部分APMIOnlyvHHH.pptVIP

* 权限验证者根据4个条件决定访问通过/失败： ——权限声明者的权限 ——适当的权限策略 ——当前环境变量(如果有的话) ——对象方法的敏感度(如果有的话) * 其中，权限策略说明了对于给定敏感度的对象方法或权限的用法和内容，用户持有的权限需要满足的条件和达到的要求。权限策略准确定义了什么时候权限验证者应该能确定以便许可权限声明者访问要求的对象、资源，应用等 为了保证系统的安全性，权限策略需要完整性和可靠性保护，防止他人通过修改权限策略而攻击系统 * 下面对应的控制模型说明验证者如何控制权限声明者对保护对象的访问，并表达了最基本的影响因素： * 访问控制抽象模型 无论哪一种访问控制授权方案都可以表示成如下的基本元素和抽象。 * 同样，影响决策单元进行决策的因素也可以抽象如下图所示： 权限验证者 用户的身份，权限信息（属性证书信息）等 资源的等级，敏感度等信息 影响决策的应用端环境，如会话的有效期等 决策单元内部的控制因素 包括访问动作等信息 不同的应用系统访问控制策略是完全不同的－访问控制框架中随应用变化的部分 * PMI应用结构 PKI PMI和应用的逻辑结构如下， PMI 属性权威AA LDAP 注册申请ARA PKI 策略决策 PDP 策略实施PEP 目标 访问者 应用系统 策略 属性证书签发系统 应用策略支撑框架 为AA签发身份证书 为用户签发身份证书 策略实施点P