前言：本站為你精心整理了PMI授權(quán)管理體系設(shè)計(jì)分析范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

1系統(tǒng)總體方案

1．1架構(gòu)和功能

系統(tǒng)依托pmi，遵循X．509協(xié)議、GB／T16264．8—2005和ISO／IEC9594—8(2005)標(biāo)準(zhǔn)，采用RBAC模型。系統(tǒng)包括訪問控制執(zhí)行單元(AccessControlEnforcementFunction，AEF)的實(shí)施接口、訪問控制決策單元(AccessControlDecisionFunction，ADF)的決策服務(wù)、決策管理和系統(tǒng)管理共四部分。用戶權(quán)限由屬性證書描述，系統(tǒng)的用戶、角色、目標(biāo)資源、操作行為及屬性證書等各類信息存儲(chǔ)在LDAP中。系統(tǒng)為用戶設(shè)計(jì)了PKI、PMI和LDAP三類服務(wù)供其調(diào)用⋯。其中，PKI和PMI服務(wù)遵守X．509、GB／T16264．8—2005、ISO／IEC9594—8(2005)及相應(yīng)的PKI規(guī)范，LDAP服務(wù)遵守RFC2251(V3)技術(shù)規(guī)范。系統(tǒng)架構(gòu)如所示，功能模塊如所示。

1．2主要功能模塊

1．2．1AEF實(shí)施接口

①接收由應(yīng)用系統(tǒng)或PKI認(rèn)證系統(tǒng)傳遞過來的用戶的身份信息、要訪問的資源，以及對(duì)資源的操作行為。無論是PKI或用戶名一口令哪種認(rèn)證形式，均提供相同接口；②按預(yù)定格式生成決策請(qǐng)求信息，并向訪問控制決策單元ADF發(fā)出決策請(qǐng)求；③接收ADF的決策結(jié)果，并將結(jié)果傳遞到應(yīng)用系統(tǒng)，由應(yīng)用系統(tǒng)根據(jù)決策結(jié)果執(zhí)行或者拒絕用戶的訪問。

1．2．2ADF決策服務(wù)

①接收由AEF發(fā)出的決策請(qǐng)求信息；②檢索策略規(guī)測(cè)，對(duì)決策請(qǐng)求作出決策；③將決策結(jié)果和用戶的權(quán)限信息返給AEF，并對(duì)決策過程的所有操作提供審計(jì)接口。

1．2．3決策管理

①資源與操作管理。對(duì)目標(biāo)資源及操作行為提供維護(hù)功能；對(duì)資源信息和操作行為根據(jù)應(yīng)用需求附加安全屬性；定義目標(biāo)資源角色、操作角色及各自的繼承關(guān)系等；對(duì)資源的各種操作提供審計(jì)接口。②用戶角色管理。根據(jù)實(shí)際應(yīng)用環(huán)境的要求來劃分角色，可以按企業(yè)組織結(jié)構(gòu)，或根據(jù)級(jí)別和職責(zé)來決定，完全由應(yīng)用系統(tǒng)靈活設(shè)置，隨時(shí)能夠增刪改；角色之間支持繼承；對(duì)角色的操作提供審計(jì)接口。③用戶管理。提供增刪改功能；按類型(如員工、合作伙伴、顧客等)分類管理；對(duì)用戶操作提供審計(jì)。④授權(quán)策略管理。定義授權(quán)約束條件。包括為用戶分配角色時(shí)要滿足的靜態(tài)職責(zé)分離約束，會(huì)話激活角色時(shí)要滿足的動(dòng)態(tài)職責(zé)分離約束及權(quán)限分配時(shí)要滿足的約束條件；定義系統(tǒng)內(nèi)的權(quán)限；分配權(quán)限；申請(qǐng)、簽發(fā)、撤銷屬性證書；對(duì)所有操作提供審計(jì)接口。⑤委托管理。對(duì)授權(quán)體系進(jìn)行維護(hù)，能夠增加或撤銷屬性權(quán)威機(jī)構(gòu)AA和AA；對(duì)系統(tǒng)管理員進(jìn)行管理，賦予或撤銷其屬性權(quán)威機(jī)構(gòu)AA和AA的操作職能；系統(tǒng)提供操作審計(jì)。

1．2．4系統(tǒng)管理

①運(yùn)行環(huán)境信息的管理。環(huán)境信息、相關(guān)參數(shù)等的配置；初始化、啟動(dòng)、運(yùn)行等配置信息管理；系統(tǒng)提供操作審計(jì)。②首席用戶。首席用戶是系統(tǒng)設(shè)置的第一個(gè)默認(rèn)用戶，屬于超級(jí)管理員。他可以增刪改管理員，并對(duì)管理員授權(quán)；它還可以制定授權(quán)策略，進(jìn)行環(huán)境信息配置；系統(tǒng)提供首席用戶的操作審計(jì)。③管理員。管理員分為超級(jí)管理員、LDAP目錄服務(wù)管理員、授權(quán)管理員和簽發(fā)管理員四種。超級(jí)管理員擔(dān)當(dāng)管理員的維護(hù)、系統(tǒng)環(huán)境信息和參數(shù)配置等工作；LDAP目錄服務(wù)管理員負(fù)責(zé)LDAP數(shù)據(jù)庫的維護(hù)，負(fù)責(zé)創(chuàng)建和管理應(yīng)用系統(tǒng)的用戶樹、角色樹、目標(biāo)資源樹、操作樹及屬性證書樹等；授權(quán)管理員負(fù)責(zé)用戶與用戶角色、資源與資源角色及操作與操作角色間關(guān)系的維護(hù)，負(fù)責(zé)授權(quán)策略及委托等決策管理的職能；簽發(fā)管理員負(fù)責(zé)屬性證書管理，包括簽發(fā)、撤銷等維護(hù)職能。終端實(shí)ll終端實(shí)體EEll體EE對(duì)管理員的每次操作都提供審計(jì)。

2授權(quán)體系與訪問控制模型

2．1授權(quán)體系PMI在體系上可以分為三級(jí)，分別是信任源點(diǎn)SOA(SourceOfAuthority)中心、屬性權(quán)威機(jī)構(gòu)AA(At—tributeAuthority)中心和AA點(diǎn)。系統(tǒng)將第一級(jí)設(shè)置為分公司或連鎖店SOA，分公司或連鎖店分布在不同的物理區(qū)域，基本上是一個(gè)獨(dú)立的應(yīng)用系統(tǒng)，互相之間沒有聯(lián)系，所以采取多SOA方案；第二級(jí)按應(yīng)用子系統(tǒng)劃分，如財(cái)務(wù)管理子系統(tǒng)的AA、物流管理子系統(tǒng)的AA、銷售與采購子系統(tǒng)AA、人力資源子系統(tǒng)AA等；第三級(jí)為各子系統(tǒng)的AA點(diǎn)，其設(shè)立和數(shù)目根據(jù)子系統(tǒng)的業(yè)務(wù)需求確定，可以隨時(shí)增加或刪除。授權(quán)管理的結(jié)構(gòu)如所示。

2．2訪問控制模型及其實(shí)現(xiàn)

2．2．1訪問控制模型

采用RBAC模型，并根據(jù)應(yīng)用的實(shí)際情況對(duì)其加以改進(jìn)，形成了一個(gè)增強(qiáng)的RBAC模型。該模型在原有RBAC基礎(chǔ)上添加了目標(biāo)角色和操作角色兩個(gè)元素，相應(yīng)地也增加了操作與操作角色、目標(biāo)與目標(biāo)角色及操作角色與目標(biāo)角色三種關(guān)系。對(duì)新添加的角色引入層次繼承關(guān)系，對(duì)新添加的關(guān)系引入靜態(tài)約束。其模型描述如所示。

2．2．2用戶權(quán)限的表示

系統(tǒng)是通過對(duì)角色分配權(quán)限及為用戶指定角色來實(shí)現(xiàn)授權(quán)的，屬性證書是載體，記錄角色被指派了哪些權(quán)限，用戶擁有哪些角色。屬性證書分為角色規(guī)范證書RSC(RoleSpecificationCertificate)、角色分配證書RAC(RoleAssignmentCertificate)及屬性描述符證書ADC(AttributeDescriptorCertificate)。RSC記錄角色所擁有的權(quán)限，RAC記錄指派給用戶的角色，ADC描述訪問控制策略應(yīng)遵守的規(guī)則。靜態(tài)職責(zé)分離、動(dòng)態(tài)職責(zé)分離及客體約束等存入LDAP數(shù)據(jù)庫，以便在權(quán)限分配和角色激活時(shí)檢測(cè)是否滿足約束條件。AA可以定義任意數(shù)量的角色，角色及角色的成員(即用戶)甚至可以通過不同的AA分別定義和管理，角色成員的分配可以由AA實(shí)施，角色及角色的成員可以給予任意的生命周期。顯示出了系統(tǒng)RBAC模型中SOA、AA、AA、角色、終端實(shí)體(用戶)、屬性證書、LDAP證書庫等各實(shí)體之間的關(guān)系。

3LDAP數(shù)據(jù)庫設(shè)計(jì)

3．1存儲(chǔ)結(jié)構(gòu)

LDAP使用一種類似于X．500協(xié)議中數(shù)據(jù)的組織方式來訪問目錄中的信息，支持分布式環(huán)境、安全可靠、靈活方便，逐漸成為下一代智能化網(wǎng)絡(luò)管理的核心部分”。系統(tǒng)利用LDAP存放應(yīng)用的用戶樹、角色樹、目標(biāo)資源樹、操作樹及屬性證書樹等信息。存儲(chǔ)結(jié)構(gòu)如所示。

3．2LDAP服務(wù)

LDAP服務(wù)提供了查詢、更新、認(rèn)證及LDAP擴(kuò)展共四類操作。系統(tǒng)利用c語言對(duì)LDAP操作進(jìn)行封裝(1ber．h，ldap．h)，提供了連接、斷開連接，綁定、解除綁定，條目的增刪改，條目查詢等功能。為了安全起見，這些功能都由相應(yīng)的系統(tǒng)管理員執(zhí)行。LDAP目錄服務(wù)管理員負(fù)責(zé)LDAP數(shù)據(jù)庫的維護(hù)，負(fù)責(zé)創(chuàng)建和管理應(yīng)用系統(tǒng)的用戶樹、角色樹、目標(biāo)資源樹、操作樹及屬性證書樹等。

4結(jié)束語

該系統(tǒng)為企業(yè)安全應(yīng)用面臨的資源共享問題提供了一個(gè)可行的訪問控制方案，解決了跨組織邊界的用戶和服務(wù)資源的動(dòng)態(tài)調(diào)整及安全屬性種類繁多、權(quán)限決策輔助因素的多變等問題。該系統(tǒng)已在筆者單位開發(fā)的網(wǎng)絡(luò)安全及安全辦公平臺(tái)等項(xiàng)目中得到應(yīng)用，很好地解決了項(xiàng)目面臨的安全問題。系統(tǒng)通過將訪問控制機(jī)制從具體應(yīng)用的開發(fā)和管理中分離出來，不僅屏蔽了安全技術(shù)的復(fù)雜性，也擁有很強(qiáng)的靈活性、適應(yīng)性和可擴(kuò)展性。