返回
PMI的研究与发展

PMI的研究与发展

ID:42465603

大小:89.50 KB

页数:5页

时间:2019-09-15

PMI的研究与发展_第1页
PMI的研究与发展_第2页
PMI的研究与发展_第3页
PMI的研究与发展_第4页
PMI的研究与发展_第5页
资源描述:

《PMI的研究与发展》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、PMI(PrivilegeManageInfrastructure)的研究与发展1.背景身份认证目前广泛采用PKI技术(PublicKeyInfrastructure,公开密钥基础设施)。PK1技术采用证书管理公钥,通过第三方的可信任机构,认证中心CA(CertificateAuthority),把用户的公钥和用户的其他标识信息(如名称、“mail,身份证号等)捆绑在一起,从而验证用户的身份信息。然而身份信息通常是稳固的,不易变的。这些信息包括用户个人信息等。而用户权限信息则是经常变化的,随着其职务变换,或者工作职责的变换都会发生改变。更为广泛的,一个人可能兼具多

2、种角色,拥有多个权限,例如在一间公司里是董事,在另一间公司又是监事,要把这么多权限放到一个证书里很不现实,而且由于权限可能存在互斥或者彼此不能同时出现(基于商业逻辑),用户可能不得不拥有很多身份证书,这就违背了用户与证书在身份上的一一对应的逻辑。原因在于PKI系统屮身份和权限不分离的格局。上述情况屮用户的身份并没有变化,变化的是用户的权限。换句话说,如果把信任服务和授权服务分开来看,那么我们只需要更改授权服务中用户的权限就可以了,用户的身份信息可以保持不变。这种身份确认和特权管理之间的差异决定了对信任和授权服务应该区别对待。因此在2000年,IETF与ITU共同努

3、力在X.509协议第四版中将授权管理,也就是PMI从PKI中分离出來,作为一个单独的框架。2.PMI概况授权管理基础设施PMI是国家信息安全基础设施(NationalInformationSecurityInfrastructure,NISI)的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到权限的映射功能,提供与实际处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。授权管理基础设施PMI是一个由属性证书AC(AttributeCertificate),属性权威AA(AttributeAuth

4、ority),属性证书库等部件构成的综合系统,用来实现属性证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过管理属性证书的生命周期实现对权限生命周期的管理.属性证书的申请,签发,注销,验证流程对应着权限的申请,发放,撤消,使用和验证的过程。而且,使用属性证书进行权限管理的方式使得权限管理不必依赖某个具体的应用。而且利于权限的安全分布式应用。权限管理作为安全的一个领域得到快速发展,也提出了多种权限管理方案,如Kerberos,基于策略服务器的方案,但目前应用和研究的热点集中于基于PMI的研究。在PKI得到较大规模应用以后,人们已经认

5、识到需要超越当前PKI提供的身份认证机制,步入授权领域,提供信息坏境的权限管理将成为下一个主要目标。PMI实际提出了一个新的信息保护基础设施,能够系统地建立起对认可用户的授权机制。X.509协议中描述PMI为一种基于PKI并承担权限管理功能的框架,为网络应用等领域提供一种新的更加有效的访问控制的基础设施。因此,权限管理是PMI的主要功能。如何界定PMI与其他应用体系的功能、采用何种授权策略、如何搭建信任逻辑、权限如何表述、如何分配和传递、如何设计PMI的实现架构、采用何种技术实现等等都是PMI研究的范围。3.PMI架构3.1」PMI体系PMI是属性证书、属性权威、

6、属性证书库等部件的集合体,用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能。AttributeAuthority(AA)即属性权威,用來生成并签发属性证书(AttributeCertificate,AC)的机构。它负责管理属性证书的整个生命周期。属性证书的实体和其权限的绑定是由一个经过数字签名的数据结构来提供的,这种数据结构称为属性证书,由属性权威签发并管理,它包括一系列特别的证书扩展机制。虽然CA是一个域屮身份的管理机构,但这并不意味着它是授权的管理机构。AA和CA在逻辑上是完全独立的。“身份证书”的创建和维护应该与PMI分离开来。因此,通常的情况是属

7、性权威(AttributeAuthority,AA)分离出来作为授权管理机构。对于CA签发的单个公钥证书PKC,可以存在多个屈性证书AC与之对应,属性证书并不一定要由同一个属性权威颁发。属性权威AA负责对最终实体或者其他授权管理机构进行授权,是签发属性证书的实体。在授予一种权限前,该AA必须已经拥有该权限。这意味着该AA必须已经被授予这项权限或者是这项权限之源。属性权威人可以签发角色证书,这种角色证书指定了对一个最终实体分配特定的角色。属性权威AA也可能需要为其签发的属性证书签发证书撤销通知。对于短生命周期的屈性证书,证书撤销通知并不是必要的,所以并不耍求证书撤销

8、通知。然而

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。