《精》身份认证、访问控制与系统审计.pptVIP

Network and Information Security 8.6 PMI 访问控制就是控制用户访问资源的权限，如何证明用户所具有的权限正是PMI要做的事情。 8.6.1 PMI概述 授权管理基础设施PMI(Privilege Management Infrastructure)是国家信息安全基础设施(National Information Security Infrastructure，NISI)的一个重要组成部分。目标是： 向用户和应用程序提供授权管理服务 提供用户身份到应用授权的映射功能 提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制 简化具体应用系统的开发与维护。 Network and Information Security 属性证书 授权管理基础设施PMI是一个由属性证书(Attribute Certificate,AC)、属性权威(Attribute Authority,AA)、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。 PMI使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。 属性证书的申请、签发、撤销、验证流程对应着权限的申请、发放、撤销、使用和验证的过程。 而且，使用属性证书进行权限管理使得权限的管理不必依赖某个具体的应用，而且利于权限的安全分布式应用。 Network and Information Security PMI与PKI的比较 授权管理基础设施PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理。 同公钥基础设施PKI相比，两者主要区别在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。 PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构，由他们决定建立身份认证系统和属性特权机构。 Network and Information Security 在PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其它机构；在PMI中，由有关部门建立权威源点SOA(Source Of Authority)，下设分布式的AA和其它机构。 PMI实际上提出了一个新的信息保护基础设施，能够与PKI和目录服务紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程。 Network and Information Security 8.6.2 PMI技术的授权管理模式及其优点 授权服务体系主要是为网络空间提供用户操作授权的管理，即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。 目前建立授权服务体系的关键技术主要是授权管理基础设施PMI技术。 PMI技术通过数字证书机制来管理用户的授权信息，并将授权管理功能从传统的应用系统中分离出来，以独立服务的方式面向应用系统提供授权管理服务。 Network and Information Security 由于数字证书机制提供了对授权信息的安全保护功能，因此，作为用户授权信息存放载体的属性证书同样可以通过公开方式对外发布。 在PMI中主要使用基于角色的访问控制。其中角色提供了间接分配权限的方法。 在实际应用中，个人被签发角色分配证书使之具有一个或多个对应的角色，而每个角色具有的权限通过角色定义来说明，而不是将权限放在属性证书中分配给个人。 这种间接的权限分配方式使得角色权限更新时，不必撤销每一个属性证书，极大地减小了管理开销。 Network and Information Security 基于PMI技术的授权管理模式主要存在以下三个方面的优势： 1.授权管理的灵活性 基于PMI技术的授权管理模式可以通过属性证书的有效期以及委托授权机制来灵活地进行授权管理，从而实现了传统的访问控制技术领域中的强制访问控制模式与自主访问控制模式的有机结合，其灵活性是传统的授权管理模式所无法比拟的。 2.授权操作与业务操作相分离 基于授权服务体系的授权管理模式将业务管理工作与授权管理工作完全分离，更加明确了业务管理员和安全管理员之间的职责分工，可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。加强了授权管理的可信度。 3.多授权模型的灵活支持 基于PMI技术的授权管理模式将整个授权管理体系从应用系统中分离出来，授权管理模块自身的维护和更新操作将与具体的应用系统无关。 Network and Information Security 8.6.3 PMI系统的架构 PMI授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适当的用户身