網(wǎng)絡(luò)應(yīng)用規(guī)模的不斷擴(kuò)大帶來(lái)了以下發(fā)展趨勢(shì)：資源分散、用戶分散、決策分權(quán)、決策者分散，用戶信息、決策信息的復(fù)雜程度日益增加。這種趨勢(shì)使得傳統(tǒng)的對(duì)用戶和資源的集中式管理逐漸朝著分布式管理的方向發(fā)展。因此需要為系統(tǒng)提供良好且一致的管理，同時(shí)滿足不同的分布節(jié)點(diǎn)之間充分的協(xié)同和信息共享，完成對(duì)同一資源的協(xié)調(diào)管理，為整個(gè)系統(tǒng)提供統(tǒng)一的管理。
1 分布環(huán)境下授權(quán)機(jī)制新的需求
　　與傳統(tǒng)的集中式系統(tǒng)相比，分布式系統(tǒng)的授權(quán)和訪問(wèn)控制" title="訪問(wèn)控制">訪問(wèn)控制機(jī)制帶來(lái)了更多實(shí)現(xiàn)和管理上的問(wèn)題。資源(包括服務(wù))、資源的所有者、資源的管理者分散在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)上，某一資源可能存在多個(gè)干系人(或資源的所有者)，分別獨(dú)立地對(duì)用戶進(jìn)行資格審核與分布式授權(quán)。資源的管理者(或服務(wù)的提供者)需要完整維護(hù)、及時(shí)更新訪問(wèn)控制策略" title="控制策略">控制策略和規(guī)則，驗(yàn)證每一個(gè)訪問(wèn)請(qǐng)求所有必須的授權(quán)條件?？梢姡?jiǎn)單地將集中式授權(quán)和訪控模型部署到分布式系統(tǒng)的各個(gè)節(jié)點(diǎn)無(wú)法滿足復(fù)雜系統(tǒng)的需要。
　　此外，同一網(wǎng)絡(luò)區(qū)域內(nèi)可能存在多個(gè)分布式應(yīng)用" title="分布式應(yīng)用">分布式應(yīng)用系統(tǒng)，系統(tǒng)之間存在越來(lái)越多的協(xié)作和相互支持。這需要各個(gè)系統(tǒng)之間存在著統(tǒng)一的信任基礎(chǔ)和用于相互認(rèn)證、訪問(wèn)控制的數(shù)據(jù)交換平臺(tái)。當(dāng)前，基于PKI(公開密鑰基礎(chǔ)設(shè)施)技術(shù)的統(tǒng)一信任平臺(tái)正在快速建設(shè)中，應(yīng)該充分利用現(xiàn)有PKI資源為分布式應(yīng)用提供信任管理，在此基礎(chǔ)上選擇各自的授權(quán)機(jī)制，建立相應(yīng)的訪問(wèn)控制模型，實(shí)現(xiàn)基于PMI(特權(quán)管理基礎(chǔ)設(shè)施)技術(shù)的授權(quán)管理。
　　本文提出一種面向用戶的分布式授權(quán)系統(tǒng)的通用模型。它以用戶為中心管理對(duì)象，以用戶管理為核心，在統(tǒng)一的信任平臺(tái)上支持多個(gè)分布的、基于不同授權(quán)模型的授權(quán)點(diǎn)。通過(guò)授權(quán)管理，各個(gè)節(jié)點(diǎn)可以獨(dú)立自主地支持各自的上層應(yīng)用，也可以相互協(xié)作，共同支持一個(gè)上層應(yīng)用。這一機(jī)制的設(shè)計(jì)思想是在基于身份證書的信任平臺(tái)上進(jìn)行基于屬性證書的授權(quán)管理。

2 面向用戶的分布式授權(quán)模型
　　圖1是筆者設(shè)計(jì)的面向用戶的分布式授權(quán)模型體系結(jié)構(gòu)示意圖。模型包括四部分：基于PKI技術(shù)的信任管理平臺(tái)、授權(quán)節(jié)點(diǎn)、受控應(yīng)用節(jié)點(diǎn)和LDAP目錄服務(wù)器。各部分說(shuō)明如下：
　　(1)基于PKI技術(shù)的信任管理平臺(tái)。該平臺(tái)是整個(gè)授權(quán)模型的信任基礎(chǔ)，負(fù)責(zé)對(duì)用戶身份的審核。同時(shí)它包含了負(fù)責(zé)生成身份證書(公鑰證書)的權(quán)威機(jī)構(gòu)CA(Certificate Authority)中心和負(fù)責(zé)生成屬性證書的權(quán)威機(jī)構(gòu)AA(Attribute Authority)中心。
　　(2)授權(quán)管理節(jié)點(diǎn)。授權(quán)管理節(jié)點(diǎn)實(shí)現(xiàn)對(duì)特定特權(quán)的審核及授予。它分布在系統(tǒng)的每個(gè)應(yīng)用服務(wù)子系統(tǒng)中，自主地維護(hù)著與子系統(tǒng)相關(guān)的授權(quán)策略和信息，并檢查驗(yàn)證用戶提供的有關(guān)證明。根據(jù)這些證明、相關(guān)信息及授權(quán)策略，向合法用戶授予相應(yīng)的權(quán)利以及該權(quán)利的有效期，并將這些授權(quán)信息交給AA中心，由它負(fù)責(zé)指派有關(guān)的AA簽發(fā)相應(yīng)的屬性證書。
　　(3)受控應(yīng)用節(jié)點(diǎn)。也稱為資源節(jié)點(diǎn)，同樣分布在系統(tǒng)中，其上運(yùn)行著實(shí)際應(yīng)用服務(wù)子系統(tǒng)的決策模塊，維護(hù)相應(yīng)服務(wù)的訪問(wèn)控制策略和相關(guān)信息。當(dāng)用戶訪問(wèn)該節(jié)點(diǎn)的資源時(shí)，受控應(yīng)用節(jié)點(diǎn)檢查用戶提供的身份信息(身份證書)，查找相應(yīng)的屬性證書，驗(yàn)證模塊負(fù)責(zé)驗(yàn)證這些證書的合法性。訪問(wèn)決策模塊根據(jù)屬性證書的授權(quán)信息以及本地的訪問(wèn)控制策略，決定該用戶是否有權(quán)訪問(wèn)本地的應(yīng)用服務(wù)并告知訪問(wèn)執(zhí)行模塊執(zhí)行。
　　(4)LDAP目錄服務(wù)器。主要用于發(fā)布PMI用戶的屬性證書、身份證書以及證書的撤消列表CRL，以供查詢使用。
　　在本模型中，采用公開密鑰加密技術(shù)的身份證書是提供身份、授權(quán)和屬性信息的基礎(chǔ)。本系統(tǒng)的運(yùn)行應(yīng)該相對(duì)穩(wěn)定，即不應(yīng)該由于個(gè)別用戶身份證書的變更而引起相應(yīng)的授權(quán)服務(wù)體系的附加管理操作。因此在這里采用將屬性證書與用戶的一個(gè)終身不變的身份標(biāo)識(shí)碼(例如身份證號(hào)碼)相關(guān)聯(lián)，在身份證書中也與該標(biāo)識(shí)碼相關(guān)聯(lián)，并且信任服務(wù)系統(tǒng)" title="服務(wù)系統(tǒng)">服務(wù)系統(tǒng)提供的對(duì)應(yīng)用戶的最新身份證書，將屬性證書自動(dòng)與該身份證書關(guān)聯(lián)。
3 分布式授權(quán)模型的應(yīng)用模式
　　在上述分布式授權(quán)模型思想的指導(dǎo)下，筆者為某省數(shù)字認(rèn)證中心設(shè)計(jì)了面向用戶的“一證通”應(yīng)用機(jī)制。所謂“一證通”，是系統(tǒng)內(nèi)的每個(gè)用戶惟一擁有一份標(biāo)識(shí)其身份的身份證書，而系統(tǒng)內(nèi)分布的各種應(yīng)用服務(wù)都將以此為基礎(chǔ)，向用戶提供服務(wù)。下面舉例說(shuō)明“一證通”機(jī)制的整體業(yè)務(wù)流程和功能。
　　系統(tǒng)的結(jié)構(gòu)如圖2所示。當(dāng)一個(gè)新用戶想要加入到這個(gè)系統(tǒng)時(shí)，首先到受理點(diǎn)注冊(cè)，提供自己的身份信息和注冊(cè)(屬性)信息。受理點(diǎn)接收用戶信息后直接交到注冊(cè)機(jī)構(gòu)RA，由RA生成身份證書和屬性證書的請(qǐng)求發(fā)給信任平臺(tái)。信任平臺(tái)中的CA中心根據(jù)用戶提供的身份信息生成相應(yīng)的身份證書，同時(shí)，把用戶提供的注冊(cè)信息交給分布在網(wǎng)絡(luò)上各個(gè)應(yīng)用服務(wù)系統(tǒng)的授權(quán)節(jié)點(diǎn)(行業(yè)RA)，由各個(gè)授權(quán)節(jié)點(diǎn)根據(jù)各自本地的屬性集合和授權(quán)策略生成授權(quán)信息交還給信任平臺(tái)上對(duì)應(yīng)的AA，于是每個(gè)AA生成相應(yīng)的屬性證書。生成的身份證書(一份)和屬性證書(多份)被保存在LDAP目錄服務(wù)器中以供查詢使用。

?