授權管理基礎設施PMI技術與應用

2019-11-04 20:37:10

字體：大中小

來源：轉載

供稿：網友

　　一、概述
　　授權治理基礎設施PMI(PRivilege Management InfrastrUCture)是國家信息安全基礎設施(National Information Security Infrastructure，NISI)的一個重要組成部分，目標是向用戶和應用程序提供授權治理服務，提供用戶身份到應用授權的映射功能，提供與實際應用處理模式相對應的、與具體應用系統開發和治理無關的授權和訪問控制機制，簡化具體應用系統的開發與維護。授權治理基礎設施PMI是一個屬性證書、屬性權威、屬性證書庫等部件構成的綜合系統，用來實現權限和證書的產生、治理、存儲、分發和撤銷等功能。PMI使用屬性證書表示和容納權限信息，通過治理證書的生命周期實現對權限生命周期的治理。屬性證書的申請，簽發，注銷，驗證流程對應著權限的申請，發放，撤消，使用和驗證的過程。而且，使用屬性證書進行權限治理方式使得權限的治理不必依靠某個具體的應用，而且利于權限的安全分布式應用。
　　
　　授權治理基礎設施PMI以資源治理為核心，對資源的訪問控制權統一交由授權機構統一處理，即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比，兩者主要區別在于：PKI證實用戶是誰，而PMI證實這個用戶有什么權限，能干什么，而且授權治理基礎設施PMI需要公鑰基礎設施PKI為其提供身份認證。PMI與PKI在結構上是非常相似的。信任的基礎都是有關權威機構，由他們決定建立身份認證系統和屬性特權機構。在PKI中，由有關部門建立并治理根CA，下設各級CA、RA和其它機構；在PMI中，由有關部門建立授權源SOA，下設分布式的AA和其它機構。
　　
　　PMI實際提出了一個新的信息保護基礎設施，能夠與PKI和目錄服務緊密地集成，并系統地建立起對認可用戶的特定授權，對權限治理進行了系統的定義和描述，完整地提供了授權服務所需過程。
　　
　　建立在PKI基礎上的PMI，以向用戶和應用程序提供權限治理和授權服務為目標，主要負責向業務應用系統提供與應用相關的授權服務治理，提供用戶身份到應用授權的映射功能，實現與實際應用處理模式相對應的、與具體應用系統開發和治理無關的訪問控制機制，極大地簡化應用中訪問控制和權限治理系統的開發與維護，并減少治理成本和復雜性。
　　
　　二、PMI技術的授權治理模式及其優點
　　授權服務體系主要是為網絡空間提供用戶操作授權的治理，即在虛擬網絡空間中的用戶角色與最終應用系統中用戶的操作權限之間建立一種映射關系。授權服務體系一般需要與信任服務體系協同工作，才能完成從特定用戶的現實空間身份到特定應用系統中的具體操作權限之間的轉換。
　　
　　目前建立授權服務體系的要害技術主要是授權治理基礎設施PMI技術。PMI技術通過數字證書機制來治理用戶的授權信息，并將授權治理功能從傳統的應用系統中分離出來，以獨立服務的方式面向應用系統提供授權治理服務。由于數字證書機制提供了對授權信息的安全保護功能，因此，作為用戶授權信息存放載體的屬性證書同樣可以通過公開方式對外發布。由于屬性證書并不提供對用戶身份的鑒別功能，因此，屬性證書中將不包含用戶的公鑰信息。考慮到授權治理體系與信任服務體系之間的緊密關聯，屬性證書中應表明與之相關聯的用戶公鑰證書的Ⅲ號，以便將特定的用戶角色(對應于操作權限)綁定到對應的用戶上。屬性證書可以直接采用標準的X.509證書格式，而且由于不存放用戶公鑰，將不存在雙證書機制的問題。
　　
　　授權治理體系將操作授權治理功能從傳統的信息應用系統中剝離出來，可以為應用系統的設計、開發和運行治理提供很大的便利。應用系統中與操作授權處理相關的地方全部改成對授權服務的調用，因此，可以在不改變應用系統的前提下完成對授權模型的轉換，進一步增加了授權治理的靈活性。同時，通過采用屬性證書的委托機制，授權治理體系可進一步提供授權治理的靈活性。
　　
　　與信任服務系統中的證書策略機制類似，授權治理系統中也存在安全策略治理的問題。同一授權治理系統中將遵循相同的安全策略提供授權治理服務，不同的授權治理系統之間的互通必須以策略的一致性為前提。
　　
　　與傳統的同應用密切捆綁的授權治理模式相比，基于PMI技術的授權治理模式主要存在以下三個方面的優勢：
　　
　　授權治理的靈活性
　　
　　基于PMI技術的授權治理模式可以通過屬性證書的有效期以及委托授權機制來靈活地進行授權治理，從而實現了傳統的訪問控制技術領域中的強制訪問控制模式與自主訪問控制模式的有機結合，其靈活性是傳統的授權治理模式所無法比擬的。
　　
　　與傳統的授權治理模式相比，采用屬性證書機制的授權治理技術對授權治理信息提供了更多的保護功能；而與直接采用公鑰證書的授權治理技術相比，則進一步增加了授權治理機制的靈活性，并保持了信任服務體系的相對穩定性。
　　
　　授權操作與業務操作相分離
　　
　　基于授權服務體系的授權治理模式將業務治理工作與授權治理工作完全分離，更加明確了業務治理員和安全治理員之間的職責分工，可以有效地避免由于業務治理人員參與到授權治理活動中而可能帶來的一些問題。
　　
　　基于PMI技術的授權治理模式還可以通過屬性證書的審核機制來提供對操作授權過程的審核，進一步加強了授權治理的可信度。
　　
　　多授權模型的靈活支持
　　
　　基于PMI技術的授權治理模式將整個授權治理體系從應用系統中分離出來，授權治理模塊自身的維護和更新操作將與具體的應用系統無關，因此，可以在不影響原有應用系統正常運行的前提下，實現對多授權模型的支持。
　　
　　三、授權治理基礎設施PMI系統的架構及需求
　　(一）PKI系統的架構
　　
　　PMI 授權服務體系以高度集中的方式治理用戶和為用戶授權，并且采用適當的用戶身份信息來實現用戶認證，主要是 PKI 體系下的數字證書，也包括動態口令或者指紋認證技術。安全平臺將授權治理功能從應用系統中分離出來，以獨立和集中服務的方式面向整個網絡，統一為各應用系統提供授權治理服務。
　　
　　授權治理基礎設施PMI在體系上可以分為三級，分別是信任源點SOA中心、屬性權威機構AA中心和AA代理點。在實際應用中，這種分級體系可以根據需要進行靈活配置，可以是三級、二級或一級。授權治理系統的總體架構如下圖1所示。
　　授權治理基礎設施PMI技術與應用

　　圖1 授權服務體系的總體架構示意圖
　　1、信任源點SOA
　　
　　信任源點(SOA中心)是整個授權治理體系的中心業務節點，也是整個授權治理基礎設施PMI的最終信任源和最高治理機構。
　　
　　SOA中心的職責主要包括：授權治理策略的治理、應用授權受理、AA中心的設立審核及治理和授權治理體系業務的規范化等。
　　
　　2、授權服務中心AA
　　
　　屬性權威機構AA中心是授權治理基礎設施PMI的核心服務節點，是對應于具體應用系統的授權治理分系統，由具有設立AA中心業務需求的各應用單位負責建設，并與SOA中心通過業務協議達成相互的信任關系。
　　
　　AA中心的職責主要包括：應用授權受理、屬性證書的發放和治理，以及AA代理點的設立審核和治理等。AA中心需要為其所發放的所有屬性證書維持一個歷史記錄和更新記錄。
　　
　　3、授權服務代理點
　　
　　AA代理點是授權治理基礎設施PMI的用戶代理節點，也稱為資源治理中心，是與具體應用用戶的接口，是對應AA中心的附屬機構，接受AA中心的直接治理，由各AA中心負責建設，報經主管的SOA中心同意，并簽發相應的證書。AA代理點的設立和數目由各AA中心根據自身的業務發展需求而定。
　　
　　AA代理點的職責主要包括應用授權服務代理和應用授權審核代理等，負責對具體的用戶應用資源進行授權審核，并將屬性證書的操作請求提交到授權服務中心進行處理。
　　
　　4、訪問控制執行者
　　
　　訪問控制執行者是指用戶應用系統中具體對授權驗證服務的調用模塊，因此，實際上并不屬于授權治理基礎設施的部分，但卻是授權治理體系的重要組成部分。
　　
　　訪問控制執行者的主要職責是：將最終用戶針對特定的操作授權所提交的授權信息(屬性證書)連同對應的身份驗證信息(公鑰證書)一起提交到授權服務代理點，并根據授權服務中心返回的授權結果，進行具體的應用授權處理。
　　
　　(二）PMI系統的需求
　　
　　權限治理作為PKI的一個領域得到快速發展，人們已經熟悉到需要超越當前PKI提供的身份驗證和機密性，步入授權驗證的領域，提供信息環境的權限治理將成為下一個主要目標。在PKI的基礎上，PMI實際提出了一個新的信息保護基礎設施，能夠與PKI和目錄服務緊密的集成。PMI作為一個基礎設施能夠系統地建立起對認可用戶的授權。PMI通過結合授權治理系統和身份認證系統補充了PKI的弱點，提供了將PKI集成到應用計算環境的模型。PMI權限治理和授權服務基礎平臺應該滿足下面的需求：作為權限治理和授權服務的基礎設施，可以為不同類型的應用提供授權治理和訪問控制的平臺支持。
　　
　　平臺策略的定制應該靈活，能夠根據不同的情況定制出不同的策略。如：不同級別的政府機關，同一級別的不同部門，策略可能是截然不同的，PMI應該能夠根據這些不同的情況靈活的定制出策略。
　　
　　平臺治理功能的操作應該簡單。由于治理人員可能屬于不同領域，他們在權限治理方面的知識參差不齊，所以治理功能應該盡量簡單。
　　
　　平臺應該具有很好的擴展能力。如：可以隨時的增加功能模塊，而不必改變原來的程序構架，或改動很小；可以隨時增加決策標準；可以針對不同的應用定制實施模塊。
　　
　　平臺應該具有較好的效率，避免決策過程明顯的影響訪問速度。
　　
　　平臺應該獨立于任何應用。
　　
　　隨著信息安全市場的成熟，對訪問控制

上一篇：[教學] 一份關于EASE-IP的配置

下一篇：小康巡診日記-網絡經脈篇之故事(1)