摘 要: 提出了一種面向用戶(hù)的分布式授權(quán)系統(tǒng)的通用模型,。它以用戶(hù)為中心管理對(duì)象,,在統(tǒng)一的信任平臺(tái)上支持多個(gè)分布的,、基于不同授權(quán)模型的授權(quán)點(diǎn),通過(guò)授權(quán)管理" title="授權(quán)管理">授權(quán)管理,,各個(gè)節(jié)點(diǎn)既可以獨(dú)立地支持各自的上層應(yīng)用,,也可以相互關(guān)聯(lián)共同支持一個(gè)上層應(yīng)用,。最后給出了這種模型的具體應(yīng)用模式。
關(guān)鍵詞: 身份證書(shū) 屬性證書(shū) 授權(quán)
網(wǎng)絡(luò)應(yīng)用規(guī)模的不斷擴(kuò)大帶來(lái)了以下發(fā)展趨勢(shì):資源分散,、用戶(hù)分散,、決策分權(quán)、決策者分散,,用戶(hù)信息,、決策信息的復(fù)雜程度日益增加,。這種趨勢(shì)使得傳統(tǒng)的對(duì)用戶(hù)和資源的集中式管理逐漸朝著分布式管理的方向發(fā)展。因此需要為系統(tǒng)提供良好且一致的管理,,同時(shí)滿(mǎn)足不同的分布節(jié)點(diǎn)之間充分的協(xié)同和信息共享,,完成對(duì)同一資源的協(xié)調(diào)管理,為整個(gè)系統(tǒng)提供統(tǒng)一的管理,。
1 分布環(huán)境下授權(quán)機(jī)制新的需求
與傳統(tǒng)的集中式系統(tǒng)相比,,分布式系統(tǒng)的授權(quán)和訪(fǎng)問(wèn)控制" title="訪(fǎng)問(wèn)控制">訪(fǎng)問(wèn)控制機(jī)制帶來(lái)了更多實(shí)現(xiàn)和管理上的問(wèn)題。資源(包括服務(wù)),、資源的所有者,、資源的管理者分散在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)上,某一資源可能存在多個(gè)干系人(或資源的所有者),,分別獨(dú)立地對(duì)用戶(hù)進(jìn)行資格審核與分布式授權(quán),。資源的管理者(或服務(wù)的提供者)需要完整維護(hù)、及時(shí)更新訪(fǎng)問(wèn)控制策略" title="控制策略">控制策略和規(guī)則,,驗(yàn)證每一個(gè)訪(fǎng)問(wèn)請(qǐng)求所有必須的授權(quán)條件,。可見(jiàn),,簡(jiǎn)單地將集中式授權(quán)和訪(fǎng)控模型部署到分布式系統(tǒng)的各個(gè)節(jié)點(diǎn)無(wú)法滿(mǎn)足復(fù)雜系統(tǒng)的需要,。
此外,同一網(wǎng)絡(luò)區(qū)域內(nèi)可能存在多個(gè)分布式應(yīng)用" title="分布式應(yīng)用">分布式應(yīng)用系統(tǒng),,系統(tǒng)之間存在越來(lái)越多的協(xié)作和相互支持,。這需要各個(gè)系統(tǒng)之間存在著統(tǒng)一的信任基礎(chǔ)和用于相互認(rèn)證、訪(fǎng)問(wèn)控制的數(shù)據(jù)交換平臺(tái),。當(dāng)前,,基于PKI(公開(kāi)密鑰基礎(chǔ)設(shè)施)技術(shù)的統(tǒng)一信任平臺(tái)正在快速建設(shè)中,應(yīng)該充分利用現(xiàn)有PKI資源為分布式應(yīng)用提供信任管理,,在此基礎(chǔ)上選擇各自的授權(quán)機(jī)制,,建立相應(yīng)的訪(fǎng)問(wèn)控制模型,實(shí)現(xiàn)基于PMI(特權(quán)管理基礎(chǔ)設(shè)施)技術(shù)的授權(quán)管理,。
本文提出一種面向用戶(hù)的分布式授權(quán)系統(tǒng)的通用模型,。它以用戶(hù)為中心管理對(duì)象,以用戶(hù)管理為核心,,在統(tǒng)一的信任平臺(tái)上支持多個(gè)分布的,、基于不同授權(quán)模型的授權(quán)點(diǎn)。通過(guò)授權(quán)管理,,各個(gè)節(jié)點(diǎn)可以獨(dú)立自主地支持各自的上層應(yīng)用,,也可以相互協(xié)作,共同支持一個(gè)上層應(yīng)用。這一機(jī)制的設(shè)計(jì)思想是在基于身份證書(shū)的信任平臺(tái)上進(jìn)行基于屬性證書(shū)的授權(quán)管理,。
2 面向用戶(hù)的分布式授權(quán)模型
圖1是筆者設(shè)計(jì)的面向用戶(hù)的分布式授權(quán)模型體系結(jié)構(gòu)示意圖,。模型包括四部分:基于PKI技術(shù)的信任管理平臺(tái)、授權(quán)節(jié)點(diǎn),、受控應(yīng)用節(jié)點(diǎn)和LDAP目錄服務(wù)器,。各部分說(shuō)明如下:
(1)基于PKI技術(shù)的信任管理平臺(tái)。該平臺(tái)是整個(gè)授權(quán)模型的信任基礎(chǔ),,負(fù)責(zé)對(duì)用戶(hù)身份的審核,。同時(shí)它包含了負(fù)責(zé)生成身份證書(shū)(公鑰證書(shū))的權(quán)威機(jī)構(gòu)CA(Certificate Authority)中心和負(fù)責(zé)生成屬性證書(shū)的權(quán)威機(jī)構(gòu)AA(Attribute Authority)中心。
(2)授權(quán)管理節(jié)點(diǎn),。授權(quán)管理節(jié)點(diǎn)實(shí)現(xiàn)對(duì)特定特權(quán)的審核及授予。它分布在系統(tǒng)的每個(gè)應(yīng)用服務(wù)子系統(tǒng)中,,自主地維護(hù)著與子系統(tǒng)相關(guān)的授權(quán)策略和信息,,并檢查驗(yàn)證用戶(hù)提供的有關(guān)證明。根據(jù)這些證明,、相關(guān)信息及授權(quán)策略,,向合法用戶(hù)授予相應(yīng)的權(quán)利以及該權(quán)利的有效期,并將這些授權(quán)信息交給AA中心,,由它負(fù)責(zé)指派有關(guān)的AA簽發(fā)相應(yīng)的屬性證書(shū),。
(3)受控應(yīng)用節(jié)點(diǎn)。也稱(chēng)為資源節(jié)點(diǎn),,同樣分布在系統(tǒng)中,,其上運(yùn)行著實(shí)際應(yīng)用服務(wù)子系統(tǒng)的決策模塊,維護(hù)相應(yīng)服務(wù)的訪(fǎng)問(wèn)控制策略和相關(guān)信息,。當(dāng)用戶(hù)訪(fǎng)問(wèn)該節(jié)點(diǎn)的資源時(shí),,受控應(yīng)用節(jié)點(diǎn)檢查用戶(hù)提供的身份信息(身份證書(shū)),查找相應(yīng)的屬性證書(shū),,驗(yàn)證模塊負(fù)責(zé)驗(yàn)證這些證書(shū)的合法性,。訪(fǎng)問(wèn)決策模塊根據(jù)屬性證書(shū)的授權(quán)信息以及本地的訪(fǎng)問(wèn)控制策略,決定該用戶(hù)是否有權(quán)訪(fǎng)問(wèn)本地的應(yīng)用服務(wù)并告知訪(fǎng)問(wèn)執(zhí)行模塊執(zhí)行,。
(4)LDAP目錄服務(wù)器,。主要用于發(fā)布PMI用戶(hù)的屬性證書(shū)、身份證書(shū)以及證書(shū)的撤消列表CRL,,以供查詢(xún)使用,。
在本模型中,采用公開(kāi)密鑰加密技術(shù)的身份證書(shū)是提供身份,、授權(quán)和屬性信息的基礎(chǔ),。本系統(tǒng)的運(yùn)行應(yīng)該相對(duì)穩(wěn)定,即不應(yīng)該由于個(gè)別用戶(hù)身份證書(shū)的變更而引起相應(yīng)的授權(quán)服務(wù)體系的附加管理操作。因此在這里采用將屬性證書(shū)與用戶(hù)的一個(gè)終身不變的身份標(biāo)識(shí)碼(例如身份證號(hào)碼)相關(guān)聯(lián),,在身份證書(shū)中也與該標(biāo)識(shí)碼相關(guān)聯(lián),,并且信任服務(wù)系統(tǒng)" title="服務(wù)系統(tǒng)">服務(wù)系統(tǒng)提供的對(duì)應(yīng)用戶(hù)的最新身份證書(shū),將屬性證書(shū)自動(dòng)與該身份證書(shū)關(guān)聯(lián),。
3 分布式授權(quán)模型的應(yīng)用模式
在上述分布式授權(quán)模型思想的指導(dǎo)下,,筆者為某省數(shù)字認(rèn)證中心設(shè)計(jì)了面向用戶(hù)的“一證通”應(yīng)用機(jī)制。所謂“一證通”,,是系統(tǒng)內(nèi)的每個(gè)用戶(hù)惟一擁有一份標(biāo)識(shí)其身份的身份證書(shū),,而系統(tǒng)內(nèi)分布的各種應(yīng)用服務(wù)都將以此為基礎(chǔ),向用戶(hù)提供服務(wù),。下面舉例說(shuō)明“一證通”機(jī)制的整體業(yè)務(wù)流程和功能,。
系統(tǒng)的結(jié)構(gòu)如圖2所示。當(dāng)一個(gè)新用戶(hù)想要加入到這個(gè)系統(tǒng)時(shí),,首先到受理點(diǎn)注冊(cè),,提供自己的身份信息和注冊(cè)(屬性)信息。受理點(diǎn)接收用戶(hù)信息后直接交到注冊(cè)機(jī)構(gòu)RA,,由RA生成身份證書(shū)和屬性證書(shū)的請(qǐng)求發(fā)給信任平臺(tái),。信任平臺(tái)中的CA中心根據(jù)用戶(hù)提供的身份信息生成相應(yīng)的身份證書(shū),同時(shí),,把用戶(hù)提供的注冊(cè)信息交給分布在網(wǎng)絡(luò)上各個(gè)應(yīng)用服務(wù)系統(tǒng)的授權(quán)節(jié)點(diǎn)(行業(yè)RA),,由各個(gè)授權(quán)節(jié)點(diǎn)根據(jù)各自本地的屬性集合和授權(quán)策略生成授權(quán)信息交還給信任平臺(tái)上對(duì)應(yīng)的AA,于是每個(gè)AA生成相應(yīng)的屬性證書(shū),。生成的身份證書(shū)(一份)和屬性證書(shū)(多份)被保存在LDAP目錄服務(wù)器中以供查詢(xún)使用,。
?
用戶(hù)訪(fǎng)問(wèn)系統(tǒng)中某種應(yīng)用的應(yīng)用模式示意如圖3所示。假設(shè)一個(gè)用戶(hù)想要在系統(tǒng)中查看其稅務(wù)信息,。首先,,登錄到稅務(wù)系統(tǒng)的資源節(jié)點(diǎn),輸入用戶(hù)名和密碼等必要登錄信息后,,該節(jié)點(diǎn)將根據(jù)得到的這些信息到LDAP目錄服務(wù)器上去檢索相應(yīng)的身份證書(shū),。如果身份證書(shū)存在并且未過(guò)期,則可以根據(jù)身份證書(shū)和屬性證書(shū)的對(duì)應(yīng)關(guān)系查詢(xún)?cè)撚脩?hù)相應(yīng)的所有屬性證書(shū)并取回本地(如果存在),。假定要訪(fǎng)問(wèn)用戶(hù)的稅務(wù)信息必須提供合法的工商數(shù)據(jù)(如營(yíng)業(yè)執(zhí)照號(hào)),、銀行數(shù)據(jù)(如銀行賬號(hào))和稅務(wù)數(shù)據(jù)(如稅務(wù)號(hào)),如果取回的屬性證書(shū)中含有這三份相應(yīng)的證書(shū)(圖3中的屬性證書(shū)1~3),,稅務(wù)系統(tǒng)的資源節(jié)點(diǎn)則啟動(dòng)本地的訪(fǎng)問(wèn)決策模塊,。該模塊根據(jù)該用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求,搜索本地訪(fǎng)問(wèn)控制策略庫(kù)中的相應(yīng)策略,,并將屬性證書(shū)中的相關(guān)授權(quán)信息取出,,判斷是否滿(mǎn)足以下條件:
(“營(yíng)業(yè)執(zhí)照”=“合法”)AND(“銀行賬號(hào)”=“合法”)AND(“稅務(wù)號(hào)”=“合法”)
只有當(dāng)這個(gè)條件滿(mǎn)足時(shí),,稅務(wù)資源節(jié)點(diǎn)才將該用戶(hù)的稅務(wù)信息展現(xiàn)給訪(fǎng)問(wèn)者。
在這個(gè)例子中可以看到,,很多情況下,,對(duì)每個(gè)資源節(jié)點(diǎn)的訪(fǎng)問(wèn)不一定只依賴(lài)于本地授權(quán)節(jié)點(diǎn)發(fā)布的授權(quán)信息。即一個(gè)資源存在著多個(gè)干系者(所有者),。例如上例中的稅務(wù)資源節(jié)點(diǎn),,實(shí)際上從屬于工商、銀行和稅務(wù)系統(tǒng)三個(gè)干系者,,每個(gè)干系者負(fù)責(zé)該資源的某一方面屬性的審核,。一方面,在稅務(wù)授權(quán)節(jié)點(diǎn)授予該用戶(hù)稅務(wù)授權(quán)信息時(shí)用戶(hù)的工商,、銀行等授權(quán)信息都是合法的,;另一方面,用戶(hù)的屬性是不斷變化的,,可能在請(qǐng)求訪(fǎng)問(wèn)稅務(wù)資源時(shí),,其他授權(quán)信息已經(jīng)發(fā)生了變化而變得不合法,但又沒(méi)有及時(shí)通知到稅務(wù)資源節(jié)點(diǎn),。所以在訪(fǎng)問(wèn)資源時(shí),必須檢查與該資源相關(guān)的多份授權(quán)信息(屬性證書(shū))來(lái)作出最終決定,。
本文提出的這種面向用戶(hù)的分布式授權(quán)模型,,能滿(mǎn)足多種授權(quán)需求,從而使系統(tǒng)的擴(kuò)充和管理變得非常方便,,十分有利于大型分布式應(yīng)用服務(wù)系統(tǒng)的資源管理,。在此模型基礎(chǔ)上發(fā)展起來(lái)的“一證通”系統(tǒng)也在某省的數(shù)字認(rèn)證中心中得到了良好的運(yùn)行,系統(tǒng)的運(yùn)行維護(hù)成本也得到了有效的控制,。
參考文獻(xiàn)
1 ISO/IEC9594-8:Information telenology-Open Systems Inter-connection-The Directory:Public-key and attribute certificate framework,,F(xiàn)ourth edition,2001
2 Tuomas Aura.Distributed access-rights management with del-egation certificates[C].2000
3 Joon S.Park.Binding Identities and Attributes Using Digitally Signed Certificates[C].2000
4 William Stallings,,楊明譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全(原理與實(shí)踐)[M].北京:電子工業(yè)出版社,,2001
5 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA[M].北京:電子工業(yè)出版社,2002