簡介
授權管理基礎設施PMI以資源管理為核心,對資源的訪問控制權統一交由授權機構統一處理,即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比,兩者主要區別在於:PKI證明用戶是誰,而PMI證明這個用戶有什麼許可權,能幹什麼,而且授權管理基礎設施PMI需要公鑰基礎設施PKI為其提供身份認證。PMI與PKI在結構上是非常相似的。信任的基礎都是有關機構,由他們決定建立身份認證系統和屬性特權機構。在PKI中,由有關部門建立並管理根CA,下設各級CA、RA和其他機構;在PMI中,由有關部門建立授權源SOA,下設分散式的AA和其他機構。
PMI實際提出了一個新的信息保護基礎設施,能夠與PKI和目錄服務緊密地集成,並系統地建立起對認可用戶的特定授權,對許可權管理進行了系統的定義和描述,完整地提供了授權服務所需過程。建立在PKI基礎上的PMI,以向用戶和應用程式提供許可權管理和授權服務為目標,主要負責向業務套用系統提供與套用相關的授權服務管理,提供用戶身份到套用授權的映射功能,實現與實際套用處理模式相對應的、與具體套用系統開發和管理無關的訪問控制機制,極大地簡化套用中訪問控制和許可權管理系統的開發與維護,並減少管理成本和複雜性。
PKI的功能操作
PKI具有以下12種功能操作:
產生、驗證和分發密鑰
簽名和驗證
證書的獲取
證書的驗證
保存證書
本地保存的證書的獲取
證書的廢止申請
密鑰的恢復
CRL的獲取
密鑰的更新
審計
存檔
這些功能大部分都是由PKI的核心組成部分CA完成的。
PKI的安全性
PKI是以公鑰加密為基礎的,為網路安全保障的基礎設施。從理論上來講,是比較完善和有效的實現身份認證和保證數據完整性、有效性的手段。但在實際的實施中,仍有一些需要注意的問題。
與PKI安全相關的最主要問題是私有密鑰的存儲安全性。私有密鑰保存的責任是由持有者承擔的,而非PKI系統的責任。私鑰的丟失,會導致PKI的整個驗證過程沒有意義。另一個問題是廢止證書時間與廢紙證書的聲明在公共可訪問列表的時間之間會有一段時間的延遲出現,而無效證書可能在這一段時間內被使用。另外,Intemet使得獲得個人身份信息很容易,如身份證號等,一個人可以利用別人的這些信息獲得數字證書,而使申請看起來像來自別人。同時,PKI系統的安全很大程度上依賴於運行CA的伺服器、軟體等,如果黑客非法侵入一個不安全的CA伺服器,就可能危害整個PKI系統。因此,從私鑰的保存到PKI系統本身的安全方面還要加強防範。在這幾方面獨有比較好的安全性的前提下,PKI不失為一個保證網路安全的合理和有效的解決方案。
PKI的標準化
PKI的標準化問題實現不同的PKI域具有良好的藉口的必要條件。世界上很多的標準化小組都在關注和從事PKI的標準化工作。PKI標準化的主要內容涉及四個方面:基本安全算法、公約基礎實施、E-mail安全和對稱加密算法(DES、IDEA)、數字簽名算法(RSA、DSA)等。公鑰基礎實施的標準包括ANS.1規範、CA證書格式、Intemet X.509標準、PKIX、SET安全協定等。E-mail安全標準包括S/MIME、PEM、PGP協定標準。Web的安全標準有安全HTFP協定(S/HTIP)、安全套接層(SSL)協定等。PKI的標準化工作已取得了很大的進展,許多標準已相對穩定,但仍有許多方面的標準需要迸一步的發展和完善。預計在未來的幾年裡,會有更多的標準將進入完善和穩定階段,並被PKI產品和服務商所採用。這些標準將大大增強PKI產品或服務的功能和互操作性。
我國PKI的發展情況,1998年,自我國國內第一家以實體形式運營的上海CA中心(SHECA)成立以來,全國先後建成了幾十家不同類型的CA認證機構,CA認證概念也逐步從電子商務滲透至電子政務、金融、科教等各個領域。然而國內CA建成自成體系的現狀,直接導致了CA認證的互通性、可靠性等達不到要求。
PMI系統的架構
PMI授權服務體系以高度集中的方式管理用戶和為用戶授權,並且採用適當的用戶身份信息來實現用戶認證,主要是PKI體系下的數字證書,也包括動態口令或者指紋認證技術。安全平台將授權管理功能從套用系統中分離出來,以獨立和集中服務的方式面向整個網路,統一為各套用系統提供授權管理服務。
授權管理基礎設施PMI在體系上可以分為三級,分別是信任源點(SOA中心)、屬性機構AA中心和AA代理點。在實際套用中,這種分級體系可以根據需要進行靈活配置,可以是三級、二級或一級。授權管理系統的總體架構如圖所示。
1.信任源點(SOA中心)。信任源點(SOA中心)是整個授權管理體系的中心業務節點,也是整個授權管理基礎設施PMI的最終信任源和最高管理機構。SOA中心的職責主要包括:授權管理策略的管理、套用授權受理、AA中心的設立審核及管理和授權管理體系業務的規範化等。
2.授權服務中心AA。屬性機構AA中心是授權管理基礎設施PMI的核心服務節點,是對應於具體套用系統的授權管理分系統,由具有設立AA中心業務需求的各套用單位負責建設,並與SOA中心通過業務協定達成相互的信任關係。AA中心的職責主要包括:套用授權受理、屬性證書的發放和管理,以及AA代理點的設立審核和管理等。AA中心需要為其所發放的所有屬性證書維持一個歷史記錄和更新記錄。
3.授權服務代理點。AA代理點是授權管理基礎設施PMI的用戶代理節點,也稱為資源管理中心,是與具體套用用戶的接口,是對應AA中心的附屬機構,接受AA中心的直接管理,由各AA中心負責建設,報經主管的SOA中心同意,並簽發相應的證書。AA代理點的設立和數目由各AA中心根據自身的業務發展需求而定。AA代理點的職責主要包括套用授權服務代理和套用授權審核代理等,負責對具體的用戶套用資源進行授權審核,並將屬性證書的操作請求提交到授權服務中心進行處理。
4.訪問控制執行者。訪問控制執行者是指用戶套用系統中具體對授權驗證服務的調用模組,因此,實際上並不屬於授權管理基礎設施的部分,但卻是授權管理體系的重要組成部分。訪問控制執行者的主要職責是:將最終用戶針對特定的操作授權所提交的授權信息(屬性證書)連同對應的身份驗證信息(公鑰證書)一起提交到授權服務代理點,並根據授權服務中心返回的授權結果,進行具體的套用授權處理。
對於PMI基礎設施,由於它是建立在PKI基礎之上的,因此也必須遵循國家統一的標準,按照國家的統一部署和管理規定,有序開展這項建設工作,地方不能各自為政。按照效益的原則,實現以較少的投入取得較大的收益,從而可以極大地減少技術上的困難,同時可以節省巨額的資金投入。同時,PMI基礎設施所採用的技術也應該建立在我國自己的技術平台之上,從而保證信息安全。
PMI技術的授權管理模式及其優點
授權服務體系主要是為網路空間提供用戶操作授權的管理,即在虛擬網路空間中的用戶角色與最終套用系統中用戶的操作許可權之間建立一種映射關係。授權服務體系一般需要與信任服務體系協同工作,才能完成從特定用戶的現實空間身份到特定套用系統中的具體操作許可權之間的轉換。
建立授權服務體系的關鍵技術主要是授權管理基礎設施PMI技術。PMI技術通過數字證書機制來管理用戶的授權信息,並將授權管理功能從傳統的套用系統中分離出來,以獨立服務的方式面向套用系統提供授權管理服務。由於數字證書機制提供了對授權信息的安全保護功能,因此,作為用戶授權信息存放載體的屬性證書同樣可以通過公開方式對外發布。由於屬性證書並不提供對用戶身份的鑑別功能,因此,屬性證書中將不包含用戶的公鑰信息。
授權管理體系將操作授權管理功能從傳統的信息套用系統中剝離出來,可以為套用系統的設計、開發和運行管理提供很大的便利。套用系統中與操作授權處理相關的地方全部改成對授權服務的調用,因此,可以在不改變套用系統的前提下完成對授權模型的轉換,進一步增加了授權管理的靈活性。同時,通過採用屬性證書的委託機制,授權管理體系可進一步提高授權管理的靈活性。
與信任服務系統中的證書策略機制類似,授權管理系統中也存在安全策略管理的問題。同一授權管理系統中將遵循相同的安全策略提供授權管理服務,不同的授權管理系統之間的互通必須以策略的一致性為前提。
與傳統的同套用密切捆綁的授權管理模式相比,基於PMI技術的授權管理模式主要存在以下三個方面的優勢。
1.授權管理的靈活性。基於PMI技術的授權管理模式可以通過屬性證書的有效期以及委託授權機制來靈活地進行授權管理,從而實現了傳統的訪問控制技術領域中的強制訪問控制模式與自主訪問控制模式的有機結合,其靈活性是傳統的授權管理模式所無法比擬的。與傳統的授權管理模式相比,採用屬性證書機制的授權管理技術對授權管理信息提供了更多的保護功能;而與直接採用公鑰證書的授權管理技術相比,則進一步增加了授權管理機制的靈活性,並保持了信任服務體系的相對穩定性。
2.授權操作與業務操作相分離。基於授權服務體系的授權管理模式將業務管理工作與授權管理工作完全分離,更加明確了業務管理員和安全管理員之間的職責分工,可以有效地避免由於業務管理人員參與到授權管理活動中而可能帶來的一些問題。基於PMI技術的授權管理模式還可以通過屬性證書的審核機制來提供對操作授權過程的審核,進一步加強了授權管理的可信度。
3.多授權模型的靈活支持。基於PMI技術的授權管理模式將整個授權管理體系從套用系統中分離出來,授權管理模組自身的維護和更新操作將與具體的套用系統無關,因此,可以在不影響原有套用系統正常運行的前提下,實現對多授權模型的支持。