访问权限安全管理作为系统安全近年来的关注热点在研究和应用中已经获得了较多成果, 建立了目前主要使用的DAC、ACL、MAC、RBAC等访问控制模型, 而且ACL和MAC得到了相对较多的应用。但过去在权限管理的整体研究和权限的表达、权限的发布机制、应用权限管理原则方面没有进行系统的、全面的研究。为了解决这个问题, 在X.509 V4 (2000) [1]中, 首先提出了权限管理基础设施 (Privilege Management Infrastructure, PMI) 的概念, 为网络安全系统的授权管理实现提供了一个新的思路。本文在常见PMI模型的基础上设计了一种适合大型分布式应用的PMI系统——MPMI, 可以满足大型分布式应用环境对权限管理的需要。
1 X.509原型与PMI模型
X.509 V4协议[2]描述了PMI系统的模型框架, PMI原型应该完成以下的主要功能:制定授权管理策略、审核设立与管理AA、属性证书的发放和管理、证书撤销列表的管理、委托路径和交叉路径的处理等。国内常见的PMI系统主要是高校的实验室模型或为某些机构开发的初级产品, 其基本组成[3~4]如图1所示。
图1所示的结构基于X.509V4基本模型, 设计者通常将权限源、签发机构甚至颁发机构综合成一个模块, 显然不适合大型应用的需求。大型PMI系统必然有大量的终端用户, 并分布范围广泛, 因此必须将权限源和签发机构分开考虑, 同时还应该设置一定规模的代理机构供终端用户申请和下载证书。
2 MPMI系统设计
为了适合大型分布式应用系统的权限管理需求, MPMI中设置了一定规模的代理机构用来处理用户申请和对应用系统的管理。
2.1 总体设计和模块划分
MPMI系统由权限管理中心 (Source of Authority, SOA) , 授权服务中心, 属性注册与权限分配、资源管理系统、访问控制系统五个子系统组成, 其体系结构如图2所示。
其中各个子系统功能分别是。
(1) SOA:是整个MPMI的最终信任源和最高管理机构, 负责授权管理政策的制定和授权策略的管理、授权服务中心AA的设立审核及管理、授权管理体系业务的规范化等。
(2) AA:是MPMI系统的核心服务节点, 是应对于具体应用系统的授权管理分系统, 用来对经过PKI认证的用户进行授权, 是签发属性证书的机构。
(3) AR&PA:是MPMI的用户代理节点, 是联接终端用户和MPMI的纽带, 属于应对AA的附属机构, 接受上级AA的直接管理。AR&PA由各AA负责建设, 经授权管理总中心的统一并签发相应的权力证书, AR&PA的设立和数目由各AA根据自身的业务发展需求而定。
(4) RMS:是MPMI的重要组成部分, 具有资源收集和管理、角色采集和管理、角色授权与管理、访问控制系统管理等功能。
(5) ACS:访问控制系统ACS与实际应用结合实现对用户访问请求的管理, 严格来说它们属于应用程序的一部分, 但具有统一的接口和信息交互方式, 因此将其作为一个独立的子系统进行设计。
2.2 证书申请与发放
MPMI采用基于角色的访问控制思想来实现权限的分配, 在验证用户身份证书的基础上向用户颁发角色分配证书, 由与角色分配证书相关联的角色规范证书来确定权限。
角色分配证书的申请由具有合法身份的用户在AR&PA系统发起, 经AR&PA系统验证审核后, 交由AA生成角色分配证书并签发, 最后把证书发送给AR&PA系统制证, 并把证书信息发送到LDAP服务器, 具体流程如图3所示。
(1) 具有合法身份的用户向MPMI的用户代理节点AR&PA提交申请 (申请表、个人信息及证明材料) 和身份证书。
(2) AR&PA验证用户身份证书, 判断身份证书是否合法。
(3) 如果身份证书合法, 则把个人信息和证明材料交由AA, 并由AA验证个人信息和证明材料是否真实;否则返回错误报告。
(4) 如果AA验证材料属实, 则将用户信息写入AR&PA数据库, 并将用户申请提交给AA;否则返回错误报告。
(5) AA将接收的用户信息写入AA数据库, 并依据用户信息决定角色。
(6) AA生成角色分配证书并签发, 并将证书相应信息写入LDAP服务器及AA数据库。
(7) AA将证书签发送给AR&PA进行制证。
3 MPMI安全性考虑
为了增强系统的安全性, 可以采取以下措施。
(1) 管理员设置:每个子系统都设置系统管理员、操作管理员和审核员, 分别负责系统的开启、具体操作和系统的监控。对于系统管理员采用mofn的机制进行管理, 即系统安装时设置n个系统管理员, 但是系统的开启至少需要m个系统管理员同时在场。
(2) 证书载体:采用智能密码钥匙作为属性分配证书的存储载体, 证书的验证和解析在智能密码钥匙内完成。
(3) 内部通信:采用SSL3.0协议[5]来保证各系统内部通信的安全性。
(4) AA私钥保存:AA的私钥用来对证书进行数字签名, 一旦丢失将造成系统的瘫痪, 因此应当对其进行备份。可以将AA私钥分成几份由几个管理员分别保存, 以保证安全性。
(5) 辅助措施:采用防火墙、VPN和杀毒软件等安全辅助措施, 同时注意物理安全。
4 结语
本文在常见PMI模型的基础上提出了MPMI模型, 完善了PKI的不足, 同时该模型设置了用户申请和应用系统的代理机构, 适合大规模分布式应用。笔者将MPMI应用于本单位园区网的情况进行了分析, 只有在智能密码钥匙丢失并且保护口令泄露的情况下才会有非授权情况发生, 但是一旦发生此类情况可以立即向AA申请挂失, 将属性证书放入证书撤销列表中。下一步将对MPMI进行远距离、跨区域仿真实验, 对系统进一步完善。
摘要:在一般PMI模型的基础上, 提出了一种适合大型分布式应用系统的权限管理基础设施模型 (MPMI) , 采用基于角色的访问控制思想来实现权限的分配, 通过角色分配证书和角色规范证书来实现权限的管理。
关键词:公钥基础设施,PMI,RBAC
参考文献
[1] ITU-T Recommendation X.509-2000.The Directory.Public-key And At-tribute Certificate Frameworks[S].
[2] Sharon B.X.509 4th edition: Over-view of PKI&PMI Frameworks (Entrust, Inc.) [EB/OL].http://www.entrust.com/resources/pdf/509_overview.pdf, 2000.
[3] 赵顺波.基于属性的分布资源PMI系统的研究与实现[D].长春:吉林大学, 2005.
[4] 彭亚锋.基于RBAC的PMI体系构建及其应用[D].西安:西安电子科技大学, 2007.
[5] RFC2246-1999.The TLS Protocol Version 1.0[S].
【一种适合大型分布式应用的权限管理系统模型设计】相关文章:
水工模型试验在大型尾矿库排水系统优化设计中的应用研究09-11
一种基于ARMA模型的移动通信网管数据挖掘系统设计方法09-12
分布式光纤管道预警系统的应用09-11
分布式DRM的远程网络教育模型10-10
基于CORBA/JAVARMI的分布式系统应用研究10-04
基于角色的权限管理在教务管理系统中的应用09-10
Extjs下权限设计和应用研究03-06