PMI在大型應用系統中的應用

學(xué)術(shù)研究Ac adem c ResearchPM在大型應用系統中的應用趙曉東(航天科技財務(wù)有限責任公司,北京100830)【摘要】隨著(zhù)IT系統規模和用戶(hù)范圍的擴大,在大中型企業(yè)和組織中,授權管理仍然是復雜和具有挑戰性的工作論文概述了授權管理基礎設施(PM)在大型應用系統中的應用和建設問(wèn)題,以及PM對應用系統授權管理和訪(fǎng)問(wèn)控制模式的影響【關(guān)鍵詞】信息安全;授權管理基礎設施;公鑰基礎設施【中圖分類(lèi)號】TP393【文獻標識碼】A【文章編號】1009-8054(2006)12-0164-03Applying PMI in Large Scale Application Systemsng(Aerospace Science Technology Finance Co, Ltd Beijing 100830, China)(Abstract ]Especially recent years, with the scale-up of IT systems and the extension of scope of users, effective privilege administration is still a complex and challenging work, which is a major issue in large enterprises and organizations.This text introduced the applying and building of Privilege Management Infrastructure in large scale application systemsand analyzed the influence on authorization and access control model of application systems【 Keywords】 Information Security;PMI;PKI戶(hù)訪(fǎng)問(wèn)的是“什么信息”,哪個(gè)用戶(hù)被授予什么樣的“權限”。1前言旦機構確定了權限管理和發(fā)布的方式,訪(fǎng)問(wèn)控制系統就可計算機網(wǎng)絡(luò )能有效地實(shí)現資源共享,但資源共享和信息以根據機構發(fā)放的權限以及定義的安全策略控制用戶(hù)訪(fǎng)問(wèn),安全是一對矛盾體。隨著(zhù)資源共享的進(jìn)一步加強,隨之而來(lái)保護應用系統。然而,過(guò)去在權限生命周期管理,權限的表的信息安全問(wèn)題也日益突出,而身份認證、權限和訪(fǎng)問(wèn)控制達和權限管理方式方面沒(méi)有更成熟更實(shí)用的成果,權限管理又是網(wǎng)絡(luò )應用安全的兩個(gè)重要內容,因此它們也成為當前信方案發(fā)展相對滯后。息安全領(lǐng)域中的研究熱點(diǎn)。許多應用系統都需要分別在這兩相反,訪(fǎng)問(wèn)控制,或者說(shuō)授權服務(wù),已經(jīng)十分成熟,在過(guò)個(gè)方面采取相應的安全措施,但是,對一些大型的組織機構去的研究和應用中已經(jīng)獲得了很多的成果,建立了我們目前主來(lái)說(shuō),其網(wǎng)絡(luò )結構比較復雜,應用系統比較多,如果分別對要使用的DAC、ACL、MAC、RBAC訪(fǎng)問(wèn)控制模型。傳統的不同的應用系統采用不同的安全策略,管理將變得越來(lái)越復應用系統通常是通過(guò)使用用戶(hù)名和口令的方式來(lái)實(shí)現對用戶(hù)的甚至難以控制。由于機構的網(wǎng)絡(luò )結構比較復雜,應用系訪(fǎng)問(wèn)控制,而對權限旳控制是毎個(gè)應用系統分別進(jìn)行的,不同統和用戶(hù)都是分散分布的,不同的用戶(hù)對應不同的應用系統,的應用系統分別針對保護的資源進(jìn)行權限的管理和控制,這種因此對用戶(hù)的訪(fǎng)問(wèn)控制和權限管理就顯得非常的復雜和淩亂。方式存在一些缺點(diǎn)。同時(shí),又因為不同系統的設計和實(shí)施策略而機構必須要能夠控制:有“誰(shuí)”能夠訪(fǎng)問(wèn)機構的信息,用不同,導致了同一機構內存在多種權限管理的現狀。2什么是PM收稿日期:2006-10-27目前,在信息化建設過(guò)程中,權限管理通常采用PM技作者簡(jiǎn)介:趙曉東,男,漢族,1978年生,航天科技財務(wù)有術(shù)。PM是“ Privi l ege Managerment I nf r astr uct ur e”的縮限責任公司,學(xué)士,工程碩土在讀,研究方向為計算機應用寫(xiě),意為“授權管ITIIT n+c" i onal信息安全。Tel communi cat i中國煤化工neeri nCNMHG164www.cismag.com,cm學(xué)術(shù)研究Ac ademi c Resear chTask Force)使用屬性證書(shū)實(shí)現了PM于促進(jìn)統一身份管理和授權系統與業(yè)務(wù)應用系統各自向著(zhù)規授權管理基礎設施是屬性證書(shū)、屬性權威、屬性證書(shū)庫范化的方向發(fā)展等部件的集合體,用來(lái)實(shí)現權限和證書(shū)的產(chǎn)生、管理、存儲、分發(fā)和撒銷(xiāo)等功能。建立PM的目的是管理權限的生存周4授權模式的變化期,通過(guò)PM對證書(shū)和權限的管理,可以為應用系統建立控制策略規則是隨著(zhù)應用變化的,而權限是可以不必依個(gè)高安全強度,更易維護管理,擴展能力極強的訪(fǎng)問(wèn)控制環(huán)賴(lài)于具體的應用進(jìn)行管理的,比如說(shuō),一個(gè)注冊會(huì )計師,他境,提供可以不斷延伸和標準化的授權平臺。同公鑰基礎設擁有國內會(huì )計師注冊機構頒發(fā)的會(huì )計師資質(zhì),但是,在不同施PK相比,兩者主要區別在于:PK證明用戶(hù)是誰(shuí),而PM的企業(yè)內,他能夠接觸的資料范圍是完全不同的,或者說(shuō),他證明這個(gè)用戶(hù)有什么權限,能干什么,而且授權管理基礎設的權限是根據不同情況變化的。導致變化的原因是每個(gè)企業(yè)施PM需要公鑰基礎設施PKI為其提供身份認證。對會(huì )計師能夠訪(fǎng)問(wèn)的范圍根據自己的情況進(jìn)行了具體的定義也就是使用了不同的策略3深入認識PM基于PM,就可以本著(zhù)“誰(shuí)負責,誰(shuí)授權”的原則,將PM實(shí)際提岀了一個(gè)新的信息保護基礎設施,能夠與權限分配、發(fā)布、撤消過(guò)程與權限在應用系統中的使用和驗和目錄服務(wù)緊密地集成,并系統地建立起對認可用戶(hù)的證等一系列活動(dòng)分成兩個(gè)相對獨立的過(guò)程。對權限的分配、特定授權,對權限管理進(jìn)行了系統的定乂和描述,完整地提存儲、分發(fā)、撤消旳過(guò)程,我們稱(chēng)其為授權管理過(guò)程,使用供了授權服務(wù)所需過(guò)程。建立在PKI基礎上的PM,以向用PM進(jìn)行管理;另一個(gè)相對獨立的過(guò)程是用戶(hù)使用授權管理戶(hù)和應用程序提供權限管理和授權服努為目標,主要負責向過(guò)程產(chǎn)生的權限訪(fǎng)問(wèn)應用系統,應用系統根據系統定義的控業(yè)務(wù)應用系統提供與應用相關(guān)的授權服務(wù)管理,提供用戶(hù)身制策略判斷用戶(hù)權限的合法性,并允許或拒絕訪(fǎng)問(wèn)的過(guò)程份到應用授權的映射功能,能夠為各種應用系統提供統一的這個(gè)過(guò)程我們稱(chēng)其為訪(fǎng)問(wèn)控制過(guò)程。授權管理平臺,極大地提高權限管理的安全性,并簡(jiǎn)化應用當將傳統的訪(fǎng)問(wèn)控制過(guò)程明確地區分為這兩個(gè)獨立的過(guò)開(kāi)發(fā)。更為重要的是,PM為應用提供一致和標準的權限服程時(shí),我們能夠更清晰地劃分職責,規范業(yè)務(wù)管理流程和減務(wù),強有力地支持與應用的集成,使用戶(hù)建立的訪(fǎng)問(wèn)控制體輕系統管理的復雜性。這時(shí)人事官員或權限管只責是系能支持大量的用戶(hù)和訪(fǎng)問(wèn)控制應用,并能夠有效地控制管根據所轄用戶(hù)的真實(shí)情況給他授權(分配某個(gè)角色),只要這理的復雜性,可以根據應用的發(fā)展隨時(shí)在體系中加入新的訪(fǎng)個(gè)授權符合總體授權策略就不必關(guān)心具體讓用戶(hù)訪(fǎng)問(wèn)哪一個(gè)問(wèn)控制應用應用系統;而資源和數據的管理和保護人員只是按照訪(fǎng)問(wèn)控需要注意的是,PM的提出實(shí)際是為各類(lèi)實(shí)體提供了制策略來(lái)為毎個(gè)角色賦予能夠訪(fǎng)問(wèn)的資源的范圍,而不必關(guān)種規范化和可交互的描述能力,而不是一種具體的授權管理心要為哪-個(gè)人分配什么樣的權限。這樣能夠使毎個(gè)人只是實(shí)現模式。PK/PM聯(lián)合為各類(lèi)實(shí)體建立了一種標準的標識關(guān)注自己的業(yè)務(wù)工作,減輕了管理員負擔,而且容易界定問(wèn)方法、規范化的實(shí)體知識描述方法和安全一致的發(fā)布方法。題的責任范圍這就使得統一或分散的管理模式下產(chǎn)生的實(shí)體和實(shí)體信息能夠以可信的方式跨越不同的應用系統邊界(不必在應用5PM的建設模式A和B中分別管理這些信息),并為各類(lèi)應用系統認證和授權PM作為與PK緊密集成的基礎設施,擴展了PK作為提供必要的信息。在管理上,PM為跨越不同的應用系統邊基礎設施在實(shí)體管理方面的能力。PM在大型系統中更為界,對機構外用戶(hù)(甚至是未知用戶(hù))進(jìn)行授權管理提供了可般性的作用是作為權威源( SOA, Sour ce af Aut horit y)1對能。在這個(gè)意義上,基于PKI/PM構造的統一身份管理和各業(yè)務(wù)機構的權威或資信進(jìn)行管理(如許可證、執照、實(shí)體屬授權系統完全可以作為信息化系統中規范的全局實(shí)體管理系性)。這種權威往往是不可讓渡的,即權力完全由擁有者行使統的核心。而且,身份證書(shū)和屬性證書(shū)本質(zhì)上降低了實(shí)體管(或進(jìn)行委托),而不能由其它機構和人代為行使(或得到委理和授權系統與應用系統的偶合度。證書(shū)是各類(lèi)管理系統的托)。為此,應使用PM為這些資信和權限的管理提供管理支產(chǎn)物,由相關(guān)業(yè)務(wù)部門(mén)根據規范流程和需要進(jìn)行管理,不受持,以保證資信和權限存在旳合法性和與應用系統的交互能某個(gè)具體業(yè)務(wù)系統的應用模式和訪(fǎng)問(wèn)控制模式旳影響。各種力。目前,國內已建的PM主要對人員屬性進(jìn)行管理,本質(zhì)業(yè)務(wù)應用系統對所有實(shí)體證書(shū)使用一致的模式獲取、驗證和上是一個(gè)人員信中N類(lèi)似人員屬性管解析,而不必考慮管理系統流程的變化。這種方式非常有利理的方式,在各YHe中國煤化工類(lèi)實(shí)體建立規CNMHG信息安全與通信保165學(xué)術(shù)研究Ac adem c Research范的屬性知識描述,為各類(lèi)應用系統的授權和訪(fǎng)問(wèn)控制提供的訪(fǎng)冋控制提供標準化旳授權接口;使統一或分散的管理模必要的信息式下產(chǎn)生的授權信息,能夠以可信的方式跨越不同的應用系從管理和效率考慮,可以建立全局性、統一的PM,管統邊界,為大型應用系統信息化整合提供了重要的支撐杋制。理面向全網(wǎng)的權限和資信信息,這也意味著(zhù)各機構對代表所有機構進(jìn)行全局管理的PM進(jìn)行了權限委托。對那些局限于參考文獻某個(gè)區域、機構或者應用的資信管理,可以考慮建立相應資1]張健,胡成全,孫吉貴,馬春旺,齊紅.基于PK信和權限管理系統(或建立獨立的PM,主要基于安全性和規技術(shù)的PM的研究與實(shí)現].計算機集成制造系統,2005,11模因素),即可建設一個(gè)全局性的PM(降低應用復雜性)和為(6:881-884某些業(yè)務(wù)系統建設特定權威的PM2]馮瑜瑾,丁志強,羅永紅.屬性證書(shū):將PK擴展到授權領(lǐng)域的數字證書(shū)[].云南大學(xué)學(xué)報(自然科學(xué)版),20036結論25(6A:111-115在PK得到較大規模應用以后,人們已經(jīng)認識到需要超[3] ITU T Recormmendat i on. X509 ISOI EC 9594-越當前PK提供的身份驗證和機密性,步入授權驗證的領(lǐng)域,8 I nf or nat i on technol ogy open syst emi nt er connect i on提供信息環(huán)境的權限管理將成為下一個(gè)主要目標。PM可以 t he di rect ory: publ i c key and at tri but e certi fi cate為應用系統提供適合應用規模和投資額度權限管理支持和服 fr amcor k務(wù);能夠極大地降低由多個(gè)相同或不同的應用組成的安全域4洪帆,張馳.基于屬性證書(shū)的特權管理基礎設施[]內授權管理系統的開(kāi)發(fā)周期和成本;為各種規模的安全應用微計算機應用,2005,26(4:398-401.(上接第163頁(yè))產(chǎn)和安全狀況普査,然后對典型抽樣節點(diǎn)進(jìn)行深入調查和安全風(fēng)險評估,只有這樣才能設計出具有針對性、符合具體發(fā),則由本地的審核中心向集團公司總部的一級∝A系統發(fā)企業(yè)要求的信息安全保障體系。本文就是基于這樣的理念出申請后,由一級A系統簽發(fā)。通過(guò)信用上溯和信用下傳,在參考相關(guān)標準,并結合具體工程實(shí)踐,設計出構建煤業(yè)集不同證書(shū)持有者之間可以建立起信任關(guān)系。團信息安全體系的方法,并應用到神華寧夏煤業(yè)集團公司全網(wǎng)統一的安全管理中心(SαOa傳統的安全管理的安全體系設計項目中,取得了良好的效果方式是將分散在各地、不同種類(lèi)安全系統就近分別管理,這樣導致安全信息互不相通,安全策略難以保持一致,是許多參考文獻的運行管理權利集中到一起,通過(guò)高度自動(dòng)化的管理手段, I nf or ati on Security Manageer, e of practi ce for安全隱患形成的根源之一。安全管理中心將安全保護設施[1] I SOIEC 17799: 2005, Code將分散在各地區、不同業(yè)務(wù)網(wǎng)絡(luò )上面的各種安全產(chǎn)品有機2] ISOI EC 27001 2005, I nf or at i on technol ogy地結成一個(gè)整體,實(shí)行一體化管理。在煤業(yè)集團中建設和部 Security techni ques- I nf or mat i on securi ty nanagement署安全管理中心是對傳統管理方式的一種重大變革,它將 systens requi repent s安全防御上升到了一個(gè)新的、全局的高度,幫助企業(yè)從分散3]美國國家安全局發(fā)布,信息保障技術(shù)框架.北京的安全轉向集中的、可管理的安全。中軟電子出版社,20024]吳昌倫,王毅剛.PDA過(guò)程模式在信息安全管4結束語(yǔ)理體系的應用 ht t p: //w cof I y. com f or um PDCA.信息安全是一個(gè)動(dòng)態(tài)發(fā)展、充滿(mǎn)對抗性的領(lǐng)域,它伴doc.隨著(zhù)信息技術(shù)和攻擊手段的發(fā)展而不斷進(jìn)步。人們對于信5]田野.信息安全等級保護體系設計 ht t p://息安全的認識也由過(guò)去一味強調技術(shù)和產(chǎn)品轉變到現在的ww. cCw com cn/04/0412/e/0412e521.asp人、技術(shù)和運行三個(gè)維度,通過(guò)構建信息安全風(fēng)險管理體系[6]安全風(fēng)險管理指南 ht t p: //w m cr os of t和技術(shù)體系來(lái)保障系統的安全。在具體實(shí)踐中,需要對信息 cord chi na/ technetcl/def aul t系統的各方面進(jìn)行完整、深入的調研,以及大范圍的信息資px.←中國煤化工CNMHG166WW. CIsmacOnm-6n