（计算机系统结构专业论文）跨域授权管理系统的研究与实现.pdf

摘要 随着企业对互联网商业事务处理要求的进一步提高，集中的信息存储模式已 经不能很好地满足企业对信息及时性、交互性的要求，为了更好地满足企业对新 一代互联网事务处理的需求，真正实现企业在互联网上的自主性、独立性，w e b 服务应运而生。w e b 服务是一种崭新的分布式计算模式，基于一系列开放的标准技 术【l 】，是下一代电子商务的框架，但w 曲服务能否顺利发展的关键是其安全问题， 而访问控制是解决安全问题的重要途径。 在w e b 服务环境下，这些w e b 服务通常分布在不同的安全域中。因此，为了防 止未授权客户访问和使用这些w e b 服务，跨域授权管理成为解决安全问题的核心内 容。 本文在公钥基础设施p k i 和授权管理基础设施p m i 的基础之上，提出了一种 基于角色的分布式授权管理系统的实现模型，详细描述了域内授权管理系统的实 现及域间的动态角色映射和授权步骤。并从物理结构和逻辑结构两个方面对系统 的实现做了详细介绍。整个系统的实现过程中充分考虑了系统的安全性、灵活性 和可操作性。该系统在实际应用中取得了稳定、可靠和有效的结果。 关键词：授权管理基础设施基于角色访问控制跨域授权 a b s t r a c t w 1 t l lt h ef u r t h e ri m p r o v e m e n to ft h er e q u i r e m e n t st ot h eb u s i n e s st r a n s a c t i o n p r o c e s s i n g t h ec e m r a l i z e ds t o r a g em o d e lh a sb e e nu n a b l e 幻m e e tt h ed e m a n do f e n t e r p d s e sf o rt i m e l i n e s sa n di n t e r a c t i o no fi n f o r r n a t i o mi no r d e rt ob e t t e rm e e tt h e n e e d so fb u s i n e s se n t e r p r i s e sf o rt h en e x tg e n e r a t i o ni n t e r n e t ，t or e a l l yr e a l i z et h e a u t o n o m ya n di n d e p e n d e n c e0 1 3h l t e m e t ，t h ew 曲s e r v i c e 印g a g e d w e bs e r v i c ei san e wd i s t r i b u t e dc o m p u t i n gm o d e ，b a s e do nas e r i e so fo p e n s t a n d a r dt e c h n o l o g i e s “i ti st h ef r a m e w o r ko ft h en e x tg e n e r a t i o ne - c o m m e r c e t h e k e y t ot h es u c c e s s f u ld e v e l o p m e n to f w e bs e r v i c e si si t ss e c u r i t yp r o b l e m s a n da c c e s s c o n t r o li sa ni m p o r t a n tw a yt os o l v es e c u r i t yp r o b l e m s i nt h ew e be n v i r o n m e n t , t h e s ew e bs e r v i c e so f t e nl o c a t ei nd i f f e r e n ts a f e t yd o m a i n t h e r e f o r e , i no r d e r 幻p r e v e n tu n a u t h o r i z e dc l i e n t sf r o ma c c e s s i n ga n du s i n gt h e s ef 佟西 s e r v i c e s t h ec r o s s - d 咖a i l lp r i v i l e g em a n a g e m e n tb e c o m e st h ec o l ec o n t e n tt or e s o l v e s e c u r i t yp r o b l e m s b a s e do nt h ep u b l i ck e yi n f r a s t r u c t u r ea n dp r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e , t h i sp a p e rp u t sf o r w a r dar b a cd i s t r i b u t e dc r o s s - d o m a i np r i v i l e g em a n a g e m e n t m o d e l ，d e t a i l e d l yd e s c r i b e s t h er e a l i z a t i o nm o d do ft h ei n d o m a i n p r i v i l e g e m a n a g e m e n ts y s t e m 、t h ei n t e r - d o m a i nd y n a m i cr o l em a p p i n ga n dp r i v i l e g es t e p s a n d m a k e sad e t a i l e di n t r o d u c t i o no ft h er e a l i z a t i o no ft h es y s t e mf r o mt w oa s p e c t s ：t h e p h y s i c a l a n dl o g i c a l s t r u c t u r e d u r i n gt h er e a l i z a t i o no ft h i ss y s t e m , s e c u r i t y 、 e x t e n s i b i l i t ya n do p e r a b i l i t yi sf u l l yc o n s i d e r e d t l l i ss y s t e mh a ss o l i d s t a b l ea n dv a l i d p e r f o r m a n c e so f a p p l i c a t i o ni nr e a le n v i r o n m e n t s k e y w o r d ：p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e 、r o l e - b a s e da c c e s sc o n t r o l 、 c r o s s - d o m a i n p r i v i l e g e 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：毯丝日期建丑主：z 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为话安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本学位论文属于机密，在一年解密后适用本授权书。 本人签名：l 逸日期望竺2 ：主：2 导师签名： 醐享弓瑚 第一章绪论 第一章绪论 1 1 论文背景和意义 目前国内信息化建设越来越完善，电子政务、电子商务得到了迅猛的发展。 各个现代企业也越来越重视网络信息系统的建设，各种电子邮件系统、网络办公、 电子财务、人事管理等针对特定行业的业务系统的信息网络化发展速度飞快。应 用系统正常运营时，用户需要同时访问多个应用系统，并经常访问系统中的部分 受保护的信息资源 4 1 。由于用户在访问不同应用系统时需要独立访问该应用系统； 同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务 信息并加以分析利用。此外，用户在进行业务操作时，需要分别登录到不同的应 用系统中，由于系统较多，用户的身份认证信息容易混杂或丢失，或者一套简单 认证信息多系统使用，造成保密强度降低等问题。而在安全性和系统管理方面， 应用系统需要大量的i t 技术管理人员，分别管理和维护不同系统( 如：e r p 、统 计分析、o a 、财务系统等) 的用户信息。因此需要建立可靠、安全、保密的应用 系统网络环境，保证系统不受破坏和干扰【l ”。 处于不同域中的企业、机构之间越来越多的业务上的往来，经常需要通过网 络来交换机密的资料或数据，所以建立可以在不同企业，不同机构之间进行的身 份认证和授权管理系统就变得比较重要了。由于目前的各个企业、机构大部分都 已经建立了自己的认证、授权管理系统，如何在此基础上实现不同认证、授权管 理系统的整合，最终实现跨网络域、跨信任域的身份认证及授权管理成为目前的 热点和难点问题。本文所研究的跨域授权管理系统就是基于这一背景提出来的。 1 2 论文工作 访问控制是实现计算机网络安全的一个很重要的内容，涉及到许多相关的新 技术，如角色访问控制框架、p m i 、p k i 等，所以它们的融合需要考虑它们的可 行性、灵活性、扩展性、合理性、事务性等等。另外，本文主要研究的是电子政 务中的跨域访问控制，因此对可靠性、安全性、健壮性有很高的要求，大大增加 了系统的设计和实现难度。 本文作者的主要任务是对跨域授权管理系统的可行性进行分析和验证。对它 的结构层次进行研究，进而对整个方案的总体架构进行分析和设计，并参与跨域 授权管理系统的具体实现。具体参与了该系统的方案论证、需求分析和系统结构 2 跨域授权管理系统的研究与实现 设计，负责实现系统安全中的核心服务访问控制。 具体工作内容主要包括： 查阅了大量有关网络安全和访问控制方面的文献，认真深入地研究了p m i 和角色访问控制方面的系列标准、草案和建议。在此基础上论证了建立基于角色 访问控制模型的特定权限管理中心的可行性； 根据实际系统的特点和需要，首先针对单域情况提出了一种基于角色访问 控制并以p k i 为基础的权限管理中心系统模型，其次在单域的基础上提出了跨域 授权管理系统的实现模型及结构设计和实现； 在实际项目中，参与基于这两个模型建立的跨域授权管理系统的系统分 析、详细设计和实现。 本人在论文撰写过程中主要的创新点是： 系统地研究了信息安全中与访问控制相关的技术； 提出基于角色访问控制技术的授权管理模型； 提出了跨域授权管理系统的实现模型，解决了跨域系统中的角色映射、角 色继承、域穿梭等问题。 在实际系统中成功的实现该模型并解决了相关技术难题。 1 3 论文结构 本文的结构如下： 第一章绪论。 第二章p k i 和p m i 综述，着重介绍了p k i 的基本概念，p k i 的核心安全服 务，p m i 的基本概念，p m i 的体系结构，p m i 的授权管理模式，数字证书和属性 证书的基本内容，以及p k i 和p m i 的比较。 第三章访问控制，介绍了访问控制的基本概念，访问控制策略，传统访问控 制的实现方法，并着重介绍了基于角色的访问控制技术及模型。 第四章跨域授权管理系统的设计模型，从总体上分析了当前跨域认证授权领 域的两种模型，并详细介绍了单域授权管理系统的实现模型，最后分析了跨域认 证授权系统与已有认证授权系统的集成及相关安全措施。 第五章分布式跨域授权管理系统的实现，针对第四章的设计模型，重点介绍 了第二种模型即分布式授权管理模型的实现。深入详细介绍了分布式跨域授权管 理系统的实现模型及改进措施，系统物理结构设计及逻辑结构设计，并根据实际 需求给出了具体实现方法，最后介绍了系统的实现环境。 第六章系统调试与运行，对系统中的主要功能模块的调试运行情况进行描述。 第七章结束语，对本论文的工作进行了总结，并提出了今后的改进方向。 第二章p k i 和p m i 综述 3 第二章p k i 和p m i 综述 p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) 即授权管理基础设旌，它依赖于 公共密钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) ，它们都是信息安全基础设施 的一个重要组成部分。p k i 以数据的机密性、完整性和不可抵赖性为安全目的而 构建的硬软件综合设施，提供身份认证、数据完整性和不可否认性的服务，解决 了在网络中“你是谁”的问题；而p m i 是以资源管理为核心，对资源的访问控制 统一交由授权管理机构进行管理，解决了在网络中“你具有什么权限，你可以做 什么”的问题。当然，p m i 是建立在p k i 基础之上的，因此在我们叙述p m i 之前， 不可避免的要谈到p k i ，安全设备管理系统的安全性也同时需要将二者很好的结 合起来。本章节就是在这样的背景下首先对p k i 进行了概述，接下来介绍了p m i 的技术概要，p m i 的体系结构及管理模式，最后对p m i 及p k i 进行了分析和比较。 2 1 1p k i 服务 2 1 公共密钥基础设施p k i 概述 p k i 按照x 5 0 9 标准中定义，“p k i 是一个包括硬件、软件、人员、策略和规 程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发 和撤销等功能。, i x 卅 作为安全基础设施，p k i 为安全应用和实体提供通用的、安全的服务。认证、 完整性和机密性是p k i 的核心服务，这些服务能够让实体证明他们就是他们所申 明的身份，保证重要数据没有被任何方式修改，确信发送的数据只能由接收方读 懂。除此以外，p k i 还定义了附加的支撑服务，但这些服务并不是任何p k i 本身 固有的功能，而是建立在p k i 的核心服务之上。有的p k l 支持附加的支撑服务， 有的则不支持。 核心服务有： ( 1 ) 认证，是一个实体( 实体可以是自然人、设备或某种应用系统) 确认另一 个实体确实是他自己。认证在实际的应用中分为两种情况：实体认证和数据来源 认证。实体认证只是认证实体本身的身份，一旦获得认证，就可以在权限范围内 进行资源访问或者通信等活动。数据来源认证是认证某个指定的数据是否来源于 某个特定的实体，它不光是孤立的鉴别一个实体，而是要确定被鉴别的实体与一 些特定数据有着静态的不可分割的联系。 4 跨域授权管理系统的研究与实现 ( 2 ) 完整性，是确认数据在传输和存储过程中没有被修改。为了防范数据被非 法修改，必须采用加密技术。通常在希望提供数据完整性的实体和需要验证数据 完整性的实体之间，需要协商合适的加密算法和密钥。p k i 的完整性服务能够完 全满足这样的需求，因为算法选择和私钥协商是p k i 的一项基础工作。 ( 3 ) 机密性，是确保数据的秘密，除了指定的实体外，无人能够读出、理解这 段数据。机密性服务和完整性服务一样，通信的实体双方需要协商合适的算法和 密钥。p k i 的机密性服务是一个框架结构，通过它可以完成算法协商和密钥交换， 而且对参与通信的实体是完全透明的。 支撑服务有： ( 1 ) 安全通信，发送方给接收方传输的数据具有认证、完整性和机密性中的 一个或多个特征。这个服务依赖于核心p k i 服务，但它是结合传统网络和通信协 议而产生的一个扩展的p k l 支撑的服务。例如安全虚拟专用网络( v p n ) 。 ( 2 ) 安全时间戳，是一个可信的时间权威用一段可认证的完整的数据表示时 间戳。安全时间戳中重要的不是时间本身的真实性，而是相关时间的安全。安全 时间戳服务需要核心p k i 服务中的认证和完整性的支持。 ( 3 ) 不可否认性，它基本的想法是用户用密码的手段认可某个行为，以证明 事后否认自己的行为是蓄意的。不可否认包括指数据来源的不可否认和接收后的 不可否认。它依赖于其他p k l 支撑服务去实现，特别是安全时间戳服务。 ( 4 ) 特权管理，包括身份鉴别、访问控制、权限管理、许可管理、能力管理 等等。在一个环境中，必须为单个实体、特定的实体组和指定的实体角色制定策 略( 或称规则) 。这些策略规定实体、组和角色能做什么，不能做什么。特权管理 就是创建并加强策略，以便在维持所希望级别的安全的基础上，进行操作。 2 1 2p k i 新扩展的产生 应用p k i 的目的是管理密钥并通过公钥算法实现用户身份验证。但在实际访 问控制应用中，存在一些问题：如，用户数目很大时，通过身份验证仅可以确定 用户身份，但却不能区分出每个人的用户权限。这就是p k i 产生的一个原因。 另外，访问控制和授权很复杂。比如说，在一个机构相关范围内，往往包含 多种角色，每个角色担负不同的职责和业务，每个人员又可以承担多个角色( 企 业内，领导，技术人员，管理人员，销售，伙伴，客户) ；要保护的内容也是不同 的，如数据库，网页，文件等等；管理规定可能多种多样，如分支机构定义的规 则不能违反高一级机构的规则：访问控制策略也是及其复杂的，同样的一个角色， 在不同的系统中具有的权限往往是不同的，部门内的策略不能和机构的策略冲突； 安全应用系统的环境也千差万别，等等。而且，权限信息相对于身份信息来说容 第二章p k i 和p m i 综述 5 易改变，维护授权信息代价相对维护身份信息要高的多。目前，缺乏有效的权限 管理带来了以下问题： 权限管理混乱 对一个机构而言，数据和人力资源都是统一的，但是由于系统设计的原因， 可能对相同的人员采用不同的管理方式，对机构内韵共享数据采用了不同的权限 分配策略，这显然不合理，也不利于对机构资源的管理。 带来系统的不安全因素 不同的权限管理策略产生的安全强度是不同的，这就可能造成机构信息安全 管理的漏洞，因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中 攻击，这就给机构资源的安全性带来极大的危害。 权限管理依赖于访问控制应用 权限的赋予和撤销往往都是在访问控制应用中产生的，不同的访问控制应用 之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。每个应 用都要维护自己的用户信息和授权方法，权限无法在分布的应用中和远程应用中 使用。 资源所有者没有权限 应用系统负责权限的发放和使用，造成权限真正的拥有者不能有效、及时的 更改、发布实时的权限信息。比如机构内一个人的职务或业务的变化必须通知相 关的应用中进行更新。而从本质上讲，权限的发放和权限的鉴别使用是完全不同 的两个过程，完全可以分开，权限的拥有者发放权限，而由资源的保护者验证权 限。 增加了系统管理员的负担 由于不同的系统采用的是不同的权限管理策略，系统管理员不得不熟悉和操 作不同的权限管理模式，这无疑增加了系统管理员的负担。另外，大多数老系统 都采用的是权限访问控制列表的方式，但是对于大型复杂应用用这种方式来分配 权限，给系统管理员带来巨大负担且易出错。 开发复杂费用高 设计一个新的安全应用系统时，权限管理是一个极其重要的部分。在缺乏统 一权限管理模型的情况下，设计人员要考虑选择权限管理模型、访问控制授权方 案，而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能，为一 个应用开发的管理往往无法在其它应用中重用，增大系统建设的费用。 在p k i 得到较大规模应用以后，人们已经认识到需要超越当前p k i 提供的身 份验证和机密性，步入授权验证的领域，提供信息环境的权限管理将成为下一个 主要目标。因此，i t u 和i e t f 进行了p k i 的扩展，允许该基础设施支持和处理 授权。由此提出了授权管理技术设施p m i ，下面的章节将对p m i 进行详细的介绍。 6 跨域授权管理系统的研究与实现 2 2p m i 基本概念 授权管理基础设施p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) 是国家信息安 全基础设施n i s i ( n a t i o n a li n f o r m a t i o ns e c u r i t yi n f r a s t r u c t u r e ) 的一个重要组成部 分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映 射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的 授权和访问控制机制，简化具体应用系统的开发与维护【2 ”。授权管理基础设施 p m i 是一个属性证书、属性权威、属性证书库等部件构成的综合系统，用来实现 权限和证书的产生、管理、存储、分发和撤销等功能。p m i 使用属性证书表示和 容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。属性证书 的申请、签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的 过程。而且，使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体 的应用，而且利于权限的安全分布式应用。 授权管理基础设施p m i 以资源管理为核心，对资源的访问控制权统一交由授 权机构统一处理，即由资源的所有者来进行访问控制。同公钥基础设施p k i 相比， 两者主要区别在于：p k i 证明用户是谁，而p m i 证明这个用户有什么权限，能干 什么，而且授权管理基础设施p m i 需要公钥基础设施p k i 为其提供身份认证。p m i 与p k i 在结构上是非常相似的。信任的基础都是有关权威机构，由他们决定建立 身份认证系统和属性特权机构。在p k i 中，由有关部门建立并管理根c a ( c e r t i f i c a t ea u t h o r i t y ) ，即根数字证书认证中心，下设各级c a 、审核注册中心 r a ( r e g i s t r a t i o n a u t h o r i t y ) 和其它机构；在p m i 中，由有关部门建立授权源s o a ( s o u r c eo f a u t h o r i t y ) ，下设分布式的a a ( a t t r i b u t e a u t h o r i t y ) 和其它机构。 p m i 实际提出了一个新的信息保护基础设施，能够与p k i 和目录服务紧密地 集成，并系统地建立起对认可用户的特定授权，对权限管理进行了系统的定义和 描述，完整地提供了授权服务所需过程。 建立在p k i 基础上的p m i ，以向用户和应用程序提供权限管理和授权服务为 目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份 到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开 发和管理无关的访问控制机制，极大地简化应用中访问控制和权限管理系统的开 发与维护，并减少管理成本和复杂性。 2 3p m i 的体系架构 p m i 授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适当 第二章p k i 和p m i 综述 7 的用户身份信息来实现用户认证，主要是p k i 体系下的数字证书，也包括动态 口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来，以独 立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务。 授权管理基础设施p m i 在体系上可以分为三级，分别是信任源点s o a 中心、 属性权威机构- a ：a 中心和a a 代理点。在实际应用中，这种分级体系可以根据需 要进行灵活配置，可以是三级、二级或一级。授权管理系统的总体架构如图2 1 所示。 图2 1 授权服务体系的总体架构示意图阿 信任源点s o a 信任源点( s o a 中心) 是整个授权管理体系的中心业务节点，也是整个授权 管理基础设施p m i 的最终信任源和最高管理机构。 s o a 中心的职责主要包括：授权管理策略的管理、应用授权受理、a a 中心 的设立审核及管理和授权管理体系业务的规范化等。 授权服务中心从 属性权威机构a a 中心是授权管理基础设施p m i 的核心服务节点，是对应于 具体应用系统的授权管理分系统，由具有设立从中心业务需求的各应用单位负 责建设，并与s o a 中心通过业务协议达成相互的信任关系。 a a 中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及从 代理点的设立审核和管理等。a a 中心需要为其所发放的所有属性证书维持一个 历史记录和更新记录。 资源管理中心r a m 。资源管理中心也就是授权服务代理点是授权管理基础设施p m i 的用户代理 8 跨域授权管理系统的研究与实现 节点，是与具体应用用户的接口，是对应从中心的附属机构，接受a a 中心的 直接管理，由各a a 中心负责建设，报经主管的s o a 中心同意，并签发相应的证 书。a a 代理点的设立和数目由各从中心根据自身的业务发展需求而定。 从代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责 对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务 中心进行处理。在本授权系统中执行资源管理中心也就是授权服务代理点功能的 机构是属性注册机构a r a 。 访问控制执行者 访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块，因此， 实际上并不属于授权管理基础设施的部分，但却是授权管理体系的重要组成部分。 访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授 权信息( 属性证书) 连同对应的身份验证信息( 公钥证书) 一起提交到授权服务 代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理。 2 4p m i 的授权管理模式 、 授权服务体系主要是为网络空间提供用户操作授权的管理，即在虚拟网络空 间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。授权 服务体系一般需要与信任服务体系协同工作，才能完成从特定用户的现实空间身 份到特定应用系统中的具体操作权限之间的转换。 目前建立授权服务体系的关键技术主要是授权管理基础设施p m i 技术。p m i 技术通过数字证书机制来管理用户的授权信息，并将授权管理功能从传统的应用 系统中分离出来，以独立服务的方式面向应用系统提供授权管理服务。由于数字 证书机制提供了对授权信息的安全保护功能，因此，作为用户授权信息存放载体 的属性证书同样可以通过公开方式对外发布。由于属性证书并不提供对用户身份 的鉴别功能，因此，属性证书中将不包含用户的公钥信息。考虑到授权管理体系 与信任服务体系之间的紧密关联，属性证书中应表明与之相关联的用户公钥证书 的i 号，以便将特定的用户角色( 对应于操作权限) 绑定到对应的用户上。属性 证书可以直接采用标准的x 5 0 9 证书格式，而且由于不存放用户公钥，将不存在 双证书机制的问题。 授权管理体系将操作授权管理功能从传统的信息应用系统中剥离出来，可以 为应用系统的设计、开发和运行管理提供很大的便利。应用系统中与操作授权处 理相关的地方全部改成对授权服务的调用，因此，可以在不改变应用系统的前提 下完成对授权模型的转换，迸一步增加了授权管理的灵活性。同时，通过采用属 性证书的委托机制，授权管理体系可进一步提供授权管理的灵活性。 第二章p k i 和p m i 综述 9 与信任服务系统中的证书策略机制类似，授权管理系统中也存在安全策略管 理的问题。同一授权管理系统中将遵循相同的安全策略提供授权管理服务，不同 的授权管理系统之间的互通必须以策略的一致性为前提。 与传统的同应用密切捆绑的授权管理模式相比，基于p m i 技术的授权管理模 式主要存在以下三个方面的优势： 1 授权管理的灵活性 基于p m i 技术的授权管理模式可以通过属性证书的有效期以及委托授权机 制来灵活地进行授权管理，从而实现了传统的访问控制技术领域中的强制访问控 制模式与自主访问控制模式的有机结合，其灵活性是传统的授权管理模式所无法 比拟的。 与传统的授权管理模式相比，采用属性证书机制的授权管理技术对授权管理 信息提供了更多的保护功能；而与直接采用公钥证书的授权管理技术相比，则进 一步增加了授权管理机制的灵活性，并保持了信任服务体系的相对稳定性。 2 授权操作与业务操作相分离 基于授权服务体系的授权管理模式将业务管理工作与授权管理工作完全分 离，更加明确了业务管理员和安全管理员之间的职责分工，可以有效地避免由于 业务管理人员参与到授权管理活动中而可能带来的一些问题。 基于p m i 技术的授权管理模式还可以通过属性证书的审核机制来提供对操 作授权过程的审核，进一步加强了授权管理的可信度。 ， 3 多授权模型的灵活支持 基于p m i 技术的授权管理模式将整个授权管理体系从应用系统中分离出来， 授权管理模块自身的维护和更新操作将与具体的应用系统无关，因此，可以在不 影响原有应用系统正常运行的前提下，实现对多授权模型的支持。 2 5 数字证书和属性证书 在p k i + p m i 的体系中存在两种证书：( 1 ) 数字证书即公钥证书p k c ( p u b l i c k e y c e r t i f i c a t e ) ，主要作用是为身份认证提供安全依据。( 2 ) 属性证书a c ( a t t r i b u t e c e r t i f i c a t e ) ，主要用于授权管理。 数字证书 数字证书也称为公钥证书是网络通信中标志通信各方身份信息的一系列数 据，其作用类似于现实生活中的身份证，由第三方权威机构c a 发行，可以用来 在网络中标识对方的身份。 使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密 的身份认证机制，从而保证：信息除了发送方和接受方外不被其他人窃取；信息 1 0 跨域授权管理系统的研究与实现 在传输过程中不被篡改；发送方能够通过数字证书来确定接受方的身份；发送方 对于自己的信息不能抵赖等。 数字证书通常包含三部分信息：用户的身份标识( 如姓名、地址、身份证号 码等) 、用户公钥信息和权威机构对这些数据作的签名。为用户签发证书的第三方 或权威机构通常称为密钥证书中心k c c ( k e yc e r t i f i c a t ec e n t r e ) ，证书是k c c 用 其私钥进行数字签名得到的。数字证书一般采用如下的结构如图2 2 所示。 序列号 证书颁发者唯一标识符 有效期 主体唯一标识符 主体公钥信息 密钥证书用法 扩展项 认证机构数字签名 图2 2 数字证书结构o q k c c 用其私钥对以上数据进行数字签名产生用户的数字证书即公钥证书，并 通过适当的途径颁发给用户【”】。 第三方一般是被用户团体信任的证书权威机构( c a ) ，例如政府部门或金融 机构。用户以安全的方式向数字证书权威机构出具其公钥，权威机构颁发给用户 证书。然后，用户就可以公开这个证书洲。任何需要与该用户通信的用户都可以 获得该用户的公钥证书，并通过相关的信任签名来验证公钥的有效性。图2 3 描 述了这个过程。 图2 3 数字证书产生过程【刎 方信任机 私钥对捕 加密的过 为签名 第二章p k i 和p m i 综述 x 5 0 9 证书是应用范围最广的一种证书。x 5 0 9 证书是国际电信联盟电信 ( i t u t ) 部分标准和国际标准化组织( i s o ) 的证书格式标准。它是随着p k i 的形成而新发展起来的安全机制。x 5 0 9 标准证书已经应用到了大多数网络安全 应用中，包括口安全、安全套接层( s l l ) 、安全电子商务( s e t ) 和s m i m e 等。 p k c s l 2 是p k c s 标准中的个人信息交换标准( p e r s o n a li n f o r m a t i o ne x c h a n g e s y n t a x ) 。p k c s l 2 将x 5 0 9 证书及其相关联的非对称密钥对，通过加密封装在一 起。这使得用户可以通过p k c s l 2 证书获得自己的非对称密钥对和x 5 0 9 证书。 通常将封装了用户的非对称密钥对和x 5 0 9 证书的p k c s l 2 文件称之为“私钥证 书”或p k c s l 2 证书，而将x 5 0 9 证书称为“公钥证书”【2 】。 属性证书 属性证书建立在基于公钥证书的身份认证的基础上。公钥证书保证实体及其 公钥的对应性，为数据完整性、实体认证、保密性、授权等安全机制提供身份服 务。那么，为什么不直接用公钥证书来承载属性而使用独立的属性证书呢? 首先，身份和属性的有效时间有很大差异。身份往往相对稳定，变化较少； 而属性如职务、职位、部门等则变化较快。因此，属性证书的生命周期往往远低 于用于标识身份的公钥证书。举例来说，公钥证书类似于日常生活中护照，而属 性证书类似于签证。护照代表了一个人的身份，有效期往往很长；而签证的有效 期则几个月、几年不等。 其次，公钥证书和属性证书的管理颁发部门有可能不同。仍以护照和签证为 例，颁发护照的是一个国家，而颁发签证又是另一个国家；护照往往只有一个( 多 国籍的除外) ，而签证数量却决定于要访问的国家的多少。与此相似，公钥证书由 身份管理系统进行控制，而属性证书的管理则与应用紧密相关：什么样的人享有 什么样的权力，随应用的不同而不同。一个系统中，每个用户只有一张合法的公 钥证书，而属性证书则灵活得多。多个应用可使用同一属性证书，但也可为同一 应用的不同操作颁发不同的属性证书。 因此，只有那些身份和属性生命期相同、而且c a 同时兼任属性管理功能的 情况下，可以使用公钥证书来承载属性，即在公钥证书的扩展域中添加属性字段。 大部分情况下应使用公钥证书+ 属性证书的方式实现属性的管理。 p k c 将一个标识和公钥绑定，而a c 将一个标识和一个角色，权限，或者属 性绑定( 通过数字签名) 根据x 5 0 9 证书格式【1 6 1 ，属性证书具有如下形式： a t t r i b u t e c e r t i f i c a t e ：= s i g n e d a t t r i b u t e c e r t i f i c a t e l n f o a t t r i b u t c c e r t i f i c a t e l n f o ：= s e q u e n c e v e r s i o na t t c e r t v e r s i o nd e f a u l tv l ， 1 2 跨域授权管理系统的研究与实现 0 w n e ro w l l e l ， i s s u e ra t t c e r t l s s u e r ， s i g n a t u r ea l g o r i t h m l d e n t i f i e r ， s e d a l n u m b e rc e r t i f i c a t e s e r i a l n u i r i b c r ， a t t r c e r t v a l i d i t y p e r i o d a t t c e r t v a l i d i t y p e r i o d a t t r i b u t e s s e q u e n c eo fa t t r i b m e ， i s s u e r u n i q u e l du n i q u e l d e n t i f i e ro p t i o n a l ， e x t e n s i o n se x t e n s i o n s0 p t i o n a l ) 和p k c 一样，a c 能被分发和存储或缓存在非安全的分布式环境中，不可 伪造和窜改。同时，属性证书具有以下特点： ( 1 ) 分立的发行机构 由于把属性信息从身份信息中分离出来，并且彼此又分别放置在各自证书中， 这样发放过程变的合理而且有针对性。通过一个法定的集中权威机构，来发放身 份证书；另外通过一个局域的、熟知用户属性的组织来发放属性证书。一个人可 以拥有好几个属性证书，但每一个都会与唯一的身份证书关联，几个属性证书可 以来自不同的机构。 ( 2 ) 存储介质 属性证书可以分发给用户，由用户存储在磁盘上或者u s b k e y 上，或者委托 给系统进行统一存储和管理而不必分发给用户。在用户持有属性证书的情况下， 为了应用属性证书进行访问控制，必须建立相应的协议来使用属性证书，并且要 求用户选择与具体应用对应的属性证书，当用户权限改变时更新自己的属性证书。 由系统托管属性证书时，应用系统根据用户的身份直接从属性库中获得用户相应 的属性证书，不需要建立相应的协议，属性证书的使用和变更对用户是透明的。 由于权限的生存期通常比较短，相对来说属性证书的更新是频繁的。例如，在用 户管理属性证书的情况下，当用户的权限增加时，如果用户没有及时更新证书， 系统就会拒绝访问，尽管用户确实具有该权限。而在委托管理模式下，用户的权 限增加立刻就会得到认可。所以，由用户自己管理属性证书往往不如由系统托管 方便。 ( 3 ) 本地发放 在一个本地发放属性证书的系统中，用于管理证书的架构可以非常简单。当 证书发放者和应用系统同处在一个环境中，安全措施和证书发放手续可以极大简 化。另外，本地发放的属性证书，可以被系统外安全应用系统使用，无论该持有 属性证书的用户是处于本地还是远程。 ( 4 ) 基于属性，而不是基于身份进行访问控制 第二章p k i 和p m i 综述 1 3 应用属性证书的最大好处是，在存取控制方面不再基于用户身份，取而代之 的是基于其拥有属性来决定其对某一资源或服务是否拥有访问权。这带来各方面 的好处： 应用程序中访问控制规则可以简单地被定义成按属性的有效期来决定访问 权。这非常简单、容易理解，并且更易维护。同时，这是一个可伸缩的方案，可 以支持大量的用户，但又不用对应用程序作任何改变( 假定所有用户都可以被定 义成同样的一套属性集合) 。 如果使用传统的基于用户访问控制机制，每增加一个新用户，都要求在每个 应用程序的a c l ( a c c e s sc o n t r o ll i s t ) 中。此举导致的必然结果是要么a c l 在 各处分布，要么产生一个集中式的大型a c l ，所有应用程序必须联机访问。从管 理角度来说两者都是十分困难的。如果迁移到基于角色的访问控制，可以避免以 上操作带来的实施和管理复杂性。 ( 5 ) 短时效 属性证书可以设置成短时效的，如果属性证书被设定成短时效的，发放必须 是一个轻载过程，也就是说，属性证书的发放必须简单，甚至自动化，因为这个 过程须经常重复。撤销证书变得毫无必要，因为有效期过短，被暴露的属性证书 很快会失效。 ( 6 ) 属性证书与身份证书的相互关联 属性证书不能单独使用，而且必须支持某种形式的身份认证过程。这种身份 证书与属性证书的关联检查是至关重要的，因为这个过程建立起一种信任传递， 可以防止一个人的属性被另外的人假冒使用。 2 6p m i 与p k i 的比较 p k i 和p m i 之间的主要区别在于：p k i 主要进行用户身份认证，即“你是谁”； p m i 主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”。 它们之间的关系类似于护照和签证的关系。护照是身份证明，唯一标识个人信息， 只有持有护照才能证明你是一个合法的人。签证具有属性类别，持有哪一类别的 签证才能在该国家进行哪一类的活动。所以两者所用的证书不同，一个是公钥证 书用于身份认证，一个是属性证书用户描述用户所拥有的权限。 此外p k i 和p m i 的工作模式不同，p k i 可以单独工作，而p m l 只是p k i 的 扩展，需要依赖相应的p k i 来工作，因为p m i 中必须包含证书主体的数字签名， 以提供到主体身份( x 5 0 9 公钥证书) 的秘密引用。 在实际的应用中，权限信息相对于身份信息比较容易变更，维护授权信息代 价相对维护身份信息要高的多。 1 4 跨域授权管理系统的研究与实现 在x 5 0 9 中定义，对于一个实体的权限约束由属性证书权威( 已被数字签名 的数据结构) 或者由公钥证书权威( 包含已明确定义权限约束扩展的) 提供。一 般使用属性证书来容纳授权信息，p m i 可由p k i 建造出来并且可独立的执行管理 操作。但是两者之间还存在着联系，即p k i 可用于认证属性证书中的实体和所有 者身份，并鉴别属性证书签发权威a a 的身份。p m i 和p k i 的比较如表2 1 所示。 表2 1p j i i 和p m i 比较 内容p k i 实体p m i 实体 证书 公钥证书属性证书 证书发行者认证权威属性权威 证书用户主体拥有人 证书绑定主体的名称和公钥拥有者的姓名和权限属性 撤销证书撤销列表( c r l )属性证书撤销列表( a c r l ) 信任源根证书或信任锚权威源( s o a ) 子权威认证权威( c a )属性权威( a a ) 第三章访问控制 1 5 第三章访问控制 3 1 访问控制的基本概念 访问控制( a c c e s sc o n t r 0 1 ) 是实施允许被授权的主体对某些客体的访问，同 时拒绝向非授权的主体提供服务的策略。1 访问控制与授权的关系如图3 1