PMI技術在軍工企業(yè)中的應用研究

郭曉蕾

摘 要：本文對企業(yè)信息化建設當中出現(xiàn)的權限管理混亂、系統(tǒng)無法集成、管理難度大、維護成本高等問題進行剖析，提出了基于角色訪問控制的權限管理解決方案性。

關鍵詞：PMI 權限管理

1.引言

目前大多數(shù)軍工企業(yè)都通過PKI證書+USBKey的形式，進行身份認證，但這只能確定“他是誰”的問題。武器裝備科研生產單位保密資格認證標準中要求，軍工企業(yè)應采取強制訪問控制措施，權限分離應當采用最小授權原則，并在它們之間形成相互制約的關系[1]。本文通過分析目前軍工企業(yè)中權限管理的現(xiàn)狀，提出一種在PKI 基礎上權限管理解決方案。

2.權限管理現(xiàn)狀

目前，軍工企業(yè)大都已建立了OA、PDM、電子郵件等多個應用系統(tǒng)，與此同時，新的應用系統(tǒng)也不斷加入。這些系統(tǒng)對權限的控制是分別進行的，不同的應用系統(tǒng)分別針對自己要保護的資源進行權限的管理和控制，這種方式帶來了以下問題：

（1）權限管理混亂

應用之間缺乏關聯(lián)性，權限管理模塊重復開發(fā)，用戶管理、組織機構等數(shù)據(jù)重復維護，用戶使用不便且安全性差，數(shù)據(jù)的完整性、一致性很難得到保障。

（2）系統(tǒng)無法集成

各個應用系統(tǒng)的權限管理模式設計不同，技術實現(xiàn)方式不同，系統(tǒng)之間的集成存在問題，單點登陸難度大。

（3）管理難度大

大多數(shù)老系統(tǒng)都采用ACL，需要手動維護每個員工在多個系統(tǒng)的權限，而人員、崗位、組織變化頻繁，安全保密管理員或產品管理員需要大量修改操作，不能有效、及時地更改、發(fā)布實時的權限信息。

（4）工作量增加，維護成本高

系統(tǒng)管理員需要維護多套系統(tǒng)，熟悉并操作不同系統(tǒng)的權限管理模式，對于應用數(shù)量多的企業(yè)來說，系統(tǒng)管理員的負擔過于沉重。

綜上所述，實現(xiàn)權限管理機制的統(tǒng)一部署和管理，成為解決目前權限管理問題的主要途徑。而PMI（Privilege Management Infrastructure ， 授權管理基礎設施）技術則應運而生。

3.特權管理基礎設施PMI

3.1 PMI的構成

PMI 是一個由屬性證書、屬性權威機構、屬性證書庫等部件構成的綜合系統(tǒng)：

（1）SOA（Source of Authority，屬性權威源）：主要職責是授權策略的管理與應用、AA中心的設立審核及管理、應用授權受理等。

（2）AA（Attribute Authority，屬性權威）：屬性證書的生成簽發(fā)機構，主要功職責包括屬性證書的全生命周期管理：生成、頒發(fā)、更新、注銷等。

（3）AC（Attribute Certificate，屬性證書），是由屬性權威進行數(shù)字簽名的數(shù)據(jù)結構，綁定了一個用戶的權限。

3.2PMI模型

角色模型是X.509 PMI模型的一種，其最核心的思想就是在用戶和權限中間加入角色。用戶通過角色分配證書中的角色屬性，分配到一個或多個角色；通過角色定義證書，給某個角色分配一定的權限。用戶只持有角色分配證書，因此并不直接分配給用戶權限，系統(tǒng)只需要維護角色的信息，而不會影響用戶，大大簡化了授權管理。

屬性權威（SOA/AA）負責權限策略的管理并為用戶分配角色，為角色分配權限。權限驗證者負責對用戶進行身份認證和對用戶的訪問請求進行判定。用戶，即權限持有者，發(fā)起訪問資源的服務請求，權限驗證者根據(jù)服務請求，結合權限策略、環(huán)境變量和對象的敏感程度等，進行判定用戶是否能夠訪問資源。

3.3實現(xiàn)方案

企業(yè)實施PMI，首先應建立屬性權威，制定授權策略，然后再進行授權、訪問控制和審計。所以，一個企業(yè)PMI平臺實現(xiàn)的架構應該包括驗證服務器，注冊服務器，數(shù)據(jù)庫服務器，LDAP服務器等。

（1）權限策略的建立

權限策略一個企業(yè)如何進行人員和信息資源的分類管理，如數(shù)據(jù)的敏感性，可以按照其重要程度分為公開、秘密、機密和絕密；人員的職務，設計師，副總師等。同時還需要對信息資源的操作權限進行劃分，一般分為讀、寫、刪除、修改，打印，復制，屏幕截取等。

（2）申請屬性證書

用戶訪問資源的必要條件是用戶已申請公鑰證書和屬性證書，公鑰證書是身份憑證，用戶提出屬性證書申請時必須出示，屬性權威根據(jù)公鑰證書中用戶的身份，從訪問控制服務器中檢索用戶所屬的組，然后從策略庫中的系統(tǒng)權限策略描述中進行解析，最后得出用戶可以擁有的角色，然后簽發(fā)用戶的屬性證書，并發(fā)布到LDAP服務器上。

（3）訪問請求

用戶發(fā)出對某個目標資源的訪問請求，同時提交代表用戶身份的公鑰證書。訪問控制模塊介于用戶和目標資源之間，截獲用戶的各種請求，然后對用戶的身份信息和屬性信息分別進行判端，最后再根據(jù)判決結果執(zhí)行允許用戶對系統(tǒng)資源進行訪問或者拒絕訪問。

（4）身份驗證

用戶登陸的過程就是身份驗證的過程，由證書權威確定其公鑰證書中的簽名為真，以此證明證書簽發(fā)的有效性、用戶證書的時效性、證書的可用性、證書未被撤銷。身份驗證通過后，向訪問控制模塊發(fā)送已通過信息，否則由訪問控制模塊向應用服務器發(fā)送驗證失敗信息。

（5）權限驗證

訪問控制模塊根據(jù)終端用戶公鑰證書中的證書惟一標識從LDAP 目錄服務器中檢索該用戶的角色分配屬性證書，并驗證其真實性和有效性，如果驗證信息有誤，訪問控制模塊就返回驗證未通過的信息，如果驗證信息正確，訪問控制模塊則需從角色分配證書中獲取用戶的角色屬性值，將用戶請求與權限集合相比較，判定該用戶請求是否在權限允許的范圍之內，不在權限范圍之內，就向應用服務器返回拒絕服務的響應信息，否則通過應用服務器響應用戶請求[2]。

（6）服務響應

應用服務器根據(jù)訪訪問控制模塊返回的消息進行判斷，如果是驗證通過，則響應用戶請求，如果是未通過，返回給用戶被拒絕的消息。

4結束語

基于PMI的權限管理解決方案將業(yè)務管理與授權管理分離，有效地簡化了授權管理， 降低了應用系統(tǒng)的復雜度和管理成本，同時對授權管理信息提供了更多保護功能，提高了權限管理的靈活性和安全性。

參考文獻：

[1] 國家軍工保密資格認定辦公室.軍工保密資格認定工作手冊.金城出版社.2017年.P123.

[2] 雷建云 蔣天發(fā) 邢光林.基于PKI與PMI的訪問控制在企業(yè)信息系統(tǒng)中的應用. 武漢理工大學學報.2008年04期.