ca10系統(tǒng)培訓(xùn)ppt-powerpointpres

1、科學(xué)數(shù)據(jù)庫平安體系介紹1內(nèi)容平安體系的框架概要平安體系身份認(rèn)證平安體系訪問控制2平安體系的框架概要 科學(xué)數(shù)據(jù)庫平安體系為科學(xué)數(shù)據(jù)庫中的各類數(shù)據(jù)效勞與應(yīng)用提供統(tǒng)一的平安效勞，主要包括三個(gè)局部：身份認(rèn)證：是整個(gè)平安體系的核心，把用戶身份在科學(xué)數(shù)據(jù)網(wǎng)格的各個(gè)資源站點(diǎn)上統(tǒng)一起來，使科學(xué)數(shù)據(jù)庫的用戶以方便、統(tǒng)一、平安的方式訪問資源，并且提供數(shù)據(jù)加密。主要解決不同站點(diǎn)之間的認(rèn)證和數(shù)據(jù)的機(jī)密性和完整性等問題。訪問控制：在不改變資源提供者本地訪問控制策略的前提下，為資源提供者提供一種機(jī)制來細(xì)粒度地控制用戶訪問資源，同時(shí)也為不同的用戶設(shè)置不同的訪問級別。主要解決授權(quán)問題。審計(jì)日志：提供了一種方法來對系統(tǒng)中資源使

2、用的跟蹤、限制、收費(fèi)，同時(shí)對于公平地分配資源給用戶也是很重要的。主要解決記賬問題。 3平安體系的框架概要4平安體系身份認(rèn)證身份標(biāo)識證書簽發(fā)機(jī)構(gòu)CA證書的互認(rèn)證過程Web上的證書應(yīng)用https效勞通信加密5平安體系身份認(rèn)證身份標(biāo)識：采用PKI的x.509證書格式標(biāo)識用戶身份，同時(shí)也能夠提供通信加密用戶證書、效勞證書 6平安體系身份認(rèn)證證書：公鑰，可以公開的密鑰私鑰，只有用戶擁有的密鑰一般情況下，公鑰和私鑰是分開保存的，但是在IE、Netscape瀏覽器里，證書的公鑰和私鑰放在一個(gè)文件里。包含公鑰的證書（由CA簽發(fā)）主要有以下5局部A主體名字（Subject）：標(biāo)識證書所代表的用戶或?qū)ο驜主體的公

3、鑰C簽發(fā)該證書的CA(Certificate Authority)標(biāo)識DCA的數(shù)字簽名E證書的有效期7平安體系身份認(rèn)證證書簽發(fā)機(jī)構(gòu)CA 簽發(fā)證書的權(quán)威機(jī)構(gòu)，保證科學(xué)數(shù)據(jù)網(wǎng)格的平安性，提供身份認(rèn)證效勞。主要功能：證書簽發(fā)證書審核RA（Register Authority）證書撤銷證書歸檔CA自身的管理8平安體系身份認(rèn)證證書的互認(rèn)證過程（1） 如果通信的兩個(gè)實(shí)體都有證書，且雙方都信任給他們簽發(fā)證書的CA（有可能不是同一CA），那么二者可以相互證明對方所聲稱的實(shí)體，稱為互認(rèn)證。采用平安套接層（SSL）作為互認(rèn)證協(xié)議證書。認(rèn)證過程如下：A加密B解密 A的私鑰 A的公鑰認(rèn)證模型明文明文傳輸密文9平安體系

4、身份認(rèn)證證書的互認(rèn)證過程（2） 即PKI的認(rèn)證機(jī)制Name:CAIssuer: CAPublic KeySignatureUser1Issuer:CAPublic KeySignatureUser2Issuer:CAPublic KeySignatureSignSign互認(rèn)證AB10平安體系身份認(rèn)證Web上證書的應(yīng)用https效勞https效勞實(shí)現(xiàn)了SSL（平安套接層）協(xié)議不認(rèn)證客戶端：只需要在web效勞器端安裝CA的證書、包含公鑰的效勞器證書、效勞器的私鑰。要求客戶端認(rèn)證：效勞器端按照如上安裝效勞器端證書；客戶端需要在瀏覽器內(nèi)安裝CA的證書、用戶的PKCS12證書。11平安體系身份認(rèn)證通信加密在缺省的情況下，不提供實(shí)體間通信加密。一旦互認(rèn)證通過后，通信過程無需加密/解密的額外開銷。如果需要加密信道，很容易建立共享密鑰來加密通信。 12平安體系訪問控制當(dāng)網(wǎng)格用戶通過認(rèn)證，映射本錢地角色的時(shí)候，根據(jù)LACL設(shè)置好的角色權(quán)限來判斷該角色是否能夠訪問資源。訪問控制主要有三個(gè)