PMI权限(授权)管理基础设施
来源:互联网 发布:linux从服务器往电脑 编辑:程序博客网 时间:2024/05/24 05:04
访问控制的基本概念
访问控制是信息安全保障机制的核心内容之一,是现实数据保密性和完整性的主要手段之一,是为了限制访问主题对访问客体的访问权限。访问限制的两个重要过程:1.认证过程,检验主体的合法身份;2.授权管理,赋予用户对某项资源的访问权限。
因实现理念的差别,访问控制机制分为两种:强制访问机制;自主访问机制。
强制访问机制中,系统独立于用户的强制访问机制,用户不能改变他们的安全级别或对象的安全属性。
自主访问机制中,系统允许对象的属主来指定针对该对象的保护策略。
Bell-LaPadula访问控制安全模型,第一个被提出的访问控制安全模型,基于强制安全访问机制,以蜜柑度划分资源的安全级别。安全级别由低到高:公开、受限、秘密、机密、高密。保护规则为:上读(NRU),主体不可以读安全级别高于它的数据;下写(NWD),主体不可以写安全级别低于它的数据。
Biba完整性模型,基于强制访问控制机制,对数据提供了分级别的完整性保证。安全级别分为:公开、受限、秘密、机密、高密。保护规则为:下读(NRU),主体不能读取安全级别低于它的数据;上写(NWD),主体不能写入安全级别高于它的数据。
还有一类方位控制机制是基于角色的访问控制机制,类似linux系统的访问控制机制。
PMI的术语与概念
PMI(Privilege Management Infrastructure),即权限管理基础设施或授权管理基础设施,以资源管理为核心,由资源的所有者进行访问控制管理。
PMI是建立在PKI基础上的,以向用户和应用程序提供权限管理和权限服务为目的,主要负责向业务应用信息系统提供授权服务管理;提供用户身份到应用授权的映射功能;实现与实际应用处理模式对应的、与具体应用系统开发和管理无关的访问控制机制;极大地简化应用中访问控制和权限管理系统的开发与维护;减少管理成本和复杂性。
PMI主要进行授权管理,证明用户有什么权限,能使用什么。
PMI的信任源被称为权威源SOA。CA有可以信任的次级CA代理鉴别和认证,SOA可以授权给次级CA。
PMI属性证书的属性有:版本号、持有者、颁发者、签名算法、序列号、有效期、属性、扩展项、签名信息。
PMI属性证书的特点:可被分发、存储、缓存在非安全的分布式环境中;不解伪造、防篡改。
PMI属性证书使用模式有两种:推模式,用户提供属性证书发送给服务器;拉模式,用户需要证书时服务器发放属性证书给用户。
PMI应用支撑框架
PMI平台,属性证书应用支撑框架平台,由权限管理、访问控制框架、策略规则共同构成的权限管理和访问控制实施的系统平台。
策略规则是PMI在访问控制应用方面的灵活性、适应性和降低管理成本的关键。策略包括的怒踢内容有:
1.应用系统中所有用户和资源信息
2.用户和资源信息的组织管理方式
3.用户和资源信息之间的权限关系
4.保证安全的管理授权约束
5.保证系统安全的其他约束
PMI使用属性证书表示和容纳权限信息。一般的权限管理模型包括三个实体:对象、访问者、权限验证者。
权限验证者可以根据四个条件决定访问情况:1.访问者的权限;2.权限策略;3.当前环境变量;4.对象方法的敏感度
目前主要的访问控制授权方案包括以下四种:
1.DAC自主访问控制方式,指定可明确访问的资源
2.ACL访问控制列表方式,资源有访问权限列表,在列表中可访问资源,使用最多的一种
3.MAC自主访问控制方式,多用于军事和安全部门
4.RBAC基于角色的访问控制方式
访问控制决策的基本因素:访问者、目标、动作、权限信任源、访问规则。
在PMI中主要使用基于角色的访问控制。
PMI实施建议
PMI实施建议有:
1.建立属性权威。可以使用三种方式:使用嵌入式属性权威管理;在单位内部建立属性权威;建立属性权威中心,简称AA中心。
2.制定授权策略
3.授权
4.访问控制
5.审计
一般PMI实施采用以下的工作流程:
1.使用用户管理工具注册应用系统用户信息
2.使用资源管理工具注册资源信息
3.使用策略定制工具制定应用系统的权限管理和访问控制策略
4.使用权限分配工具签发策略证书、角色定义证书
5.属性权威对用户签发属性证书
6.启动策略实施点,使用指定策略和相关信息初始化策略决策服务器
7.用户登录时,策略是十点验证用户身份,并根据下一个步骤获取权限信息
8.推模式下直接从用户提供的属性证书中获取权限信息;拉模式下根据用户身份信息从属性证书库中检索并返回用户的权限信息
9.对每个访问请求,策略实施点根据权限、动作和目标信息生成决策请求
10.策略实施点向策略决策点发出决策请求
11.策略决策点根据策略对请求进行判断,返回决策结果
12.策略实施点根据结果决定是否进行访问
13.如果停止运行,则关闭策略实施点,由策略实施点通知策略决策服务器停止服务。
选择性考察,客观性考察
- PMI权限(授权)管理基础设施
- ORACLE 权限管理 授权
- 用TreeGrid 实现用户授权 (权限管理)
- 角色权限管理系统(角色功能授权)
- PMI-ACP敏捷项目管理专题讲座(免费)
- android 6.0 多个权限 授权 管理
- 基于shiro的权限管理-002授权
- 【Shiro权限管理】14.Shiro授权
- PMI-ACP敏捷项目管理微课内容分享-敏捷宣言&角色(20151117 丁仿)
- 项目管理 PMP与PMI的分析
- 权限管理 (一) 设计思路分析和实现授权、认证
- Shiro入门2:权限管理入门,用户认证、授权
- 采用shiro实现登录认证与权限授权管理
- 权限管理——用户认证和用户授权
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+maven 实现登录认证与权限授权管理
- springmvc+shiro+maven 实现登录认证与权限授权管理
- 【Shiro权限管理】15.Shiro授权流程分析
- poj3349 Snowflake Snow Snowflakes —— 哈希表
- 华为OJ:计算字符串中含有的不同字符的个数
- 【hdoj_1050】Moving Tables
- 技术宅找女朋友的技术分析
- 字符数组2
- PMI权限(授权)管理基础设施
- 面试的角度诠释Java工程师(二)
- 一个低级的ORA-01017错误
- 环境变量配过了,依然找不到路径,办法
- String普通版本
- 菜狗的C++ primer读书笔记:第三章 字符串、向量和数组
- java虚拟机(jvm)垃圾收集算法剖析
- 【LeetCode23-29+518】 K个有序子链,交换链表顺序(指针调换),Vector删除元素,移位运算符>>,DP算法
- C#串口通信
