身份認(rèn)證、訪問(wèn)控制與系統(tǒng)審計(jì)ppt課件

1、 第 8 章 身份認(rèn)證、訪問(wèn)控制與系統(tǒng)審計(jì)Network and Information Security.Network and Information Security圖8-1 經(jīng)典平安模型 8.1 計(jì)算機(jī)平安模型 .Network and Information Security經(jīng)典平安模型包含如下根本要素：(1) 明確定義的主體和客體；(2) 描畫(huà)主體如何訪問(wèn)客體的一個(gè)授權(quán)數(shù)據(jù)庫(kù)；(3) 約束主體對(duì)客體訪問(wèn)嘗試的參考監(jiān)視器；(4) 識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)；(5) 審計(jì)參考監(jiān)視器活動(dòng)的審計(jì)子系統(tǒng)。.Network and Information Security可以看出，這里為

2、了實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)平安所采取的根本平安措施，即平安機(jī)制有身份認(rèn)證、訪問(wèn)控制和審計(jì)。 參考監(jiān)視器是主體/角色對(duì)客體進(jìn)展訪問(wèn)的橋梁.身份識(shí)別與驗(yàn)證，即身份認(rèn)證是主體/角色獲得訪問(wèn)授權(quán)的第一步，這也是早期黑客入侵系統(tǒng)的突破口。訪問(wèn)控制是在主體身份得到認(rèn)證后，根據(jù)平安戰(zhàn)略對(duì)主體行為進(jìn)展限制的機(jī)制和手段。審計(jì)作為一種平安機(jī)制，它在主體訪問(wèn)客體的整個(gè)過(guò)程中都發(fā)揚(yáng)著作用，為平安分析提供了有利的證據(jù)支持。它貫穿于身份認(rèn)證、訪問(wèn)控制的前前后后。同時(shí)，身份認(rèn)證、訪問(wèn)控制為審計(jì)的正確性提供保證。它們之間是互為制約、相互促進(jìn)的。 .Network and Information Security圖8-2 平安機(jī)制.Ne

3、twork and Information Security訪問(wèn)控制模型根本構(gòu)造.Network and Information Security8.2 身份認(rèn)證在有平安需求的運(yùn)用系統(tǒng)中，識(shí)別用戶的身份是系統(tǒng)的根本要求，身份認(rèn)證是平安系統(tǒng)中不可短少的一部分，也是防備入侵的第一道防線。身份認(rèn)證的方法多種多樣，其平安強(qiáng)度也各不一樣，詳細(xì)方法可歸結(jié)為3類：根據(jù)用戶知道什么,擁有什么,是什么來(lái)進(jìn)展認(rèn)證。.Network and Information Security8.2.1 用戶名和口令認(rèn)證經(jīng)過(guò)用戶名和口令進(jìn)展身份認(rèn)證是最簡(jiǎn)單，也是最常見(jiàn)的認(rèn)證方式，但是認(rèn)證的平安強(qiáng)度不高。一切的多用戶系統(tǒng)、網(wǎng)絡(luò)效

4、力器、Web的電子商務(wù)等系統(tǒng)都要求提供用戶名或標(biāo)識(shí)符ID，還要求提供口令。系統(tǒng)將用戶輸入的口令與以前保管在系統(tǒng)中的該用戶的口令進(jìn)展比較，假設(shè)完全一致那么以為認(rèn)證經(jīng)過(guò)，否那么不能經(jīng)過(guò)認(rèn)證。根據(jù)處置方式的不同，有3種方式：口令的明文傳送、利用單向散列函數(shù)處置口令、利用單向散列函數(shù)和隨機(jī)數(shù)處置口令，這3種方式的平安強(qiáng)度依次增高，處置復(fù)雜度也依次增大。.Network and Information Security1口令以明文方式傳送時(shí)，沒(méi)有任何維護(hù) .Network and Information Security2 為防止口令被竊聽(tīng)，可用單向散列函數(shù)處置口令，傳輸口令的散列值，而不傳輸口令本身。

5、 傳輸口令的散列值也存在不平安要素，黑客雖然不知道口令的原文，但是他可以截獲口令的散列值，直接把散列值發(fā)送給驗(yàn)證效力器，也能驗(yàn)證經(jīng)過(guò)，這是一種重放攻擊。.Network and Information Security3 為處理重放攻擊，效力器首先生成一個(gè)隨機(jī)數(shù)并發(fā)給用戶，用戶把口令散列值與該隨機(jī)數(shù)銜接或異或后再用單向散列函數(shù)處置一遍，把最后的散列值發(fā)給效力器。 .Network and Information Security8.2.2 令牌和USB key認(rèn)證令牌實(shí)踐上就是一種智能卡，私鑰存儲(chǔ)在令牌中，對(duì)私鑰的訪問(wèn)用口令進(jìn)展控制。令牌沒(méi)有物理接口，無(wú)法與計(jì)算機(jī)銜接，運(yùn)用總是不方便 . 可以

6、用USB key替代。USB key經(jīng)過(guò)USB接口直接銜接在計(jì)算機(jī)上，不需求用戶手動(dòng)鍵入數(shù)據(jù)，比令牌方便得多。.Network and Information Security8.2.3 生物識(shí)別認(rèn)證運(yùn)用生物識(shí)別技術(shù)的身份認(rèn)證方法 ，主要是根據(jù)用戶的圖像、指紋、氣味、聲音等作為認(rèn)證數(shù)據(jù)。在平安性要求很高的系統(tǒng)中，可以把這3種認(rèn)證方法結(jié)合起來(lái)，到達(dá)最高的平安性。.Network and Information Security8.3 訪 問(wèn) 控 制 在計(jì)算機(jī)平安防御措施中，訪問(wèn)控制是極其重要的一環(huán)，它是在身份認(rèn)證的根底上，根據(jù)身份的合法性對(duì)提出的資源訪問(wèn)懇求加以控制。.Network and I

7、nformation Security 8.3.1 根本概念廣義地講， 一切的計(jì)算機(jī)平安都與訪問(wèn)控制有關(guān)。實(shí)踐上RFC 2828 定義計(jì)算機(jī)平安如下：用來(lái)實(shí)現(xiàn)和保證計(jì)算機(jī)系統(tǒng)的平安效力的措施， 特別是保證訪問(wèn)控制效力的措施。訪問(wèn)控制(Access Control)是指主體訪問(wèn)客體的權(quán)限或才干的限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制運(yùn)用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過(guò)程(存取控制)。在訪問(wèn)控制中，主體是訪問(wèn)的發(fā)起者，訪問(wèn)客體的活動(dòng)資源，通常為進(jìn)程、程序或用戶?？腕w那么是指對(duì)其訪問(wèn)必需進(jìn)展控制的資源，客體普通包括各種資源，如文件、設(shè)備、信號(hào)量等。訪問(wèn)控制中的第三個(gè)元素是維護(hù)規(guī)那么，它定義了主體

8、與客體之間能夠的相互作用途徑。.Network and Information Security維護(hù)域的概念。每一主體(進(jìn)程)都在一特定的維護(hù)域下任務(wù)，維護(hù)域規(guī)定了進(jìn)程可以訪問(wèn)的資源。每一域定義了一組客體及可以對(duì)客體采取的操作。可對(duì)客體操作的才干稱為訪問(wèn)權(quán)(Access Right)，訪問(wèn)權(quán)定義為有序?qū)Φ姆绞健?一個(gè)域是訪問(wèn)權(quán)的集合。如域X有訪問(wèn)權(quán)，那么在域X下運(yùn)轉(zhuǎn)的進(jìn)程可對(duì)文件A執(zhí)行讀寫(xiě)，但不能執(zhí)行任何其它的操作。 維護(hù)域并不是彼此獨(dú)立的。它們可以有交叉，即它們可以共享權(quán)限。域X和域Y對(duì)打印機(jī)都有寫(xiě)的權(quán)限，從而產(chǎn)生了訪問(wèn)權(quán)交叉景象。.Network and Information Secur

9、ity圖8-3 有重疊的維護(hù)域.Network and Information Security 根據(jù)訪問(wèn)控制戰(zhàn)略的不同，訪問(wèn)控制普通分為自主訪問(wèn)控制、強(qiáng)迫訪問(wèn)控制、基于角色的訪問(wèn)控制、基于義務(wù)的訪問(wèn)控制、運(yùn)用控制等 。自主訪問(wèn)控制是以前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)較多的訪問(wèn)控制機(jī)制，它是根據(jù)訪問(wèn)者的身份和授權(quán)來(lái)決議訪問(wèn)方式的。強(qiáng)迫訪問(wèn)控制是將主體和客體分級(jí)，然后根據(jù)主體和客體的級(jí)別標(biāo)志來(lái)決議訪問(wèn)方式?！皬?qiáng)迫主要表達(dá)在系統(tǒng)強(qiáng)迫主體服從訪問(wèn)控制戰(zhàn)略上?；诮巧脑L問(wèn)控制的根本思想是：授權(quán)給用戶的訪問(wèn)權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定。它根據(jù)用戶在組織內(nèi)所處的角色作出訪問(wèn)授權(quán)和控制，但用戶不能自主地將

10、訪問(wèn)權(quán)限傳給他人。.Network and Information Security 8.3.2 自主訪問(wèn)控制 自主訪問(wèn)控制又稱恣意訪問(wèn)控制(Discretionary Access Control，DAC)，是指根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合，對(duì)客體訪問(wèn)進(jìn)展限制的一種方法。 它是訪問(wèn)控制措施中常用的一種方法，這種訪問(wèn)控制方法允許用戶可以自主地在系統(tǒng)中規(guī)定誰(shuí)可以存取它的資源實(shí)體，即用戶(包括用戶程序和用戶進(jìn)程)可選擇同其它用戶一同共享某個(gè)文件。 .Network and Information Security 在各種以自主訪問(wèn)控制機(jī)制進(jìn)展訪問(wèn)控制的系統(tǒng)中，存取方式主要有：讀(

11、read)，即允許主體對(duì)客體進(jìn)展讀和拷貝的操作；寫(xiě)(write)，即允許主體寫(xiě)入或修正信息，包括擴(kuò)展、緊縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運(yùn)轉(zhuǎn)，在一些系統(tǒng)中該方式還需求同時(shí)擁有讀方式；空方式(null)，即主體對(duì)客體不具有任何的存取權(quán)。 自主訪問(wèn)控制缺陷.Network and Information Security自主訪問(wèn)控制的詳細(xì)實(shí)施可采用以下四種方法。(1) 目錄表(Directory List)在目錄表訪問(wèn)控制方法中借用了系統(tǒng)對(duì)文件的目錄管理機(jī)制，為每一個(gè)欲實(shí)施訪問(wèn)操作的主體，建立一個(gè)能被其訪問(wèn)的“客體目錄表(文件目錄表)。例如某個(gè)主體的客體目錄表能

12、夠?yàn)椋嚎腕w1:權(quán)限1 客體2:權(quán)限2 客體n:權(quán)限n 。當(dāng)然，客體目錄表中各個(gè)客體的訪問(wèn)權(quán)限的修正只能由該客體的合法屬主確定，不允許其它任何用戶在客體目錄表中進(jìn)展寫(xiě)操作，否那么將能夠出現(xiàn)對(duì)客體訪問(wèn)權(quán)的偽造。操作系統(tǒng)必需在客體的擁有者控制下維護(hù)一切的客體目錄。.Network and Information Security目錄表訪問(wèn)控制機(jī)制的優(yōu)點(diǎn)是容易實(shí)現(xiàn)，每個(gè)主體擁有一張客體目錄表，這樣主體能訪問(wèn)的客體及權(quán)限就一目了然了，根據(jù)該表對(duì)主體和客體的訪問(wèn)與被訪問(wèn)進(jìn)展監(jiān)視比較簡(jiǎn)便。缺陷之一是系統(tǒng)開(kāi)銷、浪費(fèi)較大，這是由于每個(gè)用戶都有一張目錄表，假設(shè)某個(gè)客體允許一切用戶訪問(wèn)，那么將給每個(gè)用戶逐一填寫(xiě)文件

13、目錄表，因此會(huì)呵斥系統(tǒng)額外開(kāi)銷；二是由于這種機(jī)制允許客體屬主用戶對(duì)訪問(wèn)權(quán)限實(shí)施傳送并可多次進(jìn)展，呵斥同一文件能夠有多個(gè)屬主的情形，各屬主每次傳送的訪問(wèn)權(quán)限也難以一樣，甚至能夠會(huì)把客體改用別名，因此使得能越權(quán)訪問(wèn)的用戶大量存在，在管理上繁亂易錯(cuò)。.Network and Information Security(2) 訪問(wèn)控制列表(Access Control List)訪問(wèn)控制列表的戰(zhàn)略正好與目錄表訪問(wèn)控制相反，它是從客體角度進(jìn)展設(shè)置的、面向客體的訪問(wèn)控制。每個(gè)客體有一個(gè)訪問(wèn)控制列表，用來(lái)闡明有權(quán)訪問(wèn)該客體的一切主體及其訪問(wèn)權(quán)限。訪問(wèn)控制列表方式的最大優(yōu)點(diǎn)就是能較好地處理多個(gè)主體訪問(wèn)一個(gè)客體的

14、問(wèn)題，不會(huì)像目錄表訪問(wèn)控制那樣因授權(quán)繁亂而出現(xiàn)越權(quán)訪問(wèn)。缺陷是由于訪問(wèn)控制列表需占用存儲(chǔ)空間，并且由于各個(gè)客體的長(zhǎng)度不同而出現(xiàn)存放空間碎片，呵斥浪費(fèi)；每個(gè)客體被訪問(wèn)時(shí)都需求對(duì)訪問(wèn)控制列表從頭到尾掃描一遍，影響系統(tǒng)運(yùn)轉(zhuǎn)速度和浪費(fèi)了存儲(chǔ)空間。 .Network and Information Security(3) 訪問(wèn)控制矩陣(Access Control Matrix)訪問(wèn)控制矩陣是對(duì)上述兩種方法的綜合。存取控制矩陣模型是用形狀和形狀轉(zhuǎn)換進(jìn)展定義的，系統(tǒng)和形狀用矩陣表示，形狀的轉(zhuǎn)換那么用命令來(lái)進(jìn)展描畫(huà)。直觀地看，訪問(wèn)控制矩陣是一張表格，每行代表一個(gè)用戶(即主體)，每列代表一個(gè)存取目的(即客體)

15、，表中縱橫對(duì)應(yīng)的項(xiàng)是該用戶對(duì)該存取客體的訪問(wèn)權(quán)集合(權(quán)集)。訪問(wèn)控制矩陣原理表示圖 .Network and Information Security籠統(tǒng)地說(shuō)，系統(tǒng)的訪問(wèn)控制矩陣表示了系統(tǒng)的一種維護(hù)形狀，假設(shè)系統(tǒng)中用戶發(fā)生了變化，訪問(wèn)對(duì)象發(fā)生了變化，或者某一用戶對(duì)某個(gè)對(duì)象的訪問(wèn)權(quán)限發(fā)生了變化，都可以看作是系統(tǒng)的維護(hù)形狀發(fā)生了變化。由于訪問(wèn)控制矩陣模型只規(guī)定了系統(tǒng)形狀的遷移必需有規(guī)那么，而沒(méi)有規(guī)定是什么規(guī)那么，因此該模型的靈敏性很大，但卻給系統(tǒng)埋下了潛在的平安隱患。 .Network and Information Security強(qiáng)迫訪問(wèn)控制(Mandatory Access Control，

16、MAC)是根據(jù)客體中信息的敏感標(biāo)簽和訪問(wèn)敏感信息的主體的訪問(wèn)等級(jí)，對(duì)客體的訪問(wèn)實(shí)行限制的一種方法。它主要用于維護(hù)那些處置特別敏感數(shù)據(jù)(例如，政府嚴(yán)密信息或企業(yè)敏感數(shù)據(jù))的系統(tǒng)。在強(qiáng)迫訪問(wèn)控制中，用戶的權(quán)限和客體的平安屬性都是固定的，由系統(tǒng)決議一個(gè)用戶對(duì)某個(gè)客體能否進(jìn)展訪問(wèn)。所謂“強(qiáng)迫，就是平安屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)厲的平安戰(zhàn)略與規(guī)那么進(jìn)展設(shè)置，用戶和他們的進(jìn)程不能修正這些屬性。 8.3.3 強(qiáng)迫訪問(wèn)控制.Network and Information Security圖8-7 強(qiáng)迫訪問(wèn)控制.Network and Information Security 8.3.4

17、 基于角色的訪問(wèn)控制基于角色的訪問(wèn)控制(Role-Based Access Control，RBAC)的中心思想就是：授權(quán)給用戶的訪問(wèn)權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定。 引入了“角色這一重要的概念，所謂“角色，是指一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。這里的角色就充任著主體(用戶)和客體之間的關(guān)系的橋梁。這是與傳統(tǒng)的訪問(wèn)控制戰(zhàn)略的最大區(qū)別所在。.Network and Information Security圖8-8 基于角色的訪問(wèn)控制一個(gè)主體可以具有多個(gè)角色，一個(gè)角色可以分給多個(gè)主體；一個(gè)角色可以訪問(wèn)多個(gè)客體，一個(gè)客體可以被多個(gè)角色訪問(wèn) .Network and Informa

18、tion Security 基于角色的訪問(wèn)控制有以下五個(gè)特點(diǎn)。 1) 以角色作為訪問(wèn)控制的主體 用戶以什么樣的角色對(duì)資源進(jìn)展訪問(wèn)，決議了用戶擁有的權(quán)限以及可執(zhí)行何種操作。 2) 角色承繼 為了提高效率，防止一樣權(quán)限的反復(fù)設(shè)置，RBAC采用了“角色承繼的概念，定義的各類角色，它們都有本人的屬性，但能夠還承繼其它角色的屬性和權(quán)限。角色承繼把角色組織起來(lái)，可以很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。 .Network and Information Security圖8-8 角色承繼.Network and Information Security 3) 最小特權(quán)原那么(Least Privi

19、lege Theorem) 最小特權(quán)原那么是系統(tǒng)平安中最根本的原那么之一。所謂最小特權(quán)，是指“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體(用戶或進(jìn)程)的必不可少的特權(quán)。 最小特權(quán)原那么那么是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必需的最小特權(quán)，確保由于能夠的事故、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等緣由呵斥的損失最小。 換句話說(shuō)，最小特權(quán)原那么是指用戶所擁有的權(quán)益不能超越他執(zhí)行任務(wù)時(shí)所需的權(quán)限。 .Network and Information Security在RBAC中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只需角色執(zhí)行所需求的才授權(quán)給角色。 當(dāng)一個(gè)主體需訪問(wèn)某資源時(shí)，假設(shè)該操作不在主體當(dāng)前所扮演

20、的角色授權(quán)操作之內(nèi)，該訪問(wèn)將被回絕。 最小特權(quán)原那么一方面給予主體“必不可少的特權(quán)，這就保證了一切的主體都能在所賦予的特權(quán)之下完成所需求完成的義務(wù)或操作；另一方面，它只給予主體“必不可少的特權(quán)，這就限制了每個(gè)主體所能進(jìn)展的操作。 .Network and Information Security 4) 職責(zé)分別主體與角色的分別 對(duì)于某些特定的操作集，某一個(gè)角色或用戶不能夠同時(shí)獨(dú)立地完成一切這些操作。“職責(zé)分別可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分別：只需當(dāng)一個(gè)角色與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才干授權(quán)給該用戶。動(dòng)態(tài)職責(zé)分別：只需當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活潑角色都不互斥時(shí)，

21、該角色才干成為該主體的另一個(gè)活潑角色。.Network and Information Security 5) 角色容量 在創(chuàng)建新的角色時(shí)，要指定角色的容量。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。.Network and Information Security 基于角色的訪問(wèn)控制是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動(dòng)性質(zhì)而定的，這種活動(dòng)性質(zhì)闡明用戶充任了一定的角色。 用戶訪問(wèn)系統(tǒng)時(shí)，系統(tǒng)必需先檢查用戶的角色，一個(gè)用戶可以充任多個(gè)角色，一個(gè)角色也可以由多個(gè)用戶擔(dān)任。.Network and Information Security基于角色的訪問(wèn)控制機(jī)制優(yōu)缺陷：模型的優(yōu)點(diǎn)在于便于授權(quán)管

22、理、角色劃分、RBAC可以很容易地將組織的平安戰(zhàn)略映射到信息系統(tǒng)中，簡(jiǎn)化平安戰(zhàn)略的實(shí)施、具有自我管理才干、支持?jǐn)?shù)據(jù)籠統(tǒng)和最小特權(quán)原那么等。 基于角色的訪問(wèn)控制是一種有效而靈敏的平安措施，目前仍處在深化研討和廣泛運(yùn)用之中。但也存在缺陷，RBAC模型是基于主體客體觀念的被動(dòng)平安模型,它是從系統(tǒng)的角度(控制環(huán)境是靜態(tài)的)出發(fā)維護(hù)資源。授權(quán)是靜態(tài)的,不具備動(dòng)態(tài)順應(yīng)性，這顯然使系統(tǒng)面臨極大的平安要挾，難以順應(yīng)動(dòng)態(tài)開(kāi)放的網(wǎng)絡(luò)環(huán)境。 .Network and Information Security8.3.5基于義務(wù)的訪問(wèn)控制(Task-Based Access Control)TBAC模型是一種基于義務(wù)、

23、采用動(dòng)態(tài)授權(quán)的自動(dòng)平安模型。它從運(yùn)用和企業(yè)的角度來(lái)處理平安問(wèn)題。TBAC模型采用面向義務(wù)的觀念,從義務(wù)的角度來(lái)建立平安模型和實(shí)現(xiàn)平安機(jī)制,在義務(wù)處置的過(guò)程中提供實(shí)時(shí)的平安管理。它將訪問(wèn)權(quán)限與義務(wù)相結(jié)合, 客體的訪問(wèn)控制權(quán)限并不是靜止不變的,而是隨著執(zhí)行義務(wù)的上下文環(huán)境的變化而變化。.Network and Information SecurityTBAC 的根本概念如下(1)(1)授權(quán)步驟Authorization Step：是指在一個(gè)任務(wù)流程中對(duì)處置對(duì)象(如辦公流程中的原文檔)的一次處置過(guò)程。它是訪問(wèn)控制所能控制的最小單元。授權(quán)步由受托人集Trustee Set和多個(gè)答應(yīng)集Permissio

24、ns Set組成。受托人集是可被授予執(zhí)行授權(quán)步的用戶的集合，答應(yīng)集那么是受托人集的成員被授予授權(quán)步時(shí)擁有的訪問(wèn)答應(yīng)。.Network and Information Security(2)授權(quán)單元Authorization Unit：授權(quán)單元是由一個(gè)或多個(gè)授權(quán)步驟組成的單元，它們?cè)谶壿嬌鲜窍嗷ヂ?lián)絡(luò)的。授權(quán)單元分為普通授權(quán)單元和復(fù)合授權(quán)單元。普通授權(quán)單元內(nèi)的授權(quán)步驟按順序依次執(zhí)行;復(fù)合授權(quán)單元內(nèi)部的每個(gè)授權(quán)步驟嚴(yán)密聯(lián)絡(luò)，其中任何一個(gè)授權(quán)步驟失敗都會(huì)導(dǎo)致整個(gè)單元的失敗。.Network and Information SecurityTBAC 的根本概念如下(2)(3)義務(wù)Task：義務(wù)是任務(wù)流程

25、中的一個(gè)邏輯單元。它是一個(gè)可區(qū)分的動(dòng)作，能夠與多個(gè)用戶相關(guān)，也能夠包括幾個(gè)子義務(wù)。一個(gè)義務(wù)包含如下特征：長(zhǎng)期存在；能夠包括多個(gè)子義務(wù)；完成一個(gè)子義務(wù)能夠需求不同的人。.Network and Information Security(4)依賴Dependency：依賴是指授權(quán)步驟之間或授權(quán)單元之間的相互關(guān)系，包括順序依賴、失敗依賴、分權(quán)依賴和代理依賴。依賴反映了基于義務(wù)的訪問(wèn)控制的原那么。.Network and Information Security圖3-3 TBAC模型.Network and Information SecurityTBAC 的優(yōu)缺陷TBAC的自動(dòng)、動(dòng)態(tài)等特性,使其廣泛

26、運(yùn)用于任務(wù)流、分布式處置、多點(diǎn)訪問(wèn)控制的信息處置和事務(wù)管理系統(tǒng)的決策制定等方面。雖然TBAC具備許多特點(diǎn),但當(dāng)運(yùn)用于復(fù)雜的企業(yè)環(huán)境時(shí),就會(huì)暴顯露本身的缺陷。例如在實(shí)踐的企業(yè)環(huán)境中,角色是一個(gè)非常重要的概念,但TBAC中并沒(méi)有將角色與義務(wù)清楚地別分開(kāi)來(lái),也不支持角色的層次等級(jí)，也無(wú)法表示職責(zé)分別約束；另外,訪問(wèn)控制并非都是自動(dòng)的,也有屬于被動(dòng)方式的,但TBAC并不支持被動(dòng)訪問(wèn)控制，同時(shí)，義務(wù)的劃分也不明確。.Network and Information Security2.3.6基于義務(wù)和角色的訪問(wèn)控制模型TRBACTRBAC是一種動(dòng)態(tài)授權(quán)的自動(dòng)平安模型，它將從系統(tǒng)角度出發(fā)維護(hù)資源的RBAC模

27、型和從運(yùn)用和企業(yè)層角度出發(fā)處理平安問(wèn)題的TBAC模型結(jié)合在一同，結(jié)合二者的優(yōu)點(diǎn)而構(gòu)建的訪問(wèn)控制模型。其主要思想是將角色與義務(wù)相關(guān)聯(lián),然后再給義務(wù)賦予相關(guān)的權(quán)限。這樣,在任務(wù)流運(yùn)用訪問(wèn)控制時(shí),權(quán)限與義務(wù)相關(guān)聯(lián)的主要目的是實(shí)現(xiàn)對(duì)權(quán)限的動(dòng)態(tài)管理,而將角色與義務(wù)相關(guān)聯(lián)有利于管理人員掌握角色所執(zhí)行的義務(wù)和客體之間的相關(guān)信息。在更新角色的權(quán)限時(shí),以義務(wù)為中介非常便于管理人員對(duì)角色的管理。.Network and Information SecurityTRBAC同時(shí)擁有角色與義務(wù)兩個(gè)同等重要元素，符合企業(yè)環(huán)境中職員經(jīng)過(guò)接受義務(wù)而進(jìn)展任務(wù)的思想。一定程度上實(shí)現(xiàn)了動(dòng)靜結(jié)合的訪問(wèn)控制，使角色的操作、維護(hù)和義務(wù)的

28、管理變得簡(jiǎn)一方便, 也使得系統(tǒng)變得更為平安。.Network and Information SecurityTRBAC基于義務(wù)-角色層次模型 .Network and Information Security但TRBAC模型也存在其缺乏，其授權(quán)戰(zhàn)略大都是基于任務(wù)流運(yùn)用環(huán)境出發(fā)思索的訪問(wèn)控制。雖然改良了的TRBAC模型滿足了有效性，但對(duì)于現(xiàn)今高動(dòng)態(tài)、開(kāi)放式的網(wǎng)絡(luò)環(huán)境還存在諸多缺乏，例如客體屬性的更新不僅能夠發(fā)生在主體訪問(wèn)客體前，而且能夠在整個(gè)訪問(wèn)的過(guò)程中和訪問(wèn)后也需求更新。主體在訪問(wèn)客體時(shí)需求完成一定的操作行為，系統(tǒng)才允許訪問(wèn)?；蛘咴L問(wèn)需求滿足執(zhí)行環(huán)境和系統(tǒng)形狀才可以進(jìn)展。而這些需求在TRBA

29、C模型中還不能完全處理，短少對(duì)現(xiàn)代訪問(wèn)控制領(lǐng)域的假設(shè)干新概念的支持。.Network and Information Security8.3.8 訪問(wèn)控制小結(jié) 訪問(wèn)控制主要優(yōu)點(diǎn)主要缺點(diǎn)DAC是基于授權(quán)者的訪問(wèn)控制手段，訪問(wèn)控制靈活安全可靠性低，會(huì)造成存儲(chǔ)空間和查找時(shí)間的浪費(fèi)MAC基于管理的信息流控制原則，支持多種級(jí)別的安全梯度，具有高安全性授權(quán)方式不太靈活，安全級(jí)別劃分困難RBAC是一種策略中立的訪問(wèn)控制方式，授權(quán)靈活，使用繼承和約束的概念，能容易的融合新技術(shù)最小權(quán)限約束還不夠細(xì)化，效率低且動(dòng)態(tài)適應(yīng)性差，只能用于被動(dòng)訪問(wèn)控制TBAC基于活動(dòng)的動(dòng)態(tài)安全模型，訪問(wèn)控制的客體是動(dòng)態(tài)變化的，且權(quán)限的使

30、用也是有時(shí)效的角色和任務(wù)沒(méi)有分離，且只能進(jìn)行主動(dòng)的訪問(wèn)控制TRBAC是一種動(dòng)態(tài)授權(quán)的主動(dòng)安全模型，同時(shí)擁有角色與任務(wù)兩個(gè)同等重要元素，實(shí)現(xiàn)了動(dòng)靜結(jié)合的訪問(wèn)控制思想只針對(duì)于工作流來(lái)考慮，缺少對(duì)任務(wù)特性的細(xì)化，以及不能適應(yīng)系統(tǒng)的多樣性訪問(wèn)控制需求UCON是一種將傳統(tǒng)的訪問(wèn)控制、信任管理和數(shù)字版權(quán)管理集成的一個(gè)訪問(wèn)控制框架。在定義了授權(quán)、義務(wù)、和條件的同時(shí)提出了連續(xù)性易變性兩大特性。豐富和完善了訪問(wèn)控制，適用于現(xiàn)代開(kāi)放式網(wǎng)絡(luò)環(huán)境。還只是一種高度抽象的參考性的基本框架模型，它闡述了使用控制中最基本的問(wèn)題，但是不涉及到管理，委托授權(quán)，以及其它后期工作中出現(xiàn)的諸如并發(fā)性等重要問(wèn)題.Network and

31、Information Security8.4 案例：企業(yè)Web系統(tǒng)中的RBAC 這個(gè)簡(jiǎn)單的例子包括3個(gè)模塊：模塊管理、角色管理和用戶管理，采用以角色為中心的平安模型。此模型將系統(tǒng)的模塊權(quán)限和用戶分開(kāi)，運(yùn)用角色作為一個(gè)中間層。用戶訪問(wèn)模塊時(shí)，經(jīng)過(guò)其所對(duì)應(yīng)的角色對(duì)該模塊的訪問(wèn)權(quán)限來(lái)獲得訪問(wèn)模塊的權(quán)限，經(jīng)過(guò)這種分層的管理方式可以實(shí)現(xiàn)有效的訪問(wèn)控制。.Network and Information Security角色1角色2部門(mén)1部門(mén)2部門(mén)3部門(mén)4用戶1用戶2用戶3模塊1模塊2模塊3模塊4圖8-10 用戶、角色和模塊間的關(guān)系.Network and Information Security闡明角色

32、是為系統(tǒng)平安而設(shè)計(jì)的籠統(tǒng)層，同一角色里的成員具有一樣的模塊操作權(quán)限。但是角色不像機(jī)構(gòu)部門(mén)那樣有固定成員和組織構(gòu)造，并非真正的實(shí)體，可以根據(jù)需求恣意地建立和刪除角色。角色的成員為部門(mén)員工，角色的成員也可以不受限制進(jìn)展恣意組合。經(jīng)過(guò)這種設(shè)計(jì)思想構(gòu)成三層平安模型，第一層為用戶，第二層為角色，第三層為系統(tǒng)模塊。用戶和角色之間建立關(guān)系，角色和模塊權(quán)限之間建立關(guān)系，而用戶和模塊權(quán)限之間沒(méi)有直接的關(guān)系。 .Network and Information Security用戶、角色和模塊數(shù)據(jù)訪問(wèn)構(gòu)造圖用戶信息用戶角色關(guān)系信息角色信息角色模塊信息模塊信息數(shù)據(jù)庫(kù).Network and Information S

33、ecurity8.5 系統(tǒng)審計(jì) 美國(guó)國(guó)防部(DOD)在20世紀(jì)70年代支持的一項(xiàng)內(nèi)容廣泛的研討方案，該方案研討平安戰(zhàn)略、平安指南和“可信系統(tǒng)的控制?？尚畔到y(tǒng)定義為：“可以提供足夠的硬件和軟件，以確保系統(tǒng)同時(shí)處置一定范圍內(nèi)的敏感或分級(jí)信息。審計(jì)機(jī)制被納入(“橙皮書(shū))中。.Network and Information Security 8.5.1 審計(jì)及審計(jì)跟蹤 審計(jì)(Audit)是指產(chǎn)生、記錄并檢查按時(shí)間順序陳列的系統(tǒng)事件記錄的過(guò)程，它是一個(gè)被信任的機(jī)制 。同時(shí)，它也是計(jì)算機(jī)系統(tǒng)平安機(jī)制的一個(gè)不可或缺的部分，對(duì)于C2及其以上平安級(jí)別的計(jì)算機(jī)系統(tǒng)來(lái)講，審計(jì)功能是其必備的平安機(jī)制。而且，審計(jì)是其它

34、平安機(jī)制的有力補(bǔ)充，它貫穿計(jì)算機(jī)平安機(jī)制實(shí)現(xiàn)的整個(gè)過(guò)程，從身份認(rèn)證到訪問(wèn)控制這些都離不開(kāi)審計(jì)。同時(shí)，審計(jì)還是后來(lái)人們研討的入侵檢測(cè)系統(tǒng)的前提。.Network and Information Security 審計(jì)跟蹤(Audit Trail 是系統(tǒng)活動(dòng)的記錄，這些記錄足以重構(gòu)、評(píng)價(jià)、審查環(huán)境和活動(dòng)的次序，這些環(huán)境和活動(dòng)是同一項(xiàng)事務(wù)的開(kāi)場(chǎng)到最后終了期間圍繞或?qū)е乱豁?xiàng)操作、一個(gè)過(guò)程或一個(gè)事件相關(guān)的。 從這個(gè)意義來(lái)講，審計(jì)跟蹤可用來(lái)實(shí)現(xiàn)：確定和堅(jiān)持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任；重建事件；評(píng)價(jià)損失；監(jiān)測(cè)系統(tǒng)問(wèn)題區(qū)；提供有效的災(zāi)難恢復(fù)；阻止系統(tǒng)的不正當(dāng)運(yùn)用等。.Network and Information

35、 Security 作為一種平安機(jī)制，計(jì)算機(jī)系統(tǒng)的審計(jì)機(jī)制的平安目的有： 審查基于每個(gè)目的或每個(gè)用戶的訪問(wèn)方式，并運(yùn)用系統(tǒng)的維護(hù)機(jī)制。 發(fā)現(xiàn)試圖繞過(guò)維護(hù)機(jī)制的外部人員和內(nèi)部人員。 發(fā)現(xiàn)用戶從低等級(jí)到高等級(jí)的訪問(wèn)權(quán)限轉(zhuǎn)移。 制止用戶企圖繞過(guò)系統(tǒng)維護(hù)機(jī)制的嘗試。 作為另一種機(jī)制確保記錄并發(fā)現(xiàn)用戶企圖繞過(guò)維護(hù)的嘗試，為損失控制提供足夠的信息。.Network and Information Security 8.5.2 平安審計(jì)審計(jì)是記錄用戶運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)展一切活動(dòng)的過(guò)程，它是提高平安性的重要工具。平安審計(jì)跟蹤機(jī)制的價(jià)值在于：經(jīng)過(guò)事后的平安審計(jì)可以檢測(cè)和調(diào)查平安破綻。 (1) 它不僅可以識(shí)別誰(shuí)

36、訪問(wèn)了系統(tǒng)，還能指出系統(tǒng)正被怎樣的運(yùn)用。 (2) 對(duì)于確定能否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要。 .Network and Information Security (3) 系統(tǒng)事件的記錄可以更迅速和系統(tǒng)地識(shí)別問(wèn)題，并且它是后面階段事故處置的重要根據(jù)。 (4) 經(jīng)過(guò)對(duì)平安事件的不斷搜集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)展審計(jì)跟蹤，以提供發(fā)現(xiàn)能夠產(chǎn)生破壞性行為的有力證據(jù)。.Network and Information Security 平安審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)展獨(dú)立的品評(píng)調(diào)查，目的是： (1) 測(cè)試系統(tǒng)的控制能否恰當(dāng)，保證與既定平安戰(zhàn)略和操作可以

37、協(xié)調(diào)一致。 (2) 有助于作出損害評(píng)價(jià)。 (3) 對(duì)控制、戰(zhàn)略與規(guī)程中特定的改動(dòng)作出評(píng)價(jià)。 .Network and Information Security 平安審計(jì)跟蹤將思索： 1) 要選擇記錄什么信息 審計(jì)記錄必需包括網(wǎng)絡(luò)中任何用戶、進(jìn)程、實(shí)體獲得某一級(jí)別的平安等級(jí)的嘗試：包括注冊(cè)、注銷，超級(jí)用戶的訪問(wèn)，產(chǎn)生的各種票據(jù)，其它各種訪問(wèn)形狀的改動(dòng)，并特別留意公共效力器上的匿名或客人賬號(hào)。 實(shí)踐搜集的數(shù)據(jù)隨站點(diǎn)和訪問(wèn)類型的不同而不同。通常要搜集的數(shù)據(jù)包括：用戶名和主機(jī)名，權(quán)限的變卦情況，時(shí)間戳，被訪問(wèn)的對(duì)象和資源。當(dāng)然這也依賴于系統(tǒng)的空間。(留意不要搜集口令信息).Network and In

38、formation Security 2) 在什么條件下記錄信息 3) 為了交換平安審計(jì)跟蹤信息所采用的語(yǔ)法和語(yǔ)義定義 搜集審計(jì)跟蹤的信息，經(jīng)過(guò)列舉被記錄的平安事件的類別(例如明顯違反平安要求的或勝利完成操作的)，應(yīng)能順應(yīng)各種不同的需求。知平安審計(jì)的存在可對(duì)某些潛在的進(jìn)犯平安的攻擊源起到威攝作用。.Network and Information Security 審計(jì)是系統(tǒng)平安戰(zhàn)略的一個(gè)重要組成部分，它貫穿整個(gè)系統(tǒng)不同平安機(jī)制的實(shí)現(xiàn)過(guò)程，它為其它平安戰(zhàn)略的改良和完善提供了必要的信息。而且，它的深化研討為后來(lái)的一些平安戰(zhàn)略的誕生和開(kāi)展提供了契機(jī)。后來(lái)開(kāi)展起來(lái)的入侵檢測(cè)系統(tǒng)就是在審計(jì)機(jī)制的根底上得

39、到啟示而迅速開(kāi)展起來(lái)的。.Network and Information Security8.6 PMI訪問(wèn)控制就是控制用戶訪問(wèn)資源的權(quán)限，如何證明用戶所具有的權(quán)限正是PMI要做的事情。8.6.1 PMI概述授權(quán)管理根底設(shè)備PMI(Privilege Management Infrastructure)是國(guó)家信息平安根底設(shè)備(National Information Security Infrastructure，NISI)的一個(gè)重要組成部分。目的是：向用戶和運(yùn)用程序提供授權(quán)管理效力 提供用戶身份到運(yùn)用授權(quán)的映射功能提供與實(shí)踐運(yùn)用途置方式相對(duì)應(yīng)的、與詳細(xì)運(yùn)用系統(tǒng)開(kāi)發(fā)和管理無(wú)關(guān)的授權(quán)和訪問(wèn)控制機(jī)

40、制簡(jiǎn)化詳細(xì)運(yùn)用系統(tǒng)的開(kāi)發(fā)與維護(hù)。.Network and Information Security屬性證書(shū)授權(quán)管理根底設(shè)備PMI是一個(gè)由屬性證書(shū)(Attribute Certificate,AC)、屬性權(quán)威(Attribute Authority,AA)、屬性證書(shū)庫(kù)等部件構(gòu)成的綜合系統(tǒng)，用來(lái)實(shí)現(xiàn)權(quán)限和證書(shū)的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。PMI運(yùn)用屬性證書(shū)表示和包容權(quán)限信息，經(jīng)過(guò)管理證書(shū)的生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。屬性證書(shū)的懇求、簽發(fā)、撤銷、驗(yàn)證流程對(duì)應(yīng)著權(quán)限的懇求、發(fā)放、撤銷、運(yùn)用和驗(yàn)證的過(guò)程。而且，運(yùn)用屬性證書(shū)進(jìn)展權(quán)限管理使得權(quán)限的管理不用依賴某個(gè)詳細(xì)的運(yùn)用，而且利于權(quán)限的平安

41、分布式運(yùn)用。.Network and Information SecurityPMI與PKI的比較授權(quán)管理根底設(shè)備PMI以資源管理為中心，對(duì)資源的訪問(wèn)控制權(quán)一致交由授權(quán)機(jī)構(gòu)一致處置。同公鑰根底設(shè)備PKI相比，兩者主要區(qū)別在于：PKI證明用戶是誰(shuí)，而PMI證明這個(gè)用戶有什么權(quán)限，能干什么，而且授權(quán)管理根底設(shè)備PMI需求公鑰根底設(shè)備PKI為其提供身份認(rèn)證。PMI與PKI在構(gòu)造上是非常類似的。信任的根底都是有關(guān)權(quán)威機(jī)構(gòu)，由他們決議建立身份認(rèn)證系統(tǒng)和屬性特權(quán)機(jī)構(gòu)。.Network and Information Security在PKI中，由有關(guān)部門(mén)建立并管理根CA，下設(shè)各級(jí)CA、RA和其它機(jī)構(gòu)；在P

42、MI中，由有關(guān)部門(mén)建立權(quán)威源點(diǎn)SOA(Source Of Authority)，下設(shè)分布式的AA和其它機(jī)構(gòu)。PMI實(shí)踐上提出了一個(gè)新的信息維護(hù)根底設(shè)備，可以與PKI和目錄效力嚴(yán)密地集成，并系統(tǒng)地建立起對(duì)認(rèn)可用戶的特定授權(quán)，對(duì)權(quán)限管理進(jìn)展了系統(tǒng)的定義和描畫(huà)，完好地提供了授權(quán)效力所需過(guò)程。.Network and Information Security8.6.2 PMI技術(shù)的授權(quán)管理方式及其優(yōu)點(diǎn)授權(quán)效力體系主要是為網(wǎng)絡(luò)空間提供用戶操作授權(quán)的管理，即在虛擬網(wǎng)絡(luò)空間中的用戶角色與最終運(yùn)用系統(tǒng)中用戶的操作權(quán)限之間建立一種映射關(guān)系。目前建立授權(quán)效力體系的關(guān)鍵技術(shù)主要是授權(quán)管理根底設(shè)備PMI技術(shù)。PMI技

43、術(shù)經(jīng)過(guò)數(shù)字證書(shū)機(jī)制來(lái)管理用戶的授權(quán)信息，并將授權(quán)管理功能從傳統(tǒng)的運(yùn)用系統(tǒng)中分別出來(lái)，以獨(dú)立效力的方式面向運(yùn)用系統(tǒng)提供授權(quán)管理效力。.Network and Information Security由于數(shù)字證書(shū)機(jī)制提供了對(duì)授權(quán)信息的平安維護(hù)功能，因此，作為用戶授權(quán)信息存放載體的屬性證書(shū)同樣可以經(jīng)過(guò)公開(kāi)方式對(duì)外發(fā)布。 在PMI中主要運(yùn)用基于角色的訪問(wèn)控制。其中角色提供了間接分配權(quán)限的方法。在實(shí)踐運(yùn)用中，個(gè)人被簽發(fā)角色分配證書(shū)使之具有一個(gè)或多個(gè)對(duì)應(yīng)的角色，而每個(gè)角色具有的權(quán)限經(jīng)過(guò)角色定義來(lái)闡明，而不是將權(quán)限放在屬性證書(shū)中分配給個(gè)人。這種間接的權(quán)限分配方式使得角色權(quán)限更新時(shí)，不用撤銷每一個(gè)屬性證書(shū)，極

44、大地減小了管理開(kāi)銷。.Network and Information Security基于PMI技術(shù)的授權(quán)管理方式主要存在以下三個(gè)方面的優(yōu)勢(shì)：1.授權(quán)管理的靈敏性基于PMI技術(shù)的授權(quán)管理方式可以經(jīng)過(guò)屬性證書(shū)的有效期以及委托授權(quán)機(jī)制來(lái)靈敏地進(jìn)展授權(quán)管理，從而實(shí)現(xiàn)了傳統(tǒng)的訪問(wèn)控制技術(shù)領(lǐng)域中的強(qiáng)迫訪問(wèn)控制方式與自主訪問(wèn)控制方式的有機(jī)結(jié)合，其靈敏性是傳統(tǒng)的授權(quán)管理方式所無(wú)法比較的。 2.授權(quán)操作與業(yè)務(wù)操作相分別基于授權(quán)效力體系的授權(quán)管理方式將業(yè)務(wù)管理任務(wù)與授權(quán)管理任務(wù)完全分別，更加明確了業(yè)務(wù)管理員和平安管理員之間的職責(zé)分工，可以有效地防止由于業(yè)務(wù)管理人員參與到授權(quán)管理活動(dòng)中而能夠帶來(lái)的一些問(wèn)題。加強(qiáng)了

45、授權(quán)管理的可信度。3.多授權(quán)模型的靈敏支持基于PMI技術(shù)的授權(quán)管理方式將整個(gè)授權(quán)管理體系從運(yùn)用系統(tǒng)中分別出來(lái)，授權(quán)管理模塊本身的維護(hù)和更新操作將與詳細(xì)的運(yùn)用系統(tǒng)無(wú)關(guān)。.Network and Information Security8.6.3 PMI系統(tǒng)的架構(gòu)PMI授權(quán)效力體系以高度集中的方式管理用戶和為用戶授權(quán)，并且采用適當(dāng)?shù)挠脩羯矸菪畔?lái)實(shí)現(xiàn)用戶認(rèn)證，主要是PKI體系下的數(shù)字證書(shū)，也包括動(dòng)態(tài)口令或者指紋認(rèn)證技術(shù)。平安平臺(tái)將授權(quán)管理功能從運(yùn)用系統(tǒng)中分別出來(lái)，以獨(dú)立和集中效力的方式面向整個(gè)網(wǎng)絡(luò)，一致為各運(yùn)用系統(tǒng)提供授權(quán)管理效力。PMI在體系上可以分為三級(jí)，分別是信任源點(diǎn)SOA中心、屬性權(quán)威機(jī)構(gòu)

46、AA中心和AA代理點(diǎn)。在實(shí)踐運(yùn)用中，這種分級(jí)體系可以根據(jù)需求進(jìn)展靈敏配置，可以是三級(jí)、二級(jí)或一級(jí)。 .Network and Information Security圖8.18 授權(quán)管理系統(tǒng)的總體架構(gòu)表示圖SOAAAAAAA代理點(diǎn)AA代理點(diǎn)AA代理點(diǎn)AA代理點(diǎn)訪問(wèn)控制執(zhí)行者.Network and Information Security授權(quán)管理系統(tǒng)闡明 1.權(quán)威源點(diǎn)SOA權(quán)威源點(diǎn)(SOA中心)是整個(gè)授權(quán)管理體系的中心業(yè)務(wù)節(jié)點(diǎn)，也是整個(gè)PMI的最終信任源和最高管理機(jī)構(gòu)。SOA中心的職責(zé)主要包括：授權(quán)管理戰(zhàn)略的管理、運(yùn)用授權(quán)受理、AA中心的設(shè)立審核及管理和授權(quán)管理體系業(yè)務(wù)的規(guī)范化等。.Netwo

47、rk and Information Security授權(quán)管理系統(tǒng)闡明 2.屬性權(quán)威機(jī)構(gòu)AA屬性權(quán)威機(jī)構(gòu)AA中心是PMI的中心效力節(jié)點(diǎn)，是對(duì)應(yīng)于詳細(xì)運(yùn)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由具有設(shè)立AA中心業(yè)務(wù)需求的各運(yùn)用單位擔(dān)任建立，并與SOA中心經(jīng)過(guò)業(yè)務(wù)協(xié)議達(dá)成相互的信任關(guān)系。AA中心的職責(zé)主要包括：運(yùn)用授權(quán)受理、屬性證書(shū)的發(fā)放和管理，以及AA代理點(diǎn)的設(shè)立審核和管理等。AA中心需求為其所發(fā)放的一切屬性證書(shū)維持一個(gè)歷史記錄和更新記錄。.Network and Information Security授權(quán)管理系統(tǒng)闡明 3.AA代理點(diǎn)AA代理點(diǎn)是PMI的用戶代理節(jié)點(diǎn)，也稱為資源管理中心，是詳細(xì)運(yùn)用用戶的接口。

48、是對(duì)應(yīng)AA中心的附屬機(jī)構(gòu)，接受AA中心的直接納理，由各AA中心擔(dān)任建立，報(bào)經(jīng)主管的SOA中心贊同，并簽發(fā)相應(yīng)的證書(shū)。AA代理點(diǎn)的職責(zé)主要包括: 運(yùn)用授權(quán)效力代理和運(yùn)用授權(quán)審核代理等，擔(dān)任對(duì)詳細(xì)的用戶運(yùn)用資源進(jìn)展授權(quán)審核，并將屬性證書(shū)的操作懇求提交到AA進(jìn)展處置。.Network and Information Security授權(quán)管理系統(tǒng)闡明 4.訪問(wèn)控制執(zhí)行者訪問(wèn)控制執(zhí)行者是指用戶運(yùn)用系統(tǒng)中詳細(xì)對(duì)授權(quán)驗(yàn)證效力的調(diào)用模塊，因此，實(shí)踐上并不屬于PMI，但卻是授權(quán)管理體系的重要組成部分。訪問(wèn)控制執(zhí)行者的主要職責(zé)是：將最終用戶針對(duì)特定的操作授權(quán)所提交的授權(quán)信息(屬性證書(shū))連同對(duì)應(yīng)的身份驗(yàn)證信息(公鑰證書(shū))一同提交到授權(quán)效力代理點(diǎn)，并根據(jù)授權(quán)效力中心前往的授權(quán)結(jié)果，進(jìn)展詳細(xì)的運(yùn)用授權(quán)處置。.Network and Information Security8.6.4 對(duì)PMI系統(tǒng)的要求PMI經(jīng)過(guò)結(jié)合授權(quán)管理系統(tǒng)和身份認(rèn)證系統(tǒng)補(bǔ)充了PKI的弱點(diǎn)，提供了將PKI集成到運(yùn)用計(jì)算環(huán)境的模型。PMI權(quán)限管理和授權(quán)效力根底平臺(tái)應(yīng)該滿足下面的要求： 平臺(tái)戰(zhàn)略的定制應(yīng)該靈敏，可以根據(jù)不同的情況定制出不同的戰(zhàn)略。 平臺(tái)管理功能的操作應(yīng)該簡(jiǎn)單。 平臺(tái)應(yīng)該具有很好的擴(kuò)展才干。 平臺(tái)應(yīng)該具有較好的效率，防止決策過(guò)