（计算机软件与理论专业论文）基于rbac的pmi的研究.pdf

基于r b c 的蹦i 的研究 摘要 在现代开放网络环境下，大量分布在不同网络中的信息往往需要被一个多变 的、动态的人群使用和管理。为了在应用中安全有效使用这些信息，要求访问 信息的用户身份和访问特权必须以一种受信任的方式管理。为了解决这一问题， 人们提出了公钥基础设施( p k i ) 技术和特权管理基础设施( p m i ) 技术。现在越来 越多的企业在应用中采用基于角色的访问控制( r b a c ) 策略作为访问控制实现的 基础。利用建立在p k i 基础上的p m i 的属性证书对网络资源进行管理。 本文系统的介绍了r b a c 、前向安全数字签名、属性证书、p m i 工作原理，在 此基础上，本文给出了一个基于r b a c 的p m i 系统模型，把属性证书作为管理角 色和权限的工具，同时在从和s o a 对属性证书进行签名时，使用了前向安全数 字签名的方式，能够把因从和s o a 的私钥泄漏给系统造成的损失减少到最低限 度；使用r b a c 访问控制方式，引入角色的概念，使用了角色分配证书与角色规 范证书，简化了系统的管理，使访问控制的思路更加清晰，权限的分配更加容 易，减轻了管理者的负担，使该系统具有通用性及标准性等优点。在权限的验 证中，权限的验证者对权限声称者所声称的权限进行验证时，最大的麻烦是在 证书库中搜寻相应的证书，由相应的证书搜寻相应的角色、权限和用户，以决 定是否对资源有访问权。为加快验证速度，提高系统的性能，我们采用了r b a c 模型的缓存机制，大大加快了系统的反应速度。文中还给出了该系统的应用环 境以及它所涉及的相关标准。 关键词：特权管理基础设施；基于角色的访问控制；缓存；前向安全； i l a b s t r a c t i n f o m a t i o ni nt o d a y so p e n i n gn e t w o r ke n v i r o n m e n ti so f t e nm a n a g e d 卸d u s e db yad i v e r s e ，o f t e nd y n a m i c ，p o p u l a t i o no fu s e r s ，w i t hr e s o u r c e sd i s t r i b u t e d a c r o s sm a n ys e p a r a t en e t w o r k s t h i ss i t u a t i o nd e m a n d st h 砒t h ei d e n t i t i e sa n d a c c e s sp r i v i l e g e so fu s e r s 锄da d m i n i s t r a t o r sa r em 锄a g e di nat m s t e dm a n l l e r t o s o l v et h ep r o b l e m ，t w oi n n o v a t i v et e c h n o l o g i e sh a v er e c e n t l ye v o l v e d t h e ya r e p u b l i ck e yi n f r a s t f l l c t u f e ( p k i ) a n dp f i v i l e g em 柚a g e m e n ti n f r a s t m c t u r e ( p m l ) n o w a d a y sm o r e 髓dm o r ee n t e r p r i s e st a k er o l eb a s e da c c e s sc o n t r o l ( r b a c ) 硒 t h e i ra c c e s sc o m r o lm o d e l i tm a n a g e sn e tr e s o u f c eb ya t t f i b u t ec e n i f i c 砒e ( a c ) s i g n a t u r eb yp m ib a s e do np k l t h i s p a p e rs y s t e m a t i c a n yd e s c r i b e d r b a c，f o r w a r ds e c u r ed i g i t a l s i g n a t u r e ，a c ，t h ep r i n c i p l eo fp m i t h e nw ep r e s e n tas y s t e m a t i cm o d e lo f p m ib a s e do nr b a c t h ea ci st h et o o l t h a tm a n a g e st h ef o l e 锄dp r i v i l e g e w h i i et h es o ao ra ac a r r i e so nas i g n a t u r ct ot h ea cw i t ht h ef b r w a r ds e c u d i g i t a ls i g n a t u r e ，a l t h o u g hw ei o s l t h ep r i v a t ek e yo ft h ea aa n ds o a t h e s y s t e mo ft h el o s sr e d u c e dt ot h el o w e s t t h er b a cu s e st h ec o n c e p to ft h e r o l e ，t h er o l ea s s i g n m e n tc e n i f i c a t ea n dt h er o i es p e c i f i cc e r t i f i c a t ct os i m p l i f y t h em a n a g e m e n to ft h es y s t e m s ，m a i 【et h ea c c e s sc o m r o lm o r ec l e a r 锄dt h e a s s i g n m e me a s i e r ，r e d u c et h em a n a g e m e n t sb u f d e n ，m a k et h a ts y s t e mb e c o m e g e n e m la n ds t a i l d a r d w h e nv e r i f y i n gp r i v i l e g e ，t h em o s td i m c u l t yi ss e a r c h i n g f i g h ta ci nt h ea cd a t ab a s e ，w h i c hu s e df o rs e a r c h i n gf i g h tu s e r r o l e ，p r i v i l e g e i nt h e c ad a t a b a s e ，i no r d e rt od e c i d ew h e t h e rv i s i t o r sh a v et h ep r i v i l e g eo f a c c e s s i n gr e s o u r c e t bi n c r e a s et h es p e e do fv e r i f y i n g 粕ds y s t e mc a p a b i l i t y ，w e a d o p tc a c h eo fr b a cw h i c hg r e a t l yi n c r c a s e ss y s t e mr e n e c l - s p e e d t h ep a p e r a l s op u t sf o r w a r dt h ea p p l i c a t i o ne n v i f o m n e m 蛐dt h er e l a t i v es t 柚d a r do ft h i s s y s t e m k e yw o r d s ： p m l ；r b a c ；c a c h e ；f b n v a r ds e c u 托 1 1 1 插图索引 图2 1p m i 体系结构7 图2 2p m i 基本模型1 0 图2 3p m i 控制模型1 2 图2 4 特权委托树形结构1 2 图2 5 委托模型1 3 图2 6p m i 角色模型1 3 图2 7 角色模型中证书的分配和验证1 4 图3 1r b a c 3 模型示意图：2 6 图4 1r b a c 模型示例2 8 图4 2r b a c 模型的l d a p 存储结构：3 7 图4 3l d a p 存储示例3 7 图4 4 缓存用户权限对应关系3 8 图4 5 缓存用户角色指派3 8 图4 6 缓存角色权限指派3 8 图4 7 缓存角色继承关系3 8 图5 1 证书的签发4 3 图6 1 基于p k i 的r p m i 模型4 7 图6 2 基于p k i 的r p m i 系统运行机制图4 9 图6 3 属性证书的签发流程图5 2 图6 4 属性证书5 6 v l i 摹于r 舭c 的蹦i 的研究 附表索引 表3 1a s n 1 部分类型1 5 表4 1 缓存策略比较表3 5 v i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的 研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或 集体己经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均 已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名：荡嚷慨勰7 月厂日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于 1 保密口，在一年解密后适用本授权书。 2 不保密曰。 ( 请在以上相应方框内打”) 作者躲岛秀日期沙孑年7 月夕日 导师鹕：嘶醐：m p 盯日 硕十学位论文 1 1 研究课题的来源 第1 章绪论 本课题是我的导师徐向阳博士在华翔腾主持的众多课题之一，华翔腾长期致 力于计算机网络与安全、电子商务、电子政务、智能信息系统等领域的理论与技 术的研究，研制成功c a 认证中心、p m i 授权管理系统、安全电子邮件系统等多个系 统，应用范围遍及全省各地市州县乡镇。这些产品的研发成功标志着我们在网络 安全理论以及应用的研究上都取得了重要的进展，我所做的本课题就借鉴了公司 已有的技术成果，并在此基础上加以扩充、完善。 1 2 课题背景分析与研究意义 互联网开始逐渐融入人类生活的方方面面，利用计算机网络有效地实现资源 共享，成为我们生活中面临的一个现实问题，资源共享和信息安全“1 又是一对矛 盾体。为了让我们既能充分共享网络资源，又能保证共享资源的高度安全，我们 一般要保证身份认证，权限管理和访问控制0 1 这三个方面的顺利实施。因此它们 成为了当前信息安全领域中的研究热点。我们采用p k i 技术( p u b l i ck e y i n f r a s t r u c t u r e ，公开密钥基础设旌) 。“1 实现身份认证。p k i 技术使用公钥证书 管理用户的身分，通过第三方的可信任机构认证中心c a ( c e r t i f i c a t e a u t h o r i t y ) ，使用数字签名，把用户的公钥和用户的其他标识信息( 如名称、m s n ， 身份证号等) 捆绑在一起，从而验证用户的身份信息。然而在许多应用领域，比 如电子政务、电子商务应用中，不仅需要双方的身份信息，而更重要的是要获得 双方的权限信息，尤其是当交易的双方在此以前彼此从未交往过，没有任何有关 对方的情况，那么关于一个人的权限或者属性信息远比其身份信息更为重要。在 这些情况下，访问控制系统的决策标准不是双方的身份，而是双方的权限或者属 性信息。例如，甲与乙进行电子商务，甲向乙定购一批货物，乙收到订单后是否 向甲发货，这时候不仅要验证双方的身份，更重要的是要验证双方的权限和属性 信息。以免构成商务诈骗。授权管理基础设施p m i ( p r i v i l e g em a n a g e m e n t i n f r a s t r u c t u r e ) h 1 是国家信息安全基础设施( n a t i o n a li n f o r i i l a t i o ns e c u r i t y i n f r a s t r u c t u r e ，n i s i ) 的一个重要组成部分，目标是向用户和应用程序提供授 权管理服务，提供用户身份到权限的映射功能，简化具体应用系统的开发与维护。 授权管理基础设施p m i 是一个由属性证书a c ( a t t r i b u t ec e r t i f i c a t e ) ，属性权威 从( a t t r i b u t ea u t h o r i t y l ，属性证书库等部件构成的综合系统，用来实现属性证 书的产生，管理、存储、分发和撤销等功能。p m i 使用属性证书表示和容纳权限信 息，通过管理属性证书的生命周期实现对权限生命周期的管理。属性证书的申请、 摹于r b c 的刚i 的研究 签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的过程。而 且，使用属性证书进行权限管理的方式使得权限管理不必依赖某个具体的应用。 而且利于权限的安全分布式应用。在p k i 得到较大规模应用以后，人们已经认识到 需要超越当前p k i 提供的身份认证机制，步入授权领域，提供信息环境的权限管理。 建立在p k i 基础上的p m i ，以向用户和应用程序提供权限管理和授权服务为目标， 主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用 授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管 理无关的访问控制机制，极大地简化应用中访问控制和权限管理系统的开发与维 护，并减少管理成本和复杂性。在附i 集中授权系统中，最核心就是s o a 和从，它 提供属性证书的申请、发放、撤销等一系列工作。这里对s o a 和从的私钥的保护至 关重要，如果我们在签发属性证书时使用前向安全数字签名，将会大大提高整个 p m i 系统的安全性，把s o a 和从私钥的泄漏造成的损失减少到最小。由于申请证书 的用户越来越多，这使证书库越来越庞大，我们在验证证书时花费的检索时间就 会越来越多，有时慢的让用户无法忍受，怎样加快检索速度，使我们面临一个大 的挑战，我们一般参考操作系统的缓存机制，在p m i 系统中证书检索时引入缓存机 制，加快证书的检索速度，提高整个系统的性能。 最后，随着网络的快速发展，公司界线日渐模糊，企业对网络资源的细粒度 的访问控制需求与基于属性证书的网络资源访问控制需求也表现得越来越强烈。 基于r b a c “6 1 的属性证书可以把角色属性信息绑定到用户，将对用户的授权变为对 用户角色的授权，使属性证书机制能够应用于基于角色的访问控制系统中以实现 网络资源的授权管理。基于角色的访问控制r b a c 依据用户提供的角色信息决定他 能否访问与此角色对应的资源，同时r b a c 能够处理多用户，便于资源的授权管理， 能够满足不同企业或机构的安全访问控制。因此本系统运用p k i 的公钥证书、p m i 的属性证书和基于角色的访问控制r b a c ，将三者有机结合，建立了一种针对网络 资源安全的角色访问控制系统模型，并设计了相应的系统方案。基于角色的访问 控制系统的应用既避免了网络资源传输过程中出现的消息篡改和消息伪造问题， 又解决了传统访问控制的安全性差和灵活性差的缺点，实现了网络资源的授权管 理和安全的角色访问控制。 1 3 国内外研究应用现状 授权服务在过去的研究和应用中已经获得了很多的成果，建立了我们目前主 要使用的d a c ， a c l ，m a c ，r 队c 访问控制模型，而且a c l 和m a c 得到了较多的应 用。目前，r b a c 模型“1 在理论上也已经十分成熟。相反，过去在权限管理的整体 研究和权限的表达、应用权限管理原则方面没有系统地进行全面的研究。在过去 的五年中，权限管理作为安全的一个领域得到快速发展，而且研究的热点集中于 2 硕十学位论文 基于p k i 的p m i 研究”1 。在p k i 得到较大规模应用以后，人们已经认识到需要超越当 前p k i 提供的身份验证和机密性，步入授权验证的领域，提供信息环境的权限管理 将成为下一个主要目标。在p k i 的基础上，p m i 实际提出了一个新的信息保护基础 设施，能够与p k i 和目录服务紧密的集成。p m i 作为一个基础设施能够系统地建立 起对认可用户的特定授权。p m i 通过结合授权管理系统和身份认证系统补充了p k i 的弱点，提供了将p k i 集成到商业计算环境的应用模型，而不只是将p k i 的应用限 制在用户安全解决方案上。建立在p k i 基础上的p m i ，对权限管理进行了较为系统 的定义和描述，将权限管理研究推到了应用前沿口1 。关于p m i 系统的研究和开发方 面，还处在验证阶段，并没有统一的标准，很多国外著名的信息安全公司如r s a ， e n t r u s t ，b a l t i m o r e 等公司在p m i 研究方面进行了大量的工作，很多开发商己提 供了一些p m i 的产品：政府方面也进行了相应的研究，例如，在e u ( e u r o p e a n u n i t e d ) 资助下的p e r m i s 项目( p r i v i l e g ea n d r o l e m a n a g e m e n t i n f r a s t r u c t u r es t a n d a r d sv a l i d a t i o n ) 正在进行中“，并提出了一些草案， 目的是验证该p m i 的适应性和可用性，并尝试标准化电子商务应用中所需的权限， 以及制定描述这些权限和p e r m i sa p i 的r f c ，国内对p m i 的研究己经开始，也已经 有类似的产品出现，但是还没有相应的应用实例。国内的有些公司，例如；吉大 正元信息技术股份有限公司的j i t s s o 在p m i 的产品探索和研究上进行了一定的工 作。该产品中使用了基于角色的权限管理模型，集中地进行权限管理，支持资源 信息的自动获取，并具有完善的审计功能。 1 4 本文工作 经过了近三年来的研究与实践，在对华翔腾数据系统集成公司的现有p k i p m i 产品的深入研究基础上，结合p k i p m i 相关部分的研究现状，主要做了如下几方面 的工作： l - 分析、研究了有关x 5 0 9 协议、p k i 和p m i 的大量文献。 2 研究了建立p m i 的基本组成功能模块，构建了一个基本的p m i 实验平台，实 现了基本的属性证书的签发、存储、管理功能。 3 对r b a c 的四种模型r b a c o 、r b a c l 、r b a c 2 、r b a c 3 作了详细的研究，并阐述 了r b a c 的优点。另外对r b a c 的模型内缓存与模型外缓存作了具体的研究，并提出 了在s q ls 既v e r2 0 0 0 和l d a p 两种方式下怎样实现这两种缓存的具体办法，为 实现证书与权限的快速查找奠定了理论基础。 4 对前向安全数字签名的基础知识作了详细的介绍，并把前向安全数字签名 怎样应用到属性证书的管理中作了详细的描述，设计了一个让p m i 体系中的s o a 和 从使用前向安全数字签名对他们颁发的属性证书进行签名的模型，为在p m i 体系中 实现前向安全数字签名奠定了理论基础。 基于r b a c 的刚i 的研究 5 设计了一个基于r b a c 的p m i ，在这个系统中使用了角色分配证书与角色规 范证书，使整个系统的权限管理清晰明了，大大简化了用户对权限的管理；在s o a 和从颁发证书时使用了前向安全数字签名，大大的提高了系统的安全性；在证书 的验证时使用了缓存机制，大大的加快了证书的验证速度，提高了整个系统的反 应性能。 1 5 论文结构 本文共分为6 章。具体的内容安排简要描述如下： 第1 章是“绪论”，本章主要提到了本研究课题的来源，选题背景的分析、目 的和意义，介绍了国内外p m i 的研究历史和动态、应用前景以及当前p m i 研究的主 要存在问题，简要说明了本文的结构和完成的主要工作。 第2 章是“授权管理基础设施p m i 系统的基本原理”，介绍了p m i 的一些基础知 识，如p m i 相关方面最新的标准，p m i 的体系结构、p m i 的四种基本模型、与属性证 书相关的一些基础知识。 第3 章是“基于r b a c 访问控制的基本原理”，主要介绍了各种访问控制系统的 模型与标准，对r b a c 的角色基本模型r b a c o ，角色层次模型r b a c l ，角色约束模型 r b a c 2 ，角色层次约束模型r b a c 3 作了具体的介绍，并对r b a c 的优点作了详细的介 绍。 第4 章是“r b a c 模型实现的缓存机制”，本章是本文研究的核心工作之一，首 先阐述了引入缓存机制的必要性，并用一个实例加以说明，接着对模型外缓存机 制和模型内缓存机制加以介绍，特别对用户权限对应关系、用户角色指派关系、 权限角色指派关系、角色继承关系的缓存作了仔细的介绍，使读者对这五种缓存 类型有一个清晰的了解。在本章的最后分别介绍了怎样在s q ls e r v e r2 0 0 0 数据库 和l d a p 上实现r b a c 的模型内缓存。 第5 章是“基于前向数字签名的策略”，本章是本文研究的核心工作之一，首 先对电子签名中的法律问题以及前向安全数字签名作了一个简单的介绍，接着对 前向数字签名的数学基础作了一个详细的解释，最后着重对前向安全数字签名在 属性证书的应用作了仔细的阐述并解释了前向安全数字签名在属性证书管理中的 重要作用。 第6 章是“p m i 系统的设计与实现”，本文对r p m i 系统进行了设计和实现，把前 向安全数字签名应用到s 0 a 和a a 对属性证书的签名中，大大的增强了属性证书的安 全性，把s o a 或从的私钥泄漏后造成的损失减少到最低程度。把应用到操作系统中 的缓存机制应用到属性证书的权限验证中，大大的提高了属性证书的验证速度， 提高了整个授权系统的时间反应性能，方便了用户的使用。在权限的分配中使用 了角色分配证书和角色规范证书，使系统权限的管理清晰明了。 4 最后一部分是论文的工作总结和下一步的工作展望。 1 6 小结 建立遵循国际标准的基于r b a c 的p m i ，为保证s o a 和从在丢失密钥后把损失减 少到最小，在s 0 a 和从签署属性证书时使用了前项安全数字签名方式，以保证p m i 系统的安全性。为了加快属性证书的检索速度，在刚i 系统中引入了缓存机制，大 大提高了系统的时间反应性能。为了便于授权管理，便于赋于最小特权，便于任 务分担，便于文件分级管理，我们在p m i 系统中引入了r b a j c 访问控制机制。同时 又实现了与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问 控制机制，极大地简化了应用中访问控制和权限管理系统的开发与维护，减少了 管理成本和复杂性。 5 基于r b c 的刚i 的研究 第2 章p mi 系统的基本原理 p m i 是一个比较新的研究课题，2 0 0 0 年由x 5 0 9 v 4 协议发布。目前许多关于p m i 的研究、产品和应用都基于该协议。因此，研究x 5 0 9 协议并具体分析，对于开发 p m i 产品，保证产品的兼容性和接口良好，都具有重要意义。本章首先对x 5 0 9 v 4 标准进行介绍，对其中属性证书框架进行了着重研究。并阐述了p m i 中几个重要 实体间的关系。x 5 0 9 v 4 和p m i 的研究和分析是p m i 的设计和开发工作的基础。 2 1p m i 相关标准 由i t u t ( 国际电信联盟电信标准化组织) 定义的x 5 0 9 国际标准提出了被广 泛接受的证书格式。它首次发布在1 9 8 8 年，被推荐作为x 5 0 0 目录系统的一部 分。x 5 0 9 为x 5 0 0 的服务提供了基于p k i 的鉴别。1 9 8 8 年发布的x 5 0 9 的第 一个版本被称为x 5 0 9v 1 标准，可以认为是一个最早的基于p k i 的数字证书标 准的提议。1 9 9 3 年修订了x 5 0 9 ，增加了一些用于支持目录访问控制的内容， 形成了x 5 0 9v 2 标准。在1 9 9 3 年发布了i n t e m e t 增强的私密电子邮件p e m f p r i v a t e e i l b a n c e d m a i l ) 的规范r f c1 4 2 2 ，包括了使用基于x 5 0 9 v 1 证书的规范。 人们在应用中认识到v l 和v 2 在一些方面是不完善的，有很多新的信息需要被 传递。为满足这些新需求，i s 0 ，i e c i t u 和a n s ix 9 在1 9 9 6 年6 月公布了x 5 0 9 v 3 标准。x 5 0 9 v 3 为安全应用提供了统一的规范和结构，一些网络安全公司如 e 曲1 l s t ，b a l t i m o r e ，v c r i s i g i l 等都推出了基于x 5 0 9 v 3 标准的安全产品，随着应 用的逐步扩展，2 0 0 0 年i t u t 发布了x 5 0 9 v 4 版本1 。在x 5 0 9 v 4 版中，提出 了将信任和授权服务分离的思路，并建立了授权服务的框架。这种思路，与日 益发展和细化的市场需求是分不开的。现有系统中存在着两个主要矛盾：用户 的身份信息和权限信息的生命周期并不一致，都由公钥证书( p k c ) 作为载体会 大大缩短p k c 的生命期，增加工作量；授权机构和认证机构也不同一，认证机 构在给用户生成p k c 时不得不先向授权者请求要授予的特权。身份确认和特权 管理之间的差异决定了对信任和授权服务应该区别对待。信任和授权分离不仅 有利于系统开发和重用，也有利于进行安全方便的管理。同时，分别用p k i 和 p m i 封装实现的方式，也为服务外包提供了可能。 x 5 0 9 v 4 提出了公钥和属性证书框架。它包括3 个主要部分：公钥证书框 架、属性证书框架和使用公钥和属性证书框架的x 5 0 0 目录。下面简单介绍x 5 0 9 第四版，首先介绍p m i 的体系结构，接着介绍p m i 的四种模型，最后讲解了属 性证书的基本概念。 6 硕+ 学位论文 2 2p m i 体系结构 在x 5 0 9 、，4 标准中，p m i 是一种基于属性证书授权机制的特权管理基础平 台，只需p k i 为其提供证书颁发者和特权持有者身份的认证服务，其灵活性使 得它在构建和管理上可以独立于p 。p m i 的框架“”1 的核心包括特权的分配 和特权的验证，体系结构通常由六部分组成，分别是权威源s o a ( s o i i r c eo f a u t h o f i t y ) 、授权中心a a ( a n r i b u t ea u t h o r i t y ) 、特权验证实体p v ( p r i v i i e g e v e r i f i e r ) 、a a 代理、证书库和通信协议。如图2 1 所示。 查询证书 图2 1p m i 体系结构 2 2 1 权威源s 0 权威源s o a 相似于p k i 中根c a 或信任锚的地位【1 4 】，是整个授权管理体 系的中心节点，也是整个授权管理基础设施p m i 的最终信任源和最高管理机构， 系统授权策略的制定者。它也是属性证书授权链的初始节点，所有特权授予都 是从s o a 开始进行，并对整个系统特权的分发负有最终的责任。除此以外，s o a 中心的职责还包括授权服务策略的管理、应用授权受理、从中心的设立和审核 以及授权管理体系业务的规范制定等。虽然s o a 和c a 逻辑上可以相互独立， 但由于s 0 a 的特殊地位，在标准文档中都要求s o a 和c a 不能是同一实体。 2 2 2 授权服务从中心 授权服务a a 中心相似于p k i 中次级c a 的地位，是授权管理基础设施p m i 的核心服务节点“”，是对应于具体应用系统的授权管理分系统，由具有a a 中 心业务需求的各应用单位负责建设，并与s o a 中心通过业务协议达成相互信任 关系。s 0 a 授权给它管理一部分或全部属性的权力。a a 中心的职责主要包括 应用授权受理、属性证书的发放和管理以及从代理点的设立、审核和管理等。 7 苹fr 8 a c 的刚i 的研究 根据实际需要，a a 可以有多个层次，上级a a 授权给下级a a ，但下级a a 可 授予的特权范围不得超过上级a a 。 2 2 3 特权验证实体 特权验证p v 是根据系统授权策略的规定，结合特权声称者p a 的角色身 份所具备的权限，判断是否允许其访问某一对象的机构。功能可以由一个验证 服务器或应用服务器中的一个验证模块来实现。p m i 中的特权验证相当于标准 访问控制框架中的a d f ( a c c e s sc o n t r o id e c i s i o nf u n c t i o n ) 2 2 4 从代理 a a 代理是授权管理基础设施p m i 的用户代理节点“，是与具体应用相关 的特权声称者的用户接口，是对应a a 中心的附属机构，接受a a 中心的直接 管理，由各a a 中心负责建设，并报经上级a a 主管部门同意并签发相应的证 书。从代理点的设立和数目由各a a 中心根据自身的业务发展需求而定。a a 代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具体 的用户应用资源进行授权审核，并将属性证书的操作请求提交a a 中心进行处 理。 2 2 5 证书库 与p k i 一样，p m i 使用证书库“7 1 来存储与检索属性证书、属性证书撤销列 表、证书机制定义( c m s ) 以及证书业务陈述( c p s ) 等。其中后两项是公用信息， 免费向公众提供。这些证书库通常是一些在线的服务器，用户可以经常向它们 提出数据请求。但这些证书库不必是可信实体，因为保证数据真实性的是靠颁 发证书的授权机构( s 0 a 或a a ) 的数字签名，而不是由证书库本身的安全性来保 证。在大多数情况下，证书库是一些通过l d a p 协议提供访问服务的目录。证 书库可以支持分布式存放，即a a 或s o a 签发的属性证书可以利用数据库镜像 技术，将其中一部分与本组织有关的证书和证书撤销列表存放到本地，缩短对 证书库访问和操作的时间，提高证书的查询效率。因为目前大都使用l d a p 作 为证书存放地，下面把l d a p 做一个仔细的介绍。 2 2 5 1l d a p 简介 l d a p 的英文全称是l i 曲伽e i g h td i r e c t o f ya c c e s sp r o t o c o l ，一般都简称为 l d a p 。它是基于x 5 0 0 标准的，但是简单多了并且可以根据需要定制。与x 5 0 0 不同，l d a p 支持t c p i p ，这对访问i n t e m e t 是必须的。l d a p 的核心规范在 r f c 中都有定义，所有与l d a p 相关的r f c 都可以在l d a p m 锄r f c 网页中找 到。现在l d a p 技术不仅发展很快而且也是激动人心的。在企业范围内实现 l d a p 可以让运行在几乎所有计算机平台上的所有应用程序从l d a p 目录中获 硕十学位论文 取信息。l d a p 目录中可以存储各种类型的数据：电子邮件地址、人力资源数 据、用户身份证书、联系人列表等等。 2 2 5 2l d a p 特点 l d a p 定义了目录系统的标准协议“”，为证书和证书撤消信息( c e n i f i c a t e r c v o c a t i o nl i s t ，c r l ) 提供了有效的存储库。在l d a p 尚未出现以前，通常是 由各应用程序使用各自特定的数据库来存储目录信息，并使用各自特定的协议 实现目录信息的访问。这种方案有很大的局限性，因为数据库和访问协议的不 兼容性，限制了人们无法使用其他应用程序实现对目录信息的访问。l d a p 作 为一种标准的开发的协议，很好的解决了上述问题。而且还由于以下原因： ( 1 ) x 5 0 9 证书中对证书主体的命名本身就是一个x 5 0 0 目录服务信息的 d n ( d i s t i n g l l i s hn 锄e ) ，带有目录系统的结构性质。 ( 2 ) 目录服务器在处理搜索时非常快，它进行了相当的优化来处理特定的问题 一网络快速查询，从而满足高效的证书和c r l 查询下载的要求。( 3 ) 证书和c r l 作为公开信息，x 5 0 9 协议对其如何存储和获得没有制定特殊的安全规范，完全 可以使用目录服务来公开发布这些信息。基于l d a p 的目录服务通常被认为是 存储和发布有效证书及c r l 的理想场所。 2 2 6 通信协议 与p k i 中的通信协议类似，主要包括操作协议和管理协议“删操作协议 提供潜在传输，用它来传递证书、a c r l 和其它管理与状态信息给p m i 中的不 同组件。每种信息传输都有自己的交互需求集合，因此为使用l d a p 、h 订p 、 f t p 和x 5 0 0 而调用特定过程作为传输机制。管理协议主要支持管理需求，p m i 最终实体和p m i 管理实体间以及p m i 管理实体相互间信息的传输。同时协议还 规定了被发送信息的格式、可能被要求声明的信息类型以及消息在通信实体间 交换的方式。 2 3p m i 模型 p m i 主要围绕特权的分配使用和验证来进行船”。属性证书框架通过四个模 型来描述权限的流转和使用，勾勒系统的大致架构。借助这四个模型，我们可 以明确p m i 中的主要相关实体，主要操作进程，以及交互的内容。出现的实体 在通用模型中将给予定义，并解释他们的关系。 2 3 1 通用模型 特权的分配者包括从( a n 曲u t ea u t h o r i t y 属性机构) 和s o a ( s o u r c co f a u t h o r i t y ，信任源点) 。如下图2 1 给出了特权的流转情况。p m i 和p k i 的联系 9 肇fr b a c 的p i l i 的研究 可以通过对c a 、s 0 a 和a a 的关系来分析。s 0 a 首先是一个a a ，是一个特权 集的源授信实体。不同的授权功能属于不同的s o a 、s 0 a 类似于p k i 中的根 c a 或“信任锚”。c a 与a a 在逻辑上、往往在物理上也是隔绝的。c a 不必成 为一个a a ，也不必决定谁具有a a 功能，c a 的存在早于p m i 。这样的框架可 以灵活满足不同环境： ( 1 ) 通常所有特权都可以通过唯一a a 直接授予实体，这个a a 就是s o a 。 ( 2 ) 另外的情况可能需要对可选角色特征的支持，因为不同个体可能要求不同 角色。 图2 2p m i 基本模型 ( 3 ) 支持委托授权。由此可以形成层次a a ，最末的a a 再授权给最终用户。 ( 4 ) 有些情况下，一个物理实体可能同时扮演a a 和c a 角色。这种双重逻辑 角色通常是公钥证书s u b j e c td i r e c t o r ya t t r i b u t e s 扩展的特权传递。在a a 和c a 不重合时，特权是通过属性证书而不是公钥证书来分派的。 当授权服务通过属性证书来实现时，实体有两种途径获得特权：l 、a a 通 过创建一个属性证书来为一个实体授权；2 、实体向a a 显式申请特权。这类似 于通常的推拉方式。在很多情况下，特权是通过c a 与主题联系的。这些特权 可能直接放到公钥证书( 这样可以重用已有的基础设施) ，而不是发布属性证书。 在这种情况下，特权包含在公钥证书的( s u b j e c td i r e c t o r ya n r i b u t c s ) 扩展中。 这样授权服务就可以通过公钥证书来完成。 一般的授权管理模型包括三个实体：对象，特权声明者和特权验证者。对 象可能是被保护的资源，如访问控制应用中，它应该有可调用的方法；也可能 是在应用中被指定的目标。特权声明者是持有特定特权并声明具有特定内容的 使用特权的实体。特权验证者是判断特权声明者是否被允许使用给定内容的实 体。特权验证者作出通过或失败决定是基于如下4 个方面： 特权声明者的特权； 适当的授权策略； l o 硕十学位论文 当前的可变环境( 如果相关) ； 对象方法的敏感性； 特权持有者的特权反映了赋予持有者的信任级别，通过发布证书，特权持 有者将依附于与技术无关的策略。特权存放在属性证书里( 或公钥证书的s u b j e c t d i r e c t o r ya t t 抽u t e s 扩展中) ，可以被特权验证者请求，或者通过其他方式( 如目 录d i r e c t o r y ) 分发。编码化的特权通过属性a n m u t e 结构，包含在a t t 曲u t ct y p c 和s e to fa t t 啪u t ev a l u e 中。一些属性类型使用特定权限，可能有非常简单的 语法，例如使用i n t e g e r 或o c t e ts t r i n g 类型，也可能有更复杂的语法。 特权策略规定了特权等级，可以充分保证给定对象对敏感内容的访问。特权策 略必须保证完整性和真实性。存在很多可能的委托策略。一个极端是策略并不 真正被转让，只是简单定义并只保存在特权验证者的本地环境库中。另一个极 端是一些策略是通用的并可以被转让，为所有实体所共知。在两个极端之间有 许多渐变的措施。在规范中定义了模式组件( s c h e m ac o m p o 鹏n t s ) 来存储特权策 略信息。特权策略定义了接受一个给定特权集的方法。也即，定义了一个特权 验证者应该包含的特权策略，使得当前特权集能够充分被特权声明者接受。 规范的特权策略定义语法不是标准的，协议中包括了一对语法例子，可以 用来满足需要。但这只是例子。任何语法都可能用于此需求，包括清晰的文本。 抛开定义特权策略的语法，每一个特权策略的实例必须被唯一鉴别。使用对象 标志符可以满足这一需要。例如： p r i v i l e g ep o h c y ；：o b j e c ti d e n t l f i e r 访问控制上下文中的p m i ： 在( i s 0 i e c l 0 1 8 1 3 i i t u t r e c x 8 1 2 ) 中己经定义了访问控制标准框架，给 出了访问控制应用的对应条款集。与该条款集对应的规范定义如下。 x 5 0 9 v 4 协议中特权声明者类似于访问控制框架中的发起者( i n “i a t o r ) ； x 5 0 9 v 4 协议中特权验证者类似于访问控制框架中的访问控制判断功能( a d f ) ； x 5 0 9 v 4 协议中对象类似于访问控制框架中的目标( 诅l 罄e t ) ； x 5 0 9 v 4 协议中环境变量类似于访问控制框架中的上下文信息： x 5 0 9 v 4 协议中特权策略类似于访问控制框架中的访问控制策略，以及访问控制 策略规则。 这个规范允许无缝的覆盖p m i 到已有的应保护资源的网络上。特权验证者 类似一个网关，保证适当的人访问受保护信息。 不可抵赖上下文中的p m i ， 在( i s 0 i e c l 0 1 8 1 4 i i t u t r e c x 8 1 3 ) 中给出了不可抵赖上下文标准框架及 对应规则集。此处给出该模型与本节对应规范问的关系。 x 5 0 9 v 4 协议中特权声明者类似于不可抵赖框架中的创作者或证据主题： 草十r b a c 的p m i 的研究 x 5 0 9 v 4 协议中特权验证者类似于不可抵赖框架中的证据使用者或接纳者： x 5 0 9 v 4 协议中对象类似于不可抵赖框架中的目标( t a r g e t ) ； x 5 0 9 v 4 协议中环境变量类似于不可抵赖框架中的创建和确认证据的时间； x 5 0 9 v 4 协议中特权策略类似于不可抵赖框架中的不可抵赖安全策略。 2 3 2 控制模型 控制模型阐述了如何控制对敏感对象方法的访问。模型中有5 个对象：特 权声称者、特权验证者、对象方法( 敏感) 、特权策略和环境变量。特权声明者具 有特权；对象方法具有敏感性。这里描述的技术使特权验证者在一致性特权策 略下控制特