基于PKI-PMI的認(rèn)證和授權(quán)的研究.pdf

1、公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供了身份認(rèn)證服務(wù)。授權(quán)管理基礎(chǔ)設(shè)施PMI(Privilege Management Infrastructure)是PKI在授權(quán)管理領(lǐng)域的擴(kuò)展，它使用屬性證書AC(Attribute Certificate)為用戶分配權(quán)限，目標(biāo)在于提供用戶身份到應(yīng)用授權(quán)的映射，提供與實(shí)際處理模式相對應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制。

2、 基于角色的訪問控制RBAC(Role-based Access Control)通過引入角色的概念實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，具有很好的靈活性，極大地方便了權(quán)限管理，被認(rèn)為是一種比較有效而被廣泛應(yīng)用的訪問控制模型。PMI角色模型通過頒發(fā)角色說明屬性證書和角色分配屬性證書分配權(quán)限，可以實(shí)現(xiàn)RBAC與PMI的結(jié)合。 針對ARBAC97中管理角色為用戶分配常規(guī)角色時不易根據(jù)用戶是否擁有某些特征進(jìn)行角色分配的問題，提出了引入屬

3、性概念的ARBAC擴(kuò)展模型。 在研究PKI/PMI理論的基礎(chǔ)上，改進(jìn)了PMI的角色模型：增加了用戶組說明屬性證書和用戶組分配屬性證書以簡化應(yīng)用系統(tǒng)權(quán)限的管理；在權(quán)限驗(yàn)證者本地增加訪問控制策略庫實(shí)現(xiàn)對資源的訪問控制；增加權(quán)限驗(yàn)證者本地證書庫以提高證書的處理效率。同時給出了PMI框架解決RBAC中角色繼承、私有權(quán)限、角色委托等問題的方法。 最后設(shè)計了一個基于PKI身份認(rèn)證，實(shí)現(xiàn)RBAC的PMI安全平臺框架，定義了用可擴(kuò)展標(biāo)記