网络安全基础设施

1、网络平安根底设网络平安根底设施施 PKI的组件的组件 PKI信任框架信任框架 认证标准与认证过程认证标准与认证过程 PMI介绍介绍 PKI的组件的组件 PKI信任框架信任框架 认证标准与认证过程认证标准与认证过程 PMI介绍介绍 数字证书 证书签发机构(CA) 注册权威机构RA 证书管理协议 证书的注销 目录效劳与证书存储库 时间戳颁发机构 目前使用的是目前使用的是X509 v3X509 v3标准的证书样式。证书标准确实标准的证书样式。证书标准确实定经历了一个较长的过程。早在定经历了一个较长的过程。早在19881988年，年，ISO/IEC/ITU ISO/IEC/ITU 9594-89594

2、-8发布了发布了X509 v1X509 v1证书标准，到证书标准，到19931993年又修订为年又修订为X509 v2X509 v2，同年，同年，InternetInternet增强型私用电子邮件小组增强型私用电子邮件小组PEMPEM发布了基于发布了基于X509 v1X509 v1证书的证书的PKIPKI标准，针对该标标准，针对该标准中的缺乏，准中的缺乏，ISO/IEC/ITUISO/IEC/ITU和和ANSI X9ANSI X9小组在小组在19961996年年6 6月正月正式发布了式发布了X509 v3X509 v3的标准证书格式，的标准证书格式，PKIXPKIX小组以此为标小组以此为标准创

3、立了准创立了InternetInternet上的配置文件。上的配置文件。 证书签发机构证书签发机构CACA是公钥根底设施中受信任的第三方实是公钥根底设施中受信任的第三方实体，体，CACA负责向主体发行证书，并通过主体亲自签署的证书负责向主体发行证书，并通过主体亲自签署的证书说明主体的身份和主体使用的公开密钥的真实性，这在使说明主体的身份和主体使用的公开密钥的真实性，这在使用公钥根底设施的网络环境中是至关重要的措施。用公钥根底设施的网络环境中是至关重要的措施。CACA是实是实现现PKIPKI的核心组件，负责证书的发行、注销、更新和续用的核心组件，负责证书的发行、注销、更新和续用等管理任务，证书与

4、等管理任务，证书与CRLCRL的发布、以及围绕证书的签发与的发布、以及围绕证书的签发与维护管理过程中的事件的日志工作。维护管理过程中的事件的日志工作。 在某些实现中，在某些实现中，CACA将某些责任委派给注册权威机构将某些责任委派给注册权威机构RARARegistry AuthorityRegistry Authority担负。根据担负。根据RFC 2510RFC 2510的的InternetInternet公钥根底设施证书管理协议公钥根底设施证书管理协议(CMPCertificate (CMPCertificate Management Protocols)Management Protoc

5、ols)规定的规定的RARA功能包括个人认证、令功能包括个人认证、令牌分发、注销报告、名称指定、密钥生成、存储密钥对等牌分发、注销报告、名称指定、密钥生成、存储密钥对等内容，在多数情况下，内容，在多数情况下，RARA负责在证书登记过程中核实证书负责在证书登记过程中核实证书申请者的身份。申请者的身份。 证书管理协议包括公钥加密系统标准证书管理协议包括公钥加密系统标准PKCSPKCS、证书管理协议、证书管理协议CMPCMP和证书管理消息和证书管理消息CMCCMC等协议，这几个证书管理协议定义等协议，这几个证书管理协议定义了证书登记的某些细节如加密算法，在某些情况下，了证书登记的某些细节如加密算法，

6、在某些情况下，这些协议也有助于定义证书注销过程，有一些供给商甚至这些协议也有助于定义证书注销过程，有一些供给商甚至提供了诸如密钥恢复和证书自动续用等附加能力，更加扩提供了诸如密钥恢复和证书自动续用等附加能力，更加扩展了这些协议的作用。展了这些协议的作用。 公钥加密系统标准公钥加密系统标准PKCSPKCS 证书管理协议证书管理协议CMPCMP 证书管理消息证书管理消息CMCCMC 公钥加密系统标准公钥加密系统标准PKCSPKCSPublic Key Cryptographic Public Key Cryptographic StandardsStandards是由是由RSA SecurityR

7、SA Security开发的一组标准协议，用开发的一组标准协议，用以定义平安信息交换的方法。这一族协议的编号为从以定义平安信息交换的方法。这一族协议的编号为从PKCS PKCS #1#1到到PKCS #15PKCS #15，其中除，其中除PKCS #13PKCS #13和和PKCS #14PKCS #14是已提交待批是已提交待批的标准外，其他几个标准都已经正式发布，而的标准外，其他几个标准都已经正式发布，而PKCS #2PKCS #2和和PKCS #4PKCS #4两个协议都包含在两个协议都包含在PKCS #1PKCS #1中。中。 证书管理协议证书管理协议CMP(Certificate Ma

8、nagement Protocol)CMP(Certificate Management Protocol)是是由由PKIXPKIX工作组根据工作组根据RFC2510RFC2510Internet Internet 公钥根底设施证书公钥根底设施证书管理协议和管理协议和RFC2511RFC2511InternetInternet公钥根底设施证书请求公钥根底设施证书请求管理框架两个标准而制定的。在处理证书的请求和响应管理框架两个标准而制定的。在处理证书的请求和响应消息方面可替代消息方面可替代PKCSPKCS中相应协议。中相应协议。CMPCMP协议的功能比较强，协议的功能比较强，可以支持许多不同的证

9、书管理功能，如交叉证明的请求与可以支持许多不同的证书管理功能，如交叉证明的请求与响应消息，注销证书的请求和响应消息，恢复密钥的请求响应消息，注销证书的请求和响应消息，恢复密钥的请求与响应消息，以及证书和与响应消息，以及证书和CRLCRL的分发消息等。虽然的分发消息等。虽然CMPCMP的功的功能丰富，而且也得到了很多能丰富，而且也得到了很多CACA产品的支持，但在同产品的支持，但在同CACA交互交互的应用程序和设备中，的应用程序和设备中，CMPCMP协议并未得到广泛的支持。协议并未得到广泛的支持。 CMPCMP的大而全与复杂性在一定程度上影响了的大而全与复杂性在一定程度上影响了CMPCMP的推广

10、应用。的推广应用。为了替代为了替代CMPCMP，PKIXPKIX工作组又发布了基于加密系统消息语工作组又发布了基于加密系统消息语法的证书管理消息协议法的证书管理消息协议CMC(Certificate Management CMC(Certificate Management Messages over CMS)Messages over CMS)，该协议的总体目标是在保持简洁性该协议的总体目标是在保持简洁性的同时，提供高级证书管理功能，并且能够支持广泛使用的同时，提供高级证书管理功能，并且能够支持广泛使用的的PKCSPKCS协议族。在协议族。在CMCCMC中，使用中，使用PKCS #10PKC

11、S #10处理证书请求消处理证书请求消息，使用息，使用PKCS #7PKCS #7处理证书的响应消息。处理证书的响应消息。CMCCMC还引用还引用RFC2511RFC2511来支持由来支持由CMPCMP定义的更高级的证书请求格式。定义的更高级的证书请求格式。 负责证书注销功能的系统是负责证书注销功能的系统是PKIPKI的一个重要组件。的一个重要组件。在有的情况下，一个证书的继续存在会对主体或在有的情况下，一个证书的继续存在会对主体或单位的信息平安造成威胁单位的信息平安造成威胁. . 注销证书的管理注销证书的管理 实时证书注销检测实时证书注销检测 一个证书一旦被注销，就要为其建立一张证书注销表一

12、个证书一旦被注销，就要为其建立一张证书注销表CRLCRLCertificate Revocation ListCertificate Revocation List。证书注销系统要负。证书注销系统要负责为被注销的证书创立和维护一张及时更新的责为被注销的证书创立和维护一张及时更新的CRLCRL，并把，并把它放入它放入CRLCRL列表内，当一个用户需要使用某证书时，首先列表内，当一个用户需要使用某证书时，首先应该检查该证书是否在应该检查该证书是否在CRLCRL列表中，列表中，CRLCRL一般用目录系统的一般用目录系统的形式存放在公共存储库中。一个证书一旦被注销，就要为形式存放在公共存储库中。一个证

13、书一旦被注销，就要为其建立一张证书注销表其建立一张证书注销表CRLCRLCertificate Revocation Certificate Revocation ListList。 对于某些涉及高敏感级数据如公司之间往来的财务数据对于某些涉及高敏感级数据如公司之间往来的财务数据的的PKIPKI设施，注销证书和使该注销生效之间是不允许有时设施，注销证书和使该注销生效之间是不允许有时间间隔的。如果一个被注销的证书不能立刻失去效用，就间间隔的。如果一个被注销的证书不能立刻失去效用，就有可能被恶意用户再次利用。有可能被恶意用户再次利用。 关键问题是能够让用户及时查询证书当前的状态有效关键问题是能够让

14、用户及时查询证书当前的状态有效/ /注销，在线证书状态协议注销，在线证书状态协议OCSP(Online Certificate OCSP(Online Certificate Status Protocol)Status Protocol)就是解决这一问题的一种实时证书注销就是解决这一问题的一种实时证书注销检查机制。终端实体向检查机制。终端实体向OSCPOSCP响应程序发出证书状态查询请响应程序发出证书状态查询请求，求，OCSPOCSP响应程序对查询请求将给出证书是否处于注销状响应程序对查询请求将给出证书是否处于注销状态的答复，在答复返回给终端之前，证书是不能被使用的。态的答复，在答复返回给终

15、端之前，证书是不能被使用的。OCSPOCSP响应程序通常作为一种由响应程序通常作为一种由CACA提供的或被提供的或被CACA委派的效劳委派的效劳的形式提供。的形式提供。 证书和证书和CRLCRL是一种经常受到用户查询的电子文档，需要采是一种经常受到用户查询的电子文档，需要采用适当的形式进行存储与管理。虽然利用电子邮件也可以用适当的形式进行存储与管理。虽然利用电子邮件也可以完成完成CACA与用户之间的证书与与用户之间的证书与CRLCRL交换，而且也是一种简单交换，而且也是一种简单可行的方案，但是当涉及的证书数量很大成千上万的可行的方案，但是当涉及的证书数量很大成千上万的时候，这种方式的负担会很重

16、，并且不能满足终端直接检时候，这种方式的负担会很重，并且不能满足终端直接检索证书与索证书与CRLCRL的要求。的要求。 比较常用的方法是把证书与比较常用的方法是把证书与CRLCRL集中存放在连网的证书存集中存放在连网的证书存储库中，这样就可以支持所有终端用户与储库中，这样就可以支持所有终端用户与CACA可随时访问证可随时访问证书库的要求。但需要为证书存储库定义良好的存储结构和书库的要求。但需要为证书存储库定义良好的存储结构和访问协议。访问协议。 PKIPKI利用证书机制保护网络用户间交换信息的保密性，利利用证书机制保护网络用户间交换信息的保密性，利用数字签名可以保证数据的来源认证和数据的完整性

17、。为用数字签名可以保证数据的来源认证和数据的完整性。为了保证通信双方都不能否认自己已经做过的事情，了保证通信双方都不能否认自己已经做过的事情， PKI PKI还还必须提供不可抵赖效劳。实现不可抵赖效劳效劳，除了数必须提供不可抵赖效劳。实现不可抵赖效劳效劳，除了数字签名机制外，还要几种附加组件字签名机制外，还要几种附加组件 其一是提供某种形式的数字收条，其一是提供某种形式的数字收条，S/MIME v3S/MIME v3支持使用数支持使用数字签名的收条；字签名的收条； 其二是提供时间戳效劳，防止否认接收方对所接收信息的其二是提供时间戳效劳，防止否认接收方对所接收信息的时间的否认。在数字签名中附加时

18、间戳还可以防止网络中时间的否认。在数字签名中附加时间戳还可以防止网络中发生重放攻击的事件。发生重放攻击的事件。 PKI的组件的组件 PKI信任框架信任框架 认证标准与认证过程认证标准与认证过程 PMI介绍介绍 有关信任的概念 信任模型 信任信任 信任域信任域 信任被定义为：信任被定义为：“一般说来，如果一个实体假一般说来，如果一个实体假定另一个实体会严格地象它期望的那样行动，定另一个实体会严格地象它期望的那样行动，那么就称它信任那个实体。那么就称它信任那个实体。 信任域是在公共控制下或执行一组公同策信任域是在公共控制下或执行一组公同策略的系统集。如果一个组织中的所有用户略的系统集。如果一个组织

19、中的所有用户都遵守同样的策略，那么就称该组织是在都遵守同样的策略，那么就称该组织是在单信任域中运作，否那么这个组织就是在单信任域中运作，否那么这个组织就是在多信任域中运作。多信任域中运作。 严格层次信任模型严格层次信任模型分布式信任模型分布式信任模型WEBWEB信任模型信任模型 以用户为中心的信任模型以用户为中心的信任模型 在严格层次信任模型中，一个认证机构在严格层次信任模型中，一个认证机构CACA及其子机构及其子机构和它们的用户严格按照倒置的树的层次结构定义它们之间和它们的用户严格按照倒置的树的层次结构定义它们之间的信任关系。树根在上，树叶在下。的信任关系。树根在上，树叶在下。 位于树根的位

20、于树根的CACA代表整个代表整个PKIPKI最高权利的认证机构，称为根最高权利的认证机构，称为根CACA，也整个结构中各个实体的信任锚。，也整个结构中各个实体的信任锚。 分布式信任模型中，把信任分布到两个以上的分布式信任模型中，把信任分布到两个以上的CACA上。分布上。分布式信任模型可以通过逐步扩展的方式把原来是分散孤立的式信任模型可以通过逐步扩展的方式把原来是分散孤立的CACA互相通过交叉认证的方式建立起信任关系。互相通过交叉认证的方式建立起信任关系。 个交叉信任模型是指多个对等个交叉信任模型是指多个对等CACA机构之间通过互相成认证机构之间通过互相成认证书的有效性而建立起来的横向信任关系，

21、通过交叉认证方书的有效性而建立起来的横向信任关系，通过交叉认证方式，可以建立起更大范围内的式，可以建立起更大范围内的PKIPKI认证系统，这一过程称认证系统，这一过程称为为PKIPKI连网连网PKI NetworkingPKI Networking。 WEBWEB信任模型应用于信任模型应用于WWWWWW网络环境中，得到诸如网络环境中，得到诸如NavigatorNavigator和和Internet ExplorerInternet Explorer等著名浏览器的支持。厂家在浏览等著名浏览器的支持。厂家在浏览器上预装了一些器上预装了一些CACA的公钥，这些公钥确定了一组的公钥，这些公钥确定了一组

22、CA,CA,浏览浏览器用户最初信任它们，并把它们作为证书验证的根。器用户最初信任它们，并把它们作为证书验证的根。 外表上看这种模型的结构与分布式信任结构类似，其实更外表上看这种模型的结构与分布式信任结构类似，其实更类似于严格层次信任结构，根类似于严格层次信任结构，根CACA由浏览器厂商负责实施，由浏览器厂商负责实施，与被嵌入的密钥相对应的与被嵌入的密钥相对应的CACA是根是根CACA所认证的子所认证的子CACA，这种认，这种认证方式是通过预先嵌入密钥，而不是通过授受证书方式实证方式是通过预先嵌入密钥，而不是通过授受证书方式实现的，根现的，根CACA对它所认证的实体并未认真核实过，而是物理对它所

23、认证的实体并未认真核实过，而是物理地嵌入到软件中进行发布，作为对地嵌入到软件中进行发布，作为对CACA名字与它的密钥的平名字与它的密钥的平安绑定。在安绑定。在WebWeb信任结构中，浏览器厂商是实质上的根信任结构中，浏览器厂商是实质上的根CACA，而根而根CACA下面的第一层是所有已嵌入的下面的第一层是所有已嵌入的CACA的公钥。的公钥。 在相互比较熟悉的小型社交或商务活动圈内的用户，可以在相互比较熟悉的小型社交或商务活动圈内的用户，可以在平安软件在平安软件PGPPGP的支持下，建立以用户为中心的信任关系。的支持下，建立以用户为中心的信任关系。在在PGPPGP中，一个用户可以自愿承担中，一个用

24、户可以自愿承担CACA的义务，为其他用户的义务，为其他用户签署公钥证书，同时他自己的公钥也被其他用户所认证，签署公钥证书，同时他自己的公钥也被其他用户所认证，通过这种方式可以建立起一个信任网，参加这个网的用户通过这种方式可以建立起一个信任网，参加这个网的用户互相之间就可以交换机密信息。互相之间就可以交换机密信息。 PKI的组件的组件 PKI信任框架信任框架 认证标准与认证过程认证标准与认证过程 PMI介绍介绍 简单认证标准强认证标准 明文传送验证数据 利用单向散列函数传送密码 二次散列与对称加密传送 在这种验证方式中，用户的密码与在这种验证方式中，用户的密码与IDID以明文的形以明文的形式从客

25、户端传送给效劳器端的验证程序，验证程式从客户端传送给效劳器端的验证程序，验证程序检查传送来的用户密码与序检查传送来的用户密码与IDID是否存储在效劳端是否存储在效劳端上的该用户的密码与上的该用户的密码与IDID是否一致，如果一致，验是否一致，如果一致，验证程序就向终端用户回送认可的信息，并允许该证程序就向终端用户回送认可的信息，并允许该用户进行下一步的操作。用户进行下一步的操作。 为了防止攻击者半路窃听用户的密码口令与为了防止攻击者半路窃听用户的密码口令与IDID，X509X509建议了这种利用单向散列函数的传送建议了这种利用单向散列函数的传送方式。方式。 这种传送方式又分为两种，一种是采用直

26、接单向这种传送方式又分为两种，一种是采用直接单向散列函数传送密码，另一种是基于随机或时间数散列函数传送密码，另一种是基于随机或时间数据的单向散列函数传送密码。据的单向散列函数传送密码。 为了防范对散列值的穷举攻击，除了可以通过勤为了防范对散列值的穷举攻击，除了可以通过勤换口令的方式来降低这类攻击的威胁外，还可以换口令的方式来降低这类攻击的威胁外，还可以使用二次散列法增加系统的平安性。二次散列是使用二次散列法增加系统的平安性。二次散列是将散列值再次散列，使反向恢复原值更困难，增将散列值再次散列，使反向恢复原值更困难，增加了穷举攻击的难度。但这种改进对系统的平安加了穷举攻击的难度。但这种改进对系统

27、的平安性增加有限，最主要的还是对用户口令的选择。性增加有限，最主要的还是对用户口令的选择。 单向认证过程 双向认证过程 三向认证过程 私钥的保存问题 用户身份三因素鉴别 单向认证方式只需发送者向接收者发送一条身份认证数据单向认证方式只需发送者向接收者发送一条身份认证数据就可以确定发送者与接收者的身份，并能防止攻击者的重就可以确定发送者与接收者的身份，并能防止攻击者的重放攻击。放攻击。 在这种认证方式中，发送者利用数字签名把自己的身份识在这种认证方式中，发送者利用数字签名把自己的身份识别数据发送给接收者，用以证实自己的身份；发送者利用别数据发送给接收者，用以证实自己的身份；发送者利用接收方的公钥

28、加密自己的身份识别信息，确定该认证信息接收方的公钥加密自己的身份识别信息，确定该认证信息确实是要给接收者的因为只有接收者的私钥才能解密发确实是要给接收者的因为只有接收者的私钥才能解密发送者的身份信息。这种方式可以确保发送者身份识别数送者的身份信息。这种方式可以确保发送者身份识别数据的完整性，接收者也可以确认数据是发送者发出的由据的完整性，接收者也可以确认数据是发送者发出的由单向散列与签名提供保证，而且也能防止重放式攻击单向散列与签名提供保证，而且也能防止重放式攻击由随机数由随机数rArA提供保证。提供保证。 双向认证过程需要在通信双方之间进行两次信息交换，一双向认证过程需要在通信双方之间进行两

29、次信息交换，一次是上述单向认证方法中由发送方发出的信息，另一次是次是上述单向认证方法中由发送方发出的信息，另一次是接收方回送给发送方的信息。双向认证除了可完成单向认接收方回送给发送方的信息。双向认证除了可完成单向认证所能完成的认证功能外，接收方可以回送由接收方签名证所能完成的认证功能外，接收方可以回送由接收方签名的发送方的身份识别数据，可以确认数据是接收方产生的，的发送方的身份识别数据，可以确认数据是接收方产生的，可以确定此信息的接收方是原数据的发送方。在双向认证可以确定此信息的接收方是原数据的发送方。在双向认证过程中，接收方可以通过回送信息说明发送方数据的完整过程中，接收方可以通过回送信息说

30、明发送方数据的完整性，双方可以共享身份识别数据中的秘密局部可选项。性，双方可以共享身份识别数据中的秘密局部可选项。 三次认证的过程的前两次通信与双向认证的步骤三次认证的过程的前两次通信与双向认证的步骤类似，只是所传送的时间标记参数为类似，只是所传送的时间标记参数为0 0或不传送，或不传送，而接收方那么不检查时间标记。第三次通信是当而接收方那么不检查时间标记。第三次通信是当发送方发送方A A收到接收方收到接收方B B的回复信息后，的回复信息后，A A再给再给B B回复回复一次信息。一次信息。 私钥保存的平安性问题是利用证书机制实现身份私钥保存的平安性问题是利用证书机制实现身份认证时应该重点考虑的

31、问题。由于网络攻击技术认证时应该重点考虑的问题。由于网络攻击技术的不断开展，把证书对应的私钥存储在计算机硬的不断开展，把证书对应的私钥存储在计算机硬盘中有可能失窃。即使采用加密存储的方式，也盘中有可能失窃。即使采用加密存储的方式，也有可能被恶意用户删除。采用口令加密会因口令有可能被恶意用户删除。采用口令加密会因口令的长度有限而使这种方法的平安强度不够。相比的长度有限而使这种方法的平安强度不够。相比较之下，采用令牌形式存储密钥，可以提高验证较之下，采用令牌形式存储密钥，可以提高验证的平安强度。的平安强度。 三因素是指依据用户知道什么、用户拥有什么和用户本身三因素是指依据用户知道什么、用户拥有什么

32、和用户本身是什么生物特征等三因素对用户身份进行认证与鉴别。是什么生物特征等三因素对用户身份进行认证与鉴别。三因素认证是目前强认证基于密钥的验证中使用最多三因素认证是目前强认证基于密钥的验证中使用最多的手段。在平安性要求较高的系统中，认证必须必须能对的手段。在平安性要求较高的系统中，认证必须必须能对用户身份进行鉴别。用户身份进行鉴别。 把认证的三因素结合起来使用，可以对认证的密钥证书把认证的三因素结合起来使用，可以对认证的密钥证书的私钥或对称密钥进行保护，其中用户知道什么，决定的私钥或对称密钥进行保护，其中用户知道什么，决定了用户在使用时的保护；用户拥有什么，对用户使用的密了用户在使用时的保护；

33、用户拥有什么，对用户使用的密钥进行了物理保护；用户本身是什么，用于直接对用户的钥进行了物理保护；用户本身是什么，用于直接对用户的身份进行鉴别。认证的强度取决于密钥的长度，应该根据身份进行鉴别。认证的强度取决于密钥的长度，应该根据不同的平安需求选择适宜的密钥长度。在要求比较高的系不同的平安需求选择适宜的密钥长度。在要求比较高的系统中一般都使用多因素认证方式，以便增强对密钥的保护统中一般都使用多因素认证方式，以便增强对密钥的保护力度，和对用户的身份进行鉴别力度，和对用户的身份进行鉴别 。 PKI的组件的组件 PKI信任框架信任框架 认证标准与认证过程认证标准与认证过程 PMI介绍介绍 PMIPMI

34、Privilege Management InfrastruturePrivilege Management Infrastruture是权限管是权限管理根底设施的简称。理根底设施的简称。 PMIPMI的根本思想是以资源管理为核心，将对资源的访问控的根本思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者负责制权统一交由授权机构进行管理，即由资源的所有者负责资源的访问控制管理。资源的访问控制管理。PMIPMI技术与技术与PKIPKI的主要区别是，的主要区别是，PKIPKI的作用是证明用户的身份，并将其身份信息保存在用户的的作用是证明用户的身份，并将其身份信息保存在用户的公钥证书中；公钥证书中；PMIPMI的作用那么是证明这个用户有什么权限、的作用那么是证明这个用户有什么权限、什么属性，能干什么，并将用户的这些属性信息保存在授什么属性，能干什么，并将用户的这些属性信息保存在授权证书中。因此，权证书中。因此，PMIPMI证书也被称为属性证书。证书也被称为属性证书。 PMIPMI系统主要分为授权管理中心称为系统主要分为授权管理中心称为AAAA中心和资源管中心和资源管理中心称为理中心称为RMRM中心两大局部，授权效劳平台是授权管中心两大局部，授权效劳平台是授权管理中心的主要设备，是实现理中心的主要设备，是实现PMIPMI授权