B-S系統(tǒng)中應(yīng)用公鑰證書的技術(shù)研究.pdf

1、伴隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化發(fā)展的大趨勢。企業(yè)內(nèi)部網(wǎng)是企業(yè)信息化的重要組成部分，其安全性也受到越來越多的重視。PKI即公鑰基礎(chǔ)設(shè)施，定義了公鑰證書，可以從技術(shù)上解決網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障。但公鑰證書只提供身份證明，對持有證書的用戶的權(quán)限管理只提供了有限的功能。PMI即權(quán)限管理基礎(chǔ)設(shè)施，定義了屬性證書，提供了一種解決授權(quán)、基于角色的控制以及授權(quán)代理等應(yīng)

2、用需求的有效途徑，可以用來實(shí)現(xiàn)權(quán)限和屬性證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。PKI和PMI的結(jié)合，提供了身份認(rèn)證、通信安全(信息加密，信息完整性，抗抵賴性等)、權(quán)限管理的完整解決方案，對于行業(yè)或大型組織的應(yīng)用具有良好的支持。 使用公鑰證書認(rèn)證身份的應(yīng)用越來越廣，在中小型組織基于B/S的應(yīng)用中，如果同時布署PKI和PMI，代價太大。由于此類應(yīng)用的權(quán)限管理并不復(fù)雜，可以直接將授權(quán)信息放在公鑰證書的擴(kuò)展項(xiàng)中而省略PMI。同樣可

3、以做到對用戶進(jìn)行身份認(rèn)證，及取得用戶的授權(quán)信息，配以訪問控制機(jī)制，控制對資源的合理訪問。主要包括以下方面： 使用PKI體系認(rèn)證用戶身份。用戶使用公鑰證書證明身份，CA向用戶頒發(fā)擴(kuò)展選項(xiàng)中含有角色定義的證書，以角色表達(dá)用戶的權(quán)限。 策略中心。對需要控制的資源制定合理的訪問控制策略。策略表達(dá)式以XML節(jié)點(diǎn)形式存儲。資源，角色和方法組成的三元組為XML文件的一個節(jié)點(diǎn)。RBAC中的角色概念充當(dāng)了用戶和訪問權(quán)限之間的橋梁，通過對

4、角色的授權(quán)來控制用戶對系統(tǒng)資源的訪問權(quán)限。 集中的訪問控制機(jī)制。訪問控制中間件獲取用戶對受控資源的每個請求，并根據(jù)用戶身份信息及角色和訪問控制策略表達(dá)式，判斷對請求資源有無訪問權(quán)。任何一個訪問資源的請求都要經(jīng)過該訪問控制機(jī)制。 PKI安全支撐平臺可以在組織內(nèi)部部署，也可以在外部實(shí)現(xiàn)，由多個組織共用一個根CA是可行的。兩種部署方式下，或者根據(jù)各組織不同的實(shí)際需要，PKI體系所包含的模塊功能有所不同。 本方案對小型