一、概述
授权治理基础设施PMI(PRivilege Management InfrastrUCture)是国家信息安全基础设施(National Information Security Infrastructure,NISI)的一个重要组成部分,目标是向用户和应用程序提供授权治理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和治理无关的授权和访问控制机制,简化具体应用系统的开发与维护。授权治理基础设施PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、治理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过治理证书的生命周期实现对权限生命周期的治理。属性证书的申请,签发,注销,验证流程对应着权限的申请,发放,撤消,使用和验证的过程。而且,使用属性证书进行权限治理方式使得权限的治理不必依靠某个具体的应用,而且利于权限的安全分布式应用。
授权治理基础设施PMI以资源治理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。同公钥基础设施PKI相比,两者主要区别在于:PKI证实用户是谁,而PMI证实这个用户有什么权限,能干什么,而且授权治理基础设施PMI需要公钥基础设施PKI为其提供身份认证。PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构,由他们决定建立身份认证系统和属性特权机构。在PKI中,由有关部门建立并治理根CA,下设各级CA、RA和其它机构;在PMI中,由有关部门建立授权源SOA,下设分布式的AA和其它机构。
PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限治理进行了系统的定义和描述,完整地提供了授权服务所需过程。
建立在PKI基础上的PMI,以向用户和应用程序提供权限治理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务治理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和治理无关的访问控制机制,极大地简化应用中访问控制和权限治理系统的开发与维护,并减少治理成本和复杂性。
二、PMI技术的授权治理模式及其优点
授权服务体系主要是为网络空间提供用户操作授权的治理,即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。授权服务体系一般需要与信任服务体系协同工作,才能完成从特定用户的现实空间身份到特定应用系统中的具体操作权限之间的转换。
目前建立授权服务体系的要害技术主要是授权治理基础设施PMI技术。PMI技术通过数字证书机制来治理用户的授权信息,并将授权治理功能从传统的应用系统中分离出来,以独立服务的方式面向应用系统提供授权治理服务。由于数字证书机制提供了对授权信息的安全保护功能,因此,作为用户授权信息存放载体的属性证书同样可以通过公开方式对外发布。 由于属性证书并不提供对用户身份的鉴别功能,因此,属性证书中将不包含用户的公钥信息。考虑到授权治理体系与信任服务体系之间的紧密关联,属性证书中应表明与之相关联的用户公钥证书的Ⅲ号,以便将特定的用户角色(对应于操作权限)绑定到对应的用户上。属性证书可以直接采用标准的X.509证书格式,而且由于不存放用户公钥,将不存在双证书机制的问题。
授权治理体系将操作授权治理功能从传统的信息应用系统中剥离出来,可以为应用系统的设计、开发和运行治理提供很大的便利。应用系统中与操作授权处理相关的地方全部改成对授权服务的调用,因此,可以在不改变应用系统的前提下完成对授权模型的转换,进一步增加了授权治理的灵活性。同时,通过采用属性证书的委托机制,授权治理体系可进一步提供授权治理的灵活性。
与信任服务系统中的证书策略机制类似,授权治理系统中也存在安全策略治理的问题。同一授权治理系统中将遵循相同的安全策略提供授权治理服务,不同的授权治理系统之间的互通必须以策略的一致性为前提。
与传统的同应用密切捆绑的授权治理模式相比,基于PMI技术的授权治理模式主要存在以下三个方面的优势:
授权治理的灵活性
基于PMI技术的授权治理模式可以通过属性证书的有效期以及委托授权机制来灵活地进行授权治理,从而实现了传统的访问控制技术领域中的强制访问控制模式与自主访问控制模式的有机结合,其灵活性是传统的授权治理模式所无法比拟的。
与传统的授权治理模式相比,采用属性证书机制的授权治理技术对授权治理信息提供了更多的保护功能;而与直接采用公钥证书的授权治理技术相比,则进一步增加了授权治理机制的灵活性,并保持了信任服务体系的相对稳定性。
授权操作与业务操作相分离
基于授权服务体系的授权治理模式将业务治理工作与授权治理工作完全分离,更加明确了业务治理员和安全治理员之间的职责分工,可以有效地避免由于业务治理人员参与到授权治理活动中而可能带来的一些问题。
基于PMI技术的授权治理模式还可以通过属性证书的审核机制来提供对操作授权过程的审核,进一步加强了授权治理的可信度。
多授权模型的灵活支持
基于PMI技术的授权治理模式将整个授权治理体系从应用系统中分离出来,授权治理模块自身的维护和更新操作将与具体的应用系统无关,因此,可以在不影响原有应用系统正常运行的前提下,实现对多授权模型的支持。
三、授权治理基础设施PMI系统的架构及需求
(一)PKI系统的架构
PMI 授权服务体系以高度集中的方式治理用户和为用户授权,并且采用适当的用户身份信息来实现用户认证,主要是 PKI 体系下的数字证书,也包括动态口令或者指纹认证技术。安全平台将授权治理功能从应用系统中分离出来,以独立和集中服务的方式面向整个网络,统一为各应用系统提供授权治理服务。
授权治理基础设施PMI在体系上可以分为三级,分别是信任源点SOA中心、属性权威机构AA中心和AA代理点。在实际应用中,这种分级体系可以根据需要进行灵活配置,可以是三级、二级或一级。授权治理系统的总体架构如下图1所示。
图1 授权服务体系的总体架构示意图
1、信任源点SOA
信任源点(SOA中心)是整个授权治理体系的中心业务节点,也是整个授权治理基础设施PMI的最终信任源和最高治理机构。
SOA中心的职责主要包括:授权治理策略的治理、应用授权受理、AA中心的设立审核及治理和授权治理体系业务的规范化等。
2、授权服务中心AA
属性权威机构AA中心是授权治理基础设施PMI的核心服务节点,是对应于具体应用系统的授权治理分系统,由具有设立AA中心业务需求的各应用单位负责建设,并与SOA中心通过业务协议达成相互的信任关系。
AA中心的职责主要包括:应用授权受理、属性证书的发放和治理,以及AA代理点的设立审核和治理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。
3、授权服务代理点
AA代理点是授权治理基础设施PMI的用户代理节点,也称为资源治理中心,是与具体应用用户的接口,是对应AA中心的附属机构,接受AA中心的直接治理,由各AA中心负责建设,报经主管的SOA中心同意,并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。
AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等,负责对具体的用户应用资源进行授权审核,并将属性证书的操作请求提交到授权服务中心进行处理。
4、访问控制执行者
访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块,因此,实际上并不属于授权治理基础设施的部分,但却是授权治理体系的重要组成部分。
访问控制执行者的主要职责是:将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一起提交到授权服务代理点,并根据授权服务中心返回的授权结果,进行具体的应用授权处理。
(二)PMI系统的需求
权限治理作为PKI的一个领域得到快速发展,人们已经熟悉到需要超越当前PKI提供的身份验证和机密性,步入授权验证的领域,提供信息环境的权限治理将成为下一个主要目标。在PKI的基础上,PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密的集成。PMI作为一个基础设施能够系统地建立起对认可用户的授权。PMI通过结合授权治理系统和身份认证系统补充了PKI的弱点,提供了将PKI集成到应用计算环境的模型。PMI权限治理和授权服务基础平台应该满足下面的需求:作为权限治理和授权服务的基础设施,可以为不同类型的应用提供授权治理和访问控制的平台支持。
平台策略的定制应该灵活,能够根据不同的情况定制出不同的策略。如:不同级别的政府机关,同一级别的不同部门,策略可能是截然不同的,PMI应该能够根据这些不同的情况灵活的定制出策略。
平台治理功能的操作应该简单。由于治理人员可能属于不同领域,他们在权限治理方面的知识参差不齐,所以治理功能应该尽量简单。
平台应该具有很好的扩展能力。如:可以随时的增加功能模块,而不必改变原来的程序构架,或改动很小;可以随时增加决策标准;可以针对不同的应用定制实施模块。
平台应该具有较好的效率,避免决策过程明显的影响访问速度。
平台应该独立于任何应用。
随着信息安全市场的成熟,对访问控制
