PMI技术白皮书(doc 25页).doc

PMI 技术白皮书技术白皮书 总部 中国 长春前进大街 2266 号 电话 86 0431 5173333 传真 86 0431 5172696 吉大正元信息技术股份有限公司吉大正元信息技术股份有限公司 目录目录 吉大正元信息技术股份有限公司 1 产品相应技术产品相应技术 2 PMI 概览概览 2 权限管理基础设施权限管理基础设施 4 PMI 的定义 4 为什么不是 PKI 5 PKI 和 PMI 的关系 6 属性权威 7 权限管理8 属性证书的特点 8 PMI模型 9 访问控制框架 10 访问控制抽象模型 10 策略规则 12 授权策略 12 基于 PMI 建立安全应用 13 PMI应用结构 13 应用方式 14 建立访问控制系统 15 访问控制流程 15 PMIPMI 中技术的应用中技术的应用 15 系统简介系统简介 16 需求背景 16 产品简介 17 产品功能17 实施接口17 身份信息获取 17 访问实施接口 AEF API 18 决策服务18 策略决策点 PDP 18 策略管理功能 18 资源管理 18 角色管理 18 用户管理 18 吉大正元信息技术股份有限公司 2 授权策略的管理 19 委托管理 19 系统管理功能 19 系统运行环境信息的管理 19 首席用户 19 管理员 19 产品特点 19 系统结构系统结构 20 硬件设施结构 20 软件系统结构 20 系统工作过程 21 支持环境支持环境 21 硬件设备 21 支持软件 21 专用技术词汇专用技术词汇 22 吉大正元信息技术股份有限公司 3 产品相应技术产品相应技术 PMI 概览概览 计算机网络能有效地实现资源共享 但资源共享和信息安全是一对矛盾体 随着资源 共享的进一步加强 随之而来的信息安全问题也日益突出 而身份认证 权限和访问控制 又是网络应用安全的两个重要内容 因此它们也成为了当前信息安全领域中的研究热点 许多应用系统都需要分别在这两个方面采取了相应的安全措施 但是 对一些大型的组织机构来说 其网络结构比较复杂 应用系统比较多 如果分 别对不同的应用系统采用不同的安全策略 则管理将变得越来越复杂 甚至难以控制 不 同的用户对应不同的应用系统 由于机构的网络结构比较复杂 应用系统和用户都是分散 分布的 因此对用户的访问控制和权限管理就显得非常的复杂和凌乱 而机构必须要能够 控制 有 谁 能够访问机构的信息 用户访问的是 什么信息 哪个用户被授予什么样 的 权限 一旦机构确定了权限管理和发布的方式 访问控制系统就可以根据机构发放的 权限以及定义的安全策略控制用户访问 保护应用系统 然而 过去在权限生命周期管理 权限的表达和权限管理方式方面没有更成熟更实用的成果 权限管理方案发展相对滞后 相反 访问控制 或者说授权服务 已经十分成熟 在过去的研究和应用中已经获得 了很多的成果 建立了我们目前主要使用的 DAC ACL MAC RBAC 访问控制模型 其中 ACL 和 MAC 得到了最普遍的应用 目前 RBAC 模型也已经比较成熟 支持了最新的应用 传统的应用系统通常是通过使用用户名和口令的方式来实现对用户的访问控制的 而 对权限的控制是每个应用系统分别进行的 不同的应用系统分别针对保护的资源进行权限 的管理和控制 这种方式存在一些缺点 同时 又因为不同系统的设计和实施策略不同 导致了同一机构内存在多种权限管理的现状 目前 缺乏有效的权限管理带来了以下问题 权限管理混乱 对一个机构而言 数据和人力资源都是统一的 但是由于系统设计的原因 可 能同时对相同的人员采用不同的管理方式 对机构内的共享数据采用了不同的权限 分配策略 这显然不合理 也不利于对机构资源的管理 带来系统的不安全因素 不同的权限管理策略产生的安全强度是不同的 这就可能造成机构信息安全管 理的漏洞 因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击 这就给机构资源的安全性带来极大的危害 权限管理依赖于访问控制应用 权限的赋予和撤销往往都是在访问控制应用中产生的 不同的访问控制应用之 间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限 每个应用都 要维护自己的用户信息和授权方法 权限无法在分布的应用中和远程应用中使用 资源所有者没有权限 应用系统负责权限的发放和使用 造成权限真正的拥有者不能有效 及时的更 改 发布实时的权限信息 比如机构内一个人职务或业务的变化必须通知相关的不 同应用中进行更新 而从本质上讲 权限的发放和权限的鉴别使用是完全不同的两 个过程 完全可以分开 权限的拥有者发放权限 而由资源的保护者验证权限 吉大正元信息技术股份有限公司 4 增加了系统管理员的负担 由于不同的系统采用的是不同的权限管理策略 系统管理员不得不熟悉和操作 不同的权限管理模式 这无疑增加了系统管理员的负担 另外 大多数老系统都采 用的是权限访问控制列表的方式 但是对于大型复杂应用用这种方式来分配权限 给系统管理员带来巨大负担且易出错 开发复杂费用高 设计一个新的安全应用系统时 权限管理是一个极其重要的部分 在缺乏统一 权限管理模型的情况下 设计人员要考虑选择权限管理模型 访问控制授权方案 而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能 为一个应用 开发的管理往往无法在其它应用中重用 增大系统的费用 在过去的五年中 权限管理作为安全的一个领域得到快速发展 也提出了几种权限管 理方案 如 Kerberos 基于策略服务器方案 但目前应用和研究的热点集中于基于 PKI 的 PMI 研究 在 PKI 得到较大规模应用以后 人们已经认识到需要超越当前 PKI 提供的身份 验证和机密性 步入授权领域 提供信息环境的权限管理将成为下一个主要目标 PMI 实 际提出了一个新的信息保护基础设施 能够系统地建立起对认可用户的授权 建立在 PKI 基础上的 PMI 对权限管理进行了系统的定义和描述 已经将权限管理研究推到了应用前 沿 关于权限管理和访问控制已经有了很多相关的标准 1995 年 发布了访问控制的标准框架 ISO IEC 10181 3 ITU T Rec X 812 它主 要定义了访问控制的基本概念 定义了通用的访问控制服务和机制 定义了访问控制服务 和机制的协议功能需求 定义了访问控制的管理需求 阐明了访问控制服务和机制与其他 安全服务和机制的相互作用关系 在 1997 年 X 509 V3 中定义了基本的属性证书语法 属性证书第 1 版本 在 2000 年发布的 X 509 V4 中定义了 PMI 的框架结构 其中定义了扩展属性证书的语法 第 2 版 定义了 PMI 模型 规定了委托路径处理 定义了标准 PMI 扩展集 并增加了目录服务 对象定义 2000 年 Open Group 提出了授权 API AZN API 定义了标准应用编程接口 用来实现 访问控制体系结构符合 ISO IEC 10181 3 ITU T Rec X 812 规定的系统 2000 年 NIST National Institute of Standards and Technology 发布了基于角 色的访问控制建议标准 定义了 RBAC Role Based Access Control 的参考模型 关于 PMI 的标准正在制定当中 IETF 正在进行的 PERMIS PrivilEge and Role Management Infrastructure Standards Validation 权限和角色管理基础设施标准验证 项目将在 2002 年 9 月 31 日结束 并计划推出 PERMIS API 的标准和相关的 RFC RSA 已提 出了 IETF 草案 An Internet Attribute Certificate Profile for Authorization draft ietf pkix ac509prof 国外已经有了 PMI 相关的产品 如 Entrust Secure Control Baltimore Technology Attribute Certificate ServerIBM Secureway DASCOM now IBM aznAPI code 国内对 PMI 的研究已经开始 也已经有类似的产品 出现 但是还没有应用实例 从总体上看 PMI 的理论是完全成熟的 目前在相关应用支撑技术方面已经具备 很 快将有相应的标准公布 产品应用已经提到日程上来 吉大正元信息技术股份有限公司 5 权限管理基础设施权限管理基础设施 PMI 的定义的定义 ITU International Telecomunications Union 专用技术词汇专用技术词汇 PMI 权限管理基础设施 AA 属性权威 策略实施点 策略实施点 用来对用户的请求做出决策的模块 接受用户请求 转化成 PMI 系统需要的形式 传送给策略决策点 由策略决策点对此做出决策 策略实施点运行在资源服务器 吉大正元信息技术股份有限公司 23 上 策略决策点 策略决策点 最终做出决策的模块 接收策略实施点发来的决策请求 根据管理端做出的策略 做出决策 返回给策略实施点 动作策略 动作策略 定义了 PMI 系统所支持的动作列表 SOA 策略 策略 定义了 PMI 系统所信任的 SOA 的列表 角色层次策略 角色层次策略 定义了 PMI 系统所支持的角色的定义 和所支持的角色之间的层次关系 资源域策略 资源域策略 对 PMI 系统所支持的资源进行了域划分 以方便于管理和访问控制 可以按照应 用的具体组织形式进行划分 具体采用什么样的划分形式 视情况而定 用户域策略 用户域策略 对 PMI 系统所支持的用户进行了域划分 以方便于管理和访问控制 可以按照应 用的具体组织形式进行划分 具体采用什么样的划分形式 视情况而定 角色分配策略 角色分配策略 定义了为用户分配角色时的准则 例如 某个用户域上 可以分配什么样的角色 有