文件等）的一定程度的支配权力 授权是在鉴别的基础上进行的，只有确定了实体的身份之后，才能对其授权 否则，就可能盲目地将权限赋予攻击者 授权的几种方法 基于身份的授权策略 直接对每个访问实体进行授权，说明其能够执行的权限 基于角色的授权策略Role-Base 给每个访问实体分配角色（可以属于多个角色） 对角色进行授权 一般，更多地使用基于角色的授权策略 Role Base Access Control, RBAC 如下图 基于身份/角色的授权策略 如下图 Role: 浏览者/修改者 Identity: Alice/Bob Alice: 浏览者 Bob: 浏览者/修改者 授权的几种分类 自主访问策略 Discretional Access Control 允许主体针对访问资源的用户设置访问控制权限 某个主体可以修改其他主体对于客体的权限 强制访问策略 Mandatory Access Control 不允许主体干涉的访问控制类型 主体对客体的权限是由系统统一控制的，访问主体不能修改权限 例如，将主体和客体分为几个安全等级，根据“上读下写”原则判断权限 授权的需求 授权必须是在鉴别的基础上进行的 一般对于信息系统而言，授权是在鉴别后立即需要进行的 鉴别：来访者是谁？ 授权：该来访者能够做什么？ 鉴别是授权的基础 问题 利用PKI完成了鉴别（强度更高、更安全），是否也可利用PKI来进行授权？ 或者使用类似于PKI的方法？ 或者由PKI来辅助进行授权？ 或者利用PKI，将鉴别和授权一并完成？ 用PKI直接解决授权 在证书扩展subjectDirectoryAttributes中 给出用户的角色，或者， 给出用户的安全级别（用于强制访问控制） 对于Role-Base、强制访问控制，在鉴别的过程中，同时得到： 用户的角色RBAC 用户的安全级别（BLP模型的级别） 然后，应用系统就进行授权操作、权限判断 存在问题 但直接用PKI证书来解决授权存在问题 周期问题，变化频繁 权限信息来源不统一，缺少权威机构 角色多变，1个实体具有多个角色 下面详细说明 存在的问题1 (to be cont’d) 周期 相比于角色的变化，身份信息的变化是比较缓慢的。例如： 证书Subject包括了国籍、出生地（省、市、地址）、姓名，几乎不可能变动 角色信息很轻易变化：“只读用户”－“Root用户”－“操作者”等等 证书有效期设定得很短、或频繁地撤销证书 给其他方面（例如机密性）的使用带来不便 存在的问题2 (to be cont’d) 权限信息从哪里得到，如下图 用户申请证书时，需要与信息系统进行确认 或者CA可以决定该用户的角色（一般不成立） 增加证书申请时的通信复杂性和CA复杂性 存在的问题3 在不同的信息系统中 用户角色一般是不同的 在证书中难以全面地设定 因为存在以上问题 X.509标准中，提出PMI和Attribute证书，以及各种概念 属性证书 因为在X.500目录中，有关Entry的各种所有信息，都称为Attribute属性 但是，目前而言，Attribute Certificate主要是为了解决授权/访问控制问题 AA，Attribute Authority SOA，Source of Authority 本节课程 讲述PMI以及属性证书的基本内容 同时，与PKI进行适当的比较 提纲 PMI的基本概念 PMI权限管理的4种应用模式 属性证书的基本结构 属性证书的扩展 与属性证书相关的X.500 Schema PMI和属性证书 PMI Privilege Management Infrastructure 专门用于权限管理的基础设