用PMI来管理权限
开篇:润墨网以专业的文秘视角,为您筛选了一篇用PMI来管理权限范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
基于PKI的CA系统为用户提供了用户身份信息的证明,而pmi可以用于证明这个用户有什么权限、什么属性,这两者的结合可以给电子商务系统带来更大的灵活性。
以PKI(Public Key Infrastruc-ture)技术为基础的CA(Certificate Authority)系统的建立,为电子商务提供了基本的安全保障,但大量的互联网应用需要的远不止是CA系统提供的身份信息,尤其是交易双方以前没有任何关系时,更需要验证对方的属性(授权)信息,包括该用户能够进行哪些操作、不能进行哪些操作等。将PMI技术引入认证系统,可以有效解决这一问题。
PMI技术简介
早期可以在公钥证书的扩展项中来保存用户的属性信息,但随之引发了一些问题:
1.各个证书系统都定义了自己的专有证书扩展项以满足自己应用的需要,给证书的互通带来不便。
2.由于证书中保存了用户的属性信息,使得证书发放的权威机构(CA)不仅要掌握用户的身份信息,还必须掌握该用户在业务系统中的权限信息,系统的职能变得复杂,其建设受到了限制。
3.由于用户的属性信息可能经常发生变化,造成证书的撤销非常频繁,给CA的黑名单信息带来很多不便。
PMI技术由此孕育而生,PMI技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授权机构进行管理,即由资源的所有者来进行访问控制管理。基于PMI(Privilege Management Infrastructure) 的AA(Attribute Authority)系统为用户颁发属性证书,解决了上述存在的问题。属性证书具有如下特点:
1.属性证书是一种轻量级的数字证书,并且一般有效期较短,避免了公钥证书黑名单文件处理的问题;
2.属性证书提供了用户权限信息的证明,即“该用户能进行什么操作”;
3.属性证书中包含公钥证书标志,通过该标志可以找到对应的公钥证书;
4.属性证书可以不包含公钥。
属性证书的作用主要包括:
1.将用户的公钥证书和属性证书一一对应;
2.将用户的身份信息和权限信息一一对应;
3.保证属性证书中的上述内容不被非法修改、替换。
属性证书首先需要使用公钥证书进行身份认证,然后使用属性证书进行授权检查,而授权机构的签名保证了属性的真实可靠性,使用者验证属性证书签名通过之后,就可以从属性证书中获取持有者权限,进行相应的访问控制操作。
属性证书具有如下特点:
1.身份和权限的分离,适应了互联网应用的特点;
2.不同的用户具备不同的访问权限;
3.需要分别为用户进行访问授权;
4.同一用户的权限信息可能经常发生改变;
5.用户的授权方和权限的验证方分离。
将PKI与PMI结合起来
PKI和PMI的结合能为用户提供更加强大的服务功能。用户的信息合理地分成了两类,基本身份信息存放在公钥证书中,容易改变的属性信息存放在属性证书中,这两类证书的发放权限可以由不同的部门来管理和执行。PKI证明用户是谁,为用户颁发公钥证书; PMI证明这个用户有什么权限、什么属性,为用户颁发属性证书,因此PMI更适合于那些基于角色的访问控制领域。
用户向CA申请证书,证明自己的身份,而用户向AA申请证书前,要求已经拥有CA颁发的公钥证书,用于证明该用户“是谁”。AA验证用户的公钥证书通过之后,为用户颁发属性证书,用于证明该用户“具备何种权限”(PKI证书与PMI 证书的区别参见图1)。
采用PMI证书与PKI证书结合的方式,具备下列优势:
1.身份认证、数据签名采用PKI的公钥证书实现,相关平台、用户能够相互确认身份;
2.权限认证采用PMI的属性证书实现和保证;
3.不同的用户可以具备不同的访问权限;
4.不同的用户在同样的访问点可以具备不同的内容访问权限;
5.根据用户的账号余额、消费历史,用户的权限信息可以随时改变;
6.用户的授权(属性证书的发放)由平台进行,而权限(属性证书)的验证在不同的访问点处就可以完成。
在实际应用中,一般用令牌来实现属性控制,令牌是用户(最终消费者)登录平台后的身份凭证,用于用户访问业务系统信息源时业务系统对用户身份及业务权限的认证,反映了平台对用户的业务控制策略。
PKI/PMI技术应用举例
下面举例说明PKI/PMI技术的应用。这是一个通过统一的认证平台为用户提供对第三方网站进行访问并计费的系统,其中第三方网站与平台隶属相同CA。该系统主要的操作有三个方面:
1.用户注册和证书发放
具体处理流程如下(参见图2):
(1)用户从用户端软件进行注册;
(2)计费平台在数据库登记用户信息;
(3)计费平台从数字证书管理子系统申请用户证书;
(4)计费平台接收数字证书管理子系统提供的用户证书;
(5)计费平台在数据库保存证书信息;
(6)计费平台返回用户端软件注册成功信息。
2.用户登录和认证
具体处理流程如下(参见图3):
(1)客户端软件登录用户认证管理子系统;
(2)用户认证管理子系统到认证系统认证,并在平台数据库进行用户口令认证;
(3)认证通过后用户认证管理子系统到AA系统申请令牌;
(4)AA到数据库检查令牌相应内容;
(5)通过后AA返给用户认证管理子系统令牌;
(6)用户认证管理子系统返给用户端软件令牌和密钥,客户端保存密钥和令牌。
3.用户访问第三方系统认证和计费
具体处理流程如下(参见图4):
(1)客户端软件登录计费平台(该平台进行认证);
(2)计费平台发放令牌;
(3)客户端软件访问第三方资源,同时提供密钥、令牌;
(4)第三方系统根据密钥认证结果以及令牌内容提供相应服务;
(5)第三方系统向计费平台提供用户、第三方系统密钥,要求进行三方确认;
(6)计费平台认证通过后发送计费响应,完成三方确认。
通过上面的例子,我们可以看到PKI/PMI认证技术与以往的认证技术相比具有非常大的优点。传统方法要查询集中数据库,因而仅适用于用户和服务提供商为同一行政实体,即有服务契约关系,一般用于二方认证,而PKI/PMI技术采用加密算法在本地实现认证,不需查询用户数据库,适用于用户和服务提供商为不同行政实体或同一行政实体,适用于多方认证,因此具有非常的发展潜力。
PKI/PMI这种自认证机制具有如下优点:
1.认证效率高;
2.可靠性好,单系统瘫痪不影响其他系统;
3.组网灵活,可扩展性好,网络规模和节点数的增加,不增加网络的复杂度;
4.互联互通易于实现。独立建设各自平台,不需任何调整,即可实现平台间的互联互通;
5.自动实现用户跨平台漫游;
6.节省投资。
总体而言,PKI/PMI技术采用的CA数字证书认证机制是典型的自认证机制,具有身份认证、业务授权、数据加密、数据完整性、交易的不可抵赖性等特点,而且通过与其他互联业务系统实现双方相互承认对方CA的这种交叉认证,对于这项技术的发展也具有非常大的推动作用。
PKI/PMI技术应用现状
目前PKI/PMI技术主要应用情况如下:
1.在国家电子政务中应用
国家信息安全基础设施(NISI)由PKI和PMI组成。其中,公钥基础设施构成PKI信息安全平台,提供智能化的信任服务; 而授权管理基础设施PMI构成授权管理平台,在PKI信息安全平台的基础上提供智能化的授权服务。
采用公钥密码体制构建公钥基础设施PKI,是在大型开放的网络环境下解决信息安全问题的最可行、最有效的办法之一。公钥基础设施是国家信息安全建设中极其关键的基础性设施,它在底层网络基础设施的基础上构建了一个一致的信息安全服务层面,可以满足各种应用在安全方面的需求。
授权管理基础设施PMI以PKI体系为基础,向应用系统提供全面统一的授权管理和访问控制服务。授权管理基础设施PMI主要提供分布式计算环境中应用系统的访问控制功能,通过将访问控制机制从具体应用系统的开发和管理中分离出来,使访问控制机制与应用系统之间能灵活而方便地结合和使用。
2.基于PKI/PMI的IP网络的安全应用
采用PKI/PMI体系构建信任与授权服务支撑平台,可为IP网络提供信任服务和授权服务。平台通过对实体的PKC(包括用户个人信息,如序列号、IP地址、MAC地址等信息)、AC(包括用户的属性信息,如角色、访问控制权限等)的认证、授权、管理来建立一个统一的智能化信任与授权基础环境,有利于建立一种“一实体一证、统一发证、分布式逐级管理”的IP宽带城域网运营管理模式。(作者工作单位: 中国铁通集团有限公司)