鑒于中的非授權(quán)用戶非法操作和合法用戶的越權(quán)操作，以及PIG的公鑰證書(Pl(C)只能提供身份驗(yàn)證，無法實(shí)現(xiàn)權(quán)限管理等問題，提出了一種基于PMI(權(quán)限管理基礎(chǔ)設(shè)施)權(quán)限管理的0A安全模型．該模型使用PIG的公鑰證書和PMI的屬性證書進(jìn)行身份驗(yàn)證和權(quán)限管理，防止了非法和越權(quán)操作，授權(quán)更具公正性和權(quán)威性。實(shí)踐結(jié)果表明，該安全模型可以解決OA系統(tǒng)中用戶的非授權(quán)訪問、不可否認(rèn)性和數(shù)據(jù)文件的保密性、完整性等安全性問題．

            0引言

            公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure，PIG)是信息安全領(lǐng)域成熟的網(wǎng)絡(luò)安全解決方案，很多網(wǎng)絡(luò)安全技術(shù)和方案已經(jīng)離不開PIG技術(shù)的支持。它在為網(wǎng)絡(luò)安全應(yīng)用提供安全功能的同時，也面臨著自身不足的挑戰(zhàn)。隨著技術(shù)的不斷發(fā)展，當(dāng)前PKI提供的身份認(rèn)證和機(jī)密性已經(jīng)不能滿足現(xiàn)有的安全需求，要求步入權(quán)限管理領(lǐng)域。但由PIG進(jìn)行權(quán)限管理時，存在一些問題：公鑰證書的身份的長效性和角色特權(quán)的相對短效性的矛盾；不便于不同系統(tǒng)互通互用；不利于權(quán)限的分配管理。因此，要求有一獨(dú)立機(jī)構(gòu)在Pl(I提供身份認(rèn)證的基礎(chǔ)上，使用安全授權(quán)技術(shù)確定實(shí)體的訪問權(quán)限，提供相應(yīng)的授權(quán)管理機(jī)制，管理用戶在系統(tǒng)中的動作行為。PMI(授權(quán)管理基礎(chǔ)設(shè)施)是在公鑰基礎(chǔ)設(shè)施提供身份認(rèn)證的基礎(chǔ)上，通過屬性證書實(shí)現(xiàn)對實(shí)體(用戶)的權(quán)限管理，彌補(bǔ)了PKI的不足之處。然而，關(guān)于PMI系統(tǒng)的研究和開發(fā)還處在驗(yàn)證階段，沒有統(tǒng)一的標(biāo)準(zhǔn)。國外著名的信息安全公司如RSA，Entrust，Baltimore等在PMI研究方面都進(jìn)行了大量的工作，政府也進(jìn)行了相應(yīng)的研究。國內(nèi)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會成立PKI／PMI工作組。重點(diǎn)研究國內(nèi)外P斑／PMI標(biāo)準(zhǔn)現(xiàn)狀、體系，制定了《信息技術(shù)開發(fā)系統(tǒng)互聯(lián)目錄公鑰和屬性證書框架》，同時國內(nèi)也已經(jīng)有相關(guān)模型和類似的產(chǎn)品出現(xiàn)，但是還沒有相應(yīng)的應(yīng)用實(shí)例。國內(nèi)的有些公司，例如：吉大正元信息技術(shù)股份有限公司的JIT-SSO在PMI的產(chǎn)品探索和研究上進(jìn)行了一定的工作。PMI在權(quán)限管理方面相對傳統(tǒng)的權(quán)限管理，具有很大的優(yōu)越性，成為當(dāng)今研究的熱點(diǎn)。

            在(OA)系統(tǒng)中，PIG為其提供了用戶的身份驗(yàn)證，解決了身份假冒問題，但是出現(xiàn)了非授權(quán)用戶的越權(quán)操作。同時由于OA系統(tǒng)業(yè)務(wù)處理流程的特殊性，所以要求對不同級別的合法用戶，在信息系統(tǒng)的訪問和操作方面應(yīng)該給予嚴(yán)格的權(quán)限控制。當(dāng)前OA授權(quán)是后臺提供系統(tǒng)級的數(shù)據(jù)保護(hù)，管理模式陳舊，系統(tǒng)管理員參與業(yè)務(wù)和權(quán)限管理，授權(quán)失去公正性和權(quán)威性。基于PIG技術(shù)的PMI授權(quán)管理是采用屬性證書的形式進(jìn)行授權(quán)，是一獨(dú)立的授權(quán)系統(tǒng)，可以彌補(bǔ)OA系統(tǒng)中權(quán)限管理存在的缺陷。在OA中融合PMI的權(quán)限管理，提高了系統(tǒng)的安全性，同時系統(tǒng)的授權(quán)是可信賴的、公正的、權(quán)威的，使系統(tǒng)的實(shí)用性更強(qiáng)。

            lPMI概述

            公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure，PKI)，提供對實(shí)體的身份驗(yàn)證服務(wù)，然而對實(shí)體的權(quán)限管理存在不足，因此出現(xiàn)了合法用戶的非法操作或越權(quán)操作等問題。PMI即權(quán)限管理基礎(chǔ)設(shè)施，在PKI提供身份驗(yàn)證服務(wù)的基礎(chǔ)上，提供權(quán)限管理服務(wù)。它描述實(shí)體為了完成某些操作所需要具有的權(quán)限，是一個授權(quán)過程，不是對實(shí)體身份的鑒別。授予某個實(shí)體到某個對象的訪問權(quán)限即授權(quán)。PKI的身份鑒別能確定“他是誰”，PMI解決“他能做什么”的問題。在PKI提供可信的身份認(rèn)證的基礎(chǔ)上，提供一種有效的體系結(jié)構(gòu)，以屬性證書(表示和容納權(quán)限信息)的形式，管理實(shí)體的權(quán)限屬性，這是PMI的最終目標(biāo)。這里包括兩層含義：一方面，PMI保證用戶可以做他們有權(quán)限進(jìn)行的操作、獲取他們有權(quán)獲取的信息：另一方面，PMI應(yīng)能提供跨應(yīng)用、跨企業(yè)、跨系統(tǒng)、跨安全域的用戶屬性的管理和交互手段。

            屬性證書(AC)是由屬性權(quán)威(AA)簽發(fā)的將實(shí)體與其屬性集(角色、權(quán)限等)捆綁在一起的數(shù)據(jù)結(jié)構(gòu)，權(quán)威機(jī)構(gòu)的數(shù)字簽名保證了綁定的有效性和合法性。這里數(shù)字簽名的作用不是用于證明公鑰／私鑰對和身份之間的關(guān)系，而是用于證明證書持有者擁有的權(quán)限，AC即是權(quán)限信息的載體。PMI對權(quán)限生命周期的管理是通過管理屬性證書的生命周期實(shí)現(xiàn)的。屬性證書的申請、簽發(fā)、注銷、驗(yàn)證流程對應(yīng)著權(quán)限的申請、授予、撤銷、使用驗(yàn)證的過程。使用屬性證書管理權(quán)限，這樣權(quán)限的管理就不必依賴某個具體的應(yīng)用。

            屬性證書把授權(quán)信息和公鑰證書分離，提供對實(shí)體權(quán)限屬性的授予服務(wù)，但是它建立在公鑰證書可信的身份認(rèn)證基礎(chǔ)上，因此它的使用必須結(jié)合公鑰證書。先使用公鑰證書進(jìn)行身份認(rèn)證后使用屬性證書進(jìn)行授權(quán)驗(yàn)證，沒有經(jīng)過身份認(rèn)證的授權(quán)是沒有意義的，也是不安全的。屬性證書沒有公鑰，通過持有者的某個屬性和公鑰證書鏈接。當(dāng)與身份相關(guān)的特權(quán)屬性變化時，證書所對應(yīng)的公鑰證書可以保持相對穩(wěn)定。因此，實(shí)體可以擁有與每個公鑰證書相關(guān)的多個屬性證書。

            公鑰證書可以被認(rèn)為是一本護(hù)照：它表明持有者的身份，不能夠輕易獲得，并且生命周期長。屬性證書類似一個入口簽證：一般由不同的權(quán)威機(jī)構(gòu)頒發(fā)，并且生命周期短。獲得一個入口簽證一般需要出示一個護(hù)照，獲得簽證可以是一個很簡單的過程。

            2OA安全模型設(shè)計方案

            在諸多的應(yīng)用系統(tǒng)中，權(quán)限的管理是不容忽視的重要部分。然而，當(dāng)前的授權(quán)管理面臨著諸多挑戰(zhàn)：用戶對信息系統(tǒng)訪問權(quán)限的變化越來越頻繁；權(quán)限管理混亂，可能為系統(tǒng)帶來不安全因素；資源所有者沒有權(quán)限；系統(tǒng)管理員參與權(quán)限管理和時存在諸多不安全因素和不便；權(quán)限管理模式陳舊等。因此對系統(tǒng)造成很多不安全因素，非法訪問和越權(quán)操作等，使應(yīng)用系統(tǒng)資源受到極大的威脅。

            傳統(tǒng)的OA系統(tǒng)是通過對實(shí)體(用戶)用戶名和密碼的管理實(shí)現(xiàn)權(quán)限的管理，管理模式陳舊。系統(tǒng)管理員參與業(yè)務(wù)管理的同時，參與權(quán)限管理，此時的授權(quán)失去了公證性。

            基于權(quán)限管理基礎(chǔ)設(shè)施(PMI)的OA安全系統(tǒng)，由公鑰基礎(chǔ)設(shè)施(PKI)提供身份驗(yàn)證，在此基礎(chǔ)上，使用PMI的屬性證書(AC)實(shí)現(xiàn)權(quán)限的授予和管理。權(quán)限管理基礎(chǔ)設(shè)施是獨(dú)立于OA系統(tǒng)的權(quán)限管理機(jī)構(gòu)，由PMI進(jìn)行權(quán)限管理，體現(xiàn)授權(quán)的權(quán)威性和公正性。PICA技術(shù)已經(jīng)相當(dāng)成熟，在此不多介紹。系統(tǒng)的邏輯模型如圖1所示，整個系統(tǒng)可分為4個子系統(tǒng)，分別如下所示：

            圖1系統(tǒng)邏輯模型

            (1)屬性權(quán)威從：受理申請，生成、簽發(fā)和管理屬性證書，提供授權(quán)服務(wù)；

            (2)證書管理服務(wù)器：即LDAP服務(wù)器，用于存儲證書及其它信息，可提供查詢服務(wù)；

            (3)登陸系統(tǒng)：用戶登陸OA系統(tǒng)，提供身份的驗(yàn)證服務(wù)；

            (4)訪問控制系統(tǒng)：用戶訪問資源前的屬性驗(yàn)證，提供權(quán)限驗(yàn)證服務(wù)。

            實(shí)體(用戶)登陸OA系統(tǒng)前，必須先后申請鑰證書(由PKI提供)和屬性證書。從受理點(diǎn)接受請求，同時連通決策服務(wù)器，經(jīng)過決策決定是否簽發(fā)屬性證書。若通過，則提交用戶請求信息到從服務(wù)器。從服務(wù)器簽發(fā)AC給用戶并將證書存放在LDAP服務(wù)器。

            當(dāng)實(shí)體(用戶)使用公鑰證書提供的身份驗(yàn)證功能通過登陸系統(tǒng)登陸OA系統(tǒng)后，如果請求訪問有權(quán)限要求的系統(tǒng)資源時，OA資源服務(wù)器要求用戶提供屬性證書。訪問控制子系統(tǒng)檢查用戶提供的證書，并連通LDAP服務(wù)器檢驗(yàn)該用戶是否有權(quán)限訪問該資源。