郭曉蕾

摘 要：本文對(duì)企業(yè)信息化建設(shè)當(dāng)中出現(xiàn)的權(quán)限管理混亂、系統(tǒng)無(wú)法集成、管理難度大、維護(hù)成本高等問(wèn)題進(jìn)行剖析，提出了基于角色訪問(wèn)控制的權(quán)限管理解決方案性。

關(guān)鍵詞：PMI 權(quán)限管理

1.引言

目前大多數(shù)軍工企業(yè)都通過(guò)PKI證書(shū)+USBKey的形式，進(jìn)行身份認(rèn)證，但這只能確定“他是誰(shuí)”的問(wèn)題。武器裝備科研生產(chǎn)單位保密資格認(rèn)證標(biāo)準(zhǔn)中要求，軍工企業(yè)應(yīng)采取強(qiáng)制訪問(wèn)控制措施，權(quán)限分離應(yīng)當(dāng)采用最小授權(quán)原則，并在它們之間形成相互制約的關(guān)系[1]。本文通過(guò)分析目前軍工企業(yè)中權(quán)限管理的現(xiàn)狀，提出一種在PKI 基礎(chǔ)上權(quán)限管理解決方案。

2.權(quán)限管理現(xiàn)狀

目前，軍工企業(yè)大都已建立了OA、PDM、電子郵件等多個(gè)應(yīng)用系統(tǒng)，與此同時(shí)，新的應(yīng)用系統(tǒng)也不斷加入。這些系統(tǒng)對(duì)權(quán)限的控制是分別進(jìn)行的，不同的應(yīng)用系統(tǒng)分別針對(duì)自己要保護(hù)的資源進(jìn)行權(quán)限的管理和控制，這種方式帶來(lái)了以下問(wèn)題：

（1）權(quán)限管理混亂

應(yīng)用之間缺乏關(guān)聯(lián)性，權(quán)限管理模塊重復(fù)開(kāi)發(fā)，用戶管理、組織機(jī)構(gòu)等數(shù)據(jù)重復(fù)維護(hù)，用戶使用不便且安全性差，數(shù)據(jù)的完整性、一致性很難得到保障。

（2）系統(tǒng)無(wú)法集成

各個(gè)應(yīng)用系統(tǒng)的權(quán)限管理模式設(shè)計(jì)不同，技術(shù)實(shí)現(xiàn)方式不同，系統(tǒng)之間的集成存在問(wèn)題，單點(diǎn)登陸難度大。

（3）管理難度大

大多數(shù)老系統(tǒng)都采用ACL，需要手動(dòng)維護(hù)每個(gè)員工在多個(gè)系統(tǒng)的權(quán)限，而人員、崗位、組織變化頻繁，安全保密管理員或產(chǎn)品管理員需要大量修改操作，不能有效、及時(shí)地更改、發(fā)布實(shí)時(shí)的權(quán)限信息。

（4）工作量增加，維護(hù)成本高

系統(tǒng)管理員需要維護(hù)多套系統(tǒng)，熟悉并操作不同系統(tǒng)的權(quán)限管理模式，對(duì)于應(yīng)用數(shù)量多的企業(yè)來(lái)說(shuō)，系統(tǒng)管理員的負(fù)擔(dān)過(guò)于沉重。

綜上所述，實(shí)現(xiàn)權(quán)限管理機(jī)制的統(tǒng)一部署和管理，成為解決目前權(quán)限管理問(wèn)題的主要途徑。而PMI（Privilege Management Infrastructure ， 授權(quán)管理基礎(chǔ)設(shè)施）技術(shù)則應(yīng)運(yùn)而生。

3.特權(quán)管理基礎(chǔ)設(shè)施PMI

3.1 PMI的構(gòu)成

PMI 是一個(gè)由屬性證書(shū)、屬性權(quán)威機(jī)構(gòu)、屬性證書(shū)庫(kù)等部件構(gòu)成的綜合系統(tǒng)：

（1）SOA（Source of Authority，屬性權(quán)威源）：主要職責(zé)是授權(quán)策略的管理與應(yīng)用、AA中心的設(shè)立審核及管理、應(yīng)用授權(quán)受理等。

（2）AA（Attribute Authority，屬性權(quán)威）：屬性證書(shū)的生成簽發(fā)機(jī)構(gòu)，主要功職責(zé)包括屬性證書(shū)的全生命周期管理：生成、頒發(fā)、更新、注銷等。

（3）AC（Attribute Certificate，屬性證書(shū)），是由屬性權(quán)威進(jìn)行數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)，綁定了一個(gè)用戶的權(quán)限。

3.2PMI模型

角色模型是X.509 PMI模型的一種，其最核心的思想就是在用戶和權(quán)限中間加入角色。用戶通過(guò)角色分配證書(shū)中的角色屬性，分配到一個(gè)或多個(gè)角色；通過(guò)角色定義證書(shū)，給某個(gè)角色分配一定的權(quán)限。用戶只持有角色分配證書(shū)，因此并不直接分配給用戶權(quán)限，系統(tǒng)只需要維護(hù)角色的信息，而不會(huì)影響用戶，大大簡(jiǎn)化了授權(quán)管理。

屬性權(quán)威（SOA/AA）負(fù)責(zé)權(quán)限策略的管理并為用戶分配角色，為角色分配權(quán)限。權(quán)限驗(yàn)證者負(fù)責(zé)對(duì)用戶進(jìn)行身份認(rèn)證和對(duì)用戶的訪問(wèn)請(qǐng)求進(jìn)行判定。用戶，即權(quán)限持有者，發(fā)起訪問(wèn)資源的服務(wù)請(qǐng)求，權(quán)限驗(yàn)證者根據(jù)服務(wù)請(qǐng)求，結(jié)合權(quán)限策略、環(huán)境變量和對(duì)象的敏感程度等，進(jìn)行判定用戶是否能夠訪問(wèn)資源。

3.3實(shí)現(xiàn)方案

企業(yè)實(shí)施PMI，首先應(yīng)建立屬性權(quán)威，制定授權(quán)策略，然后再進(jìn)行授權(quán)、訪問(wèn)控制和審計(jì)。所以，一個(gè)企業(yè)PMI平臺(tái)實(shí)現(xiàn)的架構(gòu)應(yīng)該包括驗(yàn)證服務(wù)器，注冊(cè)服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器，LDAP服務(wù)器等。

（1）權(quán)限策略的建立

權(quán)限策略一個(gè)企業(yè)如何進(jìn)行人員和信息資源的分類管理，如數(shù)據(jù)的敏感性，可以按照其重要程度分為公開(kāi)、秘密、機(jī)密和絕密；人員的職務(wù)，設(shè)計(jì)師，副總師等。同時(shí)還需要對(duì)信息資源的操作權(quán)限進(jìn)行劃分，一般分為讀、寫(xiě)、刪除、修改，打印，復(fù)制，屏幕截取等。

（2）申請(qǐng)屬性證書(shū)

用戶訪問(wèn)資源的必要條件是用戶已申請(qǐng)公鑰證書(shū)和屬性證書(shū)，公鑰證書(shū)是身份憑證，用戶提出屬性證書(shū)申請(qǐng)時(shí)必須出示，屬性權(quán)威根據(jù)公鑰證書(shū)中用戶的身份，從訪問(wèn)控制服務(wù)器中檢索用戶所屬的組，然后從策略庫(kù)中的系統(tǒng)權(quán)限策略描述中進(jìn)行解析，最后得出用戶可以擁有的角色，然后簽發(fā)用戶的屬性證書(shū)，并發(fā)布到LDAP服務(wù)器上。

（3）訪問(wèn)請(qǐng)求

用戶發(fā)出對(duì)某個(gè)目標(biāo)資源的訪問(wèn)請(qǐng)求，同時(shí)提交代表用戶身份的公鑰證書(shū)。訪問(wèn)控制模塊介于用戶和目標(biāo)資源之間，截獲用戶的各種請(qǐng)求，然后對(duì)用戶的身份信息和屬性信息分別進(jìn)行判端，最后再根據(jù)判決結(jié)果執(zhí)行允許用戶對(duì)系統(tǒng)資源進(jìn)行訪問(wèn)或者拒絕訪問(wèn)。

（4）身份驗(yàn)證

用戶登陸的過(guò)程就是身份驗(yàn)證的過(guò)程，由證書(shū)權(quán)威確定其公鑰證書(shū)中的簽名為真，以此證明證書(shū)簽發(fā)的有效性、用戶證書(shū)的時(shí)效性、證書(shū)的可用性、證書(shū)未被撤銷。身份驗(yàn)證通過(guò)后，向訪問(wèn)控制模塊發(fā)送已通過(guò)信息，否則由訪問(wèn)控制模塊向應(yīng)用服務(wù)器發(fā)送驗(yàn)證失敗信息。

（5）權(quán)限驗(yàn)證

訪問(wèn)控制模塊根據(jù)終端用戶公鑰證書(shū)中的證書(shū)惟一標(biāo)識(shí)從LDAP 目錄服務(wù)器中檢索該用戶的角色分配屬性證書(shū)，并驗(yàn)證其真實(shí)性和有效性，如果驗(yàn)證信息有誤，訪問(wèn)控制模塊就返回驗(yàn)證未通過(guò)的信息，如果驗(yàn)證信息正確，訪問(wèn)控制模塊則需從角色分配證書(shū)中獲取用戶的角色屬性值，將用戶請(qǐng)求與權(quán)限集合相比較，判定該用戶請(qǐng)求是否在權(quán)限允許的范圍之內(nèi)，不在權(quán)限范圍之內(nèi)，就向應(yīng)用服務(wù)器返回拒絕服務(wù)的響應(yīng)信息，否則通過(guò)應(yīng)用服務(wù)器響應(yīng)用戶請(qǐng)求[2]。

（6）服務(wù)響應(yīng)

應(yīng)用服務(wù)器根據(jù)訪訪問(wèn)控制模塊返回的消息進(jìn)行判斷，如果是驗(yàn)證通過(guò)，則響應(yīng)用戶請(qǐng)求，如果是未通過(guò)，返回給用戶被拒絕的消息。

4結(jié)束語(yǔ)

基于PMI的權(quán)限管理解決方案將業(yè)務(wù)管理與授權(quán)管理分離，有效地簡(jiǎn)化了授權(quán)管理， 降低了應(yīng)用系統(tǒng)的復(fù)雜度和管理成本，同時(shí)對(duì)授權(quán)管理信息提供了更多保護(hù)功能，提高了權(quán)限管理的靈活性和安全性。

參考文獻(xiàn)：

[1] 國(guó)家軍工保密資格認(rèn)定辦公室.軍工保密資格認(rèn)定工作手冊(cè).金城出版社.2017年.P123.

[2] 雷建云 蔣天發(fā) 邢光林.基于PKI與PMI的訪問(wèn)控制在企業(yè)信息系統(tǒng)中的應(yīng)用. 武漢理工大學(xué)學(xué)報(bào).2008年04期.