目录 |
授权管理基础设施(以下简称PMI)是国家信息安全基础设施的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。授权管理基础设施PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销、使用和验证的过程。而且,使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用,而且利于权限的安全分布式应用。
授权管理基础设施PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。同公钥基础设施PKI相比,两者主要区别在于:PKI证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构,由他们决定建立身份认证系统和属性特权机构。在PKI中,由有关部门建立并管理根CA,下设各级CA、RA和其他机构;在PMI中,由有关部门建立授权源SOA,下设分布式的AA和其他机构。
PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。
建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。
PKI具有以下12种功能操作:
这些功能大部分都是由PKI的核心组成部分CA完成的。
PKI是以公钥加密为基础的,为网络安全保障的基础设施。从理论上来讲,是目前比较完善和有效的实现身份认证和保证数据完整性、有效性的手段。但在实际的实施中,仍有一些需要注意的问题。
与PKI安全相关的最主要问题是私有密钥的存储安全性。私有密钥保存的责任是由持有者承担的,而非PKI系统的责任。私钥的丢失,会导致PKI的整个验证过程没有意义。另一个问题是废止证书时间与废纸证书的声明出现在公共可访问列表的时间之间会有一段时间的延迟,而无效证书可能在这一段时间内被使用。另外,Intemet使得获得个人身份信息很容易,如身份证号等,一个人可以利用别人的这些信息获得数字证书,而使申请看起来像来自别人。同时,PKI系统的安全很大程度上依赖于运行CA的服务器、软件等,如果黑客非法侵入一个不安全的CA服务器,就可能危害整个PKI系统。因此,从私钥的保存到PKI系统本身的安全方面还要加强防范。在这几方面独有比较好的安全性的前提下,PKI不失为一个保证网络安全的合理和有效的解决方案。
PKI的标准化问题实现不同的PKI域具有良好的借口的必要条件。
目前世界上很多的标准化小组都在关注和从事PKI的标准化工作。PKI标准化的主要内容涉及四个方面:基本安全算法、公约基础实施、E-mail安全和对称加密算法(DES、IDEA)、数字签名算法(RSA、DSA)等。公钥基础实施的标准包括ANS.1规范、CA证书格式、Intemet X.509标准、PKIX、SET安全协议等。E-mail安全标准包括S/MIME、PEM、PGP协议标准。Web的安全标准有安全HTFP协议(S/HTIP)、安全套接层(SSL)协议等。PKI的标准化工作已取得了很大的进展,许多标准已相对稳定,但仍有许多方面的标准需要迸一步的发展和完善。预计在未来的几年里,会有更多的标准将进入完善和稳定阶段,并被PKI产品和服务商所采用。这些标准将大大增强PKI产品或服务的功能和互操作性。
1998年,自我国国内第一家以实体形式运营的上海CA中心(SHECA)成立以来,全国先后建成了几十家不同类型的CA认证机构,CA认证概念也逐步从电子商务渗透至电子政务、金融、科教等各个领域。然而国内CA建成自成体系的现状,直接导致了CA认证的权威性、互通性、可靠性等达不到要求。
PMI授权服务体系以高度集中的方式管理用户和为用户授权,并且采用适当的用户身份信息来实现用户认证,主要是PKI体系下的数字证书,也包括动态口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来,以独立和集中服务的方式面向整个网络,统一为各应用系统提供授权管理服务。
授权管理基础设施PMI在体系上可以分为三级,分别是信任源点(SOA中心)、属性权威机构AA中心和AA代理点。在实际应用中,这种分级体系可以根据需要进行灵活配置,可以是三级、二级或一级。授权管理系统的总体架构如图所示。
1.信任源点(SOA中心)。信任源点(SOA中心)是整个授权管理体系的中心业务节点,也是整个授权管理基础设施PMI的最终信任源和最高管理机构。SOA中心的职责主要包括:授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。
2.授权服务中心AA。属性权威机构AA中心是授权管理基础设施PMI的核心服务节点,是对应于具体应用系统的授权管理分系统,由具有设立AA中心业务需求的各应用单位负责建设,并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括:应用授权受理、属性证书的发放和管理,以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。
3.授权服务代理点。AA代理点是授权管理基础设施PMI的用户代理节点,也称为资源管理中心,是与具体应用用户的接口,是对应AA中心的附属机构,接受AA中心的直接管理,由各AA中心负责建设,报经主管的SOA中心同意,并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等,负责对具体的用户应用资源进行授权审核,并将属性证书的操作请求提交到授权服务中心进行处理。
4.访问控制执行者。访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块,因此,实际上并不属于授权管理基础设施的部分,但却是授权管理体系的重要组成部分。访问控制执行者的主要职责是:将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一起提交到授权服务代理点,并根据授权服务中心返回的授权结果,进行具体的应用授权处理。
对于PMI基础设施,由于它是建立在PKI基础之上的,因此也必须遵循国家统一的标准,按照国家的统一部署和管理规定,有序开展这项建设工作,地方不能各自为政。按照效益的原则,实现以较少的投入取得较大的收益,从而可以极大地减少技术上的困难,同时可以节省巨额的资金投入。同时,PMI基础设施所采用的技术也应该建立在我国自己的技术平台之上,从而保证信息安全。
授权服务体系主要是为网络空间提供用户操作授权的管理,即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。授权服务体系一般需要与信任服务体系协同工作,才能完成从特定用户的现实空间身份到特定应用系统中的具体操作权限之间的转换。
目前建立授权服务体系的关键技术主要是授权管理基础设施PMI技术。PMI技术通过数字证书机制来管理用户的授权信息,并将授权管理功能从传统的应用系统中分离出来,以独立服务的方式面向应用系统提供授权管理服务。由于数字证书机制提供了对授权信息的安全保护功能,因此,作为用户授权信息存放载体的属性证书同样可以通过公开方式对外发布。由于属性证书并不提供对用户身份的鉴别功能,因此,属性证书中将不包含用户的公钥信息。
授权管理体系将操作授权管理功能从传统的信息应用系统中剥离出来,可以为应用系统的设计、开发和运行管理提供很大的便利。应用系统中与操作授权处理相关的地方全部改成对授权服务的调用,因此,可以在不改变应用系统的前提下完成对授权模型的转换,进一步增加了授权管理的灵活性。同时,通过采用属性证书的委托机制,授权管理体系可进一步提高授权管理的灵活性。
与信任服务系统中的证书策略机制类似,授权管理系统中也存在安全策略管理的问题。同一授权管理系统中将遵循相同的安全策略提供授权管理服务,不同的授权管理系统之间的互通必须以策略的一致性为前提。
与传统的同应用密切捆绑的授权管理模式相比,基于PMI技术的授权管理模式主要存在以下三个方面的优势。
1.授权管理的灵活性。基于PMI技术的授权管理模式可以通过属性证书的有效期以及委托授权机制来灵活地进行授权管理,从而实现了传统的访问控制技术领域中的强制访问控制模式与自主访问控制模式的有机结合,其灵活性是传统的授权管理模式所无法比拟的。与传统的授权管理模式相比,采用属性证书机制的授权管理技术对授权管理信息提供了更多的保护功能;而与直接采用公钥证书的授权管理技术相比,则进一步增加了授权管理机制的灵活性,并保持了信任服务体系的相对稳定性。
2.授权操作与业务操作相分离。基于授权服务体系的授权管理模式将业务管理工作与授权管理工作完全分离,更加明确了业务管理员和安全管理员之间的职责分工,可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。基于PMI技术的授权管理模式还可以通过属性证书的审核机制来提供对操作授权过程的审核,进一步加强了授权管理的可信度。
3.多授权模型的灵活支持。基于PMI技术的授权管理模式将整个授权管理体系从应用系统中分离出来,授权管理模块自身的维护和更新操作将与具体的应用系统无关,因此,可以在不影响原有应用系统正常运行的前提下,实现对多授权模型的支持。