收藏
下载资源下载资源 加入VIP,免费下载

3.4-授权技术.ppt

上传人:b****2 文档编号:2590986 上传时间:2022-11-02 格式:PPT 页数:15 大小:178KB
下载 相关 举报
3.4-授权技术.ppt_第1页
第1页 / 共15页
3.4-授权技术.ppt_第2页
第2页 / 共15页
3.4-授权技术.ppt_第3页
第3页 / 共15页
3.4-授权技术.ppt_第4页
第4页 / 共15页
3.4-授权技术.ppt_第5页
第5页 / 共15页
点击查看更多>>
下载资源
资源描述

3.4-授权技术.ppt

《3.4-授权技术.ppt》由会员分享,可在线阅读,更多相关《3.4-授权技术.ppt(15页珍藏版)》请在冰豆网上搜索。

3.4-授权技术.ppt

3.4授权技术3.4.1作用3.4.2基本结构和应用模型3.4.3体系结构与主要功能3.4.4性能指标3.4.1作用目前的授权技术主要是为应用(包括用户和应用程序)提供针对各种资源的授权管理和访问控制服务的技术。

在真正的应用中,这些授权技术往往被解决方案的设计者加以综合运用,因此通常称为:

“授权管理基础设施(PMI)”由于由于由于由于PKIPKI的应用过程中产生了许多问题:

的应用过程中产生了许多问题:

的应用过程中产生了许多问题:

的应用过程中产生了许多问题:

一一一一是实施问题,是实施问题,是实施问题,是实施问题,由于当前大多数用户并不了解由于当前大多数用户并不了解由于当前大多数用户并不了解由于当前大多数用户并不了解PKIPKI技术;技术;技术;技术;二二二二是是是是PKIPKI定义了严格定义了严格定义了严格定义了严格的操作协议和严格的信任层次关系,任何向的操作协议和严格的信任层次关系,任何向的操作协议和严格的信任层次关系,任何向的操作协议和严格的信任层次关系,任何向CACA申请证书的人申请证书的人申请证书的人申请证书的人必须离线(必须离线(必须离线(必须离线(OfflineOffline)身份验证(一般由)身份验证(一般由)身份验证(一般由)身份验证(一般由RARA来完成),这样的来完成),这样的来完成),这样的来完成),这样的验证工作很难在扩展整个验证工作很难在扩展整个验证工作很难在扩展整个验证工作很难在扩展整个InternetInternet上,通常只在小范围内实施。

上,通常只在小范围内实施。

上,通常只在小范围内实施。

上,通常只在小范围内实施。

因此当今构建的因此当今构建的因此当今构建的因此当今构建的PKIPKI系统都局限在一定范围内,这就造成系统都局限在一定范围内,这就造成系统都局限在一定范围内,这就造成系统都局限在一定范围内,这就造成PKIPKI系统扩展的瓶颈问题;系统扩展的瓶颈问题;系统扩展的瓶颈问题;系统扩展的瓶颈问题;三三三三是为了解决每个独立是为了解决每个独立是为了解决每个独立是为了解决每个独立PKIPKI系统之间信系统之间信系统之间信系统之间信任关系,出现交叉认证、桥任关系,出现交叉认证、桥任关系,出现交叉认证、桥任关系,出现交叉认证、桥-CA-CA(Bridge-CABridge-CA)等方法。

但是)等方法。

但是)等方法。

但是)等方法。

但是由于不同的由于不同的由于不同的由于不同的PKIPKI系统定义了各自的信任策略,在进行相互认证系统定义了各自的信任策略,在进行相互认证系统定义了各自的信任策略,在进行相互认证系统定义了各自的信任策略,在进行相互认证的时候,为了避免由于信任策略不同而产生的问题,一般的做的时候,为了避免由于信任策略不同而产生的问题,一般的做的时候,为了避免由于信任策略不同而产生的问题,一般的做的时候,为了避免由于信任策略不同而产生的问题,一般的做法是忽略信任策略,这样法是忽略信任策略,这样法是忽略信任策略,这样法是忽略信任策略,这样PKIPKI仅起到了身份认证作用,而至于仅起到了身份认证作用,而至于仅起到了身份认证作用,而至于仅起到了身份认证作用,而至于身份有什么权利,可以做哪些事情、哪些事情不能做,在通过身份有什么权利,可以做哪些事情、哪些事情不能做,在通过身份有什么权利,可以做哪些事情、哪些事情不能做,在通过身份有什么权利,可以做哪些事情、哪些事情不能做,在通过认证后就消失了认证后就消失了认证后就消失了认证后就消失了。

因此,要实现信任策略只有通过其他方法。

因此,要实现信任策略只有通过其他方法。

因此,要实现信任策略只有通过其他方法。

因此,要实现信任策略只有通过其他方法。

为解决上述问题,于是出现了为解决上述问题,于是出现了为解决上述问题,于是出现了为解决上述问题,于是出现了PMIPMI技术。

技术。

技术。

技术。

PMIPMI(PrivilegeManagementInfrastructurePrivilegeManagementInfrastructure),即授),即授),即授),即授权管理基础设施,是国家信息安全基础设施权管理基础设施,是国家信息安全基础设施权管理基础设施,是国家信息安全基础设施权管理基础设施,是国家信息安全基础设施NISINISI(NationalNationalInformationSecurityInfrastructureInformationSecurityInfrastructure,NISINISI由由由由PKIPKI和和和和PMIPMI组组组组成,其中,公钥基础设施构成所谓的成,其中,公钥基础设施构成所谓的成,其中,公钥基础设施构成所谓的成,其中,公钥基础设施构成所谓的PKIPKI信息安全平台,提供智信息安全平台,提供智信息安全平台,提供智信息安全平台,提供智能化的信任服务;而授权管理基础设施能化的信任服务;而授权管理基础设施能化的信任服务;而授权管理基础设施能化的信任服务;而授权管理基础设施PMIPMI构成所谓的授权管理构成所谓的授权管理构成所谓的授权管理构成所谓的授权管理平台,在平台,在平台,在平台,在PKIPKI信息安全平台的基础上提供智能化的授权服务。

)信息安全平台的基础上提供智能化的授权服务。

)信息安全平台的基础上提供智能化的授权服务。

)信息安全平台的基础上提供智能化的授权服务。

)的一个重要组成部分,目标是向用户和应用程序提供授权管理服的一个重要组成部分,目标是向用户和应用程序提供授权管理服的一个重要组成部分,目标是向用户和应用程序提供授权管理服的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理务,提供用户身份到应用授权的映射功能,提供与实际应用处理务,提供用户身份到应用授权的映射功能,提供与实际应用处理务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控模式相对应的、与具体应用系统开发和管理无关的授权和访问控模式相对应的、与具体应用系统开发和管理无关的授权和访问控模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。

在制机制,简化具体应用系统的开发与维护。

在制机制,简化具体应用系统的开发与维护。

在制机制,简化具体应用系统的开发与维护。

在ANSIANSI、ITUITUX.509X.509和和和和IETFPKIXIETFPKIX都有都有都有都有PMIPMI的定义,的定义,的定义,的定义,ITU-TITU-T(国际电信联盟委(国际电信联盟委(国际电信联盟委(国际电信联盟委员会)在员会)在员会)在员会)在20012001年发表的年发表的年发表的年发表的X.509X.509的第四版首次将的第四版首次将的第四版首次将的第四版首次将PMIPMI的证书完全的证书完全的证书完全的证书完全标准化(标准化(标准化(标准化(X.509X.509早期的版本侧重于早期的版本侧重于早期的版本侧重于早期的版本侧重于PKIPKI证书的标准化)。

证书的标准化)。

证书的标准化)。

证书的标准化)。

授权管理基础设施授权管理基础设施授权管理基础设施授权管理基础设施PMIPMI是一个属性证书、属性权威、属性是一个属性证书、属性权威、属性是一个属性证书、属性权威、属性是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、证书库等部件构成的综合系统,用来实现权限和证书的产生、证书库等部件构成的综合系统,用来实现权限和证书的产生、证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。

管理、存储、分发和撤销等功能。

管理、存储、分发和撤销等功能。

管理、存储、分发和撤销等功能。

PMIPMI使用属性证书表示和容使用属性证书表示和容使用属性证书表示和容使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的纳权限信息,通过管理证书的生命周期实现对权限生命周期的纳权限信息,通过管理证书的生命周期实现对权限生命周期的纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。

属性证书的申请、签发、注销、验证流程对应着权限的管理。

属性证书的申请、签发、注销、验证流程对应着权限的管理。

属性证书的申请、签发、注销、验证流程对应着权限的管理。

属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的过程。

而且,使用属性证书申请、发放、撤消、使用和验证的过程。

而且,使用属性证书申请、发放、撤消、使用和验证的过程。

而且,使用属性证书申请、发放、撤消、使用和验证的过程。

而且,使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用,进行权限管理方式使得权限的管理不必依赖某个具体的应用,进行权限管理方式使得权限的管理不必依赖某个具体的应用,进行权限管理方式使得权限的管理不必依赖某个具体的应用,而且有利于权限的安全分布式应用。

而且有利于权限的安全分布式应用。

而且有利于权限的安全分布式应用。

而且有利于权限的安全分布式应用。

授权管理基础设施授权管理基础设施授权管理基础设施授权管理基础设施PMIPMI以资源管理为核心,对资源的访问以资源管理为核心,对资源的访问以资源管理为核心,对资源的访问以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行控制权统一交由授权机构统一处理,即由资源的所有者来进行控制权统一交由授权机构统一处理,即由资源的所有者来进行控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。

同公钥基础设施访问控制。

同公钥基础设施访问控制。

同公钥基础设施访问控制。

同公钥基础设施PKIPKI相比,两者主要区别在于:

相比,两者主要区别在于:

相比,两者主要区别在于:

相比,两者主要区别在于:

PKIPKI证明用户是谁,而证明用户是谁,而证明用户是谁,而证明用户是谁,而PMIPMI证明这个用户有什么权限,能干什证明这个用户有什么权限,能干什证明这个用户有什么权限,能干什证明这个用户有什么权限,能干什么,而且授权管理基础设施么,而且授权管理基础设施么,而且授权管理基础设施么,而且授权管理基础设施PMIPMI需要公钥基础设施需要公钥基础设施需要公钥基础设施需要公钥基础设施PKIPKI为其提为其提为其提为其提供身份认证。

供身份认证。

供身份认证。

供身份认证。

PMIPMI与与与与PKIPKI在结构上是非常相似的。

信任的基础都在结构上是非常相似的。

信任的基础都在结构上是非常相似的。

信任的基础都在结构上是非常相似的。

信任的基础都是有关权威机构,由他们决定建立身份认证系统和属性是有关权威机构,由他们决定建立身份认证系统和属性是有关权威机构,由他们决定建立身份认证系统和属性是有关权威机构,由他们决定建立身份认证系统和属性特权机构。

在特权机构。

在特权机构。

在特权机构。

在PKIPKI中,由有关部门建立并管理根中,由有关部门建立并管理根中,由有关部门建立并管理根中,由有关部门建立并管理根CACA,下,下,下,下设各级设各级设各级设各级CACA(CertificateAuthorityCertificateAuthority)、)、)、)、RARA(RegistrationAuthority)(RegistrationAuthority)和其它机构;在和其它机构;在和其它机构;在和其它机构;在PMIPMI中,由中,由中,由中,由有关部门建立授权源有关部门建立授权源有关部门建立授权源有关部门建立授权源SOA(SourceofAuthority)SOA(SourceofAuthority),下,下,下,下设分布式的设分布式的设分布式的设分布式的AA(Attributeauthority)AA(Attributeauthority)和其它机构。

和其它机构。

和其它机构。

和其它机构。

PMIPMI实际提出了一个新的信息保护基础设施,能实际提出了一个新的信息保护基础设施,能实际提出了一个新的信息保护

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 农学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1