`
阅读更多

PMI 与PKI
PMI(Privilege Management Infrastructure)即授权管理基础设施或称为属性特权机构,它依赖于公共密钥基础设施PKI(Public Key Infrastructure)的支持,任务旨在提供访问控制和特权管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统和管理无关的访问控制机制,并能极大地简化应用中访问控制和权限管理系统的开发与维护。
PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构,由他们决定建立身份认证系统和属性特权机构。在PKI中,由有关部门建立并管理根CA,下设各级CA、RA和其它机构;在PMI中,由有关部门建立授权源SOA,下设分布式的AA和其它机构。


AA和CA的关系
AA基础设施的服务器和CA基础设施及服务器在逻辑上(在许多情况,物理上)是完全独立的,CA系统有可能在PMI的设立之前就已存在并运行了的。CA没有必要自身成为AA。从逻辑角度看,CA将没有必要负责决定其它实体能否有资格成为AA(例如,通过在身份证书中指定的做法)。AA与CA是协同工作的,属性证书AC(Attribute Certificate)的发放需要公钥证书PKC(Public Key Certificate)的支持,或者说PMI是基于PKI技术和CA基础设施的。


PMI体系
与PKI基础设施类似,PMI基础设施可以是一个树状继承关系的结构,如图1.2所示,由授权源SOA和属性证书权威机构AA(Attribute Authority)组成。属性机构(AA)是一个提供属性证书发行服务且具有签发特权的权威。小型基础设施系统也可以仅仅是一台AA服务器来承担属性证书的发放和管理任务。


AA的管理
AA发行属性证书,并按照国际通用的标准设计,采用非对称签名技术的机制来提供在特权管理基础设施架构(PMI)与属性证书相关的证书生成、公布以及废止等应用管理服务,为各种应用提供有效的安全访问控制手段。通过使用发行的属性证书可以为用户提供信息安全应用的全面服务:
  *访问控制;
  * 特权委派;
  * 任务分配;
  * 权限管理。
AA可分为两类:一类相当于SOA,可发布AA证书;一类则只发属性证书,不能发AA证书。


PMI的建立
   属性证书(AC)是PMI的基本概念,属性证书的签发者被称为属性中心AA。
欲建立PMI的业务应用系统,可在当地信息中心相关人员的协调下,遵循统一的用户属性划分规则,建立属性中心AA。
   主要包括AA 服务器、数据库服务器、目录服务器以及一些扩展的功能部件。

分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics