基于PMI的OA安全模型設(shè)計與實現(xiàn)

申請免費試用、咨詢電話：400-8352-114

    0 引言

    公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure，PIG)是信息安全領(lǐng)域成熟的網(wǎng)絡(luò)安全解決方案，很多網(wǎng)絡(luò)安全技術(shù)和方案已經(jīng)離不開PIG技術(shù)的支持。它在為網(wǎng)絡(luò)安全應(yīng)用提供安全功能的同時，也面臨著自身不足的挑戰(zhàn)。隨著技術(shù)的不斷發(fā)展，當(dāng)前PKI提供的身份認(rèn)證和機密性已經(jīng)不能滿足現(xiàn)有的安全需求，要求步入權(quán)限管理領(lǐng)域。但由PIG進行權(quán)限管理時，存在一些問題：公鑰證書的身份的長效性和角色特權(quán)的相對短效性的矛盾；不便于不同系統(tǒng)互通互用；不利于權(quán)限的分配管理。因此，要求有一獨立機構(gòu)在Pl(I提供身份認(rèn)證的基礎(chǔ)上，使用安全授權(quán)技術(shù)確定實體的訪問權(quán)限，提供相應(yīng)的授權(quán)管理機制，管理用戶在系統(tǒng)中的動作行為。PMI(授權(quán)管理基礎(chǔ)設(shè)施)是在公鑰基礎(chǔ)設(shè)施提供身份認(rèn)證的基礎(chǔ)上，通過屬性證書實現(xiàn)對實體(用戶)的權(quán)限管理，彌補了PKI的不足之處。然而，關(guān)于PMI系統(tǒng)的研究和開發(fā)還處在驗證階段，沒有統(tǒng)一的標(biāo)準(zhǔn)。國外著名的信息安全公司如RSA，Entrust，Baltimore等在PMI研究方面都進行了大量的工作，政府也進行了相應(yīng)的研究。國內(nèi)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會成立PKI／PMI工作組。重點研究國內(nèi)外P斑／PMI標(biāo)準(zhǔn)現(xiàn)狀、體系，制定了《信息技術(shù)開發(fā)系統(tǒng)互聯(lián)目錄公鑰和屬性證書框架》，同時國內(nèi)也已經(jīng)有相關(guān)模型和類似的產(chǎn)品出現(xiàn)，但是還沒有相應(yīng)的應(yīng)用實例。國內(nèi)的有些公司，例如：吉大正元信息技術(shù)股份有限公司的JIT-SSO在PMI的產(chǎn)品探索和研究上進行了一定的工作。PMI在權(quán)限管理方面相對傳統(tǒng)的權(quán)限管理，具有很大的優(yōu)越性，成為當(dāng)今研究的熱點。

    在辦公自動化(OA)系統(tǒng)中，PIG為其提供了用戶的身份驗證，解決了身份假冒問題，但是出現(xiàn)了非授權(quán)用戶的越權(quán)操作。同時由于OA系統(tǒng)業(yè)務(wù)處理流程的特殊性，所以要求對不同級別的合法用戶，在信息系統(tǒng)的訪問和操作方面應(yīng)該給予嚴(yán)格的權(quán)限控制。當(dāng)前OA授權(quán)是后臺提供系統(tǒng)級的數(shù)據(jù)保護，管理模式陳舊，系統(tǒng)管理員參與業(yè)務(wù)和權(quán)限管理，授權(quán)失去公正性和權(quán)威性?；赑IG技術(shù)的PMI授權(quán)管理是采用屬性證書的形式進行授權(quán)，是一獨立的授權(quán)系統(tǒng)，可以彌補OA系統(tǒng)中權(quán)限管理存在的缺陷。在OA中融合PMI的權(quán)限管理，提高了系統(tǒng)的安全性，同時系統(tǒng)的授權(quán)是可信賴的、公正的、權(quán)威的，使系統(tǒng)的實用性更強。

    l PMI概述

    公鑰基礎(chǔ)設(shè)施(public key infrastructure，PKI)，提供對實體的身份驗證服務(wù)，然而對實體的權(quán)限管理存在不足，因此出現(xiàn)了合法用戶的非法操作或越權(quán)操作等問題。PMI即權(quán)限管理基礎(chǔ)設(shè)施，在PKI提供身份驗證服務(wù)的基礎(chǔ)上，提供權(quán)限管理服務(wù)。它描述實體為了完成某些操作所需要具有的權(quán)限，是一個授權(quán)過程，不是對實體身份的鑒別。授予某個實體到某個對象的訪問權(quán)限即授權(quán)。PKI的身份鑒別能確定“他是誰”，PMI解決“他能做什么”的問題。在PKI提供可信的身份認(rèn)證的基礎(chǔ)上，提供一種有效的體系結(jié)構(gòu)，以屬性證書(表示和容納權(quán)限信息)的形式，管理實體的權(quán)限屬性，這是PMI的最終目標(biāo)。這里包括兩層含義：一方面，PMI保證用戶可以做他們有權(quán)限進行的操作、獲取他們有權(quán)獲取的信息：另一方面，PMI應(yīng)能提供跨應(yīng)用、跨企業(yè)、跨系統(tǒng)、跨安全域的用戶屬性的管理和交互手段。

    屬性證書(AC)是由屬性權(quán)威(AA)簽發(fā)的將實體與其屬性集(角色、權(quán)限等)捆綁在一起的數(shù)據(jù)結(jié)構(gòu)，權(quán)威機構(gòu)的數(shù)字簽名保證了綁定的有效性和合法性。這里數(shù)字簽名的作用不是用于證明公鑰／私鑰對和身份之間的關(guān)系，而是用于證明證書持有者擁有的權(quán)限，AC即是權(quán)限信息的載體。PMI對權(quán)限生命周期的管理是通過管理屬性證書的生命周期實現(xiàn)的。屬性證書的申請、簽發(fā)、注銷、驗證流程對應(yīng)著權(quán)限的申請、授予、撤銷、使用驗證的過程。使用屬性證書管理權(quán)限，這樣權(quán)限的管理就不必依賴某個具體的應(yīng)用。

    屬性證書把授權(quán)信息和公鑰證書分離，提供對實體權(quán)限屬性的授予服務(wù)，但是它建立在公鑰證書可信的身份認(rèn)證基礎(chǔ)上，因此它的使用必須結(jié)合公鑰證書。先使用公鑰證書進行身份認(rèn)證后使用屬性證書進行授權(quán)驗證，沒有經(jīng)過身份認(rèn)證的授權(quán)是沒有意義的，也是不安全的。屬性證書沒有公鑰，通過持有者的某個屬性和公鑰證書鏈接。當(dāng)與身份相關(guān)的特權(quán)屬性變化時，證書所對應(yīng)的公鑰證書可以保持相對穩(wěn)定。因此，實體可以擁有與每個公鑰證書相關(guān)的多個屬性證書。

    公鑰證書可以被認(rèn)為是一本護照：它表明持有者的身份，不能夠輕易獲得，并且生命周期長。屬性證書類似一個入口簽證：一般由不同的權(quán)威機構(gòu)頒發(fā)，并且生命周期短。獲得一個入口簽證一般需要出示一個護照，獲得簽證可以是一個很簡單的過程。

    2 OA安全模型設(shè)計方案

    在諸多的應(yīng)用系統(tǒng)中，權(quán)限的管理是不容忽視的重要部分。然而，當(dāng)前的授權(quán)管理面臨著諸多挑戰(zhàn)：用戶對信息系統(tǒng)訪問權(quán)限的變化越來越頻繁；權(quán)限管理混亂，可能為系統(tǒng)帶來不安全因素；資源所有者沒有權(quán)限；系統(tǒng)管理員參與權(quán)限管理和業(yè)務(wù)管理時存在諸多不安全因素和不便；權(quán)限管理模式陳舊等。因此對系統(tǒng)造成很多不安全因素，非法訪問和越權(quán)操作等，使應(yīng)用系統(tǒng)資源受到極大的威脅。

    傳統(tǒng)的OA系統(tǒng)是通過對實體(用戶)用戶名和密碼的管理實現(xiàn)權(quán)限的管理，管理模式陳舊。系統(tǒng)管理員參與業(yè)務(wù)管理的同時，參與權(quán)限管理，此時的授權(quán)失去了公證性。

    基于權(quán)限管理基礎(chǔ)設(shè)施(PMI)的OA安全系統(tǒng)，由公鑰基礎(chǔ)設(shè)施(PKI)提供身份驗證，在此基礎(chǔ)上，使用PMI的屬性證書(AC)實現(xiàn)權(quán)限的授予和管理。權(quán)限管理基礎(chǔ)設(shè)施是獨立于OA系統(tǒng)的權(quán)限管理機構(gòu)，由PMI進行權(quán)限管理，體現(xiàn)授權(quán)的權(quán)威性和公正性。PICA技術(shù)已經(jīng)相當(dāng)成熟，在此不多介紹。系統(tǒng)的邏輯模型如圖1所示，整個系統(tǒng)可分為4個子系統(tǒng)，分別如下所示：

圖1 系統(tǒng)邏輯模型

    (1)屬性權(quán)威從：受理申請，生成、簽發(fā)和管理屬性證書，提供授權(quán)服務(wù)；

    (2)證書管理服務(wù)器：即LDAP服務(wù)器，用于存儲證書及其它信息，可提供查詢服務(wù)；

    (3)登陸系統(tǒng)：用戶登陸OA系統(tǒng)，提供身份的驗證服務(wù)；

    (4)訪問控制系統(tǒng)：用戶訪問資源前的屬性驗證，提供權(quán)限驗證服務(wù)。

    實體(用戶)登陸OA系統(tǒng)前，必須先后申請鑰證書(由PKI提供)和屬性證書。從受理點接受請求，同時連通決策服務(wù)器，經(jīng)過決策決定是否簽發(fā)屬性證書。若通過，則提交用戶請求信息到從服務(wù)器。從服務(wù)器簽發(fā)AC給用戶并將證書存放在LDAP服務(wù)器。

    當(dāng)實體(用戶)使用公鑰證書提供的身份驗證功能通過登陸系統(tǒng)登陸OA系統(tǒng)后，如果請求訪問有權(quán)限要求的系統(tǒng)資源時，OA資源服務(wù)器要求用戶提供屬性證書。訪問控制子系統(tǒng)檢查用戶提供的證書，并連通LDAP服務(wù)器檢驗該用戶是否有權(quán)限訪問該資源。