第三十四章PK与I身份认证.pptVIP

* 证书废除机制 CRL数据格式 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * CA信任模式 级联模式(层次信任模型) 适合大型组织机构 部署方便 不适合互联网 不适合非层次机构 信任是绝对的 单点失败危害大 和现实生活中的信任关系差别大 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 网状模型(分布式信任模型) 具有更好的灵活性 增加新的CA容易 系统的安全性较高 路径发现比较困难 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 桥接模式 实用性强，保证不同信任之间的互通 增加了复杂度 策略对应困难 可操作性差 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * Web信任模型 Web信任模型构建在Web浏览器的基础上，浏览器厂商在浏览器（如Internet Explorer、Tencent Traveler、Mozilla Firefox、Opera等）中内置了多个根CA，每个根CA相互间是平行的，浏览器用户同时信任多个根CA并把这些根CA作为自己的信任锚。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 二、PMI技术 授权管理基础设施（Privilege Management Infrastructure，PMI）是国家信息安全基础设施的一个重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发和维护。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * PMI的概念 PMI是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离，由IETF提出的一种标准。PKI以公钥证书为基础，实现用户身份的统一管理，而PMI以2000年推出的X.509 v4标准中提出的属性证书为基础，实现用户权限的统一管理。 概括地讲：PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理。同PKI相比，两者主要区别在于PKI证明用户是谁，而PMI证明这个用户有什么权限、能干什么。PMI需要PKI为其提供身份认证。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * PMI的组成 PMI主要由属性权威（Attribute Authority，AA)、属性证书（Attribute Certification，AC)和属性证书库3部分组成。 1．属性权威（AA） 属性权威（AA）也称为“授权管理中心”或“属性权威机构”，是整个PMI系统的核心，它为不同的用户和机构进行属性证书（AC）创建、存储、签发和撤销，负责管理AC的整个生命周期。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.