认证与访问控制（崔永泉）访问控制第十章 动态结盟环境下分布式的DRBAC.pptVIP

4 DRBAC的支撑基础设施 4.1 功能需求 在分布式环境下配置dRBAC需要健壮的基础设施实现下列功能： 分配(Distribution)：提供一种为新委托发布者发布这些委托的方法，以便其他实体都可以发现这些委托 发现(Discovery)：当出现“实体x拥有角色y吗？”这个问题时，找到一组有效的从x到y的委托链，或者报告不存在这样的链 有效性(Validation)：一旦确认了一个委托链，验证链中每一个委托的签名，并且检查截止日期 监控(Monitoring)：不管任何原因，当委托被回收或变得无效时，通知任何一个可能在这些委托的有效性下有授权行为的用户 解决方案：这个功能是由dRBAC的知识库(repositories)提供的。在分布式实现中，每一个参与的服务器都运行一个dRBAC知识库，在知识库里，用户可以发布委托，提交查询，用证书预订来订阅一条存在证据的状态 委托分配和委托链发现的算法来源于RT0的思想 委托有效性的验证使用PKI 重点讲解dRBAC的第三个特征：证书预订 4.2 证书预订和证据监控器(Credential Subscription and Proof Monitors) 基本目标：实现对信任关系的持续监控的支持 实现原理：一个dRBAC知识库为每一个委托的有效性提供一个pub/sub接口。代理对证据的有效性进