网站安全公司之验证PMI机制三部曲



       PMI的实现机制。实现PMI的机制有很多,大致可以分为Kerberos机制、集中式访问控制

列表(ACL)机制和基于属性的证书(AC)机制。

 
1.基于Kerberos的机制。Kerberos是一个网络认证协议,它的设计目的是通过一个密钥系统

为C/S应用程序提供强大的认证服务。验证过程的实现不依赖于主机操作系统的验证,不需

要基于主机地址的信任,也不需要网络上所有主机的物理安全,假定在网络中传输的数据包

能够被任意读取、修改和插入。Kerberos易于软硬件实现,比非对称密码算法更快。但是存

在密钥管理不方便、单点失效的问题。该机制适用于大量实时事务处理环境中的授权管理。
 
 
2.集中式访问控制列表(ACL)机制。
 
集中式的ACL机制中有一个中心服务器,用于实现高度集中的管理控制方案;这种模式容易

实施单点管理,但容易形成沟通瓶颈。所以适合地理位置相对集中的物理环境。
 
 
3.基于属性证书的机制。
 
基于属性证书的PMI基于PKI提供的可信身份认证服务,以属性证书的形式实现授权管理。

特性证书是一个轻量级的数字证书,它没有公开的密钥信息,而是使用属性来定义每个证书

持有人的权限、角色等信息。该机制是一种分布式解决方案,具有拒绝失败的优势,适合

支持不可否认服务的授权管理。
 
 
基于Kerberos机制和集中式访问控制列表(ACL)机制的PMI通常是集中式的,不能满足跨区

域、分布式环境下的应用需求,缺乏良好的可扩展性。基于属性证书的PMI在通过颁发、

颁发和撤销属性证书来保证授权策略、授权信息和访问控制决策信息的安全性和可信性的

基础上,实现了PMI的跨区域、分布式应用。
分享: