一、概述
授权管理基础设施PMI(Privilege Management Infrastructure)是国家信息安全基础设施(National Information Security Infrastructure,NISI)的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。授权管理基础设施PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请,签发,注销,验证流程对应着权限的申请,发放,撤消,使用和验证的过程。而且,使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用,而且利于权限的安全分布式应用。
授权管理基础设施PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。同公钥基础设施PKI相比,两者主要区别在于:PKI证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构,由他们决定建立身份认证系统和属性特权机构。在PKI中,由有关部门建立并管理根CA,下设各级CA、RA和其它机构;在PMI中,由有关部门建立授权源SOA,下设分布式的AA和其它机构。
PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。
建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。
二、PMI技术的授权管理模式及其优点
授权服务体系主要是为网络空间提供用户操作授权的管理,即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。授权服务体系一般需要与信任服务体系协同工作,才能完成从特定用户的现实空间身份到特定应用系统中的具体操作权限之间的转换。
目前建立授权服务体系的关键技术主要是授权管理基础设施PMI技术。PMI技术通过数字证书机制来管理用户的授权信息,并将授权管理功能从传统的应用系统中分离出来,以独立服务的方式面向应用系统提供授权管理服务。由于数字证书机制提供了对授权信息的安全保护功能,因此,作为用户授权信息存放载体的属性证书同样可以通过公开方式对外发布。 由于属性证书并不提供对用户身份的鉴别功能,因此,属性证书中将不包含用户的公钥信息。考虑到授权管理体系与信任服务体系之间的紧密关联,属性证书中应表明与之相关联的用户公钥证书的Ⅲ号,以便将特定的用户角色(对应于操作权限)绑定到对应的用户上。属性证书可以直接采用标准的X.509证书格式,而且由于不存放用户公钥,将不存在双证书机制的问题。
授权管理体系将操作授权管理功能从传统的信息应用系统中剥离出来,可以为应用系统的设计、开发和运行管理提供很大的便利。应用系统中与操作授权处理相关的地方全部改成对授权服务的调用,因此,可以在不改变应用系统的前提下完成对授权模型的转换,进一步增加了授权管理的灵活性。同时,通过采用属性证书的委托机制,授权管理体系可进一步提供授权管理的灵活性。
与信任服务系统中的证书策略机制类似,授权管理系统中也存在安全策略管理的问题。同一授权管理系统中将遵循相同的安全策略提供授权管理服务,不同的授权管理系统之间的互通必须以策略的一致性为前提。
与传统的同应用密切捆绑的授权管理模式相比,基于PMI技术的授权管理模式主要存在以下三个方面的优势:
授权管理的灵活性
基于PMI技术的授权管理模式可以通过属性证书的有效期以及委托授权机制来灵活地进行授权管理,从而实现了传统的访问控制技术领域中的强制访问控制模式与自主访问控制模式的有机结合,其灵活性是传统的授权管理模式所无法比拟的。
与传统的授权管理模式相比,采用属性证书机制的授权管理技术对授权管理信息提供了更多的保护功能;而与直接采用公钥证书的授权管理技术相比,则进一步增加了授权管理机制的灵活性,并保持了信任服务体系的相对稳定性。
授权操作与业务操作相分离
基于授权服务体系的授权管理模式将业务管理工作与授权管理工作完全分离,更加明确了业务管理员和安全管理员之间的职责分工,可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。
基于PMI技术的授权管理模式还可以通过属性证书的审核机制来提供对操作授权过程的审核,进一步加强了授权管理的可信度。
多授权模型的灵活支持
基于PMI技术的授权管理模式将整个授权管理体系从应用系统中分离出来,授权管理模块自身的维护和更新操作将与具体的应用系统无关,因此,可以在不影响原有应用系统正常运行的前提下,实现对多授权模型的支持。
三、授权管理基础设施PMI系统的架构及需求
一)PKI系统的架构
PMI 授权服务体系以高度集中的方式管理用户和为用户授权,并且采用适当的用户身份信息来实现用户认证,主要是 PKI 体系下的数字证书,也包括动态口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来,以独立和集中服务的方式面向整个网络,统一为各应用系统提供授权管理服务。
授权管理基础设施PMI在体系上可以分为三级,分别是信任源点SOA中心、属性权威机构AA中心和AA代理点。在实际应用中,这种分级体系可以根据需要进行灵活配置,可以是三级、二级或一级。授权管理系统的总体架构如下图1所示。
图1 授权服务体系的总体架构示意图
1、信任源点SOA
信任源点(SOA中心)是整个授权管理体系的中心业务节点,也是整个授权管理基础设施PMI的最终信任源和最高管理机构。
SOA中心的职责主要包括:授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。
2、授权服务中心AA
属性权威机构AA中心是授权管理基础设施PMI的核心服务节点,是对应于具体应用系统的授权管理分系统,由具有设立AA中心业务需求的各应用单位负责建设,并与SOA中心通过业务协议达成相互的信任关系。
AA中心的职责主要包括:应用授权受理、属性证书的发放和管理,以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。
3、授权服务代理点
AA代理点是授权管理基础设施PMI的用户代理节点,也称为资源管理中心,是与具体应用用户的接口,是对应AA中心的附属机构,接受AA中心的直接管理,由各AA中心负责建设,报经主管的SOA中心同意,并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。
AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等,负责对具体的用户应用资源进行授权审核,并将属性证书的操作请求提交到授权服务中心进行处理。
4、访问控制执行者
访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块,因此,实际上并不属于授权管理基础设施的部分,但却是授权管理体系的重要组成部分。
访问控制执行者的主要职责是:将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一起提交到授权服务代理点,并根据授权服务中心返回的授权结果,进行具体的应用授权处理。
二)PMI系统的需求
权限管理作为PKI的一个领域得到快速发展,人们已经认识到需要超越当前PKI提供的身份验证和机密性,步入授权验证的领域,提供信息环境的权限管理将成为下一个主要目标。在PKI的基础上,PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密的集成。PMI作为一个基础设施能够系统地建立起对认可用户的授权。PMI通过结合授权管理系统和身份认证系统补充了PKI的弱点,提供了将PKI集成到应用计算环境的模型。PMI权限管理和授权服务基础平台应该满足下面的需求:作为权限管理和授权服务的基础设施,可以为不同类型的应用提供授权管理和访问控制的平台支持。
平台策略的定制应该灵活,能够根据不同的情况定制出不同的策略。如:不同级别的政府机关,同一级别的不同部门,策略可能是截然不同的,PMI应该能够根据这些不同的情况灵活的定制出策略。
平台管理功能的操作应该简单。由于管理人员可能属于不同领域,他们在权限管理方面的知识参差不齐,所以管理功能应该尽量简单。
平台应该具有很好的扩展能力。如:可以随时的增加功能模块,而不必改变原来的程序构架,或改动很小;可以随时增加决策标准;可以针对不同的应用定制实施模块。
平台应该具有较好的效率,避免决策过程明显的影响访问速度。
平台应该独立于任何应用。
随着信息安全市场的成熟,对访问控制产品的兴趣和认识日益增长,显示出PMI系统良好的应用前景。PMI应用能够有效地增强系统的安全性,改变现有的多种权限管理模型带来权限管理混乱,降低应用系统的开发成本,提高企业的效率。
四、授权管理基础设施PMI的应用
1、在国家电子政务中应用
国家信息安全基础设施(NISI)由公开密钥基础设施(PKI)和授权管理基础设施(PMI)组成。其中,公开密钥(简称“公钥”)基础设施构成所谓的PKI信息安全平台,提供智能化的信任服务;而授权管理基础设施PMI构成所谓的授权管理平台,在PKI信息安全平台的基础上提供智能化的授权服务。
采用公钥密码体制构建公钥基础设施PKI,是在大型开放的网络环境下解决信息安全问题的最可行、最有效的办法。公钥基础设施是国家信息安全建设中极其关键的基础性设施,它在底层网络基础设施的基础上构建了一个一致的信息安全服务层面,可以满足各种应用在安全方面的需求。
授权管理基础设施PMI以一个身份鉴别体系(如PKI体系)为基础,向应用系统提供全面统一的授权管理和访问控制服务。授权管理基础设施PMI主要提供分布式计算环境中应用系统的访问控制功能,通过将访问控制机制从具体应用系统的开发和管理中分离出来,使访问控制机制与应用系统之间能灵活而方便地结合和使用。具有我国自主知识产权的授权管理基础设施现已研发成功。
可信时间戳服务系统是国家信息安全基础设施(NISI)的另一重要组成部分,它将精确授时技术和公钥基础设施PKI技术有机地结合起来,通过对证书或相关的数据加上时间标记,以此建立证据表明证书或数据的存在和有效性,从而为电子政务的各种应用提供可靠的时间戳服务。
授权管理基础设施PKI技术是一个新出现的领域,我国在这方面的研究比国外先进水平落后不多,由于电子政务应用自身的特点,PKI技术将在整个电子政务系统中发挥重要作用。
2、基于PKI/PMI的IP宽带城域网安全应用
采用PKI/PMI体系构建信任与授权服务支撑平台,为IP宽带城域网提供信任服务和授权服务。平台通过对实体的PKC(包括用户个人信息,如序列号、IP地址、MAC地址等信息)、AC(包括用户的属性信息,如角色、访问控制权限等)的认证、授权、管理来建立一个统一的智能化信任与授权基础环境,确立了“一实体一证、统一发证、分布式逐级管理”的IP宽带城域网运营管理模式。“一实体一证”是由PKC的唯一性,准确地标识用户身份;所谓“统一发证”是指:由第三方证书认证中心(CA)认证机构负责统一签发IP宽带城域网的用户、设备的PKC;由信任与授权服务支撑平台提供AC的统一签发并实现证书的统一管理,保证网络信任域管理服务。而“分布式逐级管理”是指:网络信任域按实际的责任和管理范围来划分,每个城市或地区的IP宽带城域网系统也可以根据用户类型划分基本信任域(如可区别普通家庭用户、大客户等),每个基本信任域都有自己的管理系统负责本信任域的管理,网络信任域管理系统通过信任与授权服务支撑平台提供信任与授权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管理体系。
如深圳电信采用了当今先进的网络产品和技术,充分开展各种先进的IP网络服务,代表了目前我国各大城市中最新的IP宽带城域网网络状况。该项目的关键技术是将我国具有自主知识产权的PKI(公钥基础设施)和PMI(授权管理基础设施)等信息安全关键技术,应用到电信IP宽带网中来,构建了信息安全基础设施平台。其中采用了数字证书方式实现电信宽带IP网络的用户认证和授权,从而实现了IP宽带网的可控制、可管理、可经营。