pmi技术白皮书(doc25)-工艺技术(编辑修改稿)

pmi技术白皮书(doc25)-工艺技术(编辑修改稿)内容摘要：

定。 例如在一个较小的应用中，系统的使用人员和资源较少，可以采用嵌入式的属性权威 AA 签发和管理属性证书，减少建设成本和管理开销。 而在一个由多个应用组成的较大的系统中，存在着大量的用户和资源，并对系统有整体的安全需求，这时可以考虑建立属性权威中心，简称 AA 中 心，将所有的应用纳入到同一个安全域下，由 PMI 的整体安全策略和授权策略实现整个系统范围内的所有应用的整体安全访问。 这样，一方面可以减少属性权威 AA的重复性投来资控制成本，另外一方面可以通过较为集中的管理模式减少管理复杂性和开销，并带来更好的全局安全性。 一个属性权威 AA 的基本组成如下图所示： AC 签发 数据库 AA 受理 工作站 AA 管理 工作站 LD AP 目录服务 属性权威 AA 图 属性权威 AA 的结构图示 主要包括 AC 签发，受理和管理，数据库服务器、目录服务器，其中数据库服务器不是必须的。 1） AC 签发服务 AC 签发服务是属性权威 AA 的主体，是以 PKI 技术为基础，以授权服务为主要任务的服务模块，用于签发属性证书，该服务可以是独立的一台服务器提供，也可以是证书签发模块。 2） AA 受理 主要用于接受并验证对属性证书的请求，处理该请求，并提供基于属性证书的授权服务、基于属性证书的委托服务等。 3） AA 管理 用于管理属性权威 AA 中国最大的管 理 资料下载中心 (收集 \整理 . 大量免费资源共享 ) 第 9 页 共 25 页 4）数据库 主要是用于存储用户和资源的基本信息，也可以将这些信息直接放入LDAP 目录服务器。 5） LDAP 目录服务器 主要用于发布 PMI 用户的属性证书以及属性证书的撤消列表 ACRL（ Attribute Certificate Revocation List），以供查询使用。 该服务器可以直接存放用户和资源信息，这样可以不使用数据库存放这些信息。 需要特别说明的是，各业务应用系统在建设属性权威 AA 时，要根据系统内用户的数量，管理的模式确定 AA 属性权威、 LDAP 服务器的服务能力，并相应地确定与现状相适应的服务能力冗余备份和性能扩展方案，以确保整个 PMI 服务能力具有延续性和良好的业务量适应能力。 在接下来 4 节中我们将按照如下方式讨论 PMI 权限管理和访问控制系统框架。 首先，讨论基于属性证书的权限管理，了解权限的生命周期是如 何通过属性证书来管理的；其次，介绍访问控制框架，了解访问控制的抽象模型和证书在其中的作用；接着，介绍策略在不同应用中的作用和组成；最后，讨论如何基于 PMI 构建安全应用系统。 权限管理 PMI 使用属性证书表示和容纳权限信息，对权限生命周期的管理是通过管理证书的生命周期实现的。 属性证书的申请，签发，注销，验证流程对应着权限的申请，发放，撤消，使用验证的过程。 而且，使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用，而且利于权限的分布式应用。 属性证书的特点 PKC将一个标识和公钥绑定， AC将一个标 识和一个角色，权限，或者属性绑定（通过数字签名）；和 PKC一样 , AC能被分发和存储或缓存在非安全的分布式环境中；不可伪造，防窜改。 同时，属性证书具有以下特点  分立的发行机构 由于把属性信息从身份信息中分离出来，并且彼此又分别放置在各自证书中，这样发放过程变的合理而且有针对性。 通过一个法定的集中权威机构，来发放身份证书；另外通过一个局域的、熟知用户属性的组织来发放属性证书。 一个人可以拥有好几个属性证书，但每一个都会与唯一的身份证书关联，几个属性证书可以来自不同的机构。  存储介质 属性证书可以分发给用户，由用 户存储在磁盘上或者 USBKEY 上， 或者委托给系统进行统一存储和管理而不必分发给用户。 在用户持有属性证书的情况下，为了应用属性证书进行访问控制，必须建立相应的协议来使用属性证书，并且要求用户选择与具体应用对应的属性证书，当用户权限改变时更新自己的属性证书。 由系统托管属性证书时，应用系统根据用户的身份直接从属性库中获得用户相应的属性证书，不需要建立相应的协议，属性证书的使用和变更对用户是透明的。 由于 权限的生存期通常比较短，相对来说属性证书的更新是频繁的。 例如，在用户管理属性证书的情况下，当用户的权限增加时，如果 用户没有及时更新证书，系统就会拒绝访问，尽管用 中国最大的管 理 资料下载中心 (收集 \整理 . 大量免费资源共享 ) 第 10 页 共 25 页 户确实具有该权限。 而在委托管理模式下，用户的权限增加立刻就会得到认可。 所以，由用户自己管理属性证书往往不如由系统托管方便。  本地发放， 在一个本地发放属性证书的系统中，用于管理证书的架构可以非常简单。 当证书发放者和应用系统同处在一个环境中，安全措施和证书发放手续可以极大简化。 另外，本地发放的属性证书，可以被系统外安全应用系统使用，无论该持有属性证书的用户是处于本地还是远程。  基于属性，而不是基于身份进行访问控制 应用属性证书的最大好处是，在存取控制方面不再基于用 户身份，取而代之的是基于其拥有属性来决定其对某一资源或服务是否拥有访问权。 这带来各方面的好处： 应用程序中访问控制规则可以简单地被定义成按属性的有效期来决定访问权。 这非常简单、容易理解，并且更易维护。 同时，这是一个可伸缩的方案，可以支持大量的用户，但又不用对应用程序作任何改变（假定所有用户都可以被定义成同样的一套属性集合）。 如果使用传统的基于用户访问控制机制，每增加一个新用户，都要求在每个应用程序的 ACLs(Access Control List)中。 此举导致的必然结果是要么 ACLs 在各处分布，要么产生 一个集中式的大型 ACLs，所有应用程序必须联机访问。 从管理角度来说两者都是十分困难的。 如果迁移到基于角色的访问控制，可以避免以上操作带来的实施和管理复杂性。  短时效 属性证书可以设置成短时效的，如果属性证书被设定成短时效的。 发放必须是一个轻载过程。 也就是说，属性证书的发放必须简单，甚至自动化，因为这个过程须经常重复。 而且本地操作要好于远程、集中的管理。 撤回证书变得毫无必要，因为有效期过短，被暴露的属性证书很快会失效。  属性证书与身份证书的相互关联 属性证书不能单独使用，而且必须支持某种形式的身份认证过程。 这种身份证书与属性证书的关联检查是至关重要的，因为这个过程建立起一种信任传递，可以防止一个人的属性被另外的人假冒使用。 PMI 模型 绝大多数的访问控制应用都能抽象成一般的权限管理模型，包括 3个实体：对象，权限声称者（ privilege asserter）和权限验证者 (privilege verifier)。  对象可以是被保护的资源，例如在一个访问控制应用中，受保护资源就是对象。  权限声明者也就是访问折，是持有特定权限并声明其权限具有特定使用内容的实体。  权限验证者对访问动作进行验证和决策，是制定决策的实体 ，决定被声明的权限对于使用内容来说是否充分。 权限验证者根据 4个条件决定访问通过 /失败： 中国最大的管 理 资料下载中心 (收集 \整理 . 大量免费资源共享 ) 第 11 页 共 25 页 —— 权限声明者的权限 —— 适当的权限策略 —— 当前环境变量，如果有的话 —— 对象方法的敏感度，如果有的话 其中，权限策略说明了对于给定敏感度夫人对象方法或权限的用法和内容，用户持有的权限需要满足的什么条件达到什么要求。 权限策略准确定义了什么时候权限验证者应该确定一套已存在的权限是“充分的”，以便许可（对要求的对象、资源，应用等等）权限声明者访问。 为了保证系统的安全性，权限策略需要完整性和可靠性保护，防止他人通过修改权 限策略而攻击系统。 下面对应的控制模型说明验证者如何控制权限声明者对保护对象的访问，并表达了最基本的影 响 因 素 ： 权限策略 对象方法 （敏感度 ） 权限声明者 环境变量 权限验证者 访问控制框架 目前我们使用的主要访问控制授权方案，主要有一下几种：  DAC（ Discretionary Access Control）针对用户给出访问资源的权限，如该用户能够访哪些资源。  ACL（ Access Control List）访问控制列表方式，目前应用的最多的方式，目标资源拥有访问权限列表，如该资源允许哪些用户访问  MAC（ Mandatory Access Control）该模型在军事和安全部门中应用较多，目标具有一个包含等级的安全标签（如，不保密，限制，秘密，机密，绝密）；访问者拥有包含等级列表的许可，其中定义了可以访问哪个级别的目标。  RBAC（ RoleBased Access Control）定义一些组织内的角色，再根据授权策略给这些角色分配相应的权限 中国最大的管 理 资料下载中心 (收集 \整理 . 大量免费资源共享 ) 第 12 页 共 25 页 访问控制抽象模型 但是，无论哪一种访问控制授权方案都可以表示成如下的基本元素和抽象。 目标 访问控制决策单元 ADF 提交 访问请求 访问控制执行单元 AEF 执行 访问请求 决策结果 决策请求 访问者 访问控制就是要在访问者和目标之间介 入一个安全机制，验证访问者的权限、控制受保护的目标。 访问者提出对目的访问请求，被访问控制执行单元 (AEF,Access Control Enforcement Function，实际是应用内实现访问控制的一段代码或者监听程序 )截获，执行单元将请求信息和目标信息以决策请求的方式提交给访问控制决策单元（ ADF， Access Control Decision Function，是一个判断逻辑，如访问控制代码中的判断函数），决策单元根据相关信息返回决策结果（结果往往是允许 /拒绝），执行单元根据决策结果决定是否执行访 问。 其中执行单元和决策单元不必是分开的模块。 同样，影响决策单元进行决策的因素也可以抽象如下图所示： 中国最大的管 理 资料下载中心 (收集 \整理 . 大量免费资源共享 ) 第 13 页 共 25 页 访问控制决策单元 ADF 决策请求 决策结果 访问者信息 访问请求信息 目标信息 上下文信息 访问控制 策略规则 保留信息 可以看到，该决策抽象模型是 PMI 控制模型的细化。 决策单元相当于权限验证者。 决策请求中包含了访问者信息，访问请求信息，目标信息，上下文信息。 访问者信息指用户的身份，权限信息（属性证书信息）等；访问请求信息包括访问动作等信息；目标信息包含资源的等级，敏感度等信息；上下文信息主要指影响决策的应用端环境，如会话的有效期等。 决策单元中包含保留信息，主要是一些 决策单元内部的控制因素。 最重要的决策因素是访问控制策略规则。 因为相对于其它决策因素来说，不同的应用系统这些因素的变化相对小的多，但是不同的应用系统访问控制策略是完全不同的。 因此，访问控制策略规则是访问控制框架中随应用变化的部分，访问控制框架的灵活性和适应应用的能力，取决于访问控制策略的描述能力和控制能力。 策略规则 权限管理，访问控制框架，策略规则共同构成权限管理和访问控制实施的系统平台，或者说构成了属性证书应用支撑框架系统。 授权策略 上面我们已经知道，控制策略规则是随着应。