PKI,PMI技术研究.docVIP

PKI，PMI技术研究 周小为 （江南计算技术研究所，江苏 无锡 214083） 摘要：本文对公钥基础设施PKI及特权管理基础设施PMI技术的概念、基本组成及系统框架等进行了简要的介绍及分析。 关键词：PKI，PMI，属性证书，RBAC The Analysis of PKI and PMI Technologies ZHOU Xiao-Wei (Jiangnan Institute of Computer Technology, JiangSu WuXi,214083) Abstract: This paper instroduces two secure infrastructure technologies: the Public Key Infrastructure and the Privilege Management Infrastructure.And in the paper,we analyze the system frame of them. Key Words: PKI, PMI ,AC,RABC 随着公钥（public key），（PKI，Public Key Infrastructure），（RBAC，Role Based Access Control）PKI基础上发展起来的特权管理基础设施（PMI，Privilege Management Infrastructure） 1．PKI 1.1 PKI基本概念 PKI（Public Key Infrastructure），2.1 PMI的基本概念 特权管理基础设施（PMI）是在PKI提出并解决了信任和统一的安全认证问题后提出的，其目的是解决统一的授权管理和访问控制问题。 PMI的基本思想是，将授权管理和访问控制决策机制从具体的应用系统中剥离出来，在通过安全认证确定用户真实身份的基础上，由可信的权威机构对用户进行统一的授权，并提供统一的访问控制决策服务。 PMI 实现的机制有多种，如Kerberos机制、集中的访问控制列表（ACL）机制和基于属性证书（AC，Attribute Certificate）的机制等。基于Kerberos机制和集中的访问控制列表（ACL）机制的PMI通常是集中式的，无法满足跨地域、分布式环境下的应用需求，缺乏良好的可伸缩性。 基于属性证书的PMI通过属性证书的签发、发布、撤销等，在确保授权策略、授权信息、访问控制决策信息安全、可信的基础上，实现了PMI的跨地域、分布式应用。 2.1.1属性证书 属性证书（AC，Attribute Certificate）是一种轻量级的数字证书，2000年颁布的ITU-T X.509 V4版对属性证书的格式进行了标准化，为将属性证书应用于特权管理基础设施，实现策略信息和授权信息的可信发布和安全应用奠定了基础。 属性证书的内容包括两大部分：待签名的属性证书信息和对属性证书证书的数字签名。其中，待签名的属性证书信息包括与属性拥有者的主体名称、属性证书发行者的名称和标识、属性证书的唯一序列号、属性证书的有效期及以属性项形式表示的资源信息、策略信息、角色信息等。 属性证书的内容如下表所示。 表2-1 属性证书的内容 字 段 含 义 版本 属性证书版本 主体名称 该权限证书的持有者 发行者 签发属性证书的AA的名称 发行者唯一标识符 签发属性证书的AA的名称的唯一标识符 签名算法 签名算法标识符 序列号 证书序列号 有效期 权限属性证书有效期间 属性 持有者的属性 扩展域 包含其它信息 数字签名 签发者的数字签名 2.1.2基于角色的访问控制 随着计算机网络技术和信息技术的迅速发展，通过网络传输和处理的信息和数据越来越多，需要进行访问控制的资源数量迅速扩大，访问控制的难度不断增加，对系统资源访问控制的要求也越来越高。 在网络和分布式应用环境下，对于安全性要求较高的信息资源，既要求能够由信息资源的管理部门统一进行管理，确保信息资源受控、合法、安全地使用，又需要授权管理和访问控制的复杂度不能因为资源和用户数量的增长而迅速增加，以确保授权和访问控制的可管理性，实现统一、高效、灵活的访问控制。传统的访问控制机制，如自主访问控制（DAC，Discretionary Access Control）、强制访问控制（MAC，Mandatory Access Control）等已远远不能满足访问控制的上述要求。 20世纪90年代以来发展起来的基于角色的访问控制（RBAC）技术可以减少授权管理的复杂度，降低管理开销，提高访问控制的安全性，而且能够实现基于策略的授权管理和访问控制。 在基于角色的访问控制（RBAC）中，引入了角色这一重要概念。角色是对用户拥有的职能和权限的一种