訪問控制基礎(chǔ)

◆理解訪問控制的概念、作用及訪冋控制模型的概念
訪問控制基礎(chǔ)
◆什么是訪問控制
◆為用戶對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶的訪問權(quán)進(jìn)行管理，防止對(duì)信息的非授權(quán)簒改和濫用
◆訪問控制作用
◆保證用戶在系統(tǒng)安全策略下正常工作
◆拒絕非法用戶的非授權(quán)訪問請(qǐng)求
◆拒絕合法用戶越權(quán)的服務(wù)請(qǐng)求
◆訪問控制模型基本概念
◆一個(gè)信息系統(tǒng)在進(jìn)行安全設(shè)計(jì)和開發(fā)時(shí)，必須滿足某一給定的安全策略，即有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)則和實(shí)施細(xì)則。
◆訪問控制模型是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單抽象和無歧義的描述，可以是非形式化的，也可以是形式化的，它綜合了各種因素，包括系統(tǒng)的使用方式、使用環(huán)境、授權(quán)的定義、共亨的資源和受控思想等
◆訪問控制特點(diǎn)
◆訪問控制模型通過對(duì)主體的識(shí)別來限制對(duì)客體的訪問權(quán)限，具有以下三個(gè)特點(diǎn)
◆精確的、無歧義的
◆簡(jiǎn)單的、抽象的，容易理解
◆只涉及安全性質(zhì)，不過多牽扯系統(tǒng)的功能或其實(shí)現(xiàn)細(xì)節(jié)。
基本概念
◆主體是使信息在客體間流動(dòng)的一種實(shí)體、通常是指人、進(jìn)程或設(shè)備等。
◆客體是一種信息實(shí)體，或者是從其它主體或客體接收信息的實(shí)體。
◆舉例
◆對(duì)文件進(jìn)行操作的用戶
◆用戶調(diào)度并運(yùn)行的某個(gè)進(jìn)程
◆調(diào)度一個(gè)例程的設(shè)備
◆客體舉例
◆數(shù)據(jù)塊、存儲(chǔ)頁(yè)、文件、目錄、程序
◆在系統(tǒng)中，文件是一個(gè)處理單位的最小信息集合，每一個(gè)文件就是一個(gè)客體，如果每個(gè)文件還可以分成若干小塊，而每個(gè)小塊又可以單獨(dú)處理，那么每個(gè)小塊也是一個(gè)客體
◆主體與客體關(guān)系
◆主體接收客體相關(guān)信息和數(shù)據(jù)，也可能改變客體相關(guān)信息。
◆一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以獨(dú)立運(yùn)行，并由父主體控制它們
◆客體始終是提供、駐留信息或數(shù)據(jù)的實(shí)體。
◆主體和客體的關(guān)系是相對(duì)的，角色可以互換。
◆訪問權(quán)限
◆訪問權(quán)限是指主體對(duì)客體所執(zhí)行的操作。
◆文件是系統(tǒng)支持的最基本的保護(hù)客體
◆常見文件訪問模式有：
◆讀：允許主體對(duì)客體進(jìn)行讀訪問操作
◆寫：允許主體對(duì)客體進(jìn)行修改，包括擴(kuò)展、收縮及刪除；
◆執(zhí)行：允許主體將客體作為一種可運(yùn)行文件而運(yùn)行
◆拒絕訪問：主體對(duì)客體不具有任何訪問權(quán)限
◆訪問控制的實(shí)施一般包括兩個(gè)步驟
◆第一步鑒別主體的合法身份；
◆第二步根據(jù)當(dāng)前系統(tǒng)的訪問控制規(guī)則授予用戶相應(yīng)的訪問權(quán)限
◆訪問控制過程如下圖所示。

自主訪問控制模型

◆理解自主訪問控制模型相關(guān)概念及模型特點(diǎn)
◆理解訪問控制列表與訪問能力表實(shí)現(xiàn)訪問控制功能的區(qū)別。
自主訪問控制模型
◆自主訪問控制
◆自主訪問控制( Discretionary Access Control,DAC)資源的所有者，往往也是創(chuàng)建者，可以規(guī)定誰有權(quán)訪問它們的資源。
◆DAC可為用戶提供靈活調(diào)整的安全策略，具有較好的易用性和可擴(kuò)展性，具有某種訪可能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。
◆DAC常用于多種商業(yè)系統(tǒng)中，但安全性相對(duì)較低。因?yàn)樵贒AC中主體權(quán)限較容易被改變，某些資源不能得到充分保護(hù)，不能抵御特洛伊木馬的攻擊。
◆訪問控制矩陣
◆DAC可以用訪問控制矩陣來表示。
◆矩陣中的行表示主體對(duì)所有客體的訪問權(quán)限，列表示客體允許主體進(jìn)行的操作權(quán)限，矩陣元素規(guī)定了主體對(duì)客體被準(zhǔn)予的訪問權(quán)限

◆訪問控制列表ACL
◆權(quán)限與客體關(guān)聯(lián)
◆在客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣的
◆ACL表是自主訪問控制實(shí)現(xiàn)中比較好的一種方法

訪問能力表CP
◆訪問能力表
◆權(quán)限與主體關(guān)聯(lián)
◆為每個(gè)用戶維護(hù)一個(gè)表，表示主體可以訪問的客體及權(quán)限

◆在訪問控制矩陣模型中，訪問許可和訪問模式描述了主體對(duì)客體所具有的訪問權(quán)與控制權(quán)。
◆訪問許可定義了改變?cè)L問模式的能力或向其他主體傳遞這種能力的能力。
◆訪問模式則指明主體對(duì)客體可進(jìn)行的特定訪問操作如讀、寫、運(yùn)行等。
◆訪問許可可以允許主體修改客體的訪問控制表，因此利用它可以實(shí)現(xiàn)對(duì)自主訪問控制機(jī)制的控制。在自主訪問控制機(jī)制中，有三種基本的控制模式：等級(jí)型、有主型和自由型。
◆等級(jí)型訪問許可
◆在等級(jí)型訪問許可下，可以將對(duì)修改客體訪問控制表的能力的控制組織成等級(jí)型的，例如將控制關(guān)系組織成一個(gè)樹型的等級(jí)結(jié)構(gòu)。
◆等級(jí)型結(jié)構(gòu)的優(yōu)點(diǎn)是可以通過選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)，使得我們可以用最可信的方式對(duì)客體實(shí)施控制；
◆缺點(diǎn)是會(huì)同時(shí)有多個(gè)主體有能力修改它的訪問控制表
◆有主型
◆有主型是對(duì)客體設(shè)置一個(gè)擁有者，它是唯一有權(quán)訪問客體訪問控制表(ACL)的主體。擁有者對(duì)其擁有的客體具有全部控制權(quán)，但無權(quán)將客體的控制權(quán)分配給其他主體。目前，這種控制方法已應(yīng)用于許多系統(tǒng)中，如UNIX系統(tǒng)等。
◆自由型
◆一個(gè)客體的生成者可以對(duì)任何一個(gè)主體分配對(duì)它擁有的客體的訪問控制表的修改權(quán)，并且還可以使其對(duì)其他主體具有分配這種權(quán)力的能力。
◆優(yōu)點(diǎn)：
◆根據(jù)主體的身份和訪問權(quán)限進(jìn)行決策
◆具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體
◆靈活性高，被大量采用
◆缺點(diǎn)
◆安全性不高
◆信息在傳遞過程中其訪問權(quán)限關(guān)系會(huì)被改變

強(qiáng)制訪問控制模型

◆理解強(qiáng)制訪問控制模型的概念及特點(diǎn)
◆了解Bell- Lapadula模型的作用及特點(diǎn)
◆了解Biba模型的作用及特點(diǎn)
◆了解 Clark- Wilson的作用及特點(diǎn)
◆了解 Chinese Wall模型的作用及特點(diǎn)。
強(qiáng)制訪問控制模型
◆什么是強(qiáng)制訪問控制(MAC)
◆主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體
◆特點(diǎn)
◆安全屬性是強(qiáng)制的，任何主體都無法變更
◆安全性較高，應(yīng)用于軍事等安全要求較高的系統(tǒng)
◆但是這種機(jī)制也使用戶自己受到限制。
◆保護(hù)敏感信息一般使用MAC,需對(duì)用戶提供靈活的保護(hù)，更多地考慮共享信息時(shí)，使用DAC。
◆BLP模型
◆由D. Elliott Bell和 Leonard J. Lapadula于1973年提出的一種模擬軍事安全策略的計(jì)算機(jī)訪問控制模型簡(jiǎn)稱為BLP模型
◆第一個(gè)嚴(yán)格形式化的安全模型
◆多級(jí)訪問控制模型，用于保證系統(tǒng)信息的機(jī)密性
◆BLP模型的安全策略包括自主安全策略和強(qiáng)制安全策略兩個(gè)部分。
◆自主安全策略使用一個(gè)訪問控制矩陣表示，矩陣中的元素表示主體對(duì)客體所有允許的訪問模式主體按照在訪問矩哖中被授予的對(duì)客體的訪問權(quán)限對(duì)客體進(jìn)行相應(yīng)的訪問。
◆強(qiáng)制安全策路對(duì)每個(gè)主體和客體都定義了安全級(jí),安全級(jí)由密級(jí)和范疇枃成。安全級(jí)之間存在支配關(guān)系(密級(jí)高于或等于、范疇包含)，根據(jù)安全級(jí)進(jìn)行訪問控制。
BLP模型的構(gòu)成
◆主體集：S
◆客體集：O
◆安全級(jí)：密級(jí)和范疇
◆密級(jí)：絕密、機(jī)密、秘密、公開
◆范疇：軍事，外交，商務(wù)
◆安全級(jí)之間支配關(guān)系(密級(jí)支配、范疇包含)
◆例如L=<機(jī)密，外交，商務(wù)}>,L’=<秘密，{商務(wù)}>，則L支配L’
BLP模型的策略
◆BLP模型基于以下兩個(gè)規(guī)則保障數(shù)據(jù)的機(jī)密性(=
◆簡(jiǎn)單安全規(guī)則（向下讀）
◆當(dāng)主體的安全級(jí)可以支配客體的安全級(jí)，且主體對(duì)客體有自主型讀權(quán)限，主體可以讀客體。
◆規(guī)則（向上寫）
◆當(dāng)客體的安全級(jí)可以支配主體的安全級(jí)，且主體對(duì)客體有自主型寫權(quán)限，則主體可以寫入客體
◆BLP模型
◆BLP模型可有效防止低級(jí)用戶和進(jìn)程訪問安全級(jí)別更高的信息資源，同時(shí)，安全級(jí)別高的用戶和進(jìn)程也不能向安全級(jí)別低的用戶和進(jìn)程寫入數(shù)據(jù)，從而有效的保護(hù)機(jī)密性。
◆BLP模型也存在一些局限性。例如，在主體創(chuàng)建客體時(shí)，將客體的安全級(jí)定義為該主體的安全級(jí)，在實(shí)際應(yīng)用中，上級(jí)常常要向下級(jí)下發(fā)文件，這就需要允許系統(tǒng)的安全員對(duì)該客體的安全級(jí)進(jìn)行降級(jí)定義；又如，內(nèi)存管理必須允許所有級(jí)別進(jìn)行讀和寫,解決方法是通過將其抽象化，并且假設(shè)內(nèi)存管理是“可信主體”但這將導(dǎo)致真實(shí)系統(tǒng)信息的泄露
BLP模型的關(guān)鍵知識(shí)點(diǎn)
◆第一個(gè)安全策略形式化的數(shù)學(xué)模型
◆多級(jí)安全模型，強(qiáng)調(diào)機(jī)密性
◆訪問控制機(jī)制（兩個(gè)重要規(guī)則）
◆簡(jiǎn)單安全規(guī)則（向下讀）
◆規(guī)則（向上寫）
◆優(yōu)點(diǎn)：機(jī)密性高，有效的防止機(jī)密信息泄露
◆缺點(diǎn)：完整性缺乏，非法篡改、破壞成為可能
◆Biba模型
◆1977年， Biba對(duì)系統(tǒng)的完整性進(jìn)行了研究，提出了一種與BLP模型在數(shù)學(xué)上對(duì)偶的完整性保護(hù)模型。
◆Biba模型要求對(duì)主、客體按照完整性級(jí)別進(jìn)行劃分。完整性級(jí)別由完整等級(jí)和范疇構(gòu)成，同樣存在支配關(guān)系(完整等級(jí)高于或等于，范疇包含)
◆Biba模型能很好的滿足政府和軍事機(jī)構(gòu)關(guān)于信息分級(jí)的需求，防止非授權(quán)用戶的修改。
Biba模型的構(gòu)成
◆主體集：S
◆客體集：O
◆完整級(jí)：安全級(jí)和范疇
◆安全級(jí)：極為重要，非常重要，重要，
◆范疇：軍事，外交，商務(wù)
◆完整級(jí)存在支配關(guān)系
◆與BLP類似，安全級(jí)支配，范疇包含
Biba模型的安全策略
◆Biba模型基于以下兩條規(guī)則確保數(shù)據(jù)的完整性
◆向上讀：主體可以讀客體，當(dāng)且僅當(dāng)客體的完整級(jí)別支配主體的完整級(jí)
◆向下寫：主體可以寫客體，當(dāng)且僅當(dāng)主體的完整級(jí)別支配客體的完整級(jí)
Biba模型的安全策略
◆Biba模型關(guān)鍵知識(shí)點(diǎn)
◆強(qiáng)調(diào)完整性的訪問控制簽略槙型
◆多級(jí)安全模型，數(shù)學(xué)上與BLP模型對(duì)偶
◆訪問控制機(jī)制（兩個(gè)重要規(guī)則）
◆向下寫
◆向上讀
◆優(yōu)點(diǎn)：完整性高，有效的防止非法篡改、破壞
◆缺點(diǎn)：機(jī)密性缺乏，無法保護(hù)機(jī)密信息泄露
強(qiáng)制訪問控制模型- Clark- Wilson
◆ Clark- Wilson模型概念
◆由計(jì)算機(jī)科學(xué)家 David D. Clarki和會(huì)計(jì)師 David R.Wilson發(fā)表于1987年
◆確保商業(yè)數(shù)據(jù)完整性的訪問控制模型，側(cè)重于滿足商業(yè)應(yīng)用的安全需求
◆** Clark- Wilson模型的訪問控制策略**
◆每次操作前和操作后，數(shù)據(jù)都必須滿足這個(gè)一致性條件
Clark- Wilson的構(gòu)成
◆兩種數(shù)據(jù)類型
◆限制項(xiàng)數(shù)據(jù)
◆非限制項(xiàng)數(shù)據(jù)
◆兩種過程
◆完整性驗(yàn)證過程
◆轉(zhuǎn)換過程
◆兩種規(guī)則
◆證明規(guī)則
◆實(shí)施規(guī)則
Clark- Wilson安全策略
◆每次操作前和操作后，數(shù)據(jù)都必須滿足這個(gè)一致性條件（數(shù)據(jù)滿足某個(gè)給定的條件）
◆例如：A賬戶500元，B賬戶400元，一致性狀態(tài)為A+B=900元，A成100元與B增加100元必須同時(shí)實(shí)現(xiàn)，如果A+B=900不符合，則說明存在錯(cuò)誤

◆ Clark- Wilson模型確保完整性的安全屬性如下
(1)完整性：確保CDI只能由限制的方法來改變并生成另一個(gè)有效的CDI,該屬性由規(guī)則CR1、CR2、CR5、ER1和ER4來保證；
(2)訪問控制：控制訪可資源的能力由規(guī)則CR3、ER2和ER3來提供；
(3)審計(jì)：確定CDI的變化及系統(tǒng)處于有效狀態(tài)的功能由規(guī)則CR1和CR4來保證；
(4)責(zé)任：確保用戶及其行為唯一對(duì)應(yīng)由規(guī)則ER3來保證。
強(qiáng)制訪問控制模型- Chinese Wall
◆ Chinese Wall模型概念
◆同時(shí)考慮保密性和完整性的訪問控制模型，主要用于解決商業(yè)應(yīng)用中的利益沖突問題
◆多邊安全模型，受限于主體已經(jīng)獲得了對(duì)哪些數(shù)據(jù)的訪問權(quán)限
◆ Chinese Wall模型訪問控制策略
◆將可能會(huì)產(chǎn)生利益沖突的數(shù)據(jù)分成不同的數(shù)據(jù)集，并強(qiáng)制所有主體最多只能訪問一個(gè)數(shù)據(jù)集
◆選擇訪問哪個(gè)數(shù)據(jù)集并未受強(qiáng)制規(guī)則的限制，用戶可以自主選擇訪問的數(shù)據(jù)集
Chinese Wall模型的構(gòu)成
◆主體集S
◆客體集O
◆無害客體，可以公開的數(shù)據(jù)
◆有害客體
◆與某公司相關(guān)數(shù)據(jù)構(gòu)成公司數(shù)據(jù)集
◆若干相互競(jìng)爭(zhēng)的公司的數(shù)據(jù)集形成利益沖突類
◆安全策略
◆CW-簡(jiǎn)單安全特性
◆CW-·-特性
Chinese Wall的示例

MAC與DAC比較
◆自主訪問控制
◆細(xì)粒度
◆靈活性高
◆配置效率低
◆強(qiáng)制訪問控制
◆控制粒度大
◆靈活性不高
◆安全性強(qiáng)

基于角色的訪問控制模型

◆了解基于角色的訪問控制模型基本概念及特點(diǎn)
◆了解基于角色的訪問控制模型的構(gòu)成及訪問控制規(guī)則。
基于角色的訪問控制
◆基于角色的訪問控制(RBAC)模型
◆系統(tǒng)內(nèi)置多個(gè)角色，將權(quán)限與角色進(jìn)行關(guān)聯(lián)
◆用戶必須成為某個(gè)角色才能獲得權(quán)限
◆基于角色訪問控制模型訪問控制策略
◆根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限
◆用戶必須扮演某種角色，而且還必須激活這一角色，才能對(duì)一個(gè)對(duì)象進(jìn)行訪問或執(zhí)行某種操作

◆迄今為止已經(jīng)討論和發(fā)展了四種基于角色的訪問控制模型。
◆RBAC0是基本模型，規(guī)定了所有RBAC系統(tǒng)所必須的最小需求；
◆RBAC1在RBAC0的基礎(chǔ)上增加了角色等級(jí)的概念；
◆RBAC2則在 RBAC0的基礎(chǔ)上增加了約束；
◆RBAC3包含了RBAC1和RBAC2,也間接包含了RBAC0
◆ RBAC0,由四個(gè)基本要素構(gòu)成：
◆用戶(U):用戶為系統(tǒng)的使用者
◆角色?:角色是根據(jù)系統(tǒng)不同工作崗位需求而設(shè)置的
◆會(huì)話(S):會(huì)話是系統(tǒng)對(duì)用戶一次請(qǐng)求的執(zhí)行，每個(gè)會(huì)話由一個(gè)用戶建立；
◆權(quán)限§:權(quán)限是系統(tǒng)中所有訪問權(quán)限的集合
◆在RBAC0中，用戶與角色、角色與許可均為多對(duì)多的關(guān)系
◆用戶對(duì)權(quán)限的執(zhí)行必須通過角色來關(guān)聯(lián)，以實(shí)現(xiàn)對(duì)信息資源訪問的控制。
◆用戶與會(huì)話是一對(duì)多的關(guān)系，會(huì)話是一個(gè)用戶對(duì)多個(gè)角色的映射，即一個(gè)用戶激活某個(gè)角色子集。此時(shí)，用戶的權(quán)限為激活的多個(gè)角色權(quán)限的并集。
◆一個(gè)用戶可以同時(shí)擁有多個(gè)會(huì)話，每個(gè)會(huì)話又具有不同的許可。
◆RBAC1
◆包含 RBACO的所有元素，并加入了角色等級(jí)的概念在一個(gè)機(jī)構(gòu)中不同的職務(wù)或角色不但具有不同的的權(quán)力，這些權(quán)力之間存在包含關(guān)系，職務(wù)越高權(quán)力越大。RBAC1用偏序關(guān)系來描述角色之間的等級(jí)關(guān)系，高級(jí)別的角色包含低級(jí)別角色的權(quán)限。利用角色等級(jí)的概念，可以實(shí)現(xiàn)多級(jí)安全中的訪問控制
◆在多級(jí)安全控制系統(tǒng)內(nèi)，存取類的保密級(jí)別是線性排列的。例如：
◆公開<秘密<機(jī)密<絕密
◆RBAC1中支持的層次關(guān)系可以容易地實(shí)現(xiàn)多級(jí)安全系統(tǒng)所要求的保密級(jí)別的線性排列的要求。
◆多級(jí)安全系統(tǒng)的另一個(gè)要求就是要能夠支持范疇為了獲得信息的存取權(quán)，提出存取請(qǐng)求的人員必須具備一定的存取類，他的存取類的范疇的集合應(yīng)該包括信息存取類的全部范疇。角色的層次結(jié)構(gòu)RBAC1中的角色可以容易地實(shí)現(xiàn)所要求的保密存取類的范疇的要求。
◆RBAC2
◆包含 RBAC0的所有概念，加入了約束的限制
◆約束是制定高層安全策略的有效機(jī)制，特別是在分布式系統(tǒng)中
◆常見的約束條件就是互斥條件，一個(gè)用戶只能在互斥的角色集中分配其中一個(gè)，防止系統(tǒng)中的重要特權(quán)失控。
◆RBAC3
◆RBAC3結(jié)合了RBAC1和RBAC2,同時(shí)具備角色等級(jí)和約束。
◆角色等級(jí)和約束之間存在一些矛盾。例如，測(cè)試工程師和程序員角色是互斥的，項(xiàng)目管理角色同時(shí)具有測(cè)試工程師和程序員角色的權(quán)限，違反了角色約束的互斥性。一般情況下，高級(jí)角色違反這種約束是可以接受的，而在其它情形下，則需要考慮這種排斥。在角色數(shù)量限制中也存在類似問題。如，一個(gè)用戶只能指派到最多一個(gè)角色中，項(xiàng)目管理的用戶指派到他的下級(jí)角色就違反了這一約束。
◆在應(yīng)用RBAC3時(shí)，需要根據(jù)系統(tǒng)的實(shí)際安全需求來制定合理的約東
RBAC模型的特點(diǎn)
◆便于授權(quán)管理（角色的變動(dòng)遠(yuǎn)遠(yuǎn)低于個(gè)體的變動(dòng)）
◆便于處理工作分級(jí)，如文件等資源分級(jí)管理
◆利用安全約束，容易實(shí)現(xiàn)各種安全策略，如最小特權(quán)、職責(zé)分離等
◆便于任務(wù)分擔(dān)，不同角色完成不同的任務(wù)

特權(quán)管理基礎(chǔ)設(shè)施

◆了解PMI的主要功能、體系架構(gòu)及應(yīng)用。
特權(quán)管理基礎(chǔ)設(shè)施
◆特權(quán)管理基礎(chǔ)設(shè)施（ Privilege Management Infrastructure, PMI)
◆PMI提供了一種在多應(yīng)用環(huán)境中的權(quán)限管理和訪冋控制機(jī)制，將權(quán)限管理和訪可控制從具體應(yīng)用系統(tǒng)中分離出來，使得訪問控制機(jī)制和應(yīng)用系統(tǒng)之間能靈活而方便的結(jié)合。
◆PMI能提供一種相對(duì)獨(dú)立于應(yīng)用的有效的體系結(jié)構(gòu)，將應(yīng)用資源和用戶身份及訪問權(quán)限之間建立對(duì)應(yīng)關(guān)系，支持應(yīng)用權(quán)限的有效管理和訪問控制，以保證用戶能獲取他們有權(quán)獲取的信息、做有權(quán)限操作。
◆PMI建立在PKI提供的可信的身份認(rèn)證服務(wù)的基礎(chǔ)上采用基于屬性證書的授權(quán)模式，為應(yīng)用提供用戶身份到應(yīng)用權(quán)限的映射功能
◆PMI主要功能
◆PMI是與應(yīng)用相關(guān)的授權(quán)服務(wù)管理基礎(chǔ)設(shè)施其主要功能包括：
◆對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述
◆系統(tǒng)地建立起對(duì)用戶身份到應(yīng)用授權(quán)的映射
◆支持應(yīng)用訪問控制
◆PMI和PKI之間的主要區(qū)別在于
◆PMI主要進(jìn)行授權(quán)管理，證明這個(gè)用戶有什么權(quán)限能干什么，即“你能做什么”
◆PKI主要進(jìn)行身份鑒別，證明用戶身份，即“你是誰”
◆兩者之間的關(guān)系，通常使用護(hù)照和簽證的關(guān)系來表述，護(hù)照是身份證明，可以用來唯一標(biāo)識(shí)個(gè)人信息;而簽證具有屬性類別，同一個(gè)護(hù)照可以有多個(gè)國(guó)家的簽證，能在指定時(shí)間進(jìn)入對(duì)應(yīng)的國(guó)家。
◆PMI體系架構(gòu)
◆PMI是屬性證書、屬性權(quán)威、屬性證書庫(kù)等部件的集合體，用來實(shí)現(xiàn)權(quán)限和屬性證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能
◆其主要組件包括
◆SOA
◆AA
◆ARA
◆用戶
◆證書庫(kù)等
◆信任源點(diǎn)(SOA)
◆SOA是特權(quán)管理基礎(chǔ)設(shè)施的信任源點(diǎn)，是整個(gè)授權(quán)系統(tǒng)最高管理機(jī)構(gòu)，相當(dāng)于PKI系統(tǒng)中的根CA,對(duì)整個(gè)系統(tǒng)特權(quán)分發(fā)負(fù)有最終的責(zé)任。SOA的主要職責(zé)是授權(quán)策略的管理、應(yīng)用授權(quán)受理、屬性權(quán)威(AA)的設(shè)立審核及管理等。
◆屬性權(quán)威機(jī)構(gòu)(AA)
◆特權(quán)管理基礎(chǔ)設(shè)施的核心服務(wù)節(jié)點(diǎn)，是對(duì)應(yīng)于具體應(yīng)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由各應(yīng)用部門管理，SOA授權(quán)給它管理一部分或全部屬性的權(quán)力。AA中心的職責(zé)主要包括應(yīng)用授權(quán)受理。可以有多個(gè)層次，上級(jí)AA可授權(quán)給下級(jí)AA,下級(jí)可管理的屬性的范圍不超過上級(jí)
◆屬性注冊(cè)權(quán)威機(jī)構(gòu)(ARA)
◆ARA和RA的位置類似，ARA是AA的延伸，主要負(fù)責(zé)提供屬性證書注冊(cè)、審核以及分發(fā)功能。
◆用戶
◆指使用屬性證書的終端實(shí)體，也稱特權(quán)持有者
◆證書/ACRL庫(kù)
◆主要用于發(fā)布PMI用戶的屬性證書以及屬性證書的撤消列表ACRL,以供查詢使用。在PMI和PKI起建設(shè)時(shí)，也可以直接使用PKI的LDAP作為PMI的證書/CRL庫(kù)。
◆屬性證書
◆PMI使用屬性證書表示和容納權(quán)限信息，對(duì)權(quán)限生命周期的管理是通過管理證書的生命周期實(shí)現(xiàn)的。
◆屬性證書是一種輕量級(jí)的數(shù)據(jù)體，這種數(shù)據(jù)體不包含公鑰信息，只包含證書持有人ID、發(fā)行證書ID簽名算法、有效期、屬性等信息等。
◆屬性證書的申請(qǐng)、簽發(fā)、注銷、驗(yàn)證流程對(duì)應(yīng)著權(quán)限的申請(qǐng)、發(fā)放、撤銷和使用驗(yàn)證的過程。
特權(quán)管理基礎(chǔ)設(shè)施
◆PKI
◆“你是誰”
◆身份與公鑰綁定
◆身份鑒別（護(hù)照）
◆RCA-CA-RA. LDAP, CRL
◆PMI
◆“你能做什么”
◆身份（角色）與角色（屬性、權(quán)限）綁定
◆授權(quán)管理（簽證）
◆SOA-MA-ARAY，LDAPY， ACRL
◆應(yīng)用結(jié)構(gòu)
◆PMI基于PKI建設(shè)，在應(yīng)用中也和PKI一起為應(yīng)用程序提供安全支撐，其中PKI可以很好地為應(yīng)用解決用戶身份認(rèn)證的問題，而PMI則可以很好地解決應(yīng)用訪問控制的可題。兩者和應(yīng)用系統(tǒng)結(jié)合的邏輯結(jié)構(gòu)如右圖所示

◆圖中各部分說明如下
1)訪問者、目標(biāo)
◆訪問者是一個(gè)實(shí)體（該實(shí)體可能是人，也可能是其他計(jì)算機(jī)實(shí)體），它試圖訪問應(yīng)用系統(tǒng)內(nèi)的其他目標(biāo)（資源）。
2)策略
◆授權(quán)策略展示了一個(gè)機(jī)構(gòu)在信息安全和授權(quán)方面的頂層控制，授權(quán)遵循的原則和具體的授權(quán)信息。在一個(gè)機(jī)構(gòu)的PMI應(yīng)用中,策略應(yīng)當(dāng)包括一個(gè)機(jī)構(gòu)將如何將它的人員和數(shù)據(jù)進(jìn)行分類組織，這種組織方式必須考慮到具體應(yīng)用的實(shí)際運(yùn)行環(huán)境，如數(shù)據(jù)的敏感性，人員權(quán)限的明確劃分，以及必須和相應(yīng)人員層次相匹配的管理層次等因素。所以，策略的制定是需要根據(jù)具體的應(yīng)用量身定做的。
3)授權(quán)檢查
◆授權(quán)檢查，即訪問控制執(zhí)行點(diǎn)（ Access Control Enforcement Function,AEF),在應(yīng)用系統(tǒng)中，介于訪問者和目標(biāo)（資源)之間，用在這里檢查訪問者是否具有適當(dāng)?shù)脑L問目標(biāo)（資源)的權(quán)限。當(dāng)訪問者申請(qǐng)?jiān)L問時(shí)，授權(quán)檢查點(diǎn)向訪問控制決策點(diǎn)申請(qǐng)授權(quán)，并根據(jù)授權(quán)決策的結(jié)果實(shí)施決策，即對(duì)目標(biāo)執(zhí)行訪問或者拒絕訪問。
4)訪問控制決策點(diǎn)
◆訪問控制決策點(diǎn)( Access Control Decision Function,ADF)接收和評(píng)價(jià)授權(quán)請(qǐng)求，根據(jù)具體策略做出不同的決策。它一般并不隨具體的應(yīng)用變化，是一個(gè)通用的處理判斷邏輯。當(dāng)接收到一個(gè)授權(quán)請(qǐng)求時(shí)，根據(jù)授權(quán)的策略，訪問者的安全屬性以及當(dāng)前條件進(jìn)行決策，并將決策結(jié)果返回給應(yīng)用。對(duì)于不同應(yīng)用的支持通過解析不同的定制條來完成的