特權(quán)管理基礎(chǔ)設(shè)施PMIPrivilegeManagementInfrustructure特權(quán)管理基礎(chǔ)設(shè)施PMIPrivilegeManagemen2屬性證書知道了“他是誰”以后，可以允許他做什么呢？為了實現(xiàn)對資源的訪問控制，認證和授權(quán)都是必不可少的環(huán)節(jié)2屬性證書知道了“他是誰”以后，可以允許他做什么呢？3屬性證書將“基于公鑰的身份認證技術(shù)”加以擴展，使其能夠?qū)崿F(xiàn)對授權(quán)的支持。屬性證書[AttributeCertificate（AC）]的出現(xiàn)，提供了一種解決授權(quán)、基于角色的控制以及授權(quán)代理等應(yīng)用需求的有效途徑由于AC支持了授權(quán)代理，使得它的授權(quán)模式也適用于分布式的環(huán)境3屬性證書將“基于公鑰的身份認證技術(shù)”加以擴展，使其能夠?qū)崿F(xiàn)4屬性證書與公鑰身份證書的區(qū)別PublicKeyCertificates(PKC)將證書持有者的名字與其公鑰緊緊地綁定在一起，用以認證持有者的身份。而AttributeCertificate（AC）將持有者的名字和一系列“屬性”綁定在一起，這些屬性用來表征證書持有者屬于哪個用戶組，屬于什么角色，他持有什么樣的安全許可，或者其他的某些授權(quán)信息4屬性證書與公鑰身份證書的區(qū)別PublicKeyC5屬性證書與公鑰身份證書的區(qū)別

PKC可以理解成護照，它用來證明持有者的身份，一般有效期很長，并且不是很容易就獲得；而AC更像是入境簽證，它由不同的管理方頒發(fā)，有效期一般不是很長。為了申請簽證，通常要出示護照，并且其過程相對簡單一些ISO/IEC9594-8(ITU-TX.509)提出了在AC的基礎(chǔ)上構(gòu)建的PrivilegeManagementInfrastructure(PMI）5屬性證書與公鑰身份證書的區(qū)別PKC可以理解成護照，它用來6PKI＆PMI實體對比6PKI＆PMI實體對比7ConceptPKIEntity PMIEntityCertificatePublicKeyCertificateAttributeertificateCertificateissuerCertificationAuthorityAttributeAuthorityCertificateuserSubject HolderCertificatebindingSubject’snametopublickeyHolder’snametoprivilegeattribute(s)RevocationCertificaterevocationlist(CRL)Attributecertificaterevocationlist(ACRL)RootoftrustRootcertificationauthorityortrustanchorSourceofauthority(SOA)SubordinateauthoritySubordinatecertificationauthorityAttributeauthority7ConceptPK8屬性的兩種表達模式一個表達授權(quán)意義的屬性

可以包含在PKC的擴展段中，也可以單獨的放在一個AC中。如果一個證書既要代表身份認證，又要處理屬性認證，可以采用前者8屬性的兩種表達模式一個表達授權(quán)意義的屬性可以包含在P9屬性的兩種表達模式ISO的[ISO98]，以及IETF的[RFC3281]中都指明將屬性包含在PKC擴展段中是一種可選的模式。這有如下好處：可以與現(xiàn)行認證系統(tǒng)互操作簡化了認證路徑處理，因為單個信任路徑既表達了認證又代表了授權(quán)在發(fā)布授權(quán)的時候，涉及的實體和事務(wù)相對較少9屬性的兩種表達模式ISO的[ISO98]，以及IETF的[10兩種證書比較10兩種證書比較11授權(quán)屬性分離的原因?qū)⑹跈?quán)和認證各自分離開來，CA負責認證，而AA負責授權(quán)屬性證書AC可隨時更新，來反映隨時變化的授權(quán)狀態(tài)，而不必被綁定到PKC較長的有效期上屬性證書的有效期往往非常短，甚至可以不使用吊銷列表11授權(quán)屬性分離的原因?qū)⑹跈?quán)和認證各自分離開來，CA負責認證12屬性可以表達的含義——組和角色

角色提供了一種間接分配特權(quán)的方法。AA可以給用戶頒發(fā)一個證書，將一個或多個角色分配給他，而在另外的地方（如，使用一個專門定義角色的AC），來定義角色的特權(quán)這樣，特權(quán)的分配和用戶的管理就分離開來，管理員可以為整個組或角色分配特權(quán)，而不是單個地為用戶分配特權(quán)12屬性可以表達的含義——組和角色角色提供了一種間接分配13屬性可以表達的含義——組和角色這種分離有很多優(yōu)點：便于管理和理解。管理員定義好角色對資源的訪問特權(quán)后，就可以專注于對用戶的管理。當角色的特權(quán)發(fā)生改變后，只需更新角色的定義，而不必對用戶證書更新角色的分配可以使用代理模式。角色的定義和角色的分配可以在不同的AA上實現(xiàn)。這非常適合于分布式應(yīng)用特權(quán)分配可以被繼承。角色和角色的成員可以定義不同的有效期13屬性可以表達的含義——組和角色這種分離有很多優(yōu)點：14屬性可以表達的含義－約束和語義約束表現(xiàn)了屬性之間的限制關(guān)系，最常見的約束是某些屬性間的互斥約束，這表示同一個范圍內(nèi)不能同時包含兩個或兩個以上這類屬性例如，一個角色不能既是考生，又是監(jiān)考官目前對屬性的約束，支持還相當有限。ITU-TX.509（2000）里有少量的方法支持約束，例如時間約束可以用在AC的有效期里14屬性可以表達的含義－約束和語義約束表現(xiàn)了屬性之間的限制15屬性可以表達的含義－機密屬性AC持有者可能并不希望向所有的驗證者都暴露自己獲得的授權(quán)屬性，這時可以讓AA對含有敏感信息的屬性單獨頒發(fā)AC這樣，針對特定的資源，使用特定的AC，避免了向其它對象暴露機密屬性更安全的方式是對證書中的敏感屬性進行加密，那么，只有那些能夠識別這種加密屬性的驗證者，才能獲知屬性的內(nèi)容15屬性可以表達的含義－機密屬性AC持有者可能并不希望向所有16ISO/IEC9594-8(ITUX.509)以及PDAM屬性證書最早是在1997年版的ISO/IEC9594-8[ISO97]中提出。然而在很久以后的版本中才有AC的定義條款，并且僅限于定義基本屬性類型以及適用規(guī)則在1998年的PDAM(ProposedDraftAmendment)v1中，包含了針對屬性證書全面的討論，并提出了PrivilegeManagementInfrastructure(PMI)模型16ISO/IEC9594-8(ITUX.509)以17ISO/IEC9594-8(ITUX.509)以及PDAM1999年公布FPDAM(FinalProposedDraftAmendment)，其中定義了PMI的重要組成，但還不完整2000年，頒布國際標準ISO/IEC9594-8，也即ITUX.509（2000），這便是廣為熟知的ITURecommendationX.509，也被人們稱作X.509V4。其中完整地定義了屬性證書和PMI模型17ISO/IEC9594-8(ITUX.509)以18PMI模型構(gòu)建在屬性證書之上，主要包含四個部分：普通模型(GeneralModel)控制模型(ControlModel)代理模型(DelegationModel)角色模型(RolesModel)18PMI模型構(gòu)建在屬性證書之上，主要包含19PMI的幾種模型19PMI的幾種模型20(1)通用模型

PMI主要圍繞特權(quán)的分配使用和驗證來進行

屬性證書框架采用四個模型來描述敏感資源上的權(quán)限是如何分配、流轉(zhuǎn)、管理和驗證

通過了解這幾個模型，可以明確PMI中的主要相關(guān)實體，主要操作進程，以及交互的內(nèi)容20(1)通用模型

PMI主要圍繞特權(quán)21(1)通用模型

通用模型也稱為基本模型，如下圖所示。模型中包含三個實體：授權(quán)機構(gòu)（SOA或AA）、特權(quán)持有者（PrivilegeHolder）和特權(quán)驗證者（PrivilegeVerifier）

授權(quán)機構(gòu)向特權(quán)持有者授權(quán)，特權(quán)持有者向資源提出訪問請求并聲稱具有權(quán)限，由特權(quán)驗證者進行驗證

特權(quán)驗證者總是信任授權(quán)機構(gòu)，從而建立信任關(guān)系21(1)通用模型

通用模型也稱為基本22(1)通用模型22(1)通用模型23(1)通用模型

PMI基本模型描述了在授權(quán)服務(wù)體系中主要三方之間的邏輯關(guān)系，以及兩個主要過程：特權(quán)分配和驗證

這是PMI框架的核心。PMI基本模型的體系結(jié)構(gòu)類似于單級CA的體系結(jié)構(gòu)，SOA的作用就可以看作是CA。對特權(quán)的分配是由SOA直接進行的，SOA（AA）通過為特權(quán)持有者頒發(fā)屬性證書來進行授權(quán)23(1)通用模型

PMI基本模型描述了在授權(quán)服務(wù)體系24(1)通用模型

由于SOA同時要完成很多宏觀控制功能，如制訂訪問策略，維護撤消列表，進行日志和審計工作等，特別是當用戶數(shù)目增大時，就會在SOA處形成性能瓶頸。SOA也會顯得龐大而臃腫24(1)通用模型

由于SOA同時要完成很多宏觀控制功25(1)通用模型

如果實際應(yīng)用中用戶數(shù)量非常龐大，就需要對基本模型進行改進，以實現(xiàn)真正可行的PMI體系

一個明確的思路就是對授權(quán)管理功能進行分流，減少SOA的直接特權(quán)管理任務(wù)，使得SOA可以進行自身的宏觀管理功能25(1)通用模型

如果實際應(yīng)用中用戶數(shù)量非常龐大，就26(2)控制模型

控制模型闡述了如何控制對敏感對象方法的訪問。模型中有五個對象：特權(quán)聲稱者、特權(quán)驗證者、對象方法(敏感)、特權(quán)策略和環(huán)境變量

特權(quán)聲明者具有特權(quán)

對象方法具有敏感性26(2)控制模型

控制模型闡述了如何控制對敏感對象方27(2)控制模型

這里描述的技術(shù)使特權(quán)驗證者在一致特權(quán)策略下控制特權(quán)聲明者對對象方法的訪問。特權(quán)和敏感性都是多值參數(shù)。特權(quán)聲明者可能是一個被公鑰證書所鑒別的實體，或一個被磁盤鏡象摘要所鑒別的可執(zhí)行對象等27(2)控制模型

這里描述的技術(shù)使特權(quán)驗證者在一致特28(2)控制模型

圖8-4PMI控制模型PMI控制模型28(2)控制模型

圖8-4PMI控制模型PMI控制模型29(3)委托模型

特權(quán)委托提出了授權(quán)機構(gòu)的層次級聯(lián)。特權(quán)經(jīng)由若干AA從上至下流轉(zhuǎn)，最后到達特權(quán)持有者。這樣，SOA和高層AA就只負責制訂訪問策略，維護有限的證書分配和管理功能，從而實現(xiàn)了系統(tǒng)規(guī)模的擴張和整體性能的優(yōu)化。特權(quán)分配類似于一個樹形結(jié)構(gòu)，如下圖所示29(3)委托模型

特權(quán)委托提出了授權(quán)機構(gòu)的層次級聯(lián)。特30(3)委托模型

委托樹模型30(3)委托模型

委托樹模型31(3)委托模型

委托方式下的管理和驗證模型給出了委托方式下進行權(quán)限管理和驗證的模式。委托模型中有四種角色：SOA、AA、特權(quán)驗證者和特權(quán)聲稱者。SOA將特權(quán)委托給AA，通過發(fā)布屬性證書來確定AA所擁有的權(quán)限或權(quán)限子集，同時賦予AA進行特權(quán)委托的權(quán)力。SOA可以通過限制委托路徑深度、限制名字空間等方法來控制后繼委托。AA所委托的特權(quán)不能超過他本身所擁有的特權(quán)31(3)委托模型

委托方式下的管理和驗證模型給出了委32(3)委托模型

委托方式下的管理和驗證32(3)委托模型

委托方式下的管理和驗證33(3)委托模型

特權(quán)驗證者信任SOA對資源的訪問控制特權(quán)。當一個特權(quán)持有者提出請求時，若其持有證書并非由SOA頒發(fā)，特權(quán)驗證者將定位通往SOA的委托路徑進行驗證。并對該路徑上每一AA節(jié)點進行判斷是否具有該權(quán)限33(3)委托模型

特權(quán)驗證者信任SOA對資源的訪問控34(3)委托模型

特權(quán)委托路徑與公鑰證書的有效路徑是不同的。委托路徑將既包括屬性證書又包括公鑰證書，如果是通過公鑰證書獲得特權(quán)則只能通過發(fā)布公鑰證書來委托特權(quán)。如果是通過屬性證書獲得特權(quán)則只能通過發(fā)布屬性證書來委托特權(quán)。只有AA才能委托，最終用戶不具備委托權(quán)限34(3)委托模型

特權(quán)委托路徑與公鑰證書的有效路徑是35(3)委托模型

在委托模型中，特權(quán)的委托路徑是一個關(guān)鍵問題。不光在分配過程需要由策略對此進行約束，在驗證過程也要對委托路徑進行有效性判斷35(3)委托模型 在委托模型中，特權(quán)的委托路徑是一個關(guān)36(4)角色模型 PMI角色模型如下圖所示，角色模型提供一種間接分配特權(quán)給個體的方式。在角色模型中，SOA不再將特權(quán)直接分配給特權(quán)持有者，而是建立若干角色并將權(quán)限授予角色。該模型使用兩個證書完成角色的定義和分配。特權(quán)持有者申請?zhí)貦?quán)時，SOA通過角色分配證書(RoleAssignmentCertificates)，為個體賦予角色身份，從而使個體獲得角色所具有的特權(quán)集合36(4)角色模型 PMI角色模型如下圖所示，角色模型提37(4)角色模型PMI角色模型37(4)角色模型PMI角色模型38(4)角色模型 SOA頒發(fā)角色分配證書給個體，通過證書中的角色屬性使他們能夠扮演一個或多個角色。而角色的特權(quán)是通過角色說明證書（RoleSpecificationCertificates）來賦予的。角色分配證書可以是公鑰證書，也可以是屬性證書，但角色說明證書只能是屬性證書38(4)角色模型 SOA頒發(fā)角色分配證書給個體，通過證39(4)角色模型

在角色模型中，SOA持有角色說明證書，特權(quán)持有者只持有角色分配證書，類似于一個指向特權(quán)的指針。在進行訪問請求時，特權(quán)驗證者根據(jù)特權(quán)持有者提交的角色分配證書，在本地的角色說明書庫中查找對應(yīng)者；如果沒有，則根據(jù)分配證書中的信息到SOA處查找39(4)角色模型 在角色模型中，SOA持有角色說明40(4)角色模型

基于角色授權(quán)的PMI模型通過引入角色這個中間層次能有效地簡化授權(quán)管理，進一步降低系統(tǒng)復(fù)雜度和管理成本，提高了系統(tǒng)的可理解性和易修改性，提供授權(quán)管理的靈活性和可靠性。將用戶按角色進行分類授權(quán)后，系統(tǒng)管理者只需要對角色的特權(quán)進行修改，就可以控制具有該身份的所有用戶的特權(quán)，另一方面，基于角色的管理貼近實際應(yīng)用，更加人性化，易于理解40(4)角色模型 基于角色授權(quán)的PMI模型通過引入角色41(4)角色模型

一個角色的特權(quán)的更新并不影響終端實體，實現(xiàn)了對授權(quán)管理較大的靈活性。但是這種方式需要頒發(fā)和處理兩種不同的證書，這給證書管理增加了很大的負擔，和委托授權(quán)的方式一樣，由于驗證的時候需要角色說明證書，所以也帶來了特權(quán)驗證者的復(fù)雜性。采用這種方式時，可以考慮和RBAC機制進行結(jié)合，從而減少授權(quán)管理的復(fù)雜性，降低管理開銷41(4)角色模型 一個角色的特權(quán)的更新并不影響終端實體42InternetEngineeringTaskForce(IETF)IETF屬性證書的相關(guān)提議主要是PKIX(X.509PublicKeyInfrastructure)工作組提出在1998年到2001年間，屬性證書以Internet草案的形式被討論(InternetAttributeCertificateProfileforAuthorization)，該草案在2001年7月被IESG(InternetEngineeringSteeringGroup)認可為提議標準(ProposedStandard)，文檔為RFC328142InternetEngineeringTaskFo43InternetEngineeringTaskForce(IETF)另外，一個名為《AttributeCertificatePolicyextension》草案也在討論中，2003年4月已頒布第3版本，主要涉及AC的策略定義43InternetEngineeringTaskFo44使用屬性證書實現(xiàn)基于角色的訪問控制屬性證書通過一種非常簡單的方式支持角色的訪問控制(RBAC)，通常的過程是：預(yù)先頒發(fā)一些定義角色的X.509屬性證書，它定義角色的特權(quán)；然后再為最終用戶頒發(fā)一個屬性證書，該屬性證書里為用戶指定一個或多個角色44使用屬性證書實現(xiàn)基于角色的訪問控制屬性證書通過一種非常簡45使用屬性證書實現(xiàn)基于角色的訪問控制當用戶訪問資源的時候，他可以選擇將自己的AC“推”（push）向服務(wù)器一方，這樣服務(wù)器便可以直接讀取用戶的授權(quán)信息，來決定下一步的操作。這種方式減輕了服務(wù)器的負擔，提高了執(zhí)行效率。并且，此時服務(wù)器只被告知了它應(yīng)該知道的信息，用戶不必暴露自己持有的其它特權(quán)。這種方式適合于用戶的AC不是由目標服務(wù)器頒發(fā)的情況45使用屬性證書實現(xiàn)基于角色的訪問控制當用戶訪問資源的時候，46使用屬性證書實現(xiàn)基于角色的訪問控制另外一種方式是，用戶訪問資源的時候只簡單的向服務(wù)器證明身份，并不主動出示其AC。服務(wù)器自行決定是否需要判斷該用戶的授權(quán)，如果需要，則主動向為該用戶頒發(fā)AC的授權(quán)機構(gòu)“拉”（pull）回其AC。這種方式的好處是，在實現(xiàn)的時候可以不用考慮客戶端和客戶服務(wù)協(xié)議的不同。該方式適合于用戶的AC由請求的服務(wù)器本身的域頒發(fā)的情況46使用屬性證書實現(xiàn)基于角色的訪問控制另外一種方式是，用戶訪474748PMI的產(chǎn)品和應(yīng)用(1)PERMISPMIPERMISPMI是英國TrueTrust公司推出的PMI產(chǎn)品。該產(chǎn)品的前身是Dr.Chadwick負責的一個歐共體項目，即從2000年12月到2002年6月完成的PERMIS(PrivilEgeandRoleManagementInfrastructureStandardsValidation)。PERMIS是基于X.509標準的PMI實現(xiàn)。并且在三個不同城市Salford，Bologna和Barcelona的不同應(yīng)用中實施。該項目據(jù)此提出了一項RFC(RequestforComment)來標準化電子商務(wù)應(yīng)用中的特權(quán)需要以及描述PERMIS的API48PMI的產(chǎn)品和應(yīng)用(1)PERMISPMI49PMI的產(chǎn)品和應(yīng)用(2)AkentiAkenti是一個由美國LawrenceBerkeleyNational實驗室開發(fā)的授權(quán)管理基礎(chǔ)設(shè)施。它也是依據(jù)RFC2704所提出的五個組件的可信管理基礎(chǔ)設(shè)施49PMI的產(chǎn)品和應(yīng)用(2)Akenti50PMI的產(chǎn)品和應(yīng)用(3)SelectAccessBaltimore公司的SelectAccess是個提供特權(quán)管理基礎(chǔ)設(shè)施PMI服務(wù)的世界領(lǐng)先的授權(quán)管理解決方案，它允許管理并執(zhí)行用戶的特權(quán)，對電子商務(wù)和企業(yè)資源交易進行授權(quán)。在一個企業(yè)外聯(lián)網(wǎng)環(huán)境中，SelectAccess對基于Web的資源提供基于角色的授權(quán)，使企業(yè)為客戶、供應(yīng)商和伙伴提供安全的豐富的用戶體驗50PMI的產(chǎn)品和應(yīng)用(3)SelectAccess51PMI的產(chǎn)品和應(yīng)用 SelectAccess用二維表表示所有用戶和資源。SelectAccess支持多種鑒別方法來維持一個安全可信的環(huán)境。支持口令、數(shù)字證書（軟件形式的和智能卡形式的）和安全ID令牌（SecureIDtokens）；管理基于角色和組；動態(tài)角色特征確保用戶特權(quán)改變與商務(wù)過程的變化同步；可支持多級委托；鑒別措施可通過API支持51PMI的產(chǎn)品和應(yīng)用 SelectAccess用二維表表52PMI的產(chǎn)品和應(yīng)用 SelectAccess貫徹了XML技術(shù)，XML為數(shù)據(jù)的傳輸和整合到現(xiàn)存及未來的應(yīng)用提供了充分的靈活性，不管是基于WEB還是非WEB的。支持WindowsNT/2000,Linux,Solaris，HP-UX等操作系統(tǒng)。訪問控制通過插件強迫執(zhí)行，可以用于MicrosoftIIS，iPlanet，Apache，BEAWebLogic，IBMWebSphere，SilverStream，Oracle9i以及Plumtree等52PMI的產(chǎn)品和應(yīng)用 SelectAccess貫徹了XM53PMI的產(chǎn)品和應(yīng)用(4)IBMTivolisecureWayAuthorizationTheOpenGroupaznAPI由DASCOM(現(xiàn)已被IBM收購)提出。其目的是將授權(quán)與信任分開、授權(quán)與具體實現(xiàn)機制（如ACL，Entitlements、Rules、Classification，等等）分開53PMI的產(chǎn)品和應(yīng)用(4)IBMTivolisecu54PMI的產(chǎn)品和應(yīng)用

基于規(guī)則的訪問控制為訪控策略定義特定的屬性，能簡單創(chuàng)建規(guī)則。簡單規(guī)則的例子包括強制一個特定的認證方法，一個物理位置或者一個特定的時間段。基于規(guī)則的訪問控制策略建立在XACML標準基礎(chǔ)之上，XACML標準提供對策略和規(guī)則與建立在相同標準上的其他應(yīng)用的更好集成

XACML是一種用于決定請求/響應(yīng)的通用訪問控制策略語言和執(zhí)行授權(quán)策略的框架54PMI的產(chǎn)品和應(yīng)用 基于規(guī)則的訪問控制為訪控策略定義特55PMI的產(chǎn)品和應(yīng)用55PMI的產(chǎn)品和應(yīng)用56PMI的產(chǎn)品和應(yīng)用(5)北京耐丁網(wǎng)絡(luò)技術(shù)有限公司用戶授權(quán)和訪問控制系統(tǒng)耐丁公司的用戶授權(quán)和訪問控制體系的建設(shè)就是設(shè)計統(tǒng)一的授權(quán)策略，建立統(tǒng)一的用戶管理中心，提供統(tǒng)一的應(yīng)用系統(tǒng)訪問控制基礎(chǔ)平臺和實現(xiàn)機制，解決企業(yè)網(wǎng)現(xiàn)有的多種不同類型的用戶對多個不同業(yè)務(wù)應(yīng)用系統(tǒng)的授權(quán)和訪問控制問題，防止用戶越權(quán)訪問或修改數(shù)據(jù)，確保對信息的訪問限制在授權(quán)范圍內(nèi)56PMI的產(chǎn)品和應(yīng)用(5)北京耐丁網(wǎng)絡(luò)技術(shù)有限公司用戶授57PMI的產(chǎn)品和應(yīng)用(6)吉大正元權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺PMI權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺是由吉大正元開發(fā)的通用權(quán)限管理平臺。主要應(yīng)用在權(quán)限管理，訪問控制領(lǐng)域。為進行資源管理的二次開發(fā)人員提供了一個方便，安全，高效的決策平臺。PMI權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺主要用于web資源的訪問控制，磁盤資源的訪問控制，數(shù)據(jù)庫資源的訪問控制，網(wǎng)絡(luò)資源的訪問控制和硬件資源的訪問控制57PMI的產(chǎn)品和應(yīng)用(6)吉大正元權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)58PMI的產(chǎn)品和應(yīng)用(7)維豪集團安全平臺維豪集團將基于公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI的智能化信任與授權(quán)技術(shù)與J2EE技術(shù)結(jié)合，搭建了應(yīng)用于不同領(lǐng)域的各種安全平臺58PMI的產(chǎn)品和應(yīng)用(7)維豪集團安全平臺59上面提到的PMI產(chǎn)品和應(yīng)用，設(shè)計時存在著類似的需要注意的方面和問題59上面提到的PMI產(chǎn)品和應(yīng)用，設(shè)計時存在著類似的需要注意的60在過去的幾年中，權(quán)限管理作為安全的一個領(lǐng)域得到快速發(fā)展，也提出了幾種權(quán)限管理方案，如Kerberos，基于策略服務(wù)器方案，但目前應(yīng)用和研究的熱點集中于基于PKI的PMI研究60在過去的幾年中，權(quán)限管理作為安全的一個領(lǐng)域得到快速發(fā)展，61一個屬性權(quán)威AA的基本組成

61一個屬性權(quán)威AA的基本組成62PMI模型

絕大多數(shù)的訪問控制應(yīng)用都能抽象成一般的權(quán)限管理模型，包括3個實體：對象，權(quán)限聲稱者（privilegeasserter）和權(quán)限驗證者(privilegeverifier)。對象可以是被保護的資源，例如在一個訪問控制應(yīng)用中，受保護資源就是對象62PMI模型

絕大多數(shù)的訪問控制應(yīng)用都能抽象成一般的權(quán)限管63權(quán)限驗證者根據(jù)4個條件決定訪問通過/失?。骸獧?quán)限聲明者的權(quán)限——適當?shù)臋?quán)限策略——當前環(huán)境變量(如果有的話)——對象方法的敏感度(如果有的話)63權(quán)限驗證者根據(jù)4個條件決定訪問通過/失?。?4其中，權(quán)限策略說明了對于給定敏感度的對象方法或權(quán)限的用法和內(nèi)容，用戶持有的權(quán)限需要滿足的條件和達到的要求。權(quán)限策略準確定義了什么時候權(quán)限驗證者應(yīng)該能確定以便許可權(quán)限聲明者訪問要求的對象、資源，應(yīng)用等為了保證系統(tǒng)的安全性，權(quán)限策略需要完整性和可靠性保護，防止他人通過修改權(quán)限策略而攻擊系統(tǒng)64其中，權(quán)限策略說明了對于給定敏感度的對象方法或權(quán)限的用法65下面對應(yīng)的控制模型說明驗證者如何控制權(quán)限聲明者對保護對象的訪問，并表達了最基本的影響因素：65下面對應(yīng)的控制模型說明驗證者如何控制權(quán)限聲明者對保護對象66訪問控制抽象模型無論哪一種訪問控制授權(quán)方案都可以表示成如下的基本元素和抽象。66訪問控制抽象模型無論哪一種訪問控制授權(quán)方案都可以表示成67同樣，影響決策單元進行決策的因素也可以抽象如下圖所示：權(quán)限驗證者用戶的身份，權(quán)限信息（屬性證書信息）等資源的等級，敏感度等信息影響決策的應(yīng)用端環(huán)境，如會話的有效期等決策單元內(nèi)部的控制因素包括訪問動作等信息不同的應(yīng)用系統(tǒng)訪問控制策略是完全不同的－訪問控制框架中隨應(yīng)用變化的部分67同樣，影響決策單元進行決策的因素也可以抽象如下圖所示：68PMI應(yīng)用結(jié)構(gòu)PKIPMI和應(yīng)用的邏輯結(jié)構(gòu)如下，PMI屬性權(quán)威AALDAP注冊申請ARAPKI策略決策PDP策略實施PEP目標訪問者應(yīng)用系統(tǒng)策略屬性證書簽發(fā)系統(tǒng)應(yīng)用策略支撐框架為AA簽發(fā)身份證書為用戶簽發(fā)身份證書策略實施點PEP(PolicyEnforcementPoint)和策略決定點PDP(PolicyDecisionPoint)。PEP用于表達請求和執(zhí)行訪問控制決定。PDP從PEP處接受請求，評估適用于該請求的策略，并將授權(quán)決定返回給PEP68PMI應(yīng)用結(jié)構(gòu)PKIPMI和應(yīng)用的邏輯結(jié)構(gòu)如下，PM69各部分說明：訪問者、目標訪問者是一個實體（該實體可能是人，也可能是其他計算機實體），它試圖訪問系統(tǒng)內(nèi)的其他實體（目標）69各部分說明：70策略授權(quán)策略展示了一個機構(gòu)在信息安全和授權(quán)方面的頂層控制，授權(quán)遵循的原則和具體的授權(quán)信息。在一個機構(gòu)的PMI應(yīng)用中，策略應(yīng)當包括一個機構(gòu)將如何將它的人員和數(shù)據(jù)進行分類組織，這種組織方式必須考慮到具體應(yīng)用的實際運行環(huán)境，如數(shù)據(jù)的敏感性，人員權(quán)限的明確劃分，以及必須和相應(yīng)人員層次相匹配的管理層次等因素所以，策略的制定是需要根據(jù)具體的應(yīng)用量身定做的70策略71具體說，策略包含著應(yīng)用系統(tǒng)中的所有用戶和資源信息以及用戶和信息的組織管理方式；用戶和資源之間的權(quán)限關(guān)系；保證安全的管理授權(quán)約束；保證系統(tǒng)安全的其他約束。在PMI中主要使用基于基于角色的訪問控制（RBAC，Role-BasedAccessControl）7172AC屬性證書（AC）是PMI的基本概念，它是權(quán)威簽名的數(shù)據(jù)結(jié)構(gòu)，將權(quán)限和實體信息綁定在一起。屬性證書中包含了用戶在某個具體的應(yīng)用系統(tǒng)中的角色信息，而該角色具有什么樣的權(quán)限是在策略中指定的。AA屬性證書的簽發(fā)者被稱為屬性權(quán)威AA，屬性權(quán)威AA的根稱為SOA72AC73ARA屬性證書的注冊申請機構(gòu)稱為屬性注冊權(quán)威ARALDAP用來存儲簽發(fā)的屬性證書和屬性證書撤消列表73ARA74策略實施策略實施點（PEPs,PolicyEnforcementPoints）也叫PMI激活的應(yīng)用，對每一個具體的應(yīng)用可能是不同的，是指已經(jīng)通過接口插件或者代理所修改過的應(yīng)用或服務(wù)，這種應(yīng)用或服務(wù)被用來實施一個應(yīng)用內(nèi)部的策略決策，介于訪問者和目標之間，當訪問者申請訪問時，策略實施點向授權(quán)策略服務(wù)器申請授權(quán)，并根據(jù)授權(quán)決策的結(jié)果實施決策，即對目標執(zhí)行訪問或者拒絕訪問74策略實施75在具體的應(yīng)用中，策略實施點-可能是應(yīng)用程序內(nèi)部中進行訪問控制的一段代碼

-也可能是安全的應(yīng)用服務(wù)器（如在Web服務(wù)器上增加一個訪問控制插件）

-或者是進行訪問控制的安全應(yīng)用網(wǎng)關(guān)75在具體的應(yīng)用中，策略實施點76策略決策策略決策點（PDP，PolicyDecisionPoint）也叫授權(quán)策略服務(wù)器，它接收和評價授權(quán)請求，根據(jù)具體策略做出不同的決策。它一般并不隨具體的應(yīng)用變化，是一個通用的處理判斷邏輯。當接收到一個授權(quán)請求時，根據(jù)授權(quán)地策略，訪問者的安全屬性以及當前條件進行決策，并將決策結(jié)果返回給應(yīng)用。對于不同應(yīng)用的支持是通過解析不同的定制策略來完成的在實施的過程中，只需要定制策略實施部分，并定義相關(guān)策略76策略決策策略決策點（PDP，PolicyDecisio77應(yīng)用方式在安全應(yīng)用系統(tǒng)中實現(xiàn)訪問控制，一般使用3種方式：

基于應(yīng)用的方式（ApplicationBased）

在應(yīng)用程序中使用進行訪問控制的代碼，在應(yīng)用程序內(nèi)部對訪問請求進行直接的控制和處理

服務(wù)器插件方式（Plug-InBased）77應(yīng)用方式在安全應(yīng)用系統(tǒng)中實現(xiàn)訪問控制，一般使用3種方式78應(yīng)用方式

針對應(yīng)用服務(wù)器（如Web）建立服務(wù)器的安全插件，在服務(wù)器上對請求進行處理，可以與具體的應(yīng)用服務(wù)器緊密集成，插件可以在相同的應(yīng)用服務(wù)平臺上重復(fù)使用。代理方式（ProxyBased）

在用戶和應(yīng)用服務(wù)器之間建立訪問控制代理服務(wù)器，對訪問請求進行處理后，允許的訪問被轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器。78應(yīng)用方式 針對應(yīng)用服務(wù)器（如Web）建立服務(wù)器的安全79訪問控制代碼，服務(wù)器插件和代理服務(wù)器都稱為策略實施點79訪問控制代碼，服務(wù)器插件和代理服務(wù)器都稱為策略實施點80PMI系統(tǒng)分成兩大模塊：管理模塊，引擎模塊

管理模塊主要包括下面功能：用戶管理：

維護系統(tǒng)所管理的用戶的相關(guān)信息資源管理：

維護系統(tǒng)所管理的資源的相關(guān)信息80PMI系統(tǒng)分成兩大模塊：管理模塊，引擎模塊81策略管理：

制訂和維護決策過程所用到的策略管理員管理：

維護系統(tǒng)管理員的相關(guān)信息角色分配管理：

負責為用戶分配權(quán)限，和維護權(quán)限信息81策略管理：82

引擎模塊主要包括下面功能：策略實施：

截獲用戶的請求，生成決策請求，發(fā)給策略決策點，等待決策結(jié)果策略決策：

接受策略實施點發(fā)來的決策請求，根據(jù)制定的策略進行決策，并把決策結(jié)果返回給策略實施點82 引擎模塊主要包括下面功能：83軟件系統(tǒng)結(jié)構(gòu)

83軟件系統(tǒng)結(jié)構(gòu)

84系統(tǒng)工作過程使用用戶管理工具注冊應(yīng)用系統(tǒng)用戶信息；使用資源管理工具注冊資源信息使用策略定制工具制定應(yīng)用系統(tǒng)的權(quán)限管理和訪問控制策略使用權(quán)限分配工具簽發(fā)策略證書，角色定義證書84系統(tǒng)工作過程使用用戶管理工具注冊應(yīng)用系統(tǒng)用戶信息；85系統(tǒng)工作過程屬性權(quán)威針對用戶簽發(fā)屬性證書啟動策略實施點，使用指定的策略和相關(guān)信息初始化策略決策服務(wù)器用戶登陸時，策略實施點驗證用戶身份，并根據(jù)下一個步驟獲取權(quán)限信息85系統(tǒng)工作過程屬性權(quán)威針對用戶簽發(fā)屬性證書86如果是推模式，直接從用戶提供的屬性證書中獲得權(quán)限信息，如果是拉模式，根據(jù)用戶身份信息從屬性證書庫中檢索，并返回用戶的權(quán)限信息對每個訪問請求，策略實施點根據(jù)權(quán)限、訪問動作和目標信息生成決策請求策略實施點向策略決策點PDP發(fā)出決策請求系統(tǒng)工作過程86如果是推模式，直接從用戶提供的屬性證書中獲得權(quán)限信息，如87策略決策點PDP根據(jù)策略對請求進行判斷，返回決策結(jié)果策略實施點根據(jù)結(jié)果決定是否放行或拒絕用戶請求如果要停止運行，就關(guān)閉策略實施點，由策略實施點通知策略決策服務(wù)器停止服務(wù)系統(tǒng)工作過程87策略決策點PDP根據(jù)策略對請求進行判斷，返回決策結(jié)果系統(tǒng)88決策服務(wù)器高性能服務(wù)器；LDAP服務(wù)器高性能服務(wù)器管理終端PC機策略實施點高性能服務(wù)器管理終端PC機管理終端PC機88決策服務(wù)器LDAP服務(wù)器管理終端策略實施點管理終端管理終特權(quán)管理基礎(chǔ)設(shè)施PMIPrivilegeManagementInfrustructure特權(quán)管理基礎(chǔ)設(shè)施PMIPrivilegeManagemen90屬性證書知道了“他是誰”以后，可以允許他做什么呢？為了實現(xiàn)對資源的訪問控制，認證和授權(quán)都是必不可少的環(huán)節(jié)2屬性證書知道了“他是誰”以后，可以允許他做什么呢？91屬性證書將“基于公鑰的身份認證技術(shù)”加以擴展，使其能夠?qū)崿F(xiàn)對授權(quán)的支持。屬性證書[AttributeCertificate（AC）]的出現(xiàn)，提供了一種解決授權(quán)、基于角色的控制以及授權(quán)代理等應(yīng)用需求的有效途徑由于AC支持了授權(quán)代理，使得它的授權(quán)模式也適用于分布式的環(huán)境3屬性證書將“基于公鑰的身份認證技術(shù)”加以擴展，使其能夠?qū)崿F(xiàn)92屬性證書與公鑰身份證書的區(qū)別PublicKeyCertificates(PKC)將證書持有者的名字與其公鑰緊緊地綁定在一起，用以認證持有者的身份。而AttributeCertificate（AC）將持有者的名字和一系列“屬性”綁定在一起，這些屬性用來表征證書持有者屬于哪個用戶組，屬于什么角色，他持有什么樣的安全許可，或者其他的某些授權(quán)信息4屬性證書與公鑰身份證書的區(qū)別PublicKeyC93屬性證書與公鑰身份證書的區(qū)別

PKC可以理解成護照，它用來證明持有者的身份，一般有效期很長，并且不是很容易就獲得；而AC更像是入境簽證，它由不同的管理方頒發(fā)，有效期一般不是很長。為了申請簽證，通常要出示護照，并且其過程相對簡單一些ISO/IEC9594-8(ITU-TX.509)提出了在AC的基礎(chǔ)上構(gòu)建的PrivilegeManagementInfrastructure(PMI）5屬性證書與公鑰身份證書的區(qū)別PKC可以理解成護照，它用來94PKI＆PMI實體對比6PKI＆PMI實體對比95ConceptPKIEntity PMIEntityCertificatePublicKeyCertificateAttributeertificateCertificateissuerCertificationAuthorityAttributeAuthorityCertificateuserSubject HolderCertificatebindingSubject’snametopublickeyHolder’snametoprivilegeattribute(s)RevocationCertificaterevocationlist(CRL)Attributecertificaterevocationlist(ACRL)RootoftrustRootcertificationauthorityortrustanchorSourceofauthority(SOA)SubordinateauthoritySubordinatecertificationauthorityAttributeauthority7ConceptPK96屬性的兩種表達模式一個表達授權(quán)意義的屬性

可以包含在PKC的擴展段中，也可以單獨的放在一個AC中。如果一個證書既要代表身份認證，又要處理屬性認證，可以采用前者8屬性的兩種表達模式一個表達授權(quán)意義的屬性可以包含在P97屬性的兩種表達模式ISO的[ISO98]，以及IETF的[RFC3281]中都指明將屬性包含在PKC擴展段中是一種可選的模式。這有如下好處：可以與現(xiàn)行認證系統(tǒng)互操作簡化了認證路徑處理，因為單個信任路徑既表達了認證又代表了授權(quán)在發(fā)布授權(quán)的時候，涉及的實體和事務(wù)相對較少9屬性的兩種表達模式ISO的[ISO98]，以及IETF的[98兩種證書比較10兩種證書比較99授權(quán)屬性分離的原因?qū)⑹跈?quán)和認證各自分離開來，CA負責認證，而AA負責授權(quán)屬性證書AC可隨時更新，來反映隨時變化的授權(quán)狀態(tài)，而不必被綁定到PKC較長的有效期上屬性證書的有效期往往非常短，甚至可以不使用吊銷列表11授權(quán)屬性分離的原因?qū)⑹跈?quán)和認證各自分離開來，CA負責認證100屬性可以表達的含義——組和角色

角色提供了一種間接分配特權(quán)的方法。AA可以給用戶頒發(fā)一個證書，將一個或多個角色分配給他，而在另外的地方（如，使用一個專門定義角色的AC），來定義角色的特權(quán)這樣，特權(quán)的分配和用戶的管理就分離開來，管理員可以為整個組或角色分配特權(quán)，而不是單個地為用戶分配特權(quán)12屬性可以表達的含義——組和角色角色提供了一種間接分配101屬性可以表達的含義——組和角色這種分離有很多優(yōu)點：便于管理和理解。管理員定義好角色對資源的訪問特權(quán)后，就可以專注于對用戶的管理。當角色的特權(quán)發(fā)生改變后，只需更新角色的定義，而不必對用戶證書更新角色的分配可以使用代理模式。角色的定義和角色的分配可以在不同的AA上實現(xiàn)。這非常適合于分布式應(yīng)用特權(quán)分配可以被繼承。角色和角色的成員可以定義不同的有效期13屬性可以表達的含義——組和角色這種分離有很多優(yōu)點：102屬性可以表達的含義－約束和語義約束表現(xiàn)了屬性之間的限制關(guān)系，最常見的約束是某些屬性間的互斥約束，這表示同一個范圍內(nèi)不能同時包含兩個或兩個以上這類屬性例如，一個角色不能既是考生，又是監(jiān)考官目前對屬性的約束，支持還相當有限。ITU-TX.509（2000）里有少量的方法支持約束，例如時間約束可以用在AC的有效期里14屬性可以表達的含義－約束和語義約束表現(xiàn)了屬性之間的限制103屬性可以表達的含義－機密屬性AC持有者可能并不希望向所有的驗證者都暴露自己獲得的授權(quán)屬性，這時可以讓AA對含有敏感信息的屬性單獨頒發(fā)AC這樣，針對特定的資源，使用特定的AC，避免了向其它對象暴露機密屬性更安全的方式是對證書中的敏感屬性進行加密，那么，只有那些能夠識別這種加密屬性的驗證者，才能獲知屬性的內(nèi)容15屬性可以表達的含義－機密屬性AC持有者可能并不希望向所有104ISO/IEC9594-8(ITUX.509)以及PDAM屬性證書最早是在1997年版的ISO/IEC9594-8[ISO97]中提出。然而在很久以后的版本中才有AC的定義條款，并且僅限于定義基本屬性類型以及適用規(guī)則在1998年的PDAM(ProposedDraftAmendment)v1中，包含了針對屬性證書全面的討論，并提出了PrivilegeManagementInfrastructure(PMI)模型16ISO/IEC9594-8(ITUX.509)以105ISO/IEC9594-8(ITUX.509)以及PDAM1999年公布FPDAM(FinalProposedDraftAmendment)，其中定義了PMI的重要組成，但還不完整2000年，頒布國際標準ISO/IEC9594-8，也即ITUX.509（2000），這便是廣為熟知的ITURecommendationX.509，也被人們稱作X.509V4。其中完整地定義了屬性證書和PMI模型17ISO/IEC9594-8(ITUX.509)以106PMI模型構(gòu)建在屬性證書之上，主要包含四個部分：普通模型(GeneralModel)控制模型(ControlModel)代理模型(DelegationModel)角色模型(RolesModel)18PMI模型構(gòu)建在屬性證書之上，主要包含107PMI的幾種模型19PMI的幾種模型108(1)通用模型

PMI主要圍繞特權(quán)的分配使用和驗證來進行

屬性證書框架采用四個模型來描述敏感資源上的權(quán)限是如何分配、流轉(zhuǎn)、管理和驗證

通過了解這幾個模型，可以明確PMI中的主要相關(guān)實體，主要操作進程，以及交互的內(nèi)容20(1)通用模型

PMI主要圍繞特權(quán)109(1)通用模型

通用模型也稱為基本模型，如下圖所示。模型中包含三個實體：授權(quán)機構(gòu)（SOA或AA）、特權(quán)持有者（PrivilegeHolder）和特權(quán)驗證者（PrivilegeVerifier）

授權(quán)機構(gòu)向特權(quán)持有者授權(quán)，特權(quán)持有者向資源提出訪問請求并聲稱具有權(quán)限，由特權(quán)驗證者進行驗證

特權(quán)驗證者總是信任授權(quán)機構(gòu)，從而建立信任關(guān)系21(1)通用模型

通用模型也稱為基本110(1)通用模型22(1)通用模型111(1)通用模型

PMI基本模型描述了在授權(quán)服務(wù)體系中主要三方之間的邏輯關(guān)系，以及兩個主要過程：特權(quán)分配和驗證

這是PMI框架的核心。PMI基本模型的體系結(jié)構(gòu)類似于單級CA的體系結(jié)構(gòu)，SOA的作用就可以看作是CA。對特權(quán)的分配是由SOA直接進行的，SOA（AA）通過為特權(quán)持有者頒發(fā)屬性證書來進行授權(quán)23(1)通用模型

PMI基本模型描述了在授權(quán)服務(wù)體系112(1)通用模型

由于SOA同時要完成很多宏觀控制功能，如制訂訪問策略，維護撤消列表，進行日志和審計工作等，特別是當用戶數(shù)目增大時，就會在SOA處形成性能瓶頸。SOA也會顯得龐大而臃腫24(1)通用模型

由于SOA同時要完成很多宏觀控制功113(1)通用模型

如果實際應(yīng)用中用戶數(shù)量非常龐大，就需要對基本模型進行改進，以實現(xiàn)真正可行的PMI體系

一個明確的思路就是對授權(quán)管理功能進行分流，減少SOA的直接特權(quán)管理任務(wù)，使得SOA可以進行自身的宏觀管理功能25(1)通用模型

如果實際應(yīng)用中用戶數(shù)量非常龐大，就114(2)控制模型

控制模型闡述了如何控制對敏感對象方法的訪問。模型中有五個對象：特權(quán)聲稱者、特權(quán)驗證者、對象方法(敏感)、特權(quán)策略和環(huán)境變量

特權(quán)聲明者具有特權(quán)

對象方法具有敏感性26(2)控制模型

控制模型闡述了如何控制對敏感對象方115(2)控制模型

這里描述的技術(shù)使特權(quán)驗證者在一致特權(quán)策略下控制特權(quán)聲明者對對象方法的訪問。特權(quán)和敏感性都是多值參數(shù)。特權(quán)聲明者可能是一個被公鑰證書所鑒別的實體，或一個被磁盤鏡象摘要所鑒別的可執(zhí)行對象等27(2)控制模型

這里描述的技術(shù)使特權(quán)驗證者在一致特116(2)控制模型

圖8-4PMI控制模型PMI控制模型28(2)控制模型

圖8-4PMI控制模型PMI控制模型117(3)委托模型

特權(quán)委托提出了授權(quán)機構(gòu)的層次級聯(lián)。特權(quán)經(jīng)由若干AA從上至下流轉(zhuǎn)，最后到達特權(quán)持有者。這樣，SOA和高層AA就只負責制訂訪問策略，維護有限的證書分配和管理功能，從而實現(xiàn)了系統(tǒng)規(guī)模的擴張和整體性能的優(yōu)化。特權(quán)分配類似于一個樹形結(jié)構(gòu)，如下圖所示29(3)委托模型

特權(quán)委托提出了授權(quán)機構(gòu)的層次級聯(lián)。特118(3)委托模型

委托樹模型30(3)委托模型

委托樹模型119(3)委托模型

委托方式下的管理和驗證模型給出了委托方式下進行權(quán)限管理和驗證的模式。委托模型中有四種角色：SOA、AA、特權(quán)驗證者和特權(quán)聲稱者。SOA將特權(quán)委托給AA，通過發(fā)布屬性證書來確定AA所擁有的權(quán)限或權(quán)限子集，同時賦予AA進行特權(quán)委托的權(quán)力。SOA可以通過限制委托路徑深度、限制名字空間等方法來控制后繼委托。AA所委托的特權(quán)不能超過他本身所擁有的特權(quán)31(3)委托模型

委托方式下的管理和驗證模型給出了委120(3)委托模型

委托方式下的管理和驗證32(3)委托模型

委托方式下的管理和驗證121(3)委托模型

特權(quán)驗證者信任SOA對資源的訪問控制特權(quán)。當一個特權(quán)持有者提出請求時，若其持有證書并非由SOA頒發(fā)，特權(quán)驗證者將定位通往SOA的委托路徑進行驗證。并對該路徑上每一AA節(jié)點進行判斷是否具有該權(quán)限33(3)委托模型

特權(quán)驗證者信任SOA對資源的訪問控122(3)委托模型

特權(quán)委托路徑與公鑰證書的有效路徑是不同的。委托路徑將既包括屬性證書又包括公鑰證書，如果是通過公鑰證書獲得特權(quán)則只能通過發(fā)布公鑰證書來委托特權(quán)。如果是通過屬性證書獲得特權(quán)則只能通過發(fā)布屬性證書來委托特權(quán)。只有AA才能委托，最終用戶不具備委托權(quán)限34(3)委托模型

特權(quán)委托路徑與公鑰證書的有效路徑是123(3)委托模型

在委托模型中，特權(quán)的委托路徑是一個關(guān)鍵問題。不光在分配過程需要由策略對此進行約束，在驗證過程也要對委托路徑進行有效性判斷35(3)委托模型 在委托模型中，特權(quán)的委托路徑是一個關(guān)124(4)角色模型 PMI角色模型如下圖所示，角色模型提供一種間接分配特權(quán)給個體的方式。在角色模型中，SOA不再將特權(quán)直接分配給特權(quán)持有者，而是建立若干角色并將權(quán)限授予角色。該模型使用兩個證書完成角色的定義和分配。特權(quán)持有者申請?zhí)貦?quán)時，SOA通過角色分配證書(RoleAssignmentCertificates)，為個體賦予角色身份，從而使個體獲得角色所具有的特權(quán)集合36(4)角色模型 PMI角色模型如下圖所示，角色模型提125(4)角色模型PMI角色模型37(4)角色模型PMI角色模型126(4)角色模型 SOA頒發(fā)角色分配證書給個體，通過證書中的角色屬性使他們能夠扮演一個或多個角色。而角色的特權(quán)是通過角色說明證書（RoleSpecificationCertificates）來賦予的。角色分配證書可以是公鑰證書，也可以是屬性證書，但角色說明證書只能是屬性證書38(4)角色模型 SOA頒發(fā)角色分配證書給個體，通過證127(4)角色模型

在角色模型中，SOA持有角色說明證書，特權(quán)持有者只持有角色分配證書，類似于一個指向特權(quán)的指針。在進行訪問請求時，特權(quán)驗證者根據(jù)特權(quán)持有者提交的角色分配證書，在本地的角色說明書庫中查找對應(yīng)者；如果沒有，則根據(jù)分配證書中的信息到SOA處查找39(4)角色模型 在角色模型中，SOA持有角色說明128(4)角色模型

基于角色授權(quán)的PMI模型通過引入角色這個中間層次能有效地簡化授權(quán)管理，進一步降低系統(tǒng)復(fù)雜度和管理成本，提高了系統(tǒng)的可理解性和易修改性，提供授權(quán)管理的靈活性和可靠性。將用戶按角色進行分類授權(quán)后，系統(tǒng)管理者只需要對角色的特權(quán)進行修改，就可以控制具有該身份的所有用戶的特權(quán)，另一方面，基于角色的管理貼近實際應(yīng)用，更加人性化，易于理解40(4)角色模型 基于角色授權(quán)的PMI模型通過引入角色129(4)角色模型

一個角色的特權(quán)的更新并不影響終端實體，實現(xiàn)了對授權(quán)管理較大的靈活性。但是這種方式需要頒發(fā)和處理兩種不同的證書，這給證書管理增加了很大的負擔，和委托授權(quán)的方式一樣，由于驗證的時候需要角色說明證書，所以也帶來了特權(quán)驗證者的復(fù)雜性。采用這種方式時，可以考慮和RBAC機制進行結(jié)合，從而減少授權(quán)管理的復(fù)雜性，降低管理開銷41(4)角色模型 一個角色的特權(quán)的更新并不影響終端實體130InternetEngineeringTaskForce(IETF)IETF屬性證書的相關(guān)提議主要是PKIX(X.509PublicKeyInfrastructure)工作組提出在1998年到2001年間，屬性證書以Internet草案的形式被討論(InternetAttributeCertificateProfileforAuthorization)，該草案在2001年7月被IESG(InternetEngineeringSteeringGroup)認可為提議標準(ProposedStandard)，文檔為RFC328142InternetEngineeringTaskFo131InternetEngineeringTaskForce(IETF)另外，一個名為《AttributeCertificatePolicyextension》草案也在討論中，2003年4月已頒布第3版本，主要涉及AC的策略定義43InternetEngineeringTaskFo132使用屬性證書實現(xiàn)基于角色的訪問控制屬性證書通過一種非常簡單的方式支持角色的訪問控制(RBAC)，通常的過程是：預(yù)先頒發(fā)一些定義角色的X.509屬性證書，它定義角色的特權(quán)；然后再為最終用戶頒發(fā)一個屬性證書，該屬性證書里為用戶指定一個或多個角色44使用屬性證書實現(xiàn)基于角色的訪問控制屬性證書通過一種非常簡133使用屬性證書實現(xiàn)基于角色的訪問控制當用戶訪問資源的時候，他可以選擇將自己的AC“推”（push）向服務(wù)器一方，這樣服務(wù)器便可以直接讀取用戶的授權(quán)信息，來決定下一步的操作。這種方式減輕了服務(wù)器的負擔，提高了執(zhí)行效率。并且，此時服務(wù)器只被告知了它應(yīng)該知道的信息，用戶不必暴露自己持有的其它特權(quán)。這種方式適合于用戶的AC不是由目標服務(wù)器頒發(fā)的情況45使用屬性證書實現(xiàn)基于角色的訪問控制當用戶訪問資源的時候，134使用屬性證書實現(xiàn)基于角色的訪問控制另外一種方式是，用戶訪問資源的時候只簡單的向服務(wù)器證明身份，并不主動出示其AC。服務(wù)器自行決定是否需要判斷該用戶的授權(quán)，如果需要，則主動向為該用戶頒發(fā)AC的授權(quán)機構(gòu)“拉”（pull）回其AC。這種方式的好處是，在實現(xiàn)的時候可以不用考慮客戶端和客戶服務(wù)協(xié)議的不同。該方式適合于用戶的AC由請求的服務(wù)器本身的域頒發(fā)的情況46使用屬性證書實現(xiàn)基于角色的訪問控制另外一種方式是，用戶訪13547136PMI的產(chǎn)品和應(yīng)用(1)PERMISPMIPERMISPMI是英國TrueTrust公司推出的PMI產(chǎn)品。該產(chǎn)品的前身是Dr.Chadwick負責的一個歐共體項目，即從2000年12月到2002年6月完成的PERMIS(PrivilEgeandRoleManagementInfrastructureStandardsValidation)。PERMIS是基于X.509標準的PMI實現(xiàn)。并且在三個不同城市Salford，Bologna和Barcelona的不同應(yīng)用中實施。該項目據(jù)此提出了一項RFC(RequestforComment)來標準化電子商務(wù)應(yīng)用中的特權(quán)需要以及描述PERMIS的API48PMI的產(chǎn)品和應(yīng)用(1)PERMISPMI137PMI的產(chǎn)品和應(yīng)用(2)AkentiAkenti是一個由美國LawrenceBerkeleyNational實驗室開發(fā)的授權(quán)管理基礎(chǔ)設(shè)施。它也是依據(jù)RFC2704所提出的五個組件的可信管理基礎(chǔ)設(shè)施49PMI的產(chǎn)品和應(yīng)用(2)Akenti138PMI的產(chǎn)品和應(yīng)用(3)SelectAccessBaltimore公司的SelectAccess是個提供特權(quán)管理基礎(chǔ)設(shè)施PMI服務(wù)的世界領(lǐng)先的授權(quán)管理解決方案，它允許管理并執(zhí)行用戶的特權(quán)，對電子商務(wù)和企業(yè)資源交易進行授權(quán)。在一個企業(yè)外聯(lián)網(wǎng)環(huán)境中，SelectAccess對基于Web的資源提供基于角色的授權(quán)，使企業(yè)為客戶、供應(yīng)商和伙伴提供安全的豐富的用戶體驗50PMI的產(chǎn)品和應(yīng)用(3)SelectAccess139PMI的產(chǎn)品和應(yīng)用 SelectAccess用二維表表示所有用戶和資源。SelectAccess支持多種鑒別方法來維持一個安全可信的環(huán)境。支持口令、數(shù)字證書（軟件形式的和智能卡形式的）和安全ID令牌（SecureIDtokens）；管理基于角色和組；動態(tài)角色特征確保用戶特權(quán)改變與商務(wù)過程的變化同步；可支持多級委托；鑒別措施可通過API支持51PMI的產(chǎn)品和應(yīng)用 SelectAccess用二維表表140PMI的產(chǎn)品和應(yīng)用 SelectAccess貫徹了XML技術(shù)，XML為數(shù)據(jù)的傳輸和整合到現(xiàn)存及未來的應(yīng)用提供了充分的靈活性，不管是基于WEB還是非WEB的。支持WindowsNT/2000,Linux,Solaris，HP-UX等操作系統(tǒng)。訪問控制通過插件強迫執(zhí)行，可以用于MicrosoftIIS，iPlanet，Apache，BEAWebLogic，IBMWebSphere，SilverStream，Oracle9i以及Plumtree等52PMI的產(chǎn)品和應(yīng)用 SelectAccess貫徹了XM141PMI的產(chǎn)品和應(yīng)用(4)IBMTivolisecureWayAuthorizationTheOpenGroupaznAPI由DASCOM(現(xiàn)已被IBM收購)提出。其目的是將授權(quán)與信任分開、授權(quán)與具體實現(xiàn)機制（如ACL，Entitlements、Rules、Classification，等等）分開53PMI的產(chǎn)品和應(yīng)用(4)IBMTivolisecu142PMI的產(chǎn)品和應(yīng)用

基于規(guī)則的訪問控制為訪控策略定義特定的屬性，能簡單創(chuàng)建規(guī)則。簡單規(guī)則的例子包括強制一個特定的認證方法，一個物理位置或者一個特定的時間段?；谝?guī)則的訪問控制策略建立在XACML標準基礎(chǔ)之上，XACML標準提供對策略和規(guī)則與建立在相同標準上的其他應(yīng)用的更好集成

XACML是一種用于決定請求/響應(yīng)的通用訪問控制策略語言和執(zhí)行授權(quán)策略的框架54PMI的產(chǎn)品和應(yīng)用 基于規(guī)則的訪問控制為訪控策略定義特143PMI的產(chǎn)品和應(yīng)用55PMI的產(chǎn)品和應(yīng)用144PMI的產(chǎn)品和應(yīng)用(5)北京耐丁網(wǎng)絡(luò)技術(shù)有限公司用戶授權(quán)和訪問控制系統(tǒng)耐丁公司的用戶授權(quán)和訪問控制體系的建設(shè)就是設(shè)計統(tǒng)一的授權(quán)策略，建立統(tǒng)一的用戶管理中心，提供統(tǒng)一的應(yīng)用系統(tǒng)訪問控制基礎(chǔ)平臺和實現(xiàn)機制，解決企業(yè)網(wǎng)現(xiàn)有的多種不同類型的用戶對多個不同業(yè)務(wù)應(yīng)用系統(tǒng)的授權(quán)和訪問控制問題，防止用戶越權(quán)訪問或修改數(shù)據(jù)，確保對信息的訪問限制在授權(quán)范圍內(nèi)56PMI的產(chǎn)品和應(yīng)用(5)北京耐丁網(wǎng)絡(luò)技術(shù)有限公司用戶授145PMI的產(chǎn)品和應(yīng)用(6)吉大正元權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺PMI權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺是由吉大正元開發(fā)的通用權(quán)限管理平臺。主要應(yīng)用在權(quán)限管理，訪問控制領(lǐng)域。為進行資源管理的二次開發(fā)人員提供了一個方便，安全，高效的決策平臺。PMI權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺主要用于web資源的訪問控制，磁盤資源的訪問控制，數(shù)據(jù)庫資源的訪問控制，網(wǎng)絡(luò)資源的訪問控制和硬件資源的訪問控制57PMI的產(chǎn)品和應(yīng)用(6)吉大正元權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)146PMI的產(chǎn)品和應(yīng)用(7)維豪集團安全平臺維豪集團將基于公鑰基礎(chǔ)設(shè)施PKI和授權(quán)管理基礎(chǔ)設(shè)施PMI的智能化信任與授權(quán)技術(shù)與J2EE技術(shù)結(jié)合，搭建了應(yīng)用于不同領(lǐng)域的各種安全平臺58PMI的產(chǎn)品和應(yīng)用(7)維豪集團安全平臺147上面提到的PMI產(chǎn)品和應(yīng)用，設(shè)計時存在著類似的需要注意的方面和問題59上面提到的PMI產(chǎn)品和應(yīng)用，設(shè)計時存在著類似的需要注意的148在過去的幾年中，權(quán)限管理作為安全的一個領(lǐng)域得到快速發(fā)展，也提出了幾種權(quán)限管理方案，如Kerberos，基于策略服務(wù)器方案，但目前應(yīng)用和研究的熱點集中于基于PKI的PMI研究60在過去的幾年中，權(quán)限管理作為安全的一個領(lǐng)域得到快速發(fā)展，149一個屬性權(quán)威AA的基本組成

61一個屬性權(quán)威AA的基本組成150PMI模型

絕大多數(shù)的訪問控制應(yīng)用都能抽象成一般的權(quán)限管理模型，包括3個實體：對象，權(quán)限聲稱者（privilegeasserter）和權(quán)限驗證者(privilegeverifier)。對象可以是被保護的資源，例如在一個訪問控制應(yīng)用中，受保護資源就是對象62PMI模型

絕大多數(shù)的訪問控制應(yīng)用都能抽象成一般的權(quán)限管151權(quán)限驗證者根據(jù)4個條件決定訪問通過/失?。骸獧?quán)限聲明者的權(quán)限——適當?shù)臋?quán)限策略——當前環(huán)境變量(如果有的話)——對象方法的敏感度(如果有的話)63權(quán)限驗證者根據(jù)4個條件決定訪問通過/失?。?52其中，權(quán)限策略說明了對于給定敏感度的對象方法或權(quán)限的用法和內(nèi)容，用戶持有的權(quán)限需要滿足的條件和達到的要求。權(quán)限策略準確定義了什么時候權(quán)限驗證者應(yīng)該能確定以便許可權(quán)限聲明者訪問要求的對象、資源，應(yīng)用等為了保證系統(tǒng)的安全性，權(quán)限策略需要完整性和可靠性保護，防止他人通過修改權(quán)限策略而攻擊系統(tǒng)64其中，權(quán)限策略說明了對于給定敏感度的對象方法或權(quán)限的用法153下面對應(yīng)的控制模型說明驗證者如何控制權(quán)限聲明者對保護對象的訪問，并表達了最基本的影響因素：65下面對應(yīng)的控制模型說明驗證者如何控制權(quán)限聲明者對保護對象154訪問控制抽象模型無論哪一種訪問控制授權(quán)方案都可以表示成如下的基本元素和抽象。66訪問控制抽象模型無論哪一種訪問控制授權(quán)方案都可以表示成155同樣，影響決策單元進行決策的因素也可以抽象如下圖所示：權(quán)限驗證者用戶的身份，權(quán)限信息（屬性證書信息）等資源的等級，敏感度等信息影響決策的應(yīng)用端環(huán)境，如會話的有效期等決策單元內(nèi)部的控制因素包括訪問動作等信息不同的應(yīng)用系統(tǒng)訪問控制策略是完全不同的－訪問控制框架中隨應(yīng)用變化的部分67同樣，影響決策單元進行決策的因素也可以抽象如下圖所示：156PMI應(yīng)用結(jié)構(gòu)PKIPMI和應(yīng)用的邏輯結(jié)構(gòu)如下，PMI屬性權(quán)威AALDAP注冊申請ARAPKI策略決策PDP策略實施PEP目標