实验4-多级访问控制实验指导课稿.doc

上海电力学院 信息安全概论 课程实验报告 题　　目: 多级访问控制实验 姓 名： 张皓翔 学 号： 院　　系：　　 计算机科学与技术学院　 专业年级：　 信息安全系2014级 2015　 年　11　月　 8　日 1、PMI试验 证书申请实验 【实验目的】 属性集(如角色、访问权限或组成员等)和一些与持有者相关的数据结构。由于这些属性集能够定义系统中用户的权限，因此可以把作为一种授权机制的属性证书看作是权限信息的载体。该实验的目的让用户对属性证书对资源权限的申请有一个感性的认识。 【实验预备知识点】 什么是PMI ? ? PMI，即特权管理基础设施，是属性权威、属性证书、属性证书库等部件的集合体。 它以 PKI 体系为基础，向用户和应用程序提供授权服务管理。 属性证书使用的先决条件是什么？ PMI 是最新发展起来的一种新的信息安全基础设施,它建立在 PKI 身份验证基础之 上， 即用数字证书确定用户的真实身份， 然后在用户真实身份的基础上用证书的形式绑 定用户拥有的属性。? 【实验步骤】 填写申请证书的信息，权限、资源、证书名、功能描述等，单击证书申请按钮进行证书申请。右侧系统日志窗口中将显示出现的正常、警告或者错误信息，若证书申请不成功，试根据该日志信息分析原因。 图1-1 证书申请页面 【实验思考题】 在本实验环境中，为什么要使用HTTPS连接？PMI申请流程与PKI证书申请过程有什么联系与区别？ 建立在 HTTPS 双向认证的基础之上，通过 SSL 的握手过程，让系统和用户都明了和确认了彼此的身份。 PKI 证书申请过程和 PMI 申请流程不太一样， 身份证书的申请涉及到需要用户填写 很多相关的用户身份信息， 以及该证书的使用目的等等， 而属性证书的申请主要是用户 提出对某一项资源申请拥有某一项权限。 2在本实验环境中,属性证书为什么分为长期证书与短期证书它们除了有效期外还有什么不同？ 短期证书和长期证书在属性证书的 extension 扩展域也是不同的，当属性证书中不包含 noRevAvail 扩展时， 那么属性证书颁发者隐含地表示了支持证书撤销状态检查， 并必须 为属性证书验证者提供相应得检查属性证书撤销状态的方法。 对于短期证书来说， 那么 就要包含 noRevAvail 扩展，即使用从不撤销方案。 2）证书管理实验 【实验目的】 在PMI系统中，对用户证书申请的管理是通过RA实现的，而对属性证书的签发、撤销，以及权限的变更则是通过AA来完成的。本实验通过属性证书的三种存在状态以及相应拥有的权限的操作帮助用户理解RA、AA的功能和联系。 【实验预备知识点】 AA的职责有哪些？ 属性证书权威中心 AA 是一个属性证书的颁发机构。它负责为合法用户生成属性证 书,为管理中心生成策略证书, 并将它们发布到数据中心。 为什么要进行属性证书撤销？属性证书有效期类型和撤销方式之间有什么联系？ 属性证书与身份证书在某些方面存在着很大相似性，它同样必须拥有撤销证书的功能。属性证书的撤销是针对那些长期证书，就是有效期比证书撤销列表的发布时间要长的证书，对应的这些证书在其证书扩展域中一定不包含 noRevAvail 扩展项，而对于短期证书而言，其证书扩展域中就要包含 noRevAvail 扩展项，从而这张证书不需要撤销支持。 【实验步骤】 1、在查找信息框中，可以分别请求列出属于该用户的未签发的、已签发的和已撤销的属性证书。 2、在属性证书列表中，对于列出的未签发的属性证书，双击证书名，可以打开“管理证书”面板，模拟RA撤销该属性证书的申请或者向AA提交签发证书的请求过程；对于列出的AA已签发的属性证书，单击证书名可以看到该属性证书的证书类型、属性证书签发者AA 的指纹信息、证书的有效期、证书序列号以及该证书对应用户的权限信息等，此外，用户还可以对已经签发的属性证书进行证书撤销请求。如果是有效期为一天的短期证书，这里不允许撤销；对于长期证书，可以使用以下三种作为证书的撤销原因：关系变更，废弃证书，收回权限。 3、右侧系统日志窗口中将显示出现的正常、警告或者错误信息，若操作不成功，试根据该日信息分析原因。 【实验思考题】 为什么实验系统中短期证书不可以撤销？撤销的属性证书可以激活吗？ 因为属性证书的有效期一般都比较短，而短期证书的有效期比属性证书撤销列表的 发布时间还要短，所以不需要进行撤销。 被撤销的属性证书还可以再激活吗 一般被撤销的属性证书不会选择激活的方式， 而是重新申请一张新的属性证书。 证书应用实验 【实验目的】 通过本实验，学