PMI技术白皮书.docx
《PMI技术白皮书.docx》由会员分享,可在线阅读,更多相关《PMI技术白皮书.docx(32页珍藏版)》请在冰豆网上搜索。
PMI技术白皮书
PMI
技术白皮书
总部:
中国·长春前进大街2266号
电话:
86-0431-5173333传真:
86-0431-*******
吉大正元信息技术股份有限公司
产品相应技术
PMI概览
计算机网络能有效地实现资源共享,但资源共享和信息安全是一对矛盾体。
随着资源共享的进一步加强,随之而来的信息安全问题也日益突出,而身份认证,权限和访问控制又是网络应用安全的两个重要内容,因此它们也成为了当前信息安全领域中的研究热点。
许多应用系统都需要分别在这两个方面采取了相应的安全措施。
但是,对一些大型的组织机构来说,其网络结构比较复杂,应用系统比较多,如果分别对不同的应用系统采用不同的安全策略,则管理将变得越来越复杂,甚至难以控制。
不同的用户对应不同的应用系统,由于机构的网络结构比较复杂,应用系统和用户都是分散分布的,因此对用户的访问控制和权限管理就显得非常的复杂和凌乱。
而机构必须要能够控制:
有“谁”能够访问机构的信息,用户访问的是“什么信息”,哪个用户被授予什么样的“权限”。
一旦机构确定了权限管理和发布的方式,访问控制系统就可以根据机构发放的权限以及定义的安全策略控制用户访问,保护应用系统。
然而,过去在权限生命周期管理,权限的表达和权限管理方式方面没有更成熟更实用的成果,权限管理方案发展相对滞后。
相反,访问控制,或者说授权服务,已经十分成熟,在过去的研究和应用中已经获得了很多的成果,建立了我们目前主要使用的DAC,ACL,MAC,RBAC访问控制模型,其中ACL和MAC得到了最普遍的应用。
目前,RBAC模型也已经比较成熟,支持了最新的应用。
传统的应用系统通常是通过使用用户名和口令的方式来实现对用户的访问控制的,而对权限的控制是每个应用系统分别进行的,不同的应用系统分别针对保护的资源进行权限的管理和控制,这种方式存在一些缺点。
同时,又因为不同系统的设计和实施策略不同,导致了同一机构内存在多种权限管理的现状。
目前,缺乏有效的权限管理带来了以下问题:
⏹权限管理混乱
对一个机构而言,数据和人力资源都是统一的。
但是由于系统设计的原因,可能同时对相同的人员采用不同的管理方式,对机构内的共享数据采用了不同的权限分配策略,这显然不合理,也不利于对机构资源的管理。
⏹带来系统的不安全因素
不同的权限管理策略产生的安全强度是不同的。
这就可能造成机构信息安全管理的漏洞,因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击,这就给机构资源的安全性带来极大的危害。
⏹权限管理依赖于访问控制应用
权限的赋予和撤销往往都是在访问控制应用中产生的,不同的访问控制应用之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。
每个应用都要维护自己的用户信息和授权方法,权限无法在分布的应用中和远程应用中使用。
⏹资源所有者没有权限
应用系统负责权限的发放和使用,造成权限真正的拥有者不能有效,及时的更改,发布实时的权限信息。
比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。
而从本质上讲,权限的发放和权限的鉴别使用是完全不同的两个过程,完全可以分开,权限的拥有者发放权限,而由资源的保护者验证权限。
⏹增加了系统管理员的负担
由于不同的系统采用的是不同的权限管理策略,系统管理员不得不熟悉和操作不同的权限管理模式,这无疑增加了系统管理员的负担。
另外,大多数老系统都采用的是权限访问控制列表的方式,但是对于大型复杂应用用这种方式来分配权限,给系统管理员带来巨大负担且易出错。
⏹开发复杂费用高
设计一个新的安全应用系统时,权限管理是一个极其重要的部分。
在缺乏统一权限管理模型的情况下,设计人员要考虑选择权限管理模型、访问控制授权方案,而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能,为一个应用开发的管理往往无法在其它应用中重用,增大系统的费用。
在过去的五年中,权限管理作为安全的一个领域得到快速发展,也提出了几种权限管理方案,如Kerberos,基于策略服务器方案,但目前应用和研究的热点集中于基于PKI的PMI研究。
在PKI得到较大规模应用以后,人们已经认识到需要超越当前PKI提供的身份验证和机密性,步入授权领域,提供信息环境的权限管理将成为下一个主要目标。
PMI实际提出了一个新的信息保护基础设施,能够系统地建立起对认可用户的授权。
建立在PKI基础上的PMI,对权限管理进行了系统的定义和描述,已经将权限管理研究推到了应用前沿。
关于权限管理和访问控制已经有了很多相关的标准。
1995年,发布了访问控制的标准框架(ISO/IEC10181-3|ITU-TRec.X.812),它主要定义了访问控制的基本概念,定义了通用的访问控制服务和机制,定义了访问控制服务和机制的协议功能需求,定义了访问控制的管理需求,阐明了访问控制服务和机制与其他安全服务和机制的相互作用关系。
在1997年X.509(V3)中定义了基本的属性证书语法(属性证书第1版本),在2000年发布的X.509(V4)中定义了PMI的框架结构,其中定义了扩展属性证书的语法(第2版),定义了PMI模型,规定了委托路径处理,定义了标准PMI扩展集,并增加了目录服务对象定义。
2000年OpenGroup提出了授权API(AZNAPI),定义了标准应用编程接口,用来实现访问控制体系结构符合ISO/IEC10181-3|ITU-TRec.X.812规定的系统。
2000年NIST(NationalInstituteofStandardsandTechnology)发布了基于角色的访问控制建议标准,定义了RBAC(Role-BasedAccessControl)的参考模型。
关于PMI的标准正在制定当中,IETF正在进行的PERMIS(PrivilEgeandRoleManagementInfrastructureStandardsValidation,权限和角色管理基础设施标准验证)项目将在2002年9月31日结束,并计划推出PERMISAPI的标准和相关的RFC。
RSA已提出了IETF草案《AnInternetAttributeCertificateProfileforAuthorization》(draft-ietf-pkix-ac509prof)
国外已经有了PMI相关的产品,如
⏹Entrust:
SecureControl
⏹BaltimoreTechnology:
AttributeCertificateServer
⏹IBM:
Secureway
⏹DASCOM(nowIBM):
aznAPIcode
国内对PMI的研究已经开始,也已经有类似的产品出现,但是还没有应用实例。
从总体上看,PMI的理论是完全成熟的,目前在相关应用支撑技术方面已经具备,很快将有相应的标准公布,产品应用已经提到日程上来。
权限管理基础设施
PMI的定义
ITU(InternationalTelecomunicationsUnion)&IETF(InternetEngineering
TaskForce)使用属性证书实现了PMI。
PrivilegeManagementInfrastructure(PMI)即权限管理基础设施或授权管理基础设施,是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
AttributeAuthority(AA)即属性权威,用来生成并签发属性证书(AttributeCertificate,即AC)的机构。
它负责管理属性证书的整个生命周期。
AttributeCertificate(AC)即属性证书,对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为属性证书,由属性权威签发并管理,它包括一个展开机制和一系列特别的证书扩展机制。
下面我们称身份证书为PKC(PublicKeyCertificate)。
X.509定义的属性证书框架提供了一个构建权限管理基础设施(PMI)的基础,这些结构支持访问控制等应用。
属性证书的使用(由AA签发的)提供一个灵活的权限管理基础设施(PMI)。
对于一个实体的权限约束由属性证书权威(已被数字签名的数据结构)或者由公钥证书权威(包含已明确定义权限约束扩展的)提供。
PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。
建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。
为什么不是PKI
既然PMI建立在PKI的基础之上,为什么不直接基于PKI进行权限管理和访问控制呢?
PublicKeyInfrastructure(PKI),即公开密钥基础设施,按照X.509标准中定义,“是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。
”
应用PKI的目的是管理密钥并通过公钥算法实现用户身份验证。
但在实际访问控制应用中,存在一些问题:
如,用户数目很大时,通过身份验证仅可以确定用户身份,但却不能区分出每个人的用户权限。
这就是PKI新扩展产生的一个原因。
另外,访问控制和授权很复杂。
比如说,在一个机构相关范围内,往往包含多种角色,每个角色担负不同的职责和业务,每个人员又可以承担多个角色(企业内,领导,技术人员,管理人员,销售,伙伴,客户);要保护的内容也是不同的,如数据库,网页,文件…;管理规定可能多种多样,如分支机构定义的规则不能违反高一级机构的规则;访问控制策略也是及其复杂的,同样的一个角色,在不同的系统中具有的权限往往是不同的,部门内的策略不能和机构的策略冲突;安全应用系统的环境也千差万别,等等。
而且,权限信息相对于身份信息来说容易改变,维护授权信息代价相对维护身份信息要高的多。
在PKI得到较大规模应用以后,人们已经认识到需要超越当前PKI提供的身份验证和机密性,步入授权验证的领域,提供信息环境的权限管理将成为下一个主要目标。
因此,ITU和IETF进行了PKI的扩展,允许该基础设施支持和处理授权。
PKI和PMI的关系
PKI和PMI之间的主要区别在于:
PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”;PKI主要进行身份鉴别,证明用户身份,即“你是谁”。
它们之间的关系类似于护照和签证的关系。
护照是身份证明,唯一标识个人信息,只有持有护照才能证明你是一个合法的人。
签证具有属性类别,持有哪一类别的签证才能在该国家进行哪一类的活动。
由于X.509中定义,对于一个实体的权限约束由属性证书权威(已被数字签名的数据结构)或者由公钥证书权威(包含已明确定义权限约束扩展的)提供。
授权信息可以放在身份证书扩展项中(subjectDirectoryAttribute)或者属性证书中,但是将授权信息放在身份证书中是很不方便的。
首先,授权信息和公钥实体的生存期往往不同,授权信息放在身份证书扩展项中导致的结果是缩短了身份证书的生存期,而身份证书的申请审核签发是代价较高的;其次,对授权信息来说,身份证书的签发者通常不具有权威性,这就导致身份证书的签发者必须使用额外的步骤从权威源获得授权信息。
另外,由于授权发布要比身份发布频繁的多,对于同一个实体可由不同的属性权威来颁发一属性证书,赋予不同的权限。
因此,一般使用属性证书来容纳授权信息,PMI可由PKI建造出来并且可独立的执行管理操作。
但是两者之间还存在着联系,即PKI可用于认证属性证书中的实体和所有者身份,并鉴别属性证书签发权威AA的身份。
ConceptPKIEntityPMIEntity
Certificate
PublicKeyCertificate
Attributeertificate
Certificateissuer
CertificationAuthority
AttributeAuthority
Certificateuser
Subject
Holder
Certificatebinding
Subject’snametopublickey
Holder’snametoprivilegeattribute(s)
Revocation
Certificaterevocationlist(CRL)
Attributecertificaterevocationlist(ACRL)
Rootoftrust
Rootcertificationauthorityortrustanchor
Sourceofauthority(SOA)
Subordinateauthority
Subordinatecertificationauthority
Attributeauthority
PMI和PKI有很多相似的概念。
如属性证书(AttributeCertificate,AC)与公钥证书(PKC),属性权威(AttributeAuthority,AA)与认证权威(CA)。
公钥证书是对用户名称和他/她的公钥进行绑定,而属性证书是将用户名称与一个或更多的权限属性进行绑定。
在这个方面,公钥证书可被看为特殊的属性证书。
数字签名公钥证书的实体被称为CA,签名属性证书的实体被称为AA。
PKI信任源有时被称为根CA,而PMI信任源被称为SOA。
CA可以有它们信任的次级CA,次级CA可以代理鉴别和认证,SOA可以将它们的权利授给次级AA。
如果用户需要废除他/她的签字密钥,则CA将签发证书撤销列表。
与之类似,如果用户需要废除授权允许(AuthorizationPermissions),AA将签发一个属性证书撤消列表(ACRL)。
属性权威
AttributeAuthority(AA)即属性权威,用来生成并签发属性证书(AttributeCertificate,即AC)的机构。
它负责管理属性证书的整个生命周期。
AA和CA在逻辑上是完全独立的。
“身份”的创建和维护能(应该)与PMI分离开来。
因此完整的PKI,包括CA,可能在PMI建立之前存在并且可选用。
尽管CA是域身份权威的源,但是它不是自动的权限权威源。
因此,CA本身并不必是AA。
在实际应用PMI系统构建安全应用时,属性权威AA能力和应用方式可以根据具体的建设要求和成本灵活的决定。
例如在一个较小的应用中,系统的使用人员和资源较少,可以采用嵌入式的属性权威AA签发和管理属性证书,减少建设成本和管理开销。
而在一个由多个应用组成的较大的系统中,存在着大量的用户和资源,并对系统有整体的安全需求,这时可以考虑建立属性权威中心,简称AA中心,将所有的应用纳入到同一个安全域下,由PMI的整体安全策略和授权策略实现整个系统范围内的所有应用的整体安全访问。
这样,一方面可以减少属性权威AA的重复性投来资控制成本,另外一方面可以通过较为集中的管理模式减少管理复杂性和开销,并带来更好的全局安全性。
一个属性权威AA的基本组成如下图所示:
图属性权威AA的结构图示
主要包括AC签发,受理和管理,数据库服务器、目录服务器,其中数据库服务器不是必须的。
1)AC签发服务
AC签发服务是属性权威AA的主体,是以PKI技术为基础,以授权服务为主要任务的服务模块,用于签发属性证书,该服务可以是独立的一台服务器提供,也可以是证书签发模块。
2)AA受理
主要用于接受并验证对属性证书的请求,处理该请求,并提供基于属性证书的授权服务、基于属性证书的委托服务等。
3)AA管理
用于管理属性权威AA
4)数据库
主要是用于存储用户和资源的基本信息,也可以将这些信息直接放入LDAP目录服务器。
5)LDAP目录服务器
主要用于发布PMI用户的属性证书以及属性证书的撤消列表ACRL(AttributeCertificateRevocationList),以供查询使用。
该服务器可以直接存放用户和资源信息,这样可以不使用数据库存放这些信息。
需要特别说明的是,各业务应用系统在建设属性权威AA时,要根据系统内用户的数量,管理的模式确定AA属性权威、LDAP服务器的服务能力,并相应地确定与现状相适应的服务能力冗余备份和性能扩展方案,以确保整个PMI服务能力具有延续性和良好的业务量适应能力。
在接下来4节中我们将按照如下方式讨论PMI权限管理和访问控制系统框架。
首先,讨论基于属性证书的权限管理,了解权限的生命周期是如何通过属性证书来管理的;其次,介绍访问控制框架,了解访问控制的抽象模型和证书在其中的作用;接着,介绍策略在不同应用中的作用和组成;最后,讨论如何基于PMI构建安全应用系统。
权限管理
PMI使用属性证书表示和容纳权限信息,对权限生命周期的管理是通过管理证书的生命周期实现的。
属性证书的申请,签发,注销,验证流程对应着权限的申请,发放,撤消,使用验证的过程。
而且,使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用,而且利于权限的分布式应用。
属性证书的特点
PKC将一个标识和公钥绑定,AC将一个标识和一个角色,权限,或者属性绑定(通过数字签名);和PKC一样,AC能被分发和存储或缓存在非安全的分布式环境中;不可伪造,防窜改。
同时,属性证书具有以下特点
⏹分立的发行机构
由于把属性信息从身份信息中分离出来,并且彼此又分别放置在各自证书中,这样发放过程变的合理而且有针对性。
通过一个法定的集中权威机构,来发放身份证书;另外通过一个局域的、熟知用户属性的组织来发放属性证书。
一个人可以拥有好几个属性证书,但每一个都会与唯一的身份证书关联,几个属性证书可以来自不同的机构。
⏹存储介质
属性证书可以分发给用户,由用户存储在磁盘上或者USBKEY上,或者委托给系统进行统一存储和管理而不必分发给用户。
在用户持有属性证书的情况下,为了应用属性证书进行访问控制,必须建立相应的协议来使用属性证书,并且要求用户选择与具体应用对应的属性证书,当用户权限改变时更新自己的属性证书。
由系统托管属性证书时,应用系统根据用户的身份直接从属性库中获得用户相应的属性证书,不需要建立相应的协议,属性证书的使用和变更对用户是透明的。
由于权限的生存期通常比较短,相对来说属性证书的更新是频繁的。
例如,在用户管理属性证书的情况下,当用户的权限增加时,如果用户没有及时更新证书,系统就会拒绝访问,尽管用户确实具有该权限。
而在委托管理模式下,用户的权限增加立刻就会得到认可。
所以,由用户自己管理属性证书往往不如由系统托管方便。
⏹本地发放,
在一个本地发放属性证书的系统中,用于管理证书的架构可以非常简单。
当证书发放者和应用系统同处在一个环境中,安全措施和证书发放手续可以极大简化。
另外,本地发放的属性证书,可以被系统外安全应用系统使用,无论该持有属性证书的用户是处于本地还是远程。
⏹基于属性,而不是基于身份进行访问控制
应用属性证书的最大好处是,在存取控制方面不再基于用户身份,取而代之的是基于其拥有属性来决定其对某一资源或服务是否拥有访问权。
这带来各方面的好处:
应用程序中访问控制规则可以简单地被定义成按属性的有效期来决定访问权。
这非常简单、容易理解,并且更易维护。
同时,这是一个可伸缩的方案,可以支持大量的用户,但又不用对应用程序作任何改变(假定所有用户都可以被定义成同样的一套属性集合)。
如果使用传统的基于用户访问控制机制,每增加一个新用户,都要求在每个应用程序的ACLs(AccessControlList)中。
此举导致的必然结果是要么ACLs在各处分布,要么产生一个集中式的大型ACLs,所有应用程序必须联机访问。
从管理角度来说两者都是十分困难的。
如果迁移到基于角色的访问控制,可以避免以上操作带来的实施和管理复杂性。
⏹短时效
属性证书可以设置成短时效的,如果属性证书被设定成短时效的。
发放必须是一个轻载过程。
也就是说,属性证书的发放必须简单,甚至自动化,因为这个过程须经常重复。
而且本地操作要好于远程、集中的管理。
撤回证书变得毫无必要,因为有效期过短,被暴露的属性证书很快会失效。
⏹属性证书与身份证书的相互关联
属性证书不能单独使用,而且必须支持某种形式的身份认证过程。
这种身份证书与属性证书的关联检查是至关重要的,因为这个过程建立起一种信任传递,可以防止一个人的属性被另外的人假冒使用。
PMI模型
绝大多数的访问控制应用都能抽象成一般的权限管理模型,包括3个实体:
对象,权限声称者(privilegeasserter)和权限验证者(privilegeverifier)。
⏹对象可以是被保护的资源,例如在一个访问控制应用中,受保护资源就是对象。
⏹权限声明者也就是访问折,是持有特定权限并声明其权限具有特定使用内容的实体。
⏹权限验证者对访问动作进行验证和决策,是制定决策的实体,决定被声明的权限对于使用内容来说是否充分。
权限验证者根据4个条件决定访问通过/失败:
——权限声明者的权限
——适当的权限策略
——当前环境变量,如果有的话
——对象方法的敏感度,如果有的话
其中,权限策略说明了对于给定敏感度夫人对象方法或权限的用法和内容,用户持有的权限需要满足的什么条件达到什么要求。
权限策略准确定义了什么时候权限验证者应该确定一套已存在的权限是“充分的”,以便许可(对要求的对象、资源,应用等等)权限声明者访问。
为了保证系统的安全性,权限策略需要完整性和可靠性保护,防止他人通过修改权限策略而攻击系统。
下面对应的控制模型说明验证者如何控制权限声明者对保护对象的访问,并表达了最基本的影响因素:
访问控制框架
目前我们使用的主要访问控制授权方案,主要有一下几种:
⏹DAC(DiscretionaryAccessControl)针对用户给出访问资源的权限,如该用户能够访哪些资源。
⏹ACL(AccessControlList)访问控制列表方式,目前应用的最多的方式,目标资源拥有访问权限列表,如该资源允许哪些用户访问
⏹MAC(MandatoryAccessControl)该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如,不保密,限制,秘密,机密,绝密);访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标。
⏹RBAC(Role-BasedAccessControl)定义一些组织内的角色,再根据授权策略给这些角色分配相应的权限
访问控制抽象模型
但是,无论哪一种访问控制授权方案都可以表示成如下的基本元素和抽象。
访问控制就是要在访问者和目标之间介入一个安全机制,验证访问者的权限、控制受保护的目标。
访问者提出对目的访问请求,被访问控制执行单元(AEF,AccessControlEnforcementFunction,实际是应用内实现访问控制的一段代码或者监听程序)截获,执行单元将请求信息和目标信息以决策请求的方式提交给访问控制决策单元(ADF,AccessControlDecisionFunction,是一个判断逻辑,如访问控制代码中的判断函数),决策单元根据相关信息返回决策结果(结果往往是允
升级会员 