B-S系統(tǒng)中應(yīng)用公鑰證書的技術(shù)研究.pdf

1、伴隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化發(fā)展的大趨勢(shì)。企業(yè)內(nèi)部網(wǎng)是企業(yè)信息化的重要組成部分，其安全性也受到越來(lái)越多的重視。PKI即公鑰基礎(chǔ)設(shè)施，定義了公鑰證書，可以從技術(shù)上解決網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障。但公鑰證書只提供身份證明，對(duì)持有證書的用戶的權(quán)限管理只提供了有限的功能。PMI即權(quán)限管理基礎(chǔ)設(shè)施，定義了屬性證書，提供了一種解決授權(quán)、基于角色的控制以及授權(quán)代理等應(yīng)

2、用需求的有效途徑，可以用來(lái)實(shí)現(xiàn)權(quán)限和屬性證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。PKI和PMI的結(jié)合，提供了身份認(rèn)證、通信安全(信息加密，信息完整性，抗抵賴性等)、權(quán)限管理的完整解決方案，對(duì)于行業(yè)或大型組織的應(yīng)用具有良好的支持。 使用公鑰證書認(rèn)證身份的應(yīng)用越來(lái)越廣，在中小型組織基于B/S的應(yīng)用中，如果同時(shí)布署PKI和PMI，代價(jià)太大。由于此類應(yīng)用的權(quán)限管理并不復(fù)雜，可以直接將授權(quán)信息放在公鑰證書的擴(kuò)展項(xiàng)中而省略PMI。同樣可

3、以做到對(duì)用戶進(jìn)行身份認(rèn)證，及取得用戶的授權(quán)信息，配以訪問(wèn)控制機(jī)制，控制對(duì)資源的合理訪問(wèn)。主要包括以下方面： 使用PKI體系認(rèn)證用戶身份。用戶使用公鑰證書證明身份，CA向用戶頒發(fā)擴(kuò)展選項(xiàng)中含有角色定義的證書，以角色表達(dá)用戶的權(quán)限。 策略中心。對(duì)需要控制的資源制定合理的訪問(wèn)控制策略。策略表達(dá)式以XML節(jié)點(diǎn)形式存儲(chǔ)。資源，角色和方法組成的三元組為XML文件的一個(gè)節(jié)點(diǎn)。RBAC中的角色概念充當(dāng)了用戶和訪問(wèn)權(quán)限之間的橋梁，通過(guò)對(duì)

4、角色的授權(quán)來(lái)控制用戶對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限。 集中的訪問(wèn)控制機(jī)制。訪問(wèn)控制中間件獲取用戶對(duì)受控資源的每個(gè)請(qǐng)求，并根據(jù)用戶身份信息及角色和訪問(wèn)控制策略表達(dá)式，判斷對(duì)請(qǐng)求資源有無(wú)訪問(wèn)權(quán)。任何一個(gè)訪問(wèn)資源的請(qǐng)求都要經(jīng)過(guò)該訪問(wèn)控制機(jī)制。 PKI安全支撐平臺(tái)可以在組織內(nèi)部部署，也可以在外部實(shí)現(xiàn)，由多個(gè)組織共用一個(gè)根CA是可行的。兩種部署方式下，或者根據(jù)各組織不同的實(shí)際需要，PKI體系所包含的模塊功能有所不同。 本方案對(duì)小型