基于PMI的OA安全模型設(shè)計(jì)與實(shí)現(xiàn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

    0 引言

    公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure，PIG)是信息安全領(lǐng)域成熟的網(wǎng)絡(luò)安全解決方案，很多網(wǎng)絡(luò)安全技術(shù)和方案已經(jīng)離不開(kāi)PIG技術(shù)的支持。它在為網(wǎng)絡(luò)安全應(yīng)用提供安全功能的同時(shí)，也面臨著自身不足的挑戰(zhàn)。隨著技術(shù)的不斷發(fā)展，當(dāng)前PKI提供的身份認(rèn)證和機(jī)密性已經(jīng)不能滿足現(xiàn)有的安全需求，要求步入權(quán)限管理領(lǐng)域。但由PIG進(jìn)行權(quán)限管理時(shí)，存在一些問(wèn)題：公鑰證書(shū)的身份的長(zhǎng)效性和角色特權(quán)的相對(duì)短效性的矛盾；不便于不同系統(tǒng)互通互用；不利于權(quán)限的分配管理。因此，要求有一獨(dú)立機(jī)構(gòu)在Pl(I提供身份認(rèn)證的基礎(chǔ)上，使用安全授權(quán)技術(shù)確定實(shí)體的訪問(wèn)權(quán)限，提供相應(yīng)的授權(quán)管理機(jī)制，管理用戶在系統(tǒng)中的動(dòng)作行為。PMI(授權(quán)管理基礎(chǔ)設(shè)施)是在公鑰基礎(chǔ)設(shè)施提供身份認(rèn)證的基礎(chǔ)上，通過(guò)屬性證書(shū)實(shí)現(xiàn)對(duì)實(shí)體(用戶)的權(quán)限管理，彌補(bǔ)了PKI的不足之處。然而，關(guān)于PMI系統(tǒng)的研究和開(kāi)發(fā)還處在驗(yàn)證階段，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。國(guó)外著名的信息安全公司如RSA，Entrust，Baltimore等在PMI研究方面都進(jìn)行了大量的工作，政府也進(jìn)行了相應(yīng)的研究。國(guó)內(nèi)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)成立PKI／PMI工作組。重點(diǎn)研究國(guó)內(nèi)外P斑／PMI標(biāo)準(zhǔn)現(xiàn)狀、體系，制定了《信息技術(shù)開(kāi)發(fā)系統(tǒng)互聯(lián)目錄公鑰和屬性證書(shū)框架》，同時(shí)國(guó)內(nèi)也已經(jīng)有相關(guān)模型和類(lèi)似的產(chǎn)品出現(xiàn)，但是還沒(méi)有相應(yīng)的應(yīng)用實(shí)例。國(guó)內(nèi)的有些公司，例如：吉大正元信息技術(shù)股份有限公司的JIT-SSO在PMI的產(chǎn)品探索和研究上進(jìn)行了一定的工作。PMI在權(quán)限管理方面相對(duì)傳統(tǒng)的權(quán)限管理，具有很大的優(yōu)越性，成為當(dāng)今研究的熱點(diǎn)。

    在辦公自動(dòng)化(OA)系統(tǒng)中，PIG為其提供了用戶的身份驗(yàn)證，解決了身份假冒問(wèn)題，但是出現(xiàn)了非授權(quán)用戶的越權(quán)操作。同時(shí)由于OA系統(tǒng)業(yè)務(wù)處理流程的特殊性，所以要求對(duì)不同級(jí)別的合法用戶，在信息系統(tǒng)的訪問(wèn)和操作方面應(yīng)該給予嚴(yán)格的權(quán)限控制。當(dāng)前OA授權(quán)是后臺(tái)提供系統(tǒng)級(jí)的數(shù)據(jù)保護(hù)，管理模式陳舊，系統(tǒng)管理員參與業(yè)務(wù)和權(quán)限管理，授權(quán)失去公正性和權(quán)威性。基于PIG技術(shù)的PMI授權(quán)管理是采用屬性證書(shū)的形式進(jìn)行授權(quán)，是一獨(dú)立的授權(quán)系統(tǒng)，可以彌補(bǔ)OA系統(tǒng)中權(quán)限管理存在的缺陷。在OA中融合PMI的權(quán)限管理，提高了系統(tǒng)的安全性，同時(shí)系統(tǒng)的授權(quán)是可信賴(lài)的、公正的、權(quán)威的，使系統(tǒng)的實(shí)用性更強(qiáng)。

    l PMI概述

    公鑰基礎(chǔ)設(shè)施(public key infrastructure，PKI)，提供對(duì)實(shí)體的身份驗(yàn)證服務(wù)，然而對(duì)實(shí)體的權(quán)限管理存在不足，因此出現(xiàn)了合法用戶的非法操作或越權(quán)操作等問(wèn)題。PMI即權(quán)限管理基礎(chǔ)設(shè)施，在PKI提供身份驗(yàn)證服務(wù)的基礎(chǔ)上，提供權(quán)限管理服務(wù)。它描述實(shí)體為了完成某些操作所需要具有的權(quán)限，是一個(gè)授權(quán)過(guò)程，不是對(duì)實(shí)體身份的鑒別。授予某個(gè)實(shí)體到某個(gè)對(duì)象的訪問(wèn)權(quán)限即授權(quán)。PKI的身份鑒別能確定“他是誰(shuí)”，PMI解決“他能做什么”的問(wèn)題。在PKI提供可信的身份認(rèn)證的基礎(chǔ)上，提供一種有效的體系結(jié)構(gòu)，以屬性證書(shū)(表示和容納權(quán)限信息)的形式，管理實(shí)體的權(quán)限屬性，這是PMI的最終目標(biāo)。這里包括兩層含義：一方面，PMI保證用戶可以做他們有權(quán)限進(jìn)行的操作、獲取他們有權(quán)獲取的信息：另一方面，PMI應(yīng)能提供跨應(yīng)用、跨企業(yè)、跨系統(tǒng)、跨安全域的用戶屬性的管理和交互手段。

    屬性證書(shū)(AC)是由屬性權(quán)威(AA)簽發(fā)的將實(shí)體與其屬性集(角色、權(quán)限等)捆綁在一起的數(shù)據(jù)結(jié)構(gòu)，權(quán)威機(jī)構(gòu)的數(shù)字簽名保證了綁定的有效性和合法性。這里數(shù)字簽名的作用不是用于證明公鑰／私鑰對(duì)和身份之間的關(guān)系，而是用于證明證書(shū)持有者擁有的權(quán)限，AC即是權(quán)限信息的載體。PMI對(duì)權(quán)限生命周期的管理是通過(guò)管理屬性證書(shū)的生命周期實(shí)現(xiàn)的。屬性證書(shū)的申請(qǐng)、簽發(fā)、注銷(xiāo)、驗(yàn)證流程對(duì)應(yīng)著權(quán)限的申請(qǐng)、授予、撤銷(xiāo)、使用驗(yàn)證的過(guò)程。使用屬性證書(shū)管理權(quán)限，這樣權(quán)限的管理就不必依賴(lài)某個(gè)具體的應(yīng)用。

    屬性證書(shū)把授權(quán)信息和公鑰證書(shū)分離，提供對(duì)實(shí)體權(quán)限屬性的授予服務(wù)，但是它建立在公鑰證書(shū)可信的身份認(rèn)證基礎(chǔ)上，因此它的使用必須結(jié)合公鑰證書(shū)。先使用公鑰證書(shū)進(jìn)行身份認(rèn)證后使用屬性證書(shū)進(jìn)行授權(quán)驗(yàn)證，沒(méi)有經(jīng)過(guò)身份認(rèn)證的授權(quán)是沒(méi)有意義的，也是不安全的。屬性證書(shū)沒(méi)有公鑰，通過(guò)持有者的某個(gè)屬性和公鑰證書(shū)鏈接。當(dāng)與身份相關(guān)的特權(quán)屬性變化時(shí)，證書(shū)所對(duì)應(yīng)的公鑰證書(shū)可以保持相對(duì)穩(wěn)定。因此，實(shí)體可以擁有與每個(gè)公鑰證書(shū)相關(guān)的多個(gè)屬性證書(shū)。

    公鑰證書(shū)可以被認(rèn)為是一本護(hù)照：它表明持有者的身份，不能夠輕易獲得，并且生命周期長(zhǎng)。屬性證書(shū)類(lèi)似一個(gè)入口簽證：一般由不同的權(quán)威機(jī)構(gòu)頒發(fā)，并且生命周期短。獲得一個(gè)入口簽證一般需要出示一個(gè)護(hù)照，獲得簽證可以是一個(gè)很簡(jiǎn)單的過(guò)程。

    2 OA安全模型設(shè)計(jì)方案

    在諸多的應(yīng)用系統(tǒng)中，權(quán)限的管理是不容忽視的重要部分。然而，當(dāng)前的授權(quán)管理面臨著諸多挑戰(zhàn)：用戶對(duì)信息系統(tǒng)訪問(wèn)權(quán)限的變化越來(lái)越頻繁；權(quán)限管理混亂，可能為系統(tǒng)帶來(lái)不安全因素；資源所有者沒(méi)有權(quán)限；系統(tǒng)管理員參與權(quán)限管理和業(yè)務(wù)管理時(shí)存在諸多不安全因素和不便；權(quán)限管理模式陳舊等。因此對(duì)系統(tǒng)造成很多不安全因素，非法訪問(wèn)和越權(quán)操作等，使應(yīng)用系統(tǒng)資源受到極大的威脅。

    傳統(tǒng)的OA系統(tǒng)是通過(guò)對(duì)實(shí)體(用戶)用戶名和密碼的管理實(shí)現(xiàn)權(quán)限的管理，管理模式陳舊。系統(tǒng)管理員參與業(yè)務(wù)管理的同時(shí)，參與權(quán)限管理，此時(shí)的授權(quán)失去了公證性。

    基于權(quán)限管理基礎(chǔ)設(shè)施(PMI)的OA安全系統(tǒng)，由公鑰基礎(chǔ)設(shè)施(PKI)提供身份驗(yàn)證，在此基礎(chǔ)上，使用PMI的屬性證書(shū)(AC)實(shí)現(xiàn)權(quán)限的授予和管理。權(quán)限管理基礎(chǔ)設(shè)施是獨(dú)立于OA系統(tǒng)的權(quán)限管理機(jī)構(gòu)，由PMI進(jìn)行權(quán)限管理，體現(xiàn)授權(quán)的權(quán)威性和公正性。PICA技術(shù)已經(jīng)相當(dāng)成熟，在此不多介紹。系統(tǒng)的邏輯模型如圖1所示，整個(gè)系統(tǒng)可分為4個(gè)子系統(tǒng)，分別如下所示：

圖1 系統(tǒng)邏輯模型

    (1)屬性權(quán)威從：受理申請(qǐng)，生成、簽發(fā)和管理屬性證書(shū)，提供授權(quán)服務(wù)；

    (2)證書(shū)管理服務(wù)器：即LDAP服務(wù)器，用于存儲(chǔ)證書(shū)及其它信息，可提供查詢服務(wù)；

    (3)登陸系統(tǒng)：用戶登陸OA系統(tǒng)，提供身份的驗(yàn)證服務(wù)；

    (4)訪問(wèn)控制系統(tǒng)：用戶訪問(wèn)資源前的屬性驗(yàn)證，提供權(quán)限驗(yàn)證服務(wù)。

    實(shí)體(用戶)登陸OA系統(tǒng)前，必須先后申請(qǐng)鑰證書(shū)(由PKI提供)和屬性證書(shū)。從受理點(diǎn)接受請(qǐng)求，同時(shí)連通決策服務(wù)器，經(jīng)過(guò)決策決定是否簽發(fā)屬性證書(shū)。若通過(guò)，則提交用戶請(qǐng)求信息到從服務(wù)器。從服務(wù)器簽發(fā)AC給用戶并將證書(shū)存放在LDAP服務(wù)器。

    當(dāng)實(shí)體(用戶)使用公鑰證書(shū)提供的身份驗(yàn)證功能通過(guò)登陸系統(tǒng)登陸OA系統(tǒng)后，如果請(qǐng)求訪問(wèn)有權(quán)限要求的系統(tǒng)資源時(shí)，OA資源服務(wù)器要求用戶提供屬性證書(shū)。訪問(wèn)控制子系統(tǒng)檢查用戶提供的證書(shū)，并連通LDAP服務(wù)器檢驗(yàn)該用戶是否有權(quán)限訪問(wèn)該資源。