《{生产管理知识}技术白皮书》由会员分享,可在线阅读,更多相关《{生产管理知识}技术白皮书(23页珍藏版)》请在金锄头文库上搜索。
1、PMI技术白皮书总部:中国长春前进大街2266号电话:86-0431-5173333传真:86-0431-5172696吉大正元信息技术股份有限公司目录产品相应技术2PMI概览2权限管理基础设施4PMI的定义4为什么不是PKI5PKI和PMI的关系6属性权威7权限管理8属性证书的特点8PMI模型9访问控制框架10访问控制抽象模型10策略规则12授权策略12基于PMI建立安全应用13PMI应用结构13应用方式14建立访问控制系统15访问控制流程15PMI中技术的应用15系统简介16需求背景16产品简介17产品功能17实施接口17身份信息获取17访问实施接口(AEF API)18决策服务18策略决
2、策点(PDP)18策略管理功能18资源管理18角色管理18用户管理18授权策略的管理19委托管理19系统管理功能19系统运行环境信息的管理19首席用户19管理员19产品特点19系统结构20硬件设施结构20软件系统结构20系统工作过程21支持环境21硬件设备21支持软件21专用技术词汇22产品相应技术PMI概览计算机网络能有效地实现资源共享,但资源共享和信息安全是一对矛盾体。随着资源共享的进一步加强,随之而来的信息安全问题也日益突出,而身份认证,权限和访问控制又是网络应用安全的两个重要内容,因此它们也成为了当前信息安全领域中的研究热点。许多应用系统都需要分别在这两个方面采取了相应的安全措施。但是
3、,对一些大型的组织机构来说,其网络结构比较复杂,应用系统比较多,如果分别对不同的应用系统采用不同的安全策略,则管理将变得越来越复杂,甚至难以控制。不同的用户对应不同的应用系统,由于机构的网络结构比较复杂,应用系统和用户都是分散分布的,因此对用户的访问控制和权限管理就显得非常的复杂和凌乱。而机构必须要能够控制:有“谁”能够访问机构的信息,用户访问的是“什么信息”,哪个用户被授予什么样的“权限”。一旦机构确定了权限管理和发布的方式,访问控制系统就可以根据机构发放的权限以及定义的安全策略控制用户访问,保护应用系统。然而,过去在权限生命周期管理,权限的表达和权限管理方式方面没有更成熟更实用的成果,权限
4、管理方案发展相对滞后。相反,访问控制,或者说授权服务,已经十分成熟,在过去的研究和应用中已经获得了很多的成果,建立了我们目前主要使用的DAC,ACL,MAC,RBAC访问控制模型,其中ACL和MAC得到了最普遍的应用。目前,RBAC模型也已经比较成熟,支持了最新的应用。传统的应用系统通常是通过使用用户名和口令的方式来实现对用户的访问控制的,而对权限的控制是每个应用系统分别进行的,不同的应用系统分别针对保护的资源进行权限的管理和控制,这种方式存在一些缺点。同时,又因为不同系统的设计和实施策略不同,导致了同一机构内存在多种权限管理的现状。目前,缺乏有效的权限管理带来了以下问题:n 权限管理混乱对一
5、个机构而言,数据和人力资源都是统一的。但是由于系统设计的原因,可能同时对相同的人员采用不同的管理方式,对机构内的共享数据采用了不同的权限分配策略,这显然不合理,也不利于对机构资源的管理。n 带来系统的不安全因素不同的权限管理策略产生的安全强度是不同的。这就可能造成机构信息安全管理的漏洞,因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击,这就给机构资源的安全性带来极大的危害。n 权限管理依赖于访问控制应用权限的赋予和撤销往往都是在访问控制应用中产生的,不同的访问控制应用之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。每个应用都要维护自己的用户信息和授权方法,权限无法
6、在分布的应用中和远程应用中使用。n 资源所有者没有权限应用系统负责权限的发放和使用,造成权限真正的拥有者不能有效,及时的更改,发布实时的权限信息。比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。而从本质上讲,权限的发放和权限的鉴别使用是完全不同的两个过程,完全可以分开,权限的拥有者发放权限,而由资源的保护者验证权限。n 增加了系统管理员的负担由于不同的系统采用的是不同的权限管理策略,系统管理员不得不熟悉和操作不同的权限管理模式,这无疑增加了系统管理员的负担。另外,大多数老系统都采用的是权限访问控制列表的方式,但是对于大型复杂应用用这种方式来分配权限,给系统管理员带来巨大负担且
7、易出错。 n 开发复杂费用高设计一个新的安全应用系统时,权限管理是一个极其重要的部分。在缺乏统一权限管理模型的情况下,设计人员要考虑选择权限管理模型、访问控制授权方案,而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能,为一个应用开发的管理往往无法在其它应用中重用,增大系统的费用。在过去的五年中,权限管理作为安全的一个领域得到快速发展,也提出了几种权限管理方案,如Kerberos,基于策略服务器方案,但目前应用和研究的热点集中于基于PKI的PMI研究。在PKI得到较大规模应用以后,人们已经认识到需要超越当前PKI提供的身份验证和机密性,步入授权领域,提供信息环境的权限管理将成为下一个
8、主要目标。PMI实际提出了一个新的信息保护基础设施,能够系统地建立起对认可用户的授权。建立在PKI基础上的PMI,对权限管理进行了系统的定义和描述,已经将权限管理研究推到了应用前沿。关于权限管理和访问控制已经有了很多相关的标准。1995年,发布了访问控制的标准框架(ISO/IEC 10181-3|ITU-T Rec. X.812),它主要定义了访问控制的基本概念,定义了通用的访问控制服务和机制,定义了访问控制服务和机制的协议功能需求,定义了访问控制的管理需求,阐明了访问控制服务和机制与其他安全服务和机制的相互作用关系。在1997年X.509(V3)中定义了基本的属性证书语法(属性证书第1版本)
9、,在2000年发布的X.509(V4)中定义了PMI的框架结构,其中定义了扩展属性证书的语法(第2版),定义了PMI模型,规定了委托路径处理,定义了标准PMI扩展集,并增加了目录服务对象定义。2000年Open Group提出了授权API(AZN API),定义了标准应用编程接口,用来实现访问控制体系结构符合ISO/IEC 10181-3|ITU-T Rec. X.812规定的系统。2000年NIST(National Institute of Standards and Technology)发布了基于角色的访问控制建议标准,定义了RBAC(RoleBased Access Control)
10、的参考模型。关于PMI的标准正在制定当中,IETF正在进行的PERMIS(PrivilEge and Role Management Infrastructure Standards Validation,权限和角色管理基础设施标准验证)项目将在2002年9月31日结束,并计划推出PERMIS API的标准和相关的RFC 。RSA已提出了IETF草案 An Internet Attribute Certificate Profile for Authorization(draft-ietf-pkix-ac509prof)国外已经有了PMI相关的产品,如n Entrust: Secure Con
11、troln Baltimore Technology: Attribute Certificate Servern IBM: Securewayn DASCOM (now IBM): aznAPI code国内对PMI的研究已经开始,也已经有类似的产品出现,但是还没有应用实例。从总体上看,PMI的理论是完全成熟的,目前在相关应用支撑技术方面已经具备,很快将有相应的标准公布,产品应用已经提到日程上来。权限管理基础设施PMI的定义ITU(International Telecomunications Union)& IETF(Internet Engineering Task Force)使用属性
12、证书实现了PMI。Privilege Management Infrastructure (PMI) 即权限管理基础设施或授权管理基础设施,是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。Attribute Authority (AA) 即属性权威,用来生成并签发属性证书(Attribute Certificate,即AC)的机构。它负责管理属性证书的整个生命周期。Attribute Certificate (AC) 即属性证书,对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为属性证书, 由属性权威签发并管
13、理,它包括一个展开机制和一系列特别的证书扩展机制。下面我们称身份证书为PKC(Public Key Certificate)。X.509定义的属性证书框架提供了一个构建权限管理基础设施(PMI)的基础,这些结构支持访问控制等应用。属性证书的使用(由AA签发的)提供一个灵活的权限管理基础设施(PMI)。 对于一个实体的权限约束由属性证书权威(已被数字签名的数据结构)或者由公钥证书权威(包含已明确定义权限约束扩展的)提供。PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。建
14、立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。为什么不是PKI既然PMI建立在PKI的基础之上,为什么不直接基于PKI进行权限管理和访问控制呢?Public Key Infrastructure(PKI),即公开密钥基础设施,按照X.509标准中定义,“是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证
15、书的产生、管理、存储、分发和撤销等功能。”应用PKI的目的是管理密钥并通过公钥算法实现用户身份验证。但在实际访问控制应用中,存在一些问题:如,用户数目很大时,通过身份验证仅可以确定用户身份,但却不能区分出每个人的用户权限。这就是PKI新扩展产生的一个原因。另外,访问控制和授权很复杂。比如说,在一个机构相关范围内,往往包含多种角色,每个角色担负不同的职责和业务,每个人员又可以承担多个角色(企业内,领导,技术人员,管理人员,销售,伙伴,客户);要保护的内容也是不同的,如数据库,网页,文件;管理规定可能多种多样,如分支机构定义的规则不能违反高一级机构的规则;访问控制策略也是及其复杂的,同样的一个角色,在不同的系统中具有的权限往往是不同的,部门内的策略不能和机构的策略冲突;安全应用系统的环境也千差万别,等等。而且,权限信息相对于身份信息来说容易改变,维护授权信息代价相对维护身份信息要高的多。在PKI得到较大规模应用以后,人们已经认识到需要超越当前PKI提供的身份验证和机密性,步入授权验证的领域,提供信息环境的权限管理将成为下一个主
