16公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI
《16公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI》由會(huì)員分享,可在線閱讀,更多相關(guān)《16公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI(48頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、網(wǎng)絡(luò)信息安全基礎(chǔ)網(wǎng)絡(luò)信息安全基礎(chǔ)5.3 公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管和授權(quán)管理基礎(chǔ)設(shè)施理基礎(chǔ)設(shè)施PMI公開(kāi)密鑰基礎(chǔ)設(shè)施公開(kāi)密鑰基礎(chǔ)設(shè)施PKI PKI(Public Key Infrastructure)是一個(gè)用公鑰)是一個(gè)用公鑰概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。的安全基礎(chǔ)設(shè)施。 PKI的主要任務(wù)是在開(kāi)放環(huán)境中為開(kāi)放性業(yè)務(wù)提的主要任務(wù)是在開(kāi)放環(huán)境中為開(kāi)放性業(yè)務(wù)提供網(wǎng)上身份認(rèn)證、信息完整性和數(shù)字簽名服務(wù)。供網(wǎng)上身份認(rèn)證、信息完整性和數(shù)字簽名服務(wù)。 PKI是一種是一種標(biāo)準(zhǔn)的密鑰管理平臺(tái)標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗?,它能?/p>
2、為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)據(jù)簽名等密碼網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)據(jù)簽名等密碼服務(wù)所必須的密鑰和證書(shū)管理。服務(wù)所必須的密鑰和證書(shū)管理。 PKI是生成、管理、存儲(chǔ)、分發(fā)和吊銷(xiāo)基于公鑰是生成、管理、存儲(chǔ)、分發(fā)和吊銷(xiāo)基于公鑰密碼學(xué)的公鑰證書(shū)所需要的硬件、軟件、人員、密碼學(xué)的公鑰證書(shū)所需要的硬件、軟件、人員、策略和規(guī)程的總和策略和規(guī)程的總和。PKI的主要功能的主要功能密鑰和證書(shū)的生成密鑰和證書(shū)的生成證書(shū)存儲(chǔ)證書(shū)存儲(chǔ)/ /目錄服務(wù)目錄服務(wù)密鑰備份和恢復(fù)密鑰備份和恢復(fù)支持不可抵賴(lài)服務(wù)支持不可抵賴(lài)服務(wù)證書(shū)廢止證書(shū)廢止證書(shū)發(fā)放證書(shū)發(fā)放交叉認(rèn)證交叉認(rèn)證時(shí)間戳?xí)r間戳 從功能上講,一個(gè)完整從功能上講,一
3、個(gè)完整的的PKI系統(tǒng)必須具備如下一些主要功能:系統(tǒng)必須具備如下一些主要功能:密鑰更新密鑰更新 PKI的構(gòu)成的構(gòu)成從總體上講,從總體上講,PKI由如下四個(gè)方面的部件構(gòu)成:由如下四個(gè)方面的部件構(gòu)成:PKI的應(yīng)用的應(yīng)用PKI策略策略軟硬件系統(tǒng)軟硬件系統(tǒng) PKI中的可信第三方中的可信第三方證書(shū)認(rèn)證中心(證書(shū)認(rèn)證中心(CA),),可以解決無(wú)邊界用戶的身份確定問(wèn)題,提供了信可以解決無(wú)邊界用戶的身份確定問(wèn)題,提供了信任的基礎(chǔ)。因此基于任的基礎(chǔ)。因此基于Internet的應(yīng)用需要的應(yīng)用需要PKI。 PKI作為一種支撐性基礎(chǔ)設(shè)施,其本身并不能直作為一種支撐性基礎(chǔ)設(shè)施,其本身并不能直接為用戶提供安全服務(wù),但接為用
4、戶提供安全服務(wù),但PKI是其他安全應(yīng)用是其他安全應(yīng)用的基礎(chǔ)。的基礎(chǔ)。PKI基本組成基本組成 PKI由以下幾個(gè)基本部分組成:由以下幾個(gè)基本部分組成: 證書(shū)庫(kù)證書(shū)庫(kù) 證書(shū)作廢處理系統(tǒng)證書(shū)作廢處理系統(tǒng) 認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)(CA Certificate Authority) 注冊(cè)機(jī)構(gòu)注冊(cè)機(jī)構(gòu)(RA Registration Authority) 密鑰備份與恢復(fù)系統(tǒng)密鑰備份與恢復(fù)系統(tǒng) PKI應(yīng)用接口應(yīng)用接口PKI基本組成基本組成注冊(cè)機(jī)構(gòu)(注冊(cè)機(jī)構(gòu)(RA) 負(fù)責(zé)記錄和驗(yàn)證部分或所有有關(guān)信息(特別是主負(fù)責(zé)記錄和驗(yàn)證部分或所有有關(guān)信息(特別是主體的身份),這些信息用于體的身份),這些信息用于CA發(fā)行證書(shū)和發(fā)行證
5、書(shū)和CLR以以及證書(shū)管理中。及證書(shū)管理中。 認(rèn)證機(jī)構(gòu)與其用戶或證書(shū)申請(qǐng)人間的交互是由被認(rèn)證機(jī)構(gòu)與其用戶或證書(shū)申請(qǐng)人間的交互是由被稱(chēng)為注冊(cè)機(jī)構(gòu)稱(chēng)為注冊(cè)機(jī)構(gòu)(RA) 的中介機(jī)構(gòu)來(lái)管理;的中介機(jī)構(gòu)來(lái)管理; 注冊(cè)機(jī)構(gòu)本身并不發(fā)放證書(shū),但注冊(cè)機(jī)構(gòu)可以確注冊(cè)機(jī)構(gòu)本身并不發(fā)放證書(shū),但注冊(cè)機(jī)構(gòu)可以確認(rèn)、批準(zhǔn)或拒絕證書(shū)申請(qǐng)人認(rèn)、批準(zhǔn)或拒絕證書(shū)申請(qǐng)人,隨后由認(rèn)證機(jī)構(gòu)給,隨后由認(rèn)證機(jī)構(gòu)給經(jīng)過(guò)批準(zhǔn)的申請(qǐng)人發(fā)放證書(shū)。經(jīng)過(guò)批準(zhǔn)的申請(qǐng)人發(fā)放證書(shū)。PKI基本組成基本組成認(rèn)證機(jī)構(gòu)(認(rèn)證機(jī)構(gòu)(CA) 一個(gè)可信實(shí)體,發(fā)放和作廢公鑰證書(shū),并對(duì)各作一個(gè)可信實(shí)體,發(fā)放和作廢公鑰證書(shū),并對(duì)各作廢證書(shū)列表簽名。廢證書(shū)列表簽名。 CA是是PK
6、I系統(tǒng)的核心,包含以下功能:系統(tǒng)的核心,包含以下功能: 接受用戶的請(qǐng)求接受用戶的請(qǐng)求(由由RA負(fù)責(zé)對(duì)用戶的身份信息進(jìn)行驗(yàn)證負(fù)責(zé)對(duì)用戶的身份信息進(jìn)行驗(yàn)證) 用自己的私鑰簽發(fā)證書(shū)用自己的私鑰簽發(fā)證書(shū) 提供證書(shū)查詢(xún)提供證書(shū)查詢(xún) 接受證書(shū)注銷(xiāo)請(qǐng)求接受證書(shū)注銷(xiāo)請(qǐng)求 提供證書(shū)注銷(xiāo)表提供證書(shū)注銷(xiāo)表 證書(shū)材料信息的管理證書(shū)材料信息的管理PKI理論基礎(chǔ)理論基礎(chǔ) 密碼學(xué)密碼學(xué)( (略略) ) 目錄服務(wù)目錄服務(wù) 數(shù)字證書(shū)數(shù)字證書(shū)目錄服務(wù)目錄服務(wù) 目的是建立全局目的是建立全局/局部統(tǒng)一的命令方案,它從技術(shù)局部統(tǒng)一的命令方案,它從技術(shù)的角度定義了人的身份和網(wǎng)絡(luò)對(duì)象的關(guān)系;的角度定義了人的身份和網(wǎng)絡(luò)對(duì)象的關(guān)系; 目錄服務(wù)
7、是規(guī)范網(wǎng)絡(luò)行為和管理網(wǎng)絡(luò)的一種重要目錄服務(wù)是規(guī)范網(wǎng)絡(luò)行為和管理網(wǎng)絡(luò)的一種重要手段;手段; X.500時(shí)一套已經(jīng)被國(guó)際標(biāo)準(zhǔn)化組織(時(shí)一套已經(jīng)被國(guó)際標(biāo)準(zhǔn)化組織(ISO)接受)接受的目錄服務(wù)系統(tǒng)標(biāo)準(zhǔn);的目錄服務(wù)系統(tǒng)標(biāo)準(zhǔn); LDAP(輕量級(jí)目錄訪問(wèn)協(xié)議)最早被看作是(輕量級(jí)目錄訪問(wèn)協(xié)議)最早被看作是X.500目錄訪問(wèn)協(xié)議中的那些易描述、易執(zhí)行的目錄訪問(wèn)協(xié)議中的那些易描述、易執(zhí)行的功能子集功能子集X.500目錄服務(wù)目錄服務(wù) 一個(gè)完整的一個(gè)完整的X.500系統(tǒng)稱(chēng)為一個(gè)系統(tǒng)稱(chēng)為一個(gè)”目錄目錄” 。 X.500目錄服務(wù)是一個(gè)復(fù)雜的信息存儲(chǔ)機(jī)制目錄服務(wù)是一個(gè)復(fù)雜的信息存儲(chǔ)機(jī)制,包括,包括客戶機(jī)客戶機(jī)-目錄服務(wù)器
8、訪問(wèn)協(xié)議、服務(wù)器目錄服務(wù)器訪問(wèn)協(xié)議、服務(wù)器-服務(wù)器通信服務(wù)器通信協(xié)議、完全或部分的目錄數(shù)據(jù)復(fù)制、服務(wù)器鏈對(duì)協(xié)議、完全或部分的目錄數(shù)據(jù)復(fù)制、服務(wù)器鏈對(duì)查詢(xún)的響應(yīng)、復(fù)雜搜尋的過(guò)濾功能等查詢(xún)的響應(yīng)、復(fù)雜搜尋的過(guò)濾功能等. X.500目錄服務(wù)可以向需要目錄服務(wù)可以向需要訪問(wèn)網(wǎng)絡(luò)任何地方資源訪問(wèn)網(wǎng)絡(luò)任何地方資源的電子函件系統(tǒng)和應(yīng)用的電子函件系統(tǒng)和應(yīng)用,或需要知道在網(wǎng)絡(luò)上的,或需要知道在網(wǎng)絡(luò)上的實(shí)體名字和地點(diǎn)的管理系統(tǒng)實(shí)體名字和地點(diǎn)的管理系統(tǒng)提供信息提供信息。 LDAP的英文全稱(chēng)是的英文全稱(chēng)是Lightweight Directory Access Protocol,輕量級(jí)目錄訪問(wèn)協(xié)議。輕量級(jí)目錄訪問(wèn)協(xié)議
9、。它是基于它是基于X.500標(biāo)準(zhǔn)的,但標(biāo)準(zhǔn)的,但是簡(jiǎn)單并且可以根據(jù)需要定制。與是簡(jiǎn)單并且可以根據(jù)需要定制。與X.500不同,不同,LDAP支持支持TCP/IP,這對(duì)訪問(wèn),這對(duì)訪問(wèn)Internet是必須的。是必須的。 LDAP不是數(shù)據(jù)庫(kù)而是用來(lái)訪問(wèn)存儲(chǔ)在信息目錄不是數(shù)據(jù)庫(kù)而是用來(lái)訪問(wèn)存儲(chǔ)在信息目錄(也就是(也就是LDAP目錄)目錄)中的信息的協(xié)議中的信息的協(xié)議。也就是說(shuō)。也就是說(shuō)“通過(guò)使用通過(guò)使用LDAP,可以在信息目錄的正確位置讀?。ɑ虼鎯?chǔ))數(shù)據(jù)可以在信息目錄的正確位置讀?。ɑ虼鎯?chǔ))數(shù)據(jù)”,LDAP主主要是優(yōu)化數(shù)據(jù)讀取的性能要是優(yōu)化數(shù)據(jù)讀取的性能。 LDAP協(xié)議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議。協(xié)議是跨
10、平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議。LDAP最大的優(yōu)勢(shì)是:最大的優(yōu)勢(shì)是:可以在任何計(jì)算機(jī)平臺(tái)上,用很容易獲得的而且數(shù)目不斷增可以在任何計(jì)算機(jī)平臺(tái)上,用很容易獲得的而且數(shù)目不斷增加的加的LDAP的客戶端程序訪問(wèn)的客戶端程序訪問(wèn)LDAP目錄。而且也很容易定制目錄。而且也很容易定制應(yīng)用程序?yàn)樗由蠎?yīng)用程序?yàn)樗由螸DAP的支持。的支持。 PKI中使用中使用LDAP服務(wù)主要是用于服務(wù)主要是用于CA 證書(shū)庫(kù)、證書(shū)庫(kù)、CRL 庫(kù)庫(kù)(證書(shū)注證書(shū)注銷(xiāo)庫(kù)銷(xiāo)庫(kù))的發(fā)布,應(yīng)用軟件可以通過(guò)訪問(wèn)的發(fā)布,應(yīng)用軟件可以通過(guò)訪問(wèn)LADP 來(lái)獲取公開(kāi)證書(shū)來(lái)獲取公開(kāi)證書(shū)和和CRLLDAP協(xié)議協(xié)議PKI中的證書(shū)中的證書(shū) PKI適用于異構(gòu)環(huán)境中,所
11、以證書(shū)的格式在適用于異構(gòu)環(huán)境中,所以證書(shū)的格式在所使用的范圍內(nèi)必須統(tǒng)一所使用的范圍內(nèi)必須統(tǒng)一 證書(shū)是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證證書(shū)是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證明,所以證書(shū)的權(quán)威性取決于該機(jī)構(gòu)的權(quán)明,所以證書(shū)的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性威性 一個(gè)證書(shū)中,最重要的信息是個(gè)體名字、一個(gè)證書(shū)中,最重要的信息是個(gè)體名字、個(gè)體的公鑰、機(jī)構(gòu)的簽名、算法和用途個(gè)體的公鑰、機(jī)構(gòu)的簽名、算法和用途 最常用的證書(shū)格式為最常用的證書(shū)格式為X.509 v3PKI的構(gòu)建的構(gòu)建 自建模式自建模式(In-house Model)是指用戶購(gòu)買(mǎi)整套的是指用戶購(gòu)買(mǎi)整套的PKI軟件和所需的硬件設(shè)備,按照軟件和所需的硬件設(shè)備,
12、按照PKI的構(gòu)建要求的構(gòu)建要求自行建立起一套完整的服務(wù)體系。自行建立起一套完整的服務(wù)體系。 托管模式托管模式是指用戶利用現(xiàn)有的可信第三方是指用戶利用現(xiàn)有的可信第三方認(rèn)證認(rèn)證中心中心CA提供的提供的PKI服務(wù),用戶只需配置并全權(quán)管服務(wù),用戶只需配置并全權(quán)管理一套集成的理一套集成的PKI平臺(tái)即可建立起一套完整的服務(wù)平臺(tái)即可建立起一套完整的服務(wù)體系,對(duì)內(nèi)對(duì)外提供全部的體系,對(duì)內(nèi)對(duì)外提供全部的PKI服務(wù)。服務(wù)。與與PKI有關(guān)的標(biāo)準(zhǔn)情況有關(guān)的標(biāo)準(zhǔn)情況 Certificates X.509 v.3 交叉認(rèn)證交叉認(rèn)證 PKIX group in IETF(RFC 2459) 智能卡智能卡/硬件插件硬件插件
13、PKCS #11 PKCS系列系列 目錄服務(wù)目錄服務(wù)LDAP PKI信任模型信任模型 基于層次結(jié)構(gòu)的信任模型基于層次結(jié)構(gòu)的信任模型 交叉認(rèn)證交叉認(rèn)證 網(wǎng)狀信任模型網(wǎng)狀信任模型 混合結(jié)構(gòu)信任模型混合結(jié)構(gòu)信任模型 Web可信列表可信列表 以用戶為中心的信任模型以用戶為中心的信任模型CA信任關(guān)系信任關(guān)系 當(dāng)一個(gè)安全個(gè)體看到另一個(gè)安全個(gè)體出示的證書(shū)當(dāng)一個(gè)安全個(gè)體看到另一個(gè)安全個(gè)體出示的證書(shū)時(shí),他是否信任此證書(shū)?時(shí),他是否信任此證書(shū)? 信任難以度量,總是與風(fēng)險(xiǎn)聯(lián)系在一起信任難以度量,總是與風(fēng)險(xiǎn)聯(lián)系在一起 可信可信CA 如果一個(gè)個(gè)體假設(shè)如果一個(gè)個(gè)體假設(shè)CA能夠建立并維持一個(gè)準(zhǔn)確的能夠建立并維持一個(gè)準(zhǔn)確的“
14、個(gè)個(gè)體體-公鑰屬性公鑰屬性”之間的綁定,則他可以信任該之間的綁定,則他可以信任該CA,該,該CA為為可信可信CACA層次結(jié)構(gòu)信任模型層次結(jié)構(gòu)信任模型對(duì)于一個(gè)運(yùn)行對(duì)于一個(gè)運(yùn)行CA的大型權(quán)威機(jī)構(gòu)而言,簽發(fā)證書(shū)的工作不能僅僅由的大型權(quán)威機(jī)構(gòu)而言,簽發(fā)證書(shū)的工作不能僅僅由一個(gè)一個(gè)CA來(lái)完成來(lái)完成,它可以建立一個(gè)它可以建立一個(gè)CA層次結(jié)構(gòu)層次結(jié)構(gòu)以各個(gè)域的集中控制為基礎(chǔ),可以建立層次結(jié)構(gòu)的以各個(gè)域的集中控制為基礎(chǔ),可以建立層次結(jié)構(gòu)的CA體系。體系。這種模型不適合缺少集中管理域的完全分布環(huán)境下的網(wǎng)絡(luò)應(yīng)用。這種模型不適合缺少集中管理域的完全分布環(huán)境下的網(wǎng)絡(luò)應(yīng)用。根根CA中間中間CACA層次結(jié)構(gòu)的建立層次結(jié)構(gòu)
15、的建立 根根CA具有一個(gè)自簽名的證書(shū)具有一個(gè)自簽名的證書(shū) 根根CA依次對(duì)它下面的依次對(duì)它下面的CA進(jìn)行簽名進(jìn)行簽名 層次結(jié)構(gòu)中葉子節(jié)點(diǎn)上的層次結(jié)構(gòu)中葉子節(jié)點(diǎn)上的CA用于對(duì)安全個(gè)體進(jìn)行用于對(duì)安全個(gè)體進(jìn)行簽名簽名 對(duì)于個(gè)體而言,它需要信任根對(duì)于個(gè)體而言,它需要信任根CA,中間的,中間的CA可可以不必關(guān)心以不必關(guān)心(透明的透明的);同時(shí)它的證書(shū)是由底層的;同時(shí)它的證書(shū)是由底層的CA簽發(fā)的簽發(fā)的 在在CA的機(jī)構(gòu)中,要維護(hù)這棵樹(shù)的機(jī)構(gòu)中,要維護(hù)這棵樹(shù) 在每個(gè)節(jié)點(diǎn)在每個(gè)節(jié)點(diǎn)CA上,需要保存兩種上,需要保存兩種cert(1) Forward Certificates: 其他其他CA發(fā)給它的發(fā)給它的certs
16、(2) Reverse Certificates: 它發(fā)給其他它發(fā)給其他CA的的certs層次結(jié)構(gòu)層次結(jié)構(gòu)CA中證書(shū)的驗(yàn)證中證書(shū)的驗(yàn)證 假設(shè)個(gè)體假設(shè)個(gè)體A看到看到B的一個(gè)證書(shū)的一個(gè)證書(shū) B的證書(shū)中含有簽發(fā)該證書(shū)的的證書(shū)中含有簽發(fā)該證書(shū)的CA的信息的信息 沿著層次樹(shù)往上找,可以構(gòu)成一條證書(shū)鏈,直到沿著層次樹(shù)往上找,可以構(gòu)成一條證書(shū)鏈,直到根證書(shū)根證書(shū) 驗(yàn)證過(guò)程:驗(yàn)證過(guò)程: 沿相反的方向,從根證書(shū)開(kāi)始,依次往下驗(yàn)證每一個(gè)沿相反的方向,從根證書(shū)開(kāi)始,依次往下驗(yàn)證每一個(gè)證書(shū)中的簽名。其中,根證書(shū)是自簽名的,用它自己證書(shū)中的簽名。其中,根證書(shū)是自簽名的,用它自己的公鑰進(jìn)行驗(yàn)證的公鑰進(jìn)行驗(yàn)證 一直到驗(yàn)證一
17、直到驗(yàn)證B的證書(shū)中的簽名的證書(shū)中的簽名 如果所有的簽名驗(yàn)證都通過(guò),則如果所有的簽名驗(yàn)證都通過(guò),則A可以確定所有的證書(shū)可以確定所有的證書(shū)都是正確的,如果他信任根都是正確的,如果他信任根CA,則他可以相信,則他可以相信B的證的證書(shū)和公鑰書(shū)和公鑰樹(shù)層次結(jié)構(gòu)樹(shù)層次結(jié)構(gòu)森林型結(jié)構(gòu)森林型結(jié)構(gòu)證書(shū)鏈的驗(yàn)證示例證書(shū)鏈的驗(yàn)證示例CA認(rèn)證模型認(rèn)證模型 如果用戶如果用戶 i和和j都屬于都屬于CA111,那么,那么i和和j之間的之間的密鑰交換,只需要持有密鑰交換,只需要持有CA111開(kāi)具的證明書(shū)就可開(kāi)具的證明書(shū)就可以,即:對(duì)用戶以,即:對(duì)用戶 i和和j的公鑰的公鑰PKi 和和PKj分別蓋章,分別蓋章,如如(Pki)c
18、a111, (Pkj)ca111,那么用戶那么用戶i和和j就能證明密鑰就能證明密鑰是對(duì)方的密鑰。是對(duì)方的密鑰。CA認(rèn)證模型認(rèn)證模型 如果用戶如果用戶j的證明書(shū)是的證明書(shū)是CA122開(kāi)具的,那么情況開(kāi)具的,那么情況就復(fù)雜了,各自具有:就復(fù)雜了,各自具有: i方:方:(Pki)ca111 , (CA111)CA11, (CA11)CA1 j方:方:(Pkj)ca122 , (CA122)CA12, (CA12)CA1 這就形成了層層證明的證明鏈(這就形成了層層證明的證明鏈( certification chain)。這里,符號(hào))。這里,符號(hào)(CA11)CA1是是CA1對(duì)對(duì)C11的的公鑰蓋章,只是證
19、明本公鑰是公鑰蓋章,只是證明本公鑰是C11的。的。 CA 證明鏈證明鏈CACA1CA2CA11CA12CA21CA22個(gè)人證書(shū)個(gè)人證書(shū)個(gè)人證書(shū)個(gè)人證書(shū)個(gè)人證書(shū)個(gè)人證書(shū)個(gè)人證書(shū)個(gè)人證書(shū)(PKI)CA11,(,(PKCA11)CA1,(,(PKCA1)CA(PKJ)CA21,(,(PKCA21)CA2,(,(PKCA2)CAij 交叉認(rèn)證交叉認(rèn)證 交叉認(rèn)證是一種把以前無(wú)關(guān)的交叉認(rèn)證是一種把以前無(wú)關(guān)的CA連接在一起的有連接在一起的有用機(jī)制,從而使得在它們各自主體群之間的安全通用機(jī)制,從而使得在它們各自主體群之間的安全通信成為可能。信成為可能。 兩個(gè)兩個(gè)CA安全地交換密鑰信息安全地交換密鑰信息,這樣每
20、個(gè)這樣每個(gè)CA都可以有都可以有效地驗(yàn)證另一方密鑰的可信任性效地驗(yàn)證另一方密鑰的可信任性,這個(gè)過(guò)程稱(chēng)為交叉這個(gè)過(guò)程稱(chēng)為交叉認(rèn)證認(rèn)證; 兩個(gè)不同的兩個(gè)不同的CA層次結(jié)構(gòu)之間可以建立信任關(guān)系層次結(jié)構(gòu)之間可以建立信任關(guān)系 單向交叉認(rèn)證單向交叉認(rèn)證 一個(gè)一個(gè)CA可以承認(rèn)另一個(gè)可以承認(rèn)另一個(gè)CA在一定名字空間范圍內(nèi)的所有被授權(quán)在一定名字空間范圍內(nèi)的所有被授權(quán)簽發(fā)的證書(shū)簽發(fā)的證書(shū) 雙向交叉認(rèn)證雙向交叉認(rèn)證交叉認(rèn)證交叉認(rèn)證交叉認(rèn)證可以分為交叉認(rèn)證可以分為域內(nèi)交叉認(rèn)證:域內(nèi)交叉認(rèn)證:如果兩個(gè)如果兩個(gè)CA屬于相同的域?qū)儆谙嗤挠蛴蜷g交叉認(rèn)證:域間交叉認(rèn)證:如果兩個(gè)如果兩個(gè)CA屬于不同的域?qū)儆诓煌挠?例如,當(dāng)在一
21、家公例如,當(dāng)在一家公司中的司中的CA認(rèn)證了在另一家公司中的認(rèn)證了在另一家公司中的CA) 。交叉認(rèn)證的約束交叉認(rèn)證的約束名字約束名字約束:一個(gè)一個(gè)CA信任另一個(gè)信任另一個(gè)CA在給定的一部分名字空間內(nèi)的在給定的一部分名字空間內(nèi)的以其為主體頒發(fā)的證書(shū)以其為主體頒發(fā)的證書(shū)路徑長(zhǎng)度約束路徑長(zhǎng)度約束: 限制可以出現(xiàn)在一個(gè)有效的證書(shū)路徑中的交叉認(rèn)限制可以出現(xiàn)在一個(gè)有效的證書(shū)路徑中的交叉認(rèn)證的數(shù)目證的數(shù)目策略約束策略約束: 提供一種方法來(lái)限制一個(gè)證書(shū)使用提供一種方法來(lái)限制一個(gè)證書(shū)使用,如使用如使用EMAIL,這這樣除樣除EMAIL以外的任意證書(shū)為非法以外的任意證書(shū)為非法例如假設(shè)例如假設(shè)A已經(jīng)被已經(jīng)被CA1認(rèn)證
22、并持有可信的一份認(rèn)證并持有可信的一份CA1的公鑰的公鑰,并且并且B已已經(jīng)被經(jīng)被CA2認(rèn)證并持有可信的一份認(rèn)證并持有可信的一份CA2的公鑰的公鑰,最初最初A只信任其證書(shū)由只信任其證書(shū)由CA1簽署的實(shí)體簽署的實(shí)體,因?yàn)樗軌蝌?yàn)證這些證書(shū)因?yàn)樗軌蝌?yàn)證這些證書(shū)(使用使用CA1的公鑰的公鑰),但不能但不能驗(yàn)證驗(yàn)證B的證書(shū)的證書(shū),因?yàn)樗麤](méi)有持可信的一份因?yàn)樗麤](méi)有持可信的一份CA2的密鑰的密鑰,類(lèi)似的在類(lèi)似的在B身上身上發(fā)生發(fā)生,如果如果CA1和和CA2交叉認(rèn)證后交叉認(rèn)證后,雙方都獲得了對(duì)方的公鑰雙方都獲得了對(duì)方的公鑰,這樣這樣A的信任就能擴(kuò)展到的信任就能擴(kuò)展到CA2的主體群的主體群,如如B;交叉認(rèn)證交叉
23、認(rèn)證 不同的交叉認(rèn)證信任模型不同的交叉認(rèn)證信任模型 子層次型結(jié)構(gòu)子層次型結(jié)構(gòu) 網(wǎng)狀交叉認(rèn)證結(jié)構(gòu)網(wǎng)狀交叉認(rèn)證結(jié)構(gòu) 混合結(jié)構(gòu)混合結(jié)構(gòu) 橋認(rèn)證結(jié)構(gòu)橋認(rèn)證結(jié)構(gòu) 信任列表信任列表子層次型交叉認(rèn)證信任模型子層次型交叉認(rèn)證信任模型PKI中的中的CA關(guān)系控制了關(guān)系控制了PKI的可擴(kuò)展性的可擴(kuò)展性。:CA:最終用戶分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)模型 分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上,相上,相應(yīng)的應(yīng)的CA必須是整個(gè)必須是整個(gè)PKI系統(tǒng)的一個(gè)子集所構(gòu)成的嚴(yán)格系統(tǒng)的一個(gè)子集所構(gòu)成的嚴(yán)格層次結(jié)構(gòu)的根層次結(jié)構(gòu)的根CA。 如果這些嚴(yán)格層次結(jié)構(gòu)都是可信頒發(fā)者層次結(jié)構(gòu),那如果這些
24、嚴(yán)格層次結(jié)構(gòu)都是可信頒發(fā)者層次結(jié)構(gòu),那么該總體結(jié)構(gòu)被稱(chēng)作么該總體結(jié)構(gòu)被稱(chēng)作完全同位結(jié)構(gòu)完全同位結(jié)構(gòu)(fully peered architecture)。如果所有的嚴(yán)格層次結(jié)構(gòu)都是多層結(jié)。如果所有的嚴(yán)格層次結(jié)構(gòu)都是多層結(jié)構(gòu)(構(gòu)(multi-level hierarchy),那么最終的結(jié)構(gòu)就被),那么最終的結(jié)構(gòu)就被叫作叫作滿樹(shù)結(jié)構(gòu)滿樹(shù)結(jié)構(gòu)(fully treed architecture)。 一般來(lái)說(shuō),完全同位結(jié)構(gòu)部署在某個(gè)組織內(nèi)部,而滿一般來(lái)說(shuō),完全同位結(jié)構(gòu)部署在某個(gè)組織內(nèi)部,而滿樹(shù)結(jié)構(gòu)和混合結(jié)構(gòu)則是在原來(lái)相互獨(dú)立的樹(shù)結(jié)構(gòu)和混合結(jié)構(gòu)則是在原來(lái)相互獨(dú)立的PKI系統(tǒng)之系統(tǒng)之間進(jìn)行互聯(lián)的結(jié)果。間進(jìn)行
25、互聯(lián)的結(jié)果。網(wǎng)狀交叉認(rèn)證信任模型網(wǎng)狀交叉認(rèn)證信任模型 網(wǎng)狀型:相互獨(dú)立的網(wǎng)狀型:相互獨(dú)立的CA之間可以交叉認(rèn)證,從之間可以交叉認(rèn)證,從而形成而形成CA之間的信任關(guān)之間的信任關(guān)系網(wǎng)絡(luò)。系網(wǎng)絡(luò)。 網(wǎng)狀配置中,所有的網(wǎng)狀配置中,所有的CA之間都可以進(jìn)行交叉認(rèn)之間都可以進(jìn)行交叉認(rèn)證。證。靈活,便于建立特殊信任關(guān)系,也符合商貿(mào)中的雙邊信任關(guān)系靈活,便于建立特殊信任關(guān)系,也符合商貿(mào)中的雙邊信任關(guān)系任何任何PKI中,用戶至少要信任其證書(shū)頒發(fā)中,用戶至少要信任其證書(shū)頒發(fā)CA允許用戶頻繁通信的允許用戶頻繁通信的CA之間直接交叉認(rèn)證,以降低認(rèn)證路徑處之間直接交叉認(rèn)證,以降低認(rèn)證路徑處理量理量CA私鑰泄露引起的恢復(fù)
26、僅僅涉及到該私鑰泄露引起的恢復(fù)僅僅涉及到該CA的證書(shū)用戶的證書(shū)用戶混合結(jié)構(gòu)信任模型混合結(jié)構(gòu)信任模型 混合結(jié)構(gòu)中,局部仍可體現(xiàn)出層次型結(jié)構(gòu)?;旌辖Y(jié)構(gòu)中,局部仍可體現(xiàn)出層次型結(jié)構(gòu)。 不是所有的根不是所有的根CA之間都進(jìn)行直接的交叉認(rèn)證。之間都進(jìn)行直接的交叉認(rèn)證。Web模型模型 許多許多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器。這些公鑰確定了一組的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器。這些公鑰確定了一組瀏覽器用戶最初信任的瀏覽器用戶最初信任的CA,這組根密鑰可以被用戶修改這組根密鑰可以被用戶修改。 類(lèi)似于認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型,瀏覽器廠商起到了根類(lèi)似于認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型,瀏覽器廠商起到了根CA的作用,而與被嵌
27、入的密鑰相對(duì)應(yīng)的的作用,而與被嵌入的密鑰相對(duì)應(yīng)的CA就是它所認(rèn)證的就是它所認(rèn)證的CA,這種認(rèn)證并不通過(guò)頒發(fā)證書(shū)實(shí)現(xiàn)的,而是,這種認(rèn)證并不通過(guò)頒發(fā)證書(shū)實(shí)現(xiàn)的,而是物理地把物理地把CA的的密鑰嵌入瀏覽器密鑰嵌入瀏覽器。 Web模型在方便性和簡(jiǎn)單互操作方面有明顯的優(yōu)勢(shì),但是也模型在方便性和簡(jiǎn)單互操作方面有明顯的優(yōu)勢(shì),但是也存在許多安全隱患。例如,因?yàn)闉g覽器的用戶自動(dòng)地信任預(yù)存在許多安全隱患。例如,因?yàn)闉g覽器的用戶自動(dòng)地信任預(yù)安裝的所有公鑰,所以即使這些根安裝的所有公鑰,所以即使這些根CA中有一個(gè)是中有一個(gè)是“壞的壞的”(例如該(例如該CA沒(méi)有認(rèn)真核實(shí)被認(rèn)證的實(shí)體),安全性將被完全沒(méi)有認(rèn)真核實(shí)被認(rèn)證的
28、實(shí)體),安全性將被完全破壞。破壞。 最后該模型還缺少有效的方法在最后該模型還缺少有效的方法在CA和用戶間建立合法協(xié)議,和用戶間建立合法協(xié)議,該協(xié)議的目的是使該協(xié)議的目的是使CA和用戶共同承擔(dān)責(zé)任。和用戶共同承擔(dān)責(zé)任。以用戶為中心的信任模型以用戶為中心的信任模型 對(duì)于每一個(gè)用戶而言,應(yīng)該建立各種信任關(guān)系,這對(duì)于每一個(gè)用戶而言,應(yīng)該建立各種信任關(guān)系,這種信任關(guān)系可以被擴(kuò)展種信任關(guān)系可以被擴(kuò)展 例子:用戶的瀏覽器配置例子:用戶的瀏覽器配置以用戶為中心的信任模型示例:以用戶為中心的信任模型示例:PGP例如,當(dāng)例如,當(dāng)Alice 收到一個(gè)據(jù)稱(chēng)屬于收到一個(gè)據(jù)稱(chēng)屬于Bob的證書(shū)時(shí),她將發(fā)現(xiàn)這的證書(shū)時(shí),她將發(fā)
29、現(xiàn)這個(gè)證書(shū)是由她不認(rèn)識(shí)的個(gè)證書(shū)是由她不認(rèn)識(shí)的David簽署的,但是簽署的,但是 David的證書(shū)是由的證書(shū)是由她認(rèn)識(shí)并且信任的她認(rèn)識(shí)并且信任的Catherine簽署的。在這種情況下,簽署的。在這種情況下,Alice可以決定信任可以決定信任Bob的密鑰,也可以決定不信任的密鑰,也可以決定不信任Bob的密鑰。的密鑰。 在著名的安全軟件程序在著名的安全軟件程序Pretty Good Privacy(PGP)中,)中,一個(gè)用戶通過(guò)擔(dān)當(dāng)一個(gè)用戶通過(guò)擔(dān)當(dāng)CA(簽署其他實(shí)體的公鑰證書(shū))和使他(簽署其他實(shí)體的公鑰證書(shū))和使他的公鑰被其他人所認(rèn)證來(lái)建立(或參加)所謂的的公鑰被其他人所認(rèn)證來(lái)建立(或參加)所謂的“
30、Web of Trust”。PKI應(yīng)用應(yīng)用 基本的應(yīng)用基本的應(yīng)用 文件保護(hù)文件保護(hù) E-mail Web應(yīng)用應(yīng)用 其他其他 VPN SSL/TLS XML/e-business WAP PKI/CA應(yīng)用應(yīng)用 Web應(yīng)用應(yīng)用PKI/CA應(yīng)用應(yīng)用 電子交易電子交易 網(wǎng)上報(bào)稅需要解決的安全問(wèn)題網(wǎng)上報(bào)稅需要解決的安全問(wèn)題:通信安全、身通信安全、身份認(rèn)證、業(yè)務(wù)安全份認(rèn)證、業(yè)務(wù)安全 網(wǎng)上報(bào)稅安全解決方案網(wǎng)上報(bào)稅安全解決方案1. 最終用戶頒發(fā)數(shù)字證書(shū)的認(rèn)證子系統(tǒng),負(fù)責(zé)最終用戶頒發(fā)數(shù)字證書(shū)的認(rèn)證子系統(tǒng),負(fù)責(zé)認(rèn)證系統(tǒng)的策略制定、認(rèn)證系統(tǒng)的策略制定、RA注冊(cè)機(jī)關(guān)的建設(shè)、注冊(cè)機(jī)關(guān)的建設(shè)、接受證書(shū)申請(qǐng)、用戶身份的鑒證
31、、協(xié)助接受證書(shū)申請(qǐng)、用戶身份的鑒證、協(xié)助CA系系統(tǒng)發(fā)放客戶證書(shū)以及簽發(fā)證書(shū)的各種管理;統(tǒng)發(fā)放客戶證書(shū)以及簽發(fā)證書(shū)的各種管理;2. 整個(gè)應(yīng)用系統(tǒng)中使用證書(shū)保證信息傳輸以及整個(gè)應(yīng)用系統(tǒng)中使用證書(shū)保證信息傳輸以及業(yè)務(wù)流程的安全可信。業(yè)務(wù)流程的安全可信。PKI/CA應(yīng)用應(yīng)用電子稅務(wù)電子稅務(wù)授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施 PMI 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施PMI(Privilege Management Infrastructure)是國(guó)家信息安全基礎(chǔ)設(shè)施是國(guó)家信息安全基礎(chǔ)設(shè)施(National Information Security Infrastructure,NISI)的一個(gè)重要的一個(gè)重
32、要組成部分組成部分 目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù),提供用戶身目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù),提供用戶身份到應(yīng)用授權(quán)的映射功能,提供與實(shí)際應(yīng)用處理模式相對(duì)份到應(yīng)用授權(quán)的映射功能,提供與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)開(kāi)發(fā)和管理無(wú)關(guān)的授權(quán)和訪問(wèn)控制應(yīng)的、與具體應(yīng)用系統(tǒng)開(kāi)發(fā)和管理無(wú)關(guān)的授權(quán)和訪問(wèn)控制機(jī)制,簡(jiǎn)化具體應(yīng)用系統(tǒng)的開(kāi)發(fā)與維護(hù)。機(jī)制,簡(jiǎn)化具體應(yīng)用系統(tǒng)的開(kāi)發(fā)與維護(hù)。 PMI是一個(gè)屬性證書(shū)、屬性權(quán)威結(jié)構(gòu)、屬性證書(shū)庫(kù)等部件是一個(gè)屬性證書(shū)、屬性權(quán)威結(jié)構(gòu)、屬性證書(shū)庫(kù)等部件構(gòu)成的綜合系統(tǒng)構(gòu)成的綜合系統(tǒng),用來(lái)實(shí)現(xiàn)權(quán)限和證書(shū)的產(chǎn)生、管理、存,用來(lái)實(shí)現(xiàn)權(quán)限和證書(shū)的產(chǎn)生、管理、存儲(chǔ)、分發(fā)
33、和撤銷(xiāo)等功能。儲(chǔ)、分發(fā)和撤銷(xiāo)等功能。 PMI使用屬性證書(shū)表示和容納權(quán)限信息,通過(guò)管理證書(shū)的使用屬性證書(shū)表示和容納權(quán)限信息,通過(guò)管理證書(shū)的生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施 PMI 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施PMI以以資源管理為核心資源管理為核心,對(duì)資源的訪問(wèn)控,對(duì)資源的訪問(wèn)控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理,即由資源的所有者來(lái)進(jìn)行制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理,即由資源的所有者來(lái)進(jìn)行訪問(wèn)控制。訪問(wèn)控制。 同同PKI相比,兩者主要區(qū)別在于:相比,兩者主要區(qū)別在于:PKI證明用戶是誰(shuí),而證明用戶是誰(shuí),而PMI證明這個(gè)用戶有什么權(quán)限
34、,能干什么,而且證明這個(gè)用戶有什么權(quán)限,能干什么,而且PMI需要需要PKI為其為其提供身份認(rèn)證。提供身份認(rèn)證。 PMI與與PKI在結(jié)構(gòu)上相似在結(jié)構(gòu)上相似:信任的基礎(chǔ)都是有關(guān)權(quán)威機(jī)構(gòu),由信任的基礎(chǔ)都是有關(guān)權(quán)威機(jī)構(gòu),由他們決定建立身份認(rèn)證系統(tǒng)和屬性特權(quán)機(jī)構(gòu)。在他們決定建立身份認(rèn)證系統(tǒng)和屬性特權(quán)機(jī)構(gòu)。在PKI中,由中,由有關(guān)部門(mén)建立并管理根有關(guān)部門(mén)建立并管理根CA,下設(shè)各級(jí),下設(shè)各級(jí)CA、RA和其它機(jī)構(gòu);和其它機(jī)構(gòu);在在PMI中,由有關(guān)部門(mén)建立授權(quán)源中,由有關(guān)部門(mén)建立授權(quán)源SOA,下設(shè)分布式的,下設(shè)分布式的AA(授權(quán)管理中心授權(quán)管理中心)和其它機(jī)構(gòu)如和其它機(jī)構(gòu)如RM(資源管理中心)中心。資源管理中心
35、)中心。 PMI實(shí)際提出了一個(gè)新的信息保護(hù)基礎(chǔ)設(shè)施,能夠與實(shí)際提出了一個(gè)新的信息保護(hù)基礎(chǔ)設(shè)施,能夠與PKI和和目錄服務(wù)緊密地集成目錄服務(wù)緊密地集成,并系統(tǒng)地建立起對(duì)認(rèn)可用戶的特定授,并系統(tǒng)地建立起對(duì)認(rèn)可用戶的特定授權(quán),對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述,完整地提供了授權(quán),對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述,完整地提供了授權(quán)服務(wù)所需過(guò)程。權(quán)服務(wù)所需過(guò)程。 授權(quán)管理基礎(chǔ)設(shè)施授權(quán)管理基礎(chǔ)設(shè)施 PMI特點(diǎn)特點(diǎn) 授權(quán)服務(wù)體系主要是為網(wǎng)絡(luò)空間提供用戶操作授權(quán)授權(quán)服務(wù)體系主要是為網(wǎng)絡(luò)空間提供用戶操作授權(quán)的管理,即在虛擬網(wǎng)絡(luò)空間中的用戶的管理,即在虛擬網(wǎng)絡(luò)空間中的用戶角色角色與最終應(yīng)與最終應(yīng)用系統(tǒng)中用戶的用系統(tǒng)中
36、用戶的操作權(quán)限操作權(quán)限之間建立之間建立一種映射關(guān)系一種映射關(guān)系 PMI技術(shù)通過(guò)技術(shù)通過(guò)數(shù)字證書(shū)機(jī)制(屬性證書(shū),提供對(duì)用戶數(shù)字證書(shū)機(jī)制(屬性證書(shū),提供對(duì)用戶身份的鑒別功能,不包含用戶的公鑰信息身份的鑒別功能,不包含用戶的公鑰信息)來(lái)管理)來(lái)管理用戶的授權(quán)信息用戶的授權(quán)信息 。 授權(quán)操作與業(yè)務(wù)操作相分離授權(quán)操作與業(yè)務(wù)操作相分離 , 并將授權(quán)管理功能從應(yīng)并將授權(quán)管理功能從應(yīng)用系統(tǒng)中分離出來(lái),以獨(dú)立服務(wù)的方式面向應(yīng)用系用系統(tǒng)中分離出來(lái),以獨(dú)立服務(wù)的方式面向應(yīng)用系統(tǒng)提供授權(quán)管理服務(wù),因此授權(quán)管理模塊自身的維統(tǒng)提供授權(quán)管理服務(wù),因此授權(quán)管理模塊自身的維護(hù)和更新操作與具體的應(yīng)用系統(tǒng)無(wú)關(guān),可以在不改護(hù)和更新操
37、作與具體的應(yīng)用系統(tǒng)無(wú)關(guān),可以在不改變應(yīng)用系統(tǒng)的前提下完成對(duì)授權(quán)模型的轉(zhuǎn)換變應(yīng)用系統(tǒng)的前提下完成對(duì)授權(quán)模型的轉(zhuǎn)換 PMI體系結(jié)構(gòu)體系結(jié)構(gòu) 信任源點(diǎn)信任源點(diǎn)(SOA中心中心)是是是是整個(gè)整個(gè)PMI的最終信任源和的最終信任源和最高管理機(jī)構(gòu)。最高管理機(jī)構(gòu)。 AA中心的職責(zé)主要包括:中心的職責(zé)主要包括:應(yīng)用授權(quán)受理、屬性證書(shū)應(yīng)用授權(quán)受理、屬性證書(shū)的發(fā)放和管理,以及資源的發(fā)放和管理,以及資源管理中心的設(shè)立審核和管管理中心的設(shè)立審核和管理等理等 資源管理中心資源管理中心RM,是與,是與具體應(yīng)用用戶的接口具體應(yīng)用用戶的接口 ,主,主要是負(fù)責(zé)對(duì)具體的用戶應(yīng)要是負(fù)責(zé)對(duì)具體的用戶應(yīng)用資源進(jìn)行授權(quán)審核,并用資源進(jìn)行授權(quán)審核,并將屬性證書(shū)的操作請(qǐng)求提將屬性證書(shū)的操作請(qǐng)求提交到交到AA進(jìn)行處理進(jìn)行處理 。 授權(quán)和屬性證書(shū)簽發(fā)授權(quán)和屬性證書(shū)簽發(fā) PMI使用屬性證書(shū)表示和容納權(quán)限信息使用屬性證書(shū)表示和容納權(quán)限信息,通過(guò)管理證書(shū)的,通過(guò)管理證書(shū)的生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。基于生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。基于PMI的集中授的集中授權(quán)系統(tǒng)采用基于屬性證書(shū)(權(quán)系統(tǒng)采用基于屬性證書(shū)(AC)的授權(quán)模式,向應(yīng)用系)的授權(quán)模式,向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理,提供用戶身份到應(yīng)用統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理,提供用戶身份到應(yīng)用授權(quán)的映射功能。授權(quán)的映射功能。 謝謝 謝謝 !
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年防凍教育安全教育班會(huì)全文PPT
- 2025年寒假安全教育班會(huì)全文PPT
- 初中2025年冬季防溺水安全教育全文PPT
- 初中臘八節(jié)2024年專(zhuān)題PPT
- 主播直播培訓(xùn)提升人氣的方法正確的直播方式如何留住游客
- XX地區(qū)機(jī)關(guān)工委2024年度年終黨建工作總結(jié)述職匯報(bào)
- 心肺復(fù)蘇培訓(xùn)(心臟驟停的臨床表現(xiàn)與診斷)
- 我的大學(xué)生活介紹
- XX單位2024年終專(zhuān)題組織生活會(huì)理論學(xué)習(xí)理論學(xué)習(xí)強(qiáng)黨性凝心聚力建新功
- 2024年XX單位個(gè)人述職述廉報(bào)告
- 一文解讀2025中央經(jīng)濟(jì)工作會(huì)議精神(使社會(huì)信心有效提振經(jīng)濟(jì)明顯回升)
- 2025職業(yè)生涯規(guī)劃報(bào)告自我評(píng)估職業(yè)探索目標(biāo)設(shè)定發(fā)展策略
- 2024年度XX縣縣委書(shū)記個(gè)人述職報(bào)告及2025年工作計(jì)劃
- 寒假計(jì)劃中學(xué)生寒假計(jì)劃安排表(規(guī)劃好寒假的每個(gè)階段)
- 中央經(jīng)濟(jì)工作會(huì)議九大看點(diǎn)學(xué)思想強(qiáng)黨性重實(shí)踐建新功