实验4-多级访问控制实验指导..docVIP

上海电力学院 信息安全概论 题　　目: 多级访问控制实验 姓 名： 张皓翔 学 号： 院　　系：　　 计算机科学与技术学院　 专业年级：　 信息安全系2014级 2015　 年　11　月　 8　日 1、PMI试验 证书申请实验 【实验目的】 属性集(如角色、访问权限或组成员等)和一些与持有者相关的数据结构。由于这些属性集能够定义系统中用户的权限，因此可以把作为一种授权机制的属性证书看作是权限信息的载体。该实验的目的让用户对属性证书对资源权限的申请有一个感性的认识。 【实验预备知识点】 什么是PMI ? 属性证书使用的先决条件是什么？ 【实验步骤】 填写申请证书的信息，权限、资源、证书名、功能描述等，单击证书申请按钮进行证书申请。右侧系统日志窗口中将显示出现的正常、警告或者错误信息，若证书申请不成功，试根据该日志信息分析原因。 图1-1 证书申请页面 【实验思考题】 在本实验环境中，为什么要使用HTTPS连接？PMI申请流程与PKI证书申请过程有什么联系与区别？ 2在本实验环境中,属性证书为什么分为长期证书与短期证书它们除了有效期外还有什么不同？ 证书管理实验 【实验目的】 在PMI系统中，对用户证书申请的管理是通过RA实现的，而对属性证书的签发、撤销，以及权限的变更则是通过AA来完成的。本实验通过属性证书的三种存在状态以及相应拥有的权限的操作帮助用户理解RA、AA的功能和联系。 【实验预备知识点】 AA的职责有哪些？ 为什么要进行属性证书撤销？属性证书有效期类型和撤销方式之间有什么联系？ 【实验步骤】 1、在查找信息框中，可以分别请求列出属于该用户的未签发的、已签发的和已撤销的属性证书。 2、在属性证书列表中，对于列出的未签发的属性证书，双击证书名，可以打开“管理证书”面板，模拟RA撤销该属性证书的申请或者向AA提交签发证书的请求过程；对于列出的AA已签发的属性证书，单击证书名可以看到该属性证书的证书类型、属性证书签发者AA 的指纹信息、证书的有效期、证书序列号以及该证书对应用户的权限信息等，此外，用户还可以对已经签发的属性证书进行证书撤销请求。如果是有效期为一天的短期证书，这里不允许撤销；对于长期证书，可以使用以下三种作为证书的撤销原因：关系变更，废弃证书，收回权限。 3、右侧系统日志窗口中将显示出现的正常、警告或者错误信息，若操作不成功，试根据该日信息分析原因。 【实验思考题】 为什么实验系统中短期证书不可以撤销？撤销的属性证书可以激活吗？ 被撤销的属性证书还可以再激活吗证书应用实验 【实验目的】 通过本实验，学生基本掌握属性证书的使用流程，掌握在用户身份信息的基础上，系统策略决策点和策略执行点对用户访问请求的判决和执行过程，特别是系统是如何验证属性证书的。 【实验预备知识点】 获得属性证书的方式有哪些？ 【实验步骤】 1、本实验中，学生可以了解并验证自己的身份信息以及签发身份证书的CA的相关信息。2、单击查看按钮可以了解已签发过的属性证书的个数和每个属性证书的属性概要介绍。将鼠标移至该证书名称上就可以看到。如果用户还没有进行证书申请实验，或者还没有向AA请求签发属性证书，系统会提示先进行证书申请和管理实验。 3、单击使用证书按钮，确定使用该属性证书。 4、单击公司职员信息表，或者其他两个资源信息表，向AEF发出信息访问请求，5、此时右侧系统日志中显示相应的AEF和ADF交互信息，包括验证过程，最后系统会提示判决结果。如果允许访问，则反馈对应于该用户权限范围内的资源表信息，反之警告用户拒绝访问。 6、对于那些可以修改的资源，双击显示该资源的具体信息，在具体信息的下方就可以进行修改，完成后点击确定按钮保存即可。 7、可以通过点击重选证书按钮选择不同的属性证书进行对比验证。 【实验思考题】 多级安全访问控制系统中，获取属性证书的两种方式之间有什么区别？ 对访问请求的具体判决流程是怎样的？ 【注意】 1 、为了保护用户的身份信息不被他人非法使用，在退出多级安全访问控制实验时务必在浏览器中删除用户的私钥证书信息。 2、XACML系统实验 策略定制实验 【实验目的】 系统管理人员通过制定策略文件实现对系统的访问控制。本实验的目的就是让用户了解XACML策略文件的大致结构，并学习制定策略的内容 【实验原理】 策略描述了特定主体对特定资源的某个操作是否允许。策略包括：一组规则、规则组合算法的标识符、一组义务和一个目标。每条规则由条件、结果和目标组成。 每个策略只有一个目标，用于确定所到来的请求和该策略是