kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 一种分布环境下面向用户的授权模型

一种分布环境下面向用户的授权模型

2008-06-03
作者:金 仑

摘 要:提出了一种面向用户的分布式授权系统的通用模型。它以用户为中心管理对象,在统一的信任平台上支持多个分布的、基于不同授权模型的授权点,通过授权管理" title="授权管理">授权管理,各个节点既可以独立地支持各自的上层应用,也可以相互关联共同支持一个上层应用。最后给出了这种模型的具体应用模式。
关键词:身份证书 属性证书 授权


  网络应用规模的不断扩大带来了以下发展趋势:资源分散、用户分散、决策分权、决策者分散,用户信息、决策信息的复杂程度日益增加。这种趋势使得传统的对用户和资源的集中式管理逐渐朝着分布式管理的方向发展。因此需要为系统提供良好且一致的管理,同时满足不同的分布节点之间充分的协同和信息共享,完成对同一资源的协调管理,为整个系统提供统一的管理。
1 分布环境下授权机制新的需求
  与传统的集中式系统相比,分布式系统的授权和访问控制" title="访问控制">访问控制机制带来了更多实现和管理上的问题。资源(包括服务)、资源的所有者、资源的管理者分散在网络的各个节点上,某一资源可能存在多个干系人(或资源的所有者),分别独立地对用户进行资格审核与分布式授权。资源的管理者(或服务的提供者)需要完整维护、及时更新访问控制策略" title="控制策略">控制策略和规则,验证每一个访问请求所有必须的授权条件。可见,简单地将集中式授权和访控模型部署到分布式系统的各个节点无法满足复杂系统的需要。
  此外,同一网络区域内可能存在多个分布式应用" title="分布式应用">分布式应用系统,系统之间存在越来越多的协作和相互支持。这需要各个系统之间存在着统一的信任基础和用于相互认证、访问控制的数据交换平台。当前,基于PKI(公开密钥基础设施)技术的统一信任平台正在快速建设中,应该充分利用现有PKI资源为分布式应用提供信任管理,在此基础上选择各自的授权机制,建立相应的访问控制模型,实现基于PMI(特权管理基础设施)技术的授权管理。
  本文提出一种面向用户的分布式授权系统的通用模型。它以用户为中心管理对象,以用户管理为核心,在统一的信任平台上支持多个分布的、基于不同授权模型的授权点。通过授权管理,各个节点可以独立自主地支持各自的上层应用,也可以相互协作,共同支持一个上层应用。这一机制的设计思想是在基于身份证书的信任平台上进行基于属性证书的授权管理。


2 面向用户的分布式授权模型
  图1是笔者设计的面向用户的分布式授权模型体系结构示意图。模型包括四部分:基于PKI技术的信任管理平台、授权节点、受控应用节点和LDAP目录服务器。各部分说明如下:
  (1)基于PKI技术的信任管理平台。该平台是整个授权模型的信任基础,负责对用户身份的审核。同时它包含了负责生成身份证书(公钥证书)的权威机构CA(Certificate Authority)中心和负责生成属性证书的权威机构AA(Attribute Authority)中心。
  (2)授权管理节点。授权管理节点实现对特定特权的审核及授予。它分布在系统的每个应用服务子系统中,自主地维护着与子系统相关的授权策略和信息,并检查验证用户提供的有关证明。根据这些证明、相关信息及授权策略,向合法用户授予相应的权利以及该权利的有效期,并将这些授权信息交给AA中心,由它负责指派有关的AA签发相应的属性证书。
  (3)受控应用节点。也称为资源节点,同样分布在系统中,其上运行着实际应用服务子系统的决策模块,维护相应服务的访问控制策略和相关信息。当用户访问该节点的资源时,受控应用节点检查用户提供的身份信息(身份证书),查找相应的属性证书,验证模块负责验证这些证书的合法性。访问决策模块根据属性证书的授权信息以及本地的访问控制策略,决定该用户是否有权访问本地的应用服务并告知访问执行模块执行。
  (4)LDAP目录服务器。主要用于发布PMI用户的属性证书、身份证书以及证书的撤消列表CRL,以供查询使用。
  在本模型中,采用公开密钥加密技术的身份证书是提供身份、授权和属性信息的基础。本系统的运行应该相对稳定,即不应该由于个别用户身份证书的变更而引起相应的授权服务体系的附加管理操作。因此在这里采用将属性证书与用户的一个终身不变的身份标识码(例如身份证号码)相关联,在身份证书中也与该标识码相关联,并且信任服务系统" title="服务系统">服务系统提供的对应用户的最新身份证书,将属性证书自动与该身份证书关联。
3 分布式授权模型的应用模式
  在上述分布式授权模型思想的指导下,笔者为某省数字认证中心设计了面向用户的“一证通”应用机制。所谓“一证通”,是系统内的每个用户惟一拥有一份标识其身份的身份证书,而系统内分布的各种应用服务都将以此为基础,向用户提供服务。下面举例说明“一证通”机制的整体业务流程和功能。
  系统的结构如图2所示。当一个新用户想要加入到这个系统时,首先到受理点注册,提供自己的身份信息和注册(属性)信息。受理点接收用户信息后直接交到注册机构RA,由RA生成身份证书和属性证书的请求发给信任平台。信任平台中的CA中心根据用户提供的身份信息生成相应的身份证书,同时,把用户提供的注册信息交给分布在网络上各个应用服务系统的授权节点(行业RA),由各个授权节点根据各自本地的属性集合和授权策略生成授权信息交还给信任平台上对应的AA,于是每个AA生成相应的属性证书。生成的身份证书(一份)和属性证书(多份)被保存在LDAP目录服务器中以供查询使用。


  用户访问系统中某种应用的应用模式示意如图3所示。假设一个用户想要在系统中查看其税务信息。首先,登录到税务系统的资源节点,输入用户名和密码等必要登录信息后,该节点将根据得到的这些信息到LDAP目录服务器上去检索相应的身份证书。如果身份证书存在并且未过期,则可以根据身份证书和属性证书的对应关系查询该用户相应的所有属性证书并取回本地(如果存在)。假定要访问用户的税务信息必须提供合法的工商数据(如营业执照号)、银行数据(如银行账号)和税务数据(如税务号),如果取回的属性证书中含有这三份相应的证书(图3中的属性证书1~3),税务系统的资源节点则启动本地的访问决策模块。该模块根据该用户的访问请求,搜索本地访问控制策略库中的相应策略,并将属性证书中的相关授权信息取出,判断是否满足以下条件:
  (“营业执照”=“合法”)AND(“银行账号”=“合法”)AND(“税务号”=“合法”)
  只有当这个条件满足时,税务资源节点才将该用户的税务信息展现给访问者。
  在这个例子中可以看到,很多情况下,对每个资源节点的访问不一定只依赖于本地授权节点发布的授权信息。即一个资源存在着多个干系者(所有者)。例如上例中的税务资源节点,实际上从属于工商、银行和税务系统三个干系者,每个干系者负责该资源的某一方面属性的审核。一方面,在税务授权节点授予该用户税务授权信息时用户的工商、银行等授权信息都是合法的;另一方面,用户的属性是不断变化的,可能在请求访问税务资源时,其他授权信息已经发生了变化而变得不合法,但又没有及时通知到税务资源节点。所以在访问资源时,必须检查与该资源相关的多份授权信息(属性证书)来作出最终决定。
  本文提出的这种面向用户的分布式授权模型,能满足多种授权需求,从而使系统的扩充和管理变得非常方便,十分有利于大型分布式应用服务系统的资源管理。在此模型基础上发展起来的“一证通”系统也在某省的数字认证中心中得到了良好的运行,系统的运行维护成本也得到了有效的控制。
参考文献
1 ISO/IEC9594-8:Information telenology-Open Systems Inter-connection-The Directory:Public-key and attribute certificate framework,Fourth edition,2001
2 Tuomas Aura.Distributed access-rights management with del-egation certificates[C].2000
3 Joon S.Park.Binding Identities and Attributes Using Digitally Signed Certificates[C].2000
4 William Stallings,杨明译.密码编码学与网络安全(原理与实践)[M].北京:电子工业出版社,2001
5 关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map