摘 要: 提出了一種面向用戶的分布式授權(quán)系統(tǒng)的通用模型。它以用戶為中心管理對象,在統(tǒng)一的信任平臺(tái)上支持多個(gè)分布的、基于不同授權(quán)模型的授權(quán)點(diǎn),通過授權(quán)管理" title="授權(quán)管理">授權(quán)管理,各個(gè)節(jié)點(diǎn)既可以獨(dú)立地支持各自的上層應(yīng)用,也可以相互關(guān)聯(lián)共同支持一個(gè)上層應(yīng)用。最后給出了這種模型的具體應(yīng)用模式。
關(guān)鍵詞: 身份證書 屬性證書 授權(quán)
網(wǎng)絡(luò)應(yīng)用規(guī)模的不斷擴(kuò)大帶來了以下發(fā)展趨勢:資源分散、用戶分散、決策分權(quán)、決策者分散,用戶信息、決策信息的復(fù)雜程度日益增加。這種趨勢使得傳統(tǒng)的對用戶和資源的集中式管理逐漸朝著分布式管理的方向發(fā)展。因此需要為系統(tǒng)提供良好且一致的管理,同時(shí)滿足不同的分布節(jié)點(diǎn)之間充分的協(xié)同和信息共享,完成對同一資源的協(xié)調(diào)管理,為整個(gè)系統(tǒng)提供統(tǒng)一的管理。
1 分布環(huán)境下授權(quán)機(jī)制新的需求
與傳統(tǒng)的集中式系統(tǒng)相比,分布式系統(tǒng)的授權(quán)和訪問控制" title="訪問控制">訪問控制機(jī)制帶來了更多實(shí)現(xiàn)和管理上的問題。資源(包括服務(wù))、資源的所有者、資源的管理者分散在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)上,某一資源可能存在多個(gè)干系人(或資源的所有者),分別獨(dú)立地對用戶進(jìn)行資格審核與分布式授權(quán)。資源的管理者(或服務(wù)的提供者)需要完整維護(hù)、及時(shí)更新訪問控制策略" title="控制策略">控制策略和規(guī)則,驗(yàn)證每一個(gè)訪問請求所有必須的授權(quán)條件??梢?,簡單地將集中式授權(quán)和訪控模型部署到分布式系統(tǒng)的各個(gè)節(jié)點(diǎn)無法滿足復(fù)雜系統(tǒng)的需要。
此外,同一網(wǎng)絡(luò)區(qū)域內(nèi)可能存在多個(gè)分布式應(yīng)用" title="分布式應(yīng)用">分布式應(yīng)用系統(tǒng),系統(tǒng)之間存在越來越多的協(xié)作和相互支持。這需要各個(gè)系統(tǒng)之間存在著統(tǒng)一的信任基礎(chǔ)和用于相互認(rèn)證、訪問控制的數(shù)據(jù)交換平臺(tái)。當(dāng)前,基于PKI(公開密鑰基礎(chǔ)設(shè)施)技術(shù)的統(tǒng)一信任平臺(tái)正在快速建設(shè)中,應(yīng)該充分利用現(xiàn)有PKI資源為分布式應(yīng)用提供信任管理,在此基礎(chǔ)上選擇各自的授權(quán)機(jī)制,建立相應(yīng)的訪問控制模型,實(shí)現(xiàn)基于PMI(特權(quán)管理基礎(chǔ)設(shè)施)技術(shù)的授權(quán)管理。
本文提出一種面向用戶的分布式授權(quán)系統(tǒng)的通用模型。它以用戶為中心管理對象,以用戶管理為核心,在統(tǒng)一的信任平臺(tái)上支持多個(gè)分布的、基于不同授權(quán)模型的授權(quán)點(diǎn)。通過授權(quán)管理,各個(gè)節(jié)點(diǎn)可以獨(dú)立自主地支持各自的上層應(yīng)用,也可以相互協(xié)作,共同支持一個(gè)上層應(yīng)用。這一機(jī)制的設(shè)計(jì)思想是在基于身份證書的信任平臺(tái)上進(jìn)行基于屬性證書的授權(quán)管理。
2 面向用戶的分布式授權(quán)模型
圖1是筆者設(shè)計(jì)的面向用戶的分布式授權(quán)模型體系結(jié)構(gòu)示意圖。模型包括四部分:基于PKI技術(shù)的信任管理平臺(tái)、授權(quán)節(jié)點(diǎn)、受控應(yīng)用節(jié)點(diǎn)和LDAP目錄服務(wù)器。各部分說明如下:
(1)基于PKI技術(shù)的信任管理平臺(tái)。該平臺(tái)是整個(gè)授權(quán)模型的信任基礎(chǔ),負(fù)責(zé)對用戶身份的審核。同時(shí)它包含了負(fù)責(zé)生成身份證書(公鑰證書)的權(quán)威機(jī)構(gòu)CA(Certificate Authority)中心和負(fù)責(zé)生成屬性證書的權(quán)威機(jī)構(gòu)AA(Attribute Authority)中心。
(2)授權(quán)管理節(jié)點(diǎn)。授權(quán)管理節(jié)點(diǎn)實(shí)現(xiàn)對特定特權(quán)的審核及授予。它分布在系統(tǒng)的每個(gè)應(yīng)用服務(wù)子系統(tǒng)中,自主地維護(hù)著與子系統(tǒng)相關(guān)的授權(quán)策略和信息,并檢查驗(yàn)證用戶提供的有關(guān)證明。根據(jù)這些證明、相關(guān)信息及授權(quán)策略,向合法用戶授予相應(yīng)的權(quán)利以及該權(quán)利的有效期,并將這些授權(quán)信息交給AA中心,由它負(fù)責(zé)指派有關(guān)的AA簽發(fā)相應(yīng)的屬性證書。
(3)受控應(yīng)用節(jié)點(diǎn)。也稱為資源節(jié)點(diǎn),同樣分布在系統(tǒng)中,其上運(yùn)行著實(shí)際應(yīng)用服務(wù)子系統(tǒng)的決策模塊,維護(hù)相應(yīng)服務(wù)的訪問控制策略和相關(guān)信息。當(dāng)用戶訪問該節(jié)點(diǎn)的資源時(shí),受控應(yīng)用節(jié)點(diǎn)檢查用戶提供的身份信息(身份證書),查找相應(yīng)的屬性證書,驗(yàn)證模塊負(fù)責(zé)驗(yàn)證這些證書的合法性。訪問決策模塊根據(jù)屬性證書的授權(quán)信息以及本地的訪問控制策略,決定該用戶是否有權(quán)訪問本地的應(yīng)用服務(wù)并告知訪問執(zhí)行模塊執(zhí)行。
(4)LDAP目錄服務(wù)器。主要用于發(fā)布PMI用戶的屬性證書、身份證書以及證書的撤消列表CRL,以供查詢使用。
在本模型中,采用公開密鑰加密技術(shù)的身份證書是提供身份、授權(quán)和屬性信息的基礎(chǔ)。本系統(tǒng)的運(yùn)行應(yīng)該相對穩(wěn)定,即不應(yīng)該由于個(gè)別用戶身份證書的變更而引起相應(yīng)的授權(quán)服務(wù)體系的附加管理操作。因此在這里采用將屬性證書與用戶的一個(gè)終身不變的身份標(biāo)識(shí)碼(例如身份證號(hào)碼)相關(guān)聯(lián),在身份證書中也與該標(biāo)識(shí)碼相關(guān)聯(lián),并且信任服務(wù)系統(tǒng)" title="服務(wù)系統(tǒng)">服務(wù)系統(tǒng)提供的對應(yīng)用戶的最新身份證書,將屬性證書自動(dòng)與該身份證書關(guān)聯(lián)。
3 分布式授權(quán)模型的應(yīng)用模式
在上述分布式授權(quán)模型思想的指導(dǎo)下,筆者為某省數(shù)字認(rèn)證中心設(shè)計(jì)了面向用戶的“一證通”應(yīng)用機(jī)制。所謂“一證通”,是系統(tǒng)內(nèi)的每個(gè)用戶惟一擁有一份標(biāo)識(shí)其身份的身份證書,而系統(tǒng)內(nèi)分布的各種應(yīng)用服務(wù)都將以此為基礎(chǔ),向用戶提供服務(wù)。下面舉例說明“一證通”機(jī)制的整體業(yè)務(wù)流程和功能。
系統(tǒng)的結(jié)構(gòu)如圖2所示。當(dāng)一個(gè)新用戶想要加入到這個(gè)系統(tǒng)時(shí),首先到受理點(diǎn)注冊,提供自己的身份信息和注冊(屬性)信息。受理點(diǎn)接收用戶信息后直接交到注冊機(jī)構(gòu)RA,由RA生成身份證書和屬性證書的請求發(fā)給信任平臺(tái)。信任平臺(tái)中的CA中心根據(jù)用戶提供的身份信息生成相應(yīng)的身份證書,同時(shí),把用戶提供的注冊信息交給分布在網(wǎng)絡(luò)上各個(gè)應(yīng)用服務(wù)系統(tǒng)的授權(quán)節(jié)點(diǎn)(行業(yè)RA),由各個(gè)授權(quán)節(jié)點(diǎn)根據(jù)各自本地的屬性集合和授權(quán)策略生成授權(quán)信息交還給信任平臺(tái)上對應(yīng)的AA,于是每個(gè)AA生成相應(yīng)的屬性證書。生成的身份證書(一份)和屬性證書(多份)被保存在LDAP目錄服務(wù)器中以供查詢使用。
?
用戶訪問系統(tǒng)中某種應(yīng)用的應(yīng)用模式示意如圖3所示。假設(shè)一個(gè)用戶想要在系統(tǒng)中查看其稅務(wù)信息。首先,登錄到稅務(wù)系統(tǒng)的資源節(jié)點(diǎn),輸入用戶名和密碼等必要登錄信息后,該節(jié)點(diǎn)將根據(jù)得到的這些信息到LDAP目錄服務(wù)器上去檢索相應(yīng)的身份證書。如果身份證書存在并且未過期,則可以根據(jù)身份證書和屬性證書的對應(yīng)關(guān)系查詢該用戶相應(yīng)的所有屬性證書并取回本地(如果存在)。假定要訪問用戶的稅務(wù)信息必須提供合法的工商數(shù)據(jù)(如營業(yè)執(zhí)照號(hào))、銀行數(shù)據(jù)(如銀行賬號(hào))和稅務(wù)數(shù)據(jù)(如稅務(wù)號(hào)),如果取回的屬性證書中含有這三份相應(yīng)的證書(圖3中的屬性證書1~3),稅務(wù)系統(tǒng)的資源節(jié)點(diǎn)則啟動(dòng)本地的訪問決策模塊。該模塊根據(jù)該用戶的訪問請求,搜索本地訪問控制策略庫中的相應(yīng)策略,并將屬性證書中的相關(guān)授權(quán)信息取出,判斷是否滿足以下條件:
(“營業(yè)執(zhí)照”=“合法”)AND(“銀行賬號(hào)”=“合法”)AND(“稅務(wù)號(hào)”=“合法”)
只有當(dāng)這個(gè)條件滿足時(shí),稅務(wù)資源節(jié)點(diǎn)才將該用戶的稅務(wù)信息展現(xiàn)給訪問者。
在這個(gè)例子中可以看到,很多情況下,對每個(gè)資源節(jié)點(diǎn)的訪問不一定只依賴于本地授權(quán)節(jié)點(diǎn)發(fā)布的授權(quán)信息。即一個(gè)資源存在著多個(gè)干系者(所有者)。例如上例中的稅務(wù)資源節(jié)點(diǎn),實(shí)際上從屬于工商、銀行和稅務(wù)系統(tǒng)三個(gè)干系者,每個(gè)干系者負(fù)責(zé)該資源的某一方面屬性的審核。一方面,在稅務(wù)授權(quán)節(jié)點(diǎn)授予該用戶稅務(wù)授權(quán)信息時(shí)用戶的工商、銀行等授權(quán)信息都是合法的;另一方面,用戶的屬性是不斷變化的,可能在請求訪問稅務(wù)資源時(shí),其他授權(quán)信息已經(jīng)發(fā)生了變化而變得不合法,但又沒有及時(shí)通知到稅務(wù)資源節(jié)點(diǎn)。所以在訪問資源時(shí),必須檢查與該資源相關(guān)的多份授權(quán)信息(屬性證書)來作出最終決定。
本文提出的這種面向用戶的分布式授權(quán)模型,能滿足多種授權(quán)需求,從而使系統(tǒng)的擴(kuò)充和管理變得非常方便,十分有利于大型分布式應(yīng)用服務(wù)系統(tǒng)的資源管理。在此模型基礎(chǔ)上發(fā)展起來的“一證通”系統(tǒng)也在某省的數(shù)字認(rèn)證中心中得到了良好的運(yùn)行,系統(tǒng)的運(yùn)行維護(hù)成本也得到了有效的控制。
參考文獻(xiàn)
1 ISO/IEC9594-8:Information telenology-Open Systems Inter-connection-The Directory:Public-key and attribute certificate framework,F(xiàn)ourth edition,2001
2 Tuomas Aura.Distributed access-rights management with del-egation certificates[C].2000
3 Joon S.Park.Binding Identities and Attributes Using Digitally Signed Certificates[C].2000
4 William Stallings,楊明譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全(原理與實(shí)踐)[M].北京:電子工業(yè)出版社,2001
5 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA[M].北京:電子工業(yè)出版社,2002