摘 要: 提出了一種面向用戶的分布式授權系統的通用模型。它以用戶為中心管理對象,在統一的信任平臺上支持多個分布的、基于不同授權模型的授權點,通過授權管理" title="授權管理">授權管理,各個節點既可以獨立地支持各自的上層應用,也可以相互關聯共同支持一個上層應用。最后給出了這種模型的具體應用模式。
關鍵詞: 身份證書 屬性證書 授權
網絡應用規模的不斷擴大帶來了以下發展趨勢:資源分散、用戶分散、決策分權、決策者分散,用戶信息、決策信息的復雜程度日益增加。這種趨勢使得傳統的對用戶和資源的集中式管理逐漸朝著分布式管理的方向發展。因此需要為系統提供良好且一致的管理,同時滿足不同的分布節點之間充分的協同和信息共享,完成對同一資源的協調管理,為整個系統提供統一的管理。
1 分布環境下授權機制新的需求
與傳統的集中式系統相比,分布式系統的授權和訪問控制" title="訪問控制">訪問控制機制帶來了更多實現和管理上的問題。資源(包括服務)、資源的所有者、資源的管理者分散在網絡的各個節點上,某一資源可能存在多個干系人(或資源的所有者),分別獨立地對用戶進行資格審核與分布式授權。資源的管理者(或服務的提供者)需要完整維護、及時更新訪問控制策略" title="控制策略">控制策略和規則,驗證每一個訪問請求所有必須的授權條件。可見,簡單地將集中式授權和訪控模型部署到分布式系統的各個節點無法滿足復雜系統的需要。
此外,同一網絡區域內可能存在多個分布式應用" title="分布式應用">分布式應用系統,系統之間存在越來越多的協作和相互支持。這需要各個系統之間存在著統一的信任基礎和用于相互認證、訪問控制的數據交換平臺。當前,基于PKI(公開密鑰基礎設施)技術的統一信任平臺正在快速建設中,應該充分利用現有PKI資源為分布式應用提供信任管理,在此基礎上選擇各自的授權機制,建立相應的訪問控制模型,實現基于PMI(特權管理基礎設施)技術的授權管理。
本文提出一種面向用戶的分布式授權系統的通用模型。它以用戶為中心管理對象,以用戶管理為核心,在統一的信任平臺上支持多個分布的、基于不同授權模型的授權點。通過授權管理,各個節點可以獨立自主地支持各自的上層應用,也可以相互協作,共同支持一個上層應用。這一機制的設計思想是在基于身份證書的信任平臺上進行基于屬性證書的授權管理。
2 面向用戶的分布式授權模型
圖1是筆者設計的面向用戶的分布式授權模型體系結構示意圖。模型包括四部分:基于PKI技術的信任管理平臺、授權節點、受控應用節點和LDAP目錄服務器。各部分說明如下:
(1)基于PKI技術的信任管理平臺。該平臺是整個授權模型的信任基礎,負責對用戶身份的審核。同時它包含了負責生成身份證書(公鑰證書)的權威機構CA(Certificate Authority)中心和負責生成屬性證書的權威機構AA(Attribute Authority)中心。
(2)授權管理節點。授權管理節點實現對特定特權的審核及授予。它分布在系統的每個應用服務子系統中,自主地維護著與子系統相關的授權策略和信息,并檢查驗證用戶提供的有關證明。根據這些證明、相關信息及授權策略,向合法用戶授予相應的權利以及該權利的有效期,并將這些授權信息交給AA中心,由它負責指派有關的AA簽發相應的屬性證書。
(3)受控應用節點。也稱為資源節點,同樣分布在系統中,其上運行著實際應用服務子系統的決策模塊,維護相應服務的訪問控制策略和相關信息。當用戶訪問該節點的資源時,受控應用節點檢查用戶提供的身份信息(身份證書),查找相應的屬性證書,驗證模塊負責驗證這些證書的合法性。訪問決策模塊根據屬性證書的授權信息以及本地的訪問控制策略,決定該用戶是否有權訪問本地的應用服務并告知訪問執行模塊執行。
(4)LDAP目錄服務器。主要用于發布PMI用戶的屬性證書、身份證書以及證書的撤消列表CRL,以供查詢使用。
在本模型中,采用公開密鑰加密技術的身份證書是提供身份、授權和屬性信息的基礎。本系統的運行應該相對穩定,即不應該由于個別用戶身份證書的變更而引起相應的授權服務體系的附加管理操作。因此在這里采用將屬性證書與用戶的一個終身不變的身份標識碼(例如身份證號碼)相關聯,在身份證書中也與該標識碼相關聯,并且信任服務系統" title="服務系統">服務系統提供的對應用戶的最新身份證書,將屬性證書自動與該身份證書關聯。
3 分布式授權模型的應用模式
在上述分布式授權模型思想的指導下,筆者為某省數字認證中心設計了面向用戶的“一證通”應用機制。所謂“一證通”,是系統內的每個用戶惟一擁有一份標識其身份的身份證書,而系統內分布的各種應用服務都將以此為基礎,向用戶提供服務。下面舉例說明“一證通”機制的整體業務流程和功能。
系統的結構如圖2所示。當一個新用戶想要加入到這個系統時,首先到受理點注冊,提供自己的身份信息和注冊(屬性)信息。受理點接收用戶信息后直接交到注冊機構RA,由RA生成身份證書和屬性證書的請求發給信任平臺。信任平臺中的CA中心根據用戶提供的身份信息生成相應的身份證書,同時,把用戶提供的注冊信息交給分布在網絡上各個應用服務系統的授權節點(行業RA),由各個授權節點根據各自本地的屬性集合和授權策略生成授權信息交還給信任平臺上對應的AA,于是每個AA生成相應的屬性證書。生成的身份證書(一份)和屬性證書(多份)被保存在LDAP目錄服務器中以供查詢使用。
?
用戶訪問系統中某種應用的應用模式示意如圖3所示。假設一個用戶想要在系統中查看其稅務信息。首先,登錄到稅務系統的資源節點,輸入用戶名和密碼等必要登錄信息后,該節點將根據得到的這些信息到LDAP目錄服務器上去檢索相應的身份證書。如果身份證書存在并且未過期,則可以根據身份證書和屬性證書的對應關系查詢該用戶相應的所有屬性證書并取回本地(如果存在)。假定要訪問用戶的稅務信息必須提供合法的工商數據(如營業執照號)、銀行數據(如銀行賬號)和稅務數據(如稅務號),如果取回的屬性證書中含有這三份相應的證書(圖3中的屬性證書1~3),稅務系統的資源節點則啟動本地的訪問決策模塊。該模塊根據該用戶的訪問請求,搜索本地訪問控制策略庫中的相應策略,并將屬性證書中的相關授權信息取出,判斷是否滿足以下條件:
(“營業執照”=“合法”)AND(“銀行賬號”=“合法”)AND(“稅務號”=“合法”)
只有當這個條件滿足時,稅務資源節點才將該用戶的稅務信息展現給訪問者。
在這個例子中可以看到,很多情況下,對每個資源節點的訪問不一定只依賴于本地授權節點發布的授權信息。即一個資源存在著多個干系者(所有者)。例如上例中的稅務資源節點,實際上從屬于工商、銀行和稅務系統三個干系者,每個干系者負責該資源的某一方面屬性的審核。一方面,在稅務授權節點授予該用戶稅務授權信息時用戶的工商、銀行等授權信息都是合法的;另一方面,用戶的屬性是不斷變化的,可能在請求訪問稅務資源時,其他授權信息已經發生了變化而變得不合法,但又沒有及時通知到稅務資源節點。所以在訪問資源時,必須檢查與該資源相關的多份授權信息(屬性證書)來作出最終決定。
本文提出的這種面向用戶的分布式授權模型,能滿足多種授權需求,從而使系統的擴充和管理變得非常方便,十分有利于大型分布式應用服務系統的資源管理。在此模型基礎上發展起來的“一證通”系統也在某省的數字認證中心中得到了良好的運行,系統的運行維護成本也得到了有效的控制。
參考文獻
1 ISO/IEC9594-8:Information telenology-Open Systems Inter-connection-The Directory:Public-key and attribute certificate framework,Fourth edition,2001
2 Tuomas Aura.Distributed access-rights management with del-egation certificates[C].2000
3 Joon S.Park.Binding Identities and Attributes Using Digitally Signed Certificates[C].2000
4 William Stallings,楊明譯.密碼編碼學與網絡安全(原理與實踐)[M].北京:電子工業出版社,2001
5 關振勝.公鑰基礎設施PKI與認證機構CA[M].北京:電子工業出版社,2002