PMI技术研究白皮书

产品相应技术 3PMI概览 3权限管理基础设施 5PMI的定义 5为什么不是PKI 5PKI与PMI的关系 6属性权威 7权限管理8属性证书的特点 8PMI模型 9访问操纵框架 10访问操纵抽象模型 11策略规则 12授权策略 12基于PMI建立安全应用 13PMI应用结构 13应用方式 15建立访问操纵系统 15访问操纵流程 15PMI中技术的应用 16系统简介 16需求背景 16产品简介 17产品功能18 18访问实施接口(AEFAPI) 18策略决策点(PDP) 19 19 19角色管理 19 19 19 19 20 20 20 20 20系统结构 21硬件设施结构 21软件系统结构 21系统工作过程 21支持环境 22硬件设备 22 22专用技术词汇 22产品相应技术计算机网络能有效地实现资源共享，但资源共享与信息安全是一对矛盾体。随着资源共享的进一步加强，随之而来的信息安全问题也日益突出，而身份认证，权限与访问操纵又是网络应用安全的两个重要内容，因此它们也成为了当前信息安全领域中的研究热点。许多应用系统都需要分别在这两个方面采取了相应的安全措施。但是，对一些大型的组织机构来说，其网络结构比较复杂，应用系统比较多，假如分别对不一致的应用系统使用不一致的安全策略，则管理将变得越来越复杂，甚至难以操纵。不一致的用户对应不一致的应用系统，由于机构的网络结构比较复杂，应用系统与用户都是分散分布的，因此对用户的访问操纵与权限管理就显得非常的复杂与凌乱。而机构务必要能够操纵：有“谁”能够访问机构的信息，用户访问的是"什么信息",哪个用户被授予什么样的“权限”。一旦机构确定了权限管理与公布的方式，访问操纵系统就能够根据机构发放的权限与定义的安全策略操纵用户访问，保护应用系统。然而，过去在权限生命周期管理，权限的表达与权限管理方式方面没有更成熟更有用的成果，权限管理方案进展相对滞后。相反，访问操纵，或者者说授权服务，已经十分成熟，在过去的研究与应用中已经获得了很多的成果，建立了我们目前要紧使用的DAC,ACL,MAC,RBAC访问操纵模型，其中ACL与MAC得到了最普遍的应用。目前，RBAC模型也已经比较成熟，支持了最新的应用。传统的应用系统通常是通过使用用户名与口令的方式来实现对用户的访问操纵的，而对权限的操纵是每个应用系统分别进行的，不一致的应用系统分别针对保护的资源进行权限的管理与操纵，这种方式存在一些缺点。同时，又由于不一致系统的设计与实施策略不一致，导致了同一机构内存在多种权限管理的现状。目前，缺乏有效的权限管理带来了下列问题：权限管理混乱对一个机构而言，数据与人力资源都是统一的。但是由于系统设计的原因，可能同时对相同的人员使用不一致的管理方式，对机构内的共享数据使用了不一致的权限分配策略，这显然不合理，也不利于对机构资源的管理。带来系统的不安全因素不一致的权限管理策略产生的安全强度是不一致的。这就可能造成机构信息安全管理的漏洞，因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击，这就给机构资源的安全性带来极大的危害。权限管理依靠于访问操纵应用权限的给予与撤销往往都是在访问操纵应用中产生的，不一致的访问操纵应用之间尽管有相同的用户与授权策略却往往不能互相使用对方产生的权限。每个应用都要保护自己的用户信息与授权方法，权限无法在分布的应用中与远程应用中使用。资源所有者没有权限应用系统负责权限的发放与使用，造成权限真正的拥有者不能有效，及时的更换，公布实时的权限信息。比如机构内一个人职务或者业务的变化务必通知有关的不一致应用中进行更新。而从本质上讲，权限的发放与权限的鉴别使用是完全不一致的两个过程，完全能够分开，权限的拥有者发放权限，而由资源的保护者验证权限。增加了系统管理员的负担由于不一致的系统使用的是不一致的权限管理策略，系统管理员不得不熟悉与操作不一致的权限管理模式，这无疑增加了系统管理员的负担。另外，大多数老系统都使用的是权限访问操纵列表的方式，但是关于大型复杂应用用这种方式来分配权限，给系统管理员带来巨大负担且易出错。开发复杂费用高设计一个新的安全应用系统时，权限管理是一个极其重要的部分。在缺乏统一权限管理模型的情况下，设计人员要考虑选择权限管理模型、访问操纵授权方案，而且开发人员也要根据不一致的应用花费较大代价来实现权限管理功能，为一个应用开发的管理往往无法在其它应用中重用，增大系统的费用。在过去的五年中，权限管理作为安全的一个领域得到快速进展，也提出了几种权限管理方案，如Kerberos,基于策略服务器方案，但目前应用与研究的热点集中于基于PKI的PMI研究。在PKI得到较大规模应用以后，人们已经认识到需要超越当前PKI提供的身份验证与机密性，步入授权领域，提供信息环境的权限管理将成为下一个要紧目标。PMI实际提出了一个新的信息保护基础设施，能够系统地建立起对认可用户的授权。建立在PKI基础上的PMI,对权限管理进行了系统的定义与描述，已经将权限管理研究推到了应用前沿。关于权限管理与访问操纵已经有了很多有关的标准。1995年，公布了访问操纵的标准框架(ISO/IEC10181-3|ITU-TRec.X.812),它要紧定义了访问操纵的基本概念，定义了通用的访问操纵服务与机制，定义了访问操纵服务与机制的协议功能需求，定义了访问操纵的管理需求，阐明了访问操纵服务与机制与其他安全服务与机制的相互作用关系。在1997年X.509(V3)中定义了基本的属性证书语法(属性证书第1版本),在2000年公布的X.509(V4)中定义了PMI的框架结构，其中定义了扩展属性证书的语法(第2版),定义了PMI模型，规定了委托路径处理，定义了标准PMI扩展集，并增加了目录服务对象定义。2000年0penGroup提出了授权API(AZNAPI),定义了标准应用编程接口，用来实现访问操纵体系结构符合ISO/IEC10181-3|ITU-TRec.X.812规定的系统。2000年NIST(NationalInstituteofStandardsandTechnology)公布了基于角色的访问操纵建议标准，定义了RBAC(Role-BasedAccessControl)的参考模型。关于PMI的标准正在制定当中，IETF正在进行的PERMIS(PrivilEgeandRoleManagementInfrastructureStandardsValidation,权限与角色管理基础设施标准验证)项目将在2002年9月31日结束，并计划推出PERMISAPI的标准与有关的RFC。RSA已提出了IETF草案《AnInternetAttributeCertificateProfileforAuthorization》 (draft-ietf-pkix-ac509prof)国外已经有了PMI有关的产品，如Entrust:SecureControlBaltimoreTechnology:AttributeCertificateServerIBM:Secureway■DASCOM(nowIBM):aznAPIcode国内对PMI的研究已经开始，也已经有类似的产品出现，但是还没有应用实例。从总体上看，PMI的理论是完全成熟的，目前在有关应用支撑技术方面已经具备，很快将有相应的标准公布，产品应用已经提到日程上来。ITU(InternationalTelecomunicationsUnion)&IETF(InternetEngine展开机制与一系列特别的证书扩展机制。下面我们称身份证书为PKC(PublicKey为什么不是PKICertificatePublicKeyCertificateAttributeertificateCertificateissuerCertificationAuthorityAttributeAuthorityCertificateuserSubjectHolderCertificatebindingSubject'snametopublickeyHolder'snametoprivilegeattribute(s)RevocationCertificaterevocationlist(CRL)Attributecertificaterevocationlist(ACRL)RootoftrustRootcertificationauthorityortrustanchorSourceofauthority(SOA)SubordinateauthoritySubordinatecertificationauthorityAttributeauthorityPMI与PKI有很多相似的概念。如属性证书(AttributeCertificate,AC)与公钥证书PKI信任源有的时候被称之根CA,而PMI信任源被称之SOA。CA能够有它们信任的次级CA,次级CA能够代理鉴别与认证，SOA能够将它们的权利授给次级AA。假如用户需要废止他/她的签字密钥，则CA将签发证书撤销列表。与之类似，假如用户需要废止授权同意(AuthorizationPermissions),AA将签发一个属性证书撤消列表(ACRL)。属性权威即AC)的机构。它负责管理属性证书的整个生命周期。AA与CA在逻辑上是完全独立的。“身份”的创建与保护能(应该)与PMI分离开来。因此完整的PKI,包含CA,可能在PMI建立之前存在同时可选用。尽管CA是域身份权威的源，但是它不是自动的权限权威源。因此，CA本身并不必是AA。在实际应用PMI系统构建安全应用时，属性权威AA能力与应用方式能够根据具体的建设要求与成本灵活的决定。比如在一个较小的应用中，系统的使用人员与资源较少，能够使用嵌入式的属性权威AA签发与管理属性证书，减少建设成本与管理开销。而在一个由多个应用构成的较大的系统中，存在着大量的用户与资源，并对系统有整体的安全需求，这时能够考虑建立属性权威中心，简称AA中心，将所有的应用纳入到同一个安全域下，由PMI的整体安全策略与授权策略实现整个系统范围内的所有应用的整体安全访问。这样，一方面能够减少属性权威AA的重复性投来资操纵成本，另外一方面能够通过较为集中的管理模式减少管理复杂性与开销，并带来更好的全局安全性。一个属性权威AA的基本构成如下图所示：ACAC签发数据库AA管理属性权威AAAA受理图属性权威AA的结构图示要紧包含AC签发，受理与管理，数据库服务器、目录服务器，其中数据库服务器不是务必的。1)AC签发服务4)数据库权限管理属性证书的特点统进行统一存储与管理而不必分发给用户。在用户持有属性证书的情况下，为了应用属性证书进行访问操纵，务必建立相应的协议来使用属性证书，同时要求用户选择与具体应用对应的属性证书，当用户权限改变时更新自己的属性证书。由系统托管属性证书时，应用系统根据用户的身份直接从属性库中获得用户相应的属性证书，不需要建立相应的协议，属性证书的使用与变更对用户是透明的。由于权限的生存期通常比较短，相对来说属性证书的更新是频繁的。比如，在用户管理属性证书的情况下，当用户的权限增加时，假如用户没有及时更新证书，系统就会拒绝访问，尽管用户确实具有该权限。而在委托管理模式下，用户的权限增加立刻就会得到认可。因此，由用户自己管理属性证书往往不如由系统托管方便。本地发放，在一个本地发放属性证书的系统中，用于管理证书的架构能够非常简单。当证书发放者与应用系统同处在一个环境中，安全措施与证书发放手续能够极大简化。另外，本地发放的属性证书，能够被系统外安全应用系统使用，不管该持有属性证书的用户是处于本地还是远程。■基于属性，而不是基于身份进行访问操纵应用属性证书的最大好处是，在存取操纵方面不再基于用户身份，取而代之的是基于其拥有属性来决定其对某一资源或者服务是否拥有访问权。这带来各方面的好处：应用程序中访问操纵规则能够简单地被定义成按属性的有效期来决定访问权。这非常简单、容易懂得，同时更易保护。同时，这是一个可伸缩的方案，能够支持大量的用户，但又不用对应用程序作任何改变(假定所有用户都能够被定义成同样的一套属性集合)。假如使用传统的基于用户访问操纵机制，每增加一个新用户，都要求在每个应用程序的ACLs(AccessControlList)中。此举导致的必定结果是要么ACLs在各处分布，要么产生一个集中式的大型ACLs,所有应用程序务必联机访问。从管理角度来说两者都是十分困难的。假如迁移到基于角色的访问操纵，能够避免以上操作带来的实施与管理复杂性。短时效属性证书能够设置成短时效的，假如属性证书被设定成短时效的。发放务必是一个轻载过程。也就是说，属性证书的发放务必简单，甚至自动化，由于这个过程须经常重复。而且本地操作要好于远程、集中的管理。撤回证书变得毫无必要，由于有效期过短，被暴露的属性证书很快会失效。■属性证书与身份证书的相互关联属性证书不能单独使用，而且务必支持某种形式的身份认证过程。这种身份证书与属性证书的关联检查是至关重要的，由于这个过程建立起一种信任传递，能够防止一个人的属性被另外的人假冒使用。绝大多数的访问操纵应用都能抽象成通常的权限管理模型，包含3个实体：对象，权限声称者(privilegeasserter)与权限验证者(privilegeverifier)。■对象能够是被保护的资源，比如在一个访问操纵应用中，受保护资源就是对象。■权限声明者也就是访问折，是持有特定权限并声明其权限具有特定使用内容的实体。环境变量权限策略权限验证者对象方法(敏感度)权限声明者提交提交访问控制执行单元访问请求访问者决策请求决策结果访问控制决策单元ADF执行访问请求AEF护的目标。访问者提出对目的访问请求，被访问操纵执行单元(AEF,AccessControl目标信息访问者信息访问控制决策单元访问请求信息保留信息访问控制策略规则上下文信息决策请求策略规则授权策略访问者动作PKI访问者策略实施策略决策PDPPMI注册申请ARA属性权威AALDAP应用系统应用策略支撑框架属性证书签发系统访问者是一个实体(该实体可能是人，也可能是其他计算机实体),它试图访问系统内的其他实体(目标)。策略授权策略展示了一个机构在信息安全与授权方面的顶层操纵，授权遵循的原则与具体的授权信息。在一个机构的PMI应用中，策略应当包含一个机构将如何将它的人员与数据进行分类组织，这种组织方式务必考虑到具体应用的实际运行环境，如数据的敏感性，人员权限的明确划分，与务必与相应人员层次相匹配的管理层次等因素。因此，策略的制定是需要根据具体的应用量身定做的。具体说，策略包含着应用系统中的所有用户与资源信息与用户与信息的组织管理方式；用户与资源之间的权限关系；保证安全的管理授权约束；保证系统安全的其他约束。在PMI中要紧使用基于基于角色的访问操纵(RBAC,Role-BasedAccessControl)。属性证书(AC)是PMI的基本概念，它是权威签名的数据结构，将权限与实体信息绑定在一起。属性证书中包含了用户在某个具体的应用系统中的角色信息，而该角色具有什么样的权限是在策略中指定的。AA属性证书的签发者被称之属性权威AA,属性权威AA的根称之SOA。ARA属性证书的注册申请机构称之属性注册权威ARA。LDAP用来存储签发的属性证书与属性证书撤消列表策略实施策略实施点(PEPs,PolicyEnforcementPoints)也叫PMI激活的应用，对每一个具体的应用可能是不一致的，是指已经通过接口插件或者者代理所修改过的应用或者服务，这应用方式建立访问操纵系统访问操纵流程3.策略实施点对请求进行处理，根据用户信息，请求操作与目标信息等形成决策请求，3.策略决策点根据用户的权限，策略规则对决策请求进行推断，并将决策的结果返回给策略执行点。该结果只是同意/拒绝。4.策略执行点根据决策结果执行访问或者者拒绝访问管理员身份的验证使用了公钥证书技术。用公钥证书表示管理员的身份与用户的身份。用公钥证书的存储方式存储用户的身份信息。签名验证管理员登录时从管理员的证书中提取私钥，用私钥对信息进行签名，用公钥证书进行验证，推断用户的身份的正确性。SSL安全连接协议Pa与aa的连接使用了SSL安全连接协议，保证了证书申请过程的安全性。XML策略的表达与存储使用了XML编码，属性证书的申请与撤销信息也使用了XML编码。保证了数据的存储，传输的方便行；数据组织的灵活性；数据表示的通用性。属性证书策略的表达，用户与管理员的权限的表达都是用了属性证书。属性证书保证了权限分配原则(策略),与权限分配的可靠性。使访问操纵过程是可信赖的。属性权威是第三方的权限分配的信任机构，能够用自己的四钥对申请信息进行签名，签发属性证书，撤销属性证书，保护属性证书的有关信息。J2EE系统的引擎部分使用了J2EE框架，保证了系统的灵活性，与可扩展性(程序的可扩展性与拓扑结构的可扩展性);RBAC访问操纵框架整个访问操纵过程使用的是RBAC访问操纵框架，比通常的访问操纵框架增加了灵活性，扩大了适用范围，提高了运行效率。而且访问操纵对用户的组织更接近于实际的应用的单位的划分。LDAP存储应用对各类数据的存储使用了LDAP数据库。系统简介在过去的五年中，权限管理作为PKI的一个领域得到快速进展，人们已经认识到需要超越当前PKI提供的身份验证与机密性，步入授权验证的领域，提供信息环境的权限管理将成为下一个要紧目标。在PKI的基础上，PMI实际提出了一个新的信息保护基础设施，能够与PKI与目录服务紧密的集成。PMI作为一个基础设施能够系统地建立起对认可用户的授权。PMI通过结合授权管理系统与身份认证系统补充了PKI的弱点，提供了将PKI集成到应用计算环境的模型。PMI权限管理与授权服务基础平台应该满足下面的需求：●作为权限管理与授权服务的基础设施，能够为不一致类型的应用提供授权管理与访●平台策略的定制应该灵活，能够根据不一致的情况定制出不一致的策略。如：不一致级别的政府机关，同一级别的不一致部门，策略可能是截然不一致的，PMI应该能够根据这些不一致的情况灵活的定制出策略。●平台管理功能的操作应该简单。由于管理人员可能属于不一致领域，他们在权限管理方面的知识参差不齐，因此管理功能应该尽量简单。●平台应该具有很好的扩展能力。如：能够随时的增加功能模块，而不必改变原先的程序构架，或者改动很小；能够随时增加决策标准；能够针对不一致的应用定制实施模块●平台应该具有较好的效率，避免决策过程明显的影响访问速度。●平台应该独立于任何应用。随着信息安全市场的成熟，对访问操纵产品的兴趣与认识日益增长，显示出PMI系统良好的应用前景。PMI应用能够有效地增强系统的安全性，改变现有的多种权限管理模型带来权限管理混乱，降低应用系统的开发成本，提高企业的效率。国外的一些科研机构，公司也进行了同类产品的研究与开发工作，如RSA,Entrust,Baltimore等都做了大量的工作，很多PKI开发商已提供了一些PMI产品；政府方面也给与了相当的重视。比如，在EU资助下的PERMIS项目(PrivilegeandRoleManagementInfrastructureStandardsValidation),目的是验证该PMI的习惯性与可用性，并尝试标准化电子商务应用中所需的权限，并制定描述这些权限与PERMISAPI的RFC。目前，访问操纵产品的市场已趋于成熟，国内将会有很好的市场前景。国内的市场已经开始出现。同时，PMI也是公司产品路线中必要的构成部分，通过PMI巩固公司在电子证书方面的优势，并尽快进入权限管理与访问操纵的新的市场。因此，PMI具有很高的开发价值。产品简介PMI是由吉大正元开发的通用权限管理平台。要紧应用在权限管理，访问操纵领域。为进行资源管理的二次开发人员提供了一个方便，安全，高效的决策平台。PMI要紧用于web资源的访问操纵，磁盘资源的访问操纵，数据库资源的访问操纵，网络资源的访问操纵，硬件资源的访问操纵。网络资源的访问操纵，硬件资源的访问操纵。PMI系统分成两大模块：管理模块，引擎模块。管理模块要紧包含下面功能：保护系统所管理的用户的有关信息。2)资源管理：保护系统所管理的资源的有关信息。制订与保护决策过程所用到的策略。4)管理员管理：产品功能决策服务接收决策请求信息，检索策略规则，根据决策请求信息与策略规则作出决策，将决策结果返回策略实施点。将用户的权限信息返回给策略实施点。对决策过程的所有操作提供审计接口。策略管理功能为管理员提供方便的资源管理方式。提供Web资源的自动发现功能，导入资源的接口；提供资源的添加、删除与修改功能；对资源的管理使用集中方式，并按照资源的组织形式对资源进行管理；对资源的各类操作提供审计接口；对资源信息根据应用要求附加安全标签(属提供友好的图形界面对角色进行管理。根据实际的应用环境的要求划分角色，比如能够据企业或者组织结构，也能够根据级别与职责划分角色；角色之间应该能够支持继承，以方便管理员的管理工作；对角色的管理支持委托方式，减轻管理员负担；提供角色的增加，修改，删除的功能；支持角色继承的冲突消解；灵活的角色分配能力；对角色的操作提供审计接口。通过该功能为管理员提供方便的用户管理方式；按照用户类型对用户进行分类管理，如：员工，合作伙伴，顾客等。提供用户的添加，修改，删除功能；对用户的管理应该支持委托方式；对用户的各类操作提供审计接口。定义授权约束条件；定义系统内的权限；根据建立的角色给角色定义权限；申请签发相应用户的属性证书；系统提供映射关系的增加，修改，删除；授权策略的管理应该支持管理员授权委托方式；使用兼容RBAC,MAC,ACL的授权模型；提供对授权策略信息操作的审计接口；实现特定范围策略的委托管理，减轻管理人员的工作负担；管理员能够设定委托功能，将一部分权限的管理工作委托给其他管理员；受托管理员能够对委托范围内的用户，资源，策略进行管理；委托的权限范围，能够灵活指定；对管理员委托管理权限的请求要通过严格地验证，保证系统的安全性；支持多级委托管理；对委托事件提供审计接口系统管理功能对系统所处运行环境的有关信息进行配置；对系统运行所需的有关参数进行配置；对系统初始化，启动，运行，退出等配置信息进行管理；对系统的操作提供审计接口。初始化系统；提供增加，修改，删除管理员信息的功能；对管理员进行授权；制定安全策略；对首席用户的操作提供审计。管理系统的用户、资源与授权策略；进行管理权限的委托；管理员只能对权限范围内的策略与资源进行管理；管理相应的配置信息；对管理员的管理操作提供审计。该产品具有下列特点：●具有通用性，对不一致的应用提供决策支持。■文档资源数据库资源网络设备资源等●策略的定制灵活，能够根据不一致的情况定制出不一致的策略。■能够习惯不一致的需求，制定出不一致的策略，基本上能满足用户不一致的需求。对各类不一致情况进行访问操纵。管理功能操作简单。不要有太多的计算机知识与专业知识，就能够进行系统的管理，简单的操作界面，方便的管理功能，减轻了管理人员的工作负担。具有很好的扩展能力。为了方便系统将来的扩展，系统使用了良好的程序框架，系统增加功能，修改功能，删除功能都是非常方便的。●具有较高的效率，保证决策过程不可能明显的影响访问速度。●独立于任何应用，CA。■pmi系统所使用的公钥证书独立于任何CA系统。●对各类敏感信息具有较高的安全性。■由于使用了SSL连接，签名验证，公钥证书技术，因此对数据具有很好的保密性与安全性。PMIPMI策略实施A