權(quán)限管理基礎(chǔ)設(shè)施PMI的設(shè)計與實現(xiàn).pdf

1、隨著網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展,互聯(lián)網(wǎng)已經(jīng)成為人類社會的重要組成部分。在Internet之上,一個虛擬的社會正在成熟壯大。網(wǎng)絡(luò)技術(shù)和設(shè)施的日臻完善,為這個虛擬社會提供了技術(shù)和硬件支撐。隨著Internet的普及,網(wǎng)絡(luò)應(yīng)用尤其是電子商務(wù)和電子政務(wù)開始成為重要的網(wǎng)上活動,網(wǎng)絡(luò)安全因其在網(wǎng)絡(luò)應(yīng)用中的重要性,日益成為一個不容忽視的問題。人們需要在網(wǎng)絡(luò)中提供和鑒別身份和權(quán)限信息,以保證網(wǎng)絡(luò)交互的安全。然而在網(wǎng)絡(luò)中的虛擬社會,個人或者機構(gòu)想要證明自己的身

2、份和權(quán)限卻并非易事。公鑰管理基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)模仿現(xiàn)實社會中的第三方認證體系成為網(wǎng)上的第三方認證體系。PKI以公鑰證書為載體,較好地解決了網(wǎng)絡(luò)中的信任問題,并且可以同時記錄用戶的身份信息和權(quán)限信息。然而在PKI的實際應(yīng)用過程中,人們發(fā)現(xiàn)身份和權(quán)限有很多不相同的屬性,尤其體現(xiàn)在有效期上。權(quán)限由于不同的環(huán)境會經(jīng)常變化,而身份則相對固定。將二者綁定到一個證書上不僅不利于對身份和權(quán)限的有效管理,而且

3、證書需要頻繁更新,也給簽證機關(guān)帶來很大的工作量。PKI系統(tǒng)中身份的持久性與用戶權(quán)限的短暫性之間的矛盾隨著網(wǎng)絡(luò)應(yīng)用的深入日益顯著。2000年X.509協(xié)議第四版提出的權(quán)限管理基礎(chǔ)設(shè)施PMI(PrivilegeManagementInfrastructure)以PKI和基于角色的訪問控制技術(shù)RBAC(RolebasedAccessControl)為主要技術(shù)基礎(chǔ),以屬性證書為載體,不但解決了PKI系統(tǒng)中身份持久性與用戶權(quán)限短暫性之間的根本矛盾

4、,同時也彌補了RBAC技術(shù)缺乏對權(quán)限生命周期管理的缺陷。本文對PMI的模型、原理和體系結(jié)構(gòu)以及X.509屬性證書框架進行了深入分析研究,并在此基礎(chǔ)上提出了基于角色授權(quán)模型的PMI原型——MyPMI的設(shè)計與實現(xiàn)方案,MyPMI以IETF(Internet工程任務(wù)組)發(fā)布的RFC(RequestForComment)規(guī)范為設(shè)計時基本的指導規(guī)范,采取基本遵循RFC規(guī)范中提出的標準,最大限度地縮減PMI的功能,借鑒實驗室已有的比較穩(wěn)定的PKI和