格尔授权管理系统产品白皮书.pdf
《格尔授权管理系统产品白皮书.pdf》由会员分享,可在线阅读,更多相关《格尔授权管理系统产品白皮书.pdf(14页珍藏版)》请在冰豆网上搜索。
上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com1格尔授权管理系统产品白皮书v1.1.0上海格尔软件股份有限公司2004年12月上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com2保密事宜:
本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。
接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。
对于以下三种信息,接受方不向格尔公司承担保密责任:
1)接受方在接收该文档前,已经掌握的信息。
2)可以通过与接受方无关的其它渠道公开获得的信息。
3)可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com3目录1前言不乐观的授权管理现状.42格尔授权管理系统的技术特点.63产品简介.93.1格尔PMS产品线.93.2体系结构.94产品特性及功能.104.1产品特性.104.2基本功能一览表.115实施效果.126附录.136.1名词解释.13图表目录图表1当前授权管理的应用状况图.4图表2使用SAML框架进行授权管理.7图表3格尔PMS产品列表.9图表4格尔PMS产品体系架构.10图表5格尔PMS产品功能列表.12图表6格尔PMS实施效果图.12上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com41前言不乐观的授权管理现状随着社会的发展以及企业的不断壮大,企业网的范围也不断扩大,从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。
随着各种网络应用不断涌现,在采用网络应用较多的企业中,出现了安全管理的问题,尤其是当这些应用采用不同的权限分配和控制方式时,整体的安全策略难以制定,各个子系统的管理变得复杂,很难得到有效的控制。
useruser2server1AC1server2AC2server3AC3user3Admin图表1当前授权管理的应用状况图不同的用户对应不同的应用系统,由于企业或机构的网络结构比较复杂,应用系统和用户都是分散分布的,因此对用户的访问控制和权限管理就显得非常的复杂和凌乱。
而网络与应用的管理者必须要能够控制:
有“谁”能够访问应用的信息,用户访问的是“什么信息”,哪个用户被授予什么样的“权限”。
然而,在图1表达出的目前大多数授权管理应用状况说明,在应用数量不断增长,系统安全提出更高要求的情况下,这种权限的表达和权限管理方式的复杂度会急剧提升,提高管理的压力,成本并且有安全方面的风险,即这种传统权限管理方案已经相对滞后了。
传统权限管理方案通常是通过使用用户名和口令的方式来实现对用户的访上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com5问控制的,而对权限的控制是每个应用系统分别进行的,不同的应用系统分别针对保护的资源进行权限的管理和控制,同时,又因为不同系统的设计和实施策略不同,导致了同一机构内存在多种权限管理的现状。
传统权限管理方案主要存在下面的问题:
l权限管理混乱对一个机构而言,数据和人力资源都是统一的。
但是由于系统设计的原因,可能同时对相同的人员采用不同的管理方式,对机构内的共享数据采用了不同的权限分配策略,这显然不合理,也不利于对机构资源的管理。
l带来系统的不安全因素不同的权限管理策略产生的安全强度是不同的。
这就可能造成机构信息安全管理的漏洞,因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击,这就给机构资源的安全性带来极大的危害。
l权限管理依赖于访问控制应用权限的赋予和撤销往往都是在访问控制应用中产生的,不同的访问控制应用之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。
每个应用都要维护自己的用户信息和授权方法,权限无法在分布的应用中和远程应用中使用。
l资源所有者没有权限应用系统负责权限的发放和使用,造成权限真正的拥有者不能有效,及时的更改,发布实时的权限信息。
比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。
而从本质上讲,权限的发放和权限的鉴别使用是完全不同的两个过程,完全可以分开,权限的拥有者发放权限,而由资源的保护者验证权限。
l增加了系统管理员的负担由于不同的系统采用的是不同的权限管理策略,系统管理员不得不熟悉和操作不同的权限管理模式,这无疑增加了系统管理员的负担。
另外,大多数老系统都采用的是权限访问控制列表的方式,但是对于大型复杂应上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com6用用这种方式来分配权限,给系统管理员带来巨大负担且易出错。
l开发复杂费用高设计一个新的安全应用系统时,权限管理是一个极其重要的部分。
在缺乏统一权限管理模型的情况下,设计人员要考虑选择权限管理模型、访问控制授权方案,而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能,为一个应用开发的管理往往无法在其它应用中重用,增大系统的费用。
2格尔授权管理系统的技术特点用单一的方式来实现多个应用统一访问控制和授权很复杂。
比如说,在一个机构相关范围内,往往包含多种角色,每个角色担负不同的职责和业务,每个人员又可以承担多个角色(领导,技术人员,管理人员,销售,伙伴,客户);要保护的内容也是不同的,如数据库,网页,文件;管理规定可能多种多样,如分支机构定义的规则不能违反高一级机构的规则;访问控制策略也是及其复杂的,同样的一个角色,在不同的系统中具有的权限往往是不同的,部门内的策略不能和机构的策略冲突;安全应用系统的环境也千差万别,等等。
在解决上面这些问题时,格尔授权管理系统(PMS)采用了一些先进行的技术和理念:
lSAML技术框架从当前的的技术走向来看,SAML技术是具备解决授权问题的明星技术。
SAML是由OASIS组织(高级结构化信息标准组织)批准,基于XML的安全访问控制框架体系和协议。
上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com7鉴别权威用户策略决策中心属性权威策略策略系统实体策略鉴别声明授权决定声明属性声明应用请求策略执行中心图表2使用SAML框架进行授权管理在SAML框架下,无论用户使用哪种信任机制,只要满足SAML的接口、信息交互定义和流程规范,相互之间都可以无缝的相互结合。
SAML规范的完整框架及有关信息交互格式与协议使得现有的各种身份鉴别机制(PKI、Kerberos、口令)、各种授权机制(基于属性证书的PMI、ACL、Kerberos的访问控制)通过使用统一接口实现跨信任域的互操作,便于分布式应用系统的信任和授权的统一管理。
lXACML技术XACML是可以描述及适用关于通过因特网访问信息的控制策略的标记语言。
该语言设计为通过提供能够表现权限认证策略的统一语言,从而可以在各种授权管理产品之间实现互联,由于该语言具有可以适应大规模集成环境的灵活性和功能,因此将成为关于新一代授权管理产品的名符其实的标准。
在多种环境以及不同供应商的产品中采用统一的策略是实现高度可靠安全性的关键,由于XACML组合了传输访问申请人属性的机制如上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com8SAMLAssertion、Java许可(Permission)以及WS-SecurityTokens等,因此在可以应用于Web服务J2SE等电子商务环境的访问许可基础设施中成为一个重要的要素。
lXML/SOAP技术SOAP利用XML来包装程序的请求和响应,由于采用了XML的优点,可以轻易使用HTTP,SMTP等网络上最常用使用的通信方式来携带,更可以穿越企业防火墙,还可以通过SSL,S/MIME等机制加密,安全性高。
另外,由于SOAP是个标准文字格式,所以它具备程序语言和操作平台的独立性,这正是web-service时代所需要的特征。
l应用证书技术从普遍应用而言,权限信息相对于身份信息来说容易改变,维护授权信息代价相对维护身份信息要高的多,所以在PKI得到较大规模应用以后,人们已经认识到需要超越当前PKI提供的身份验证和机密性,使用针对应用的应用证书来进行用户属性在多个应用中的定义。
上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com93产品简介3.1格尔PMS产品线格尔PMS产品,根据用户的需求不同,形成一个PMS产品系列,提供不同级别的服务:
产品型号产品特点PMS-2.0.0标准版具备PMS产品的通用特点PMS-2.0.0企业版可接入属性认证系统,可以进行客户化定制PMS-2.0.0高级企业版支持分布式大型应用图表3格尔PMS产品列表3.2体系结构格尔PMS由一系列软件实现模块组成,其体系结构如下所示:
上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
(86-021)62327010Fax:
(86-021)62327015URL:
http:
/www.koal.com10策略管理PAP鉴别权威访问者策略信息PIP应用系统属性权威验证身份为AA签发身份证书请求决定属性权威AA注册申请
升级会员 