PMI在大型应用系统中的应用

学术研究Ac adem c ResearchPM在大型应用系统中的应用赵晓东(航天科技财务有限责任公司,北京100830)【摘要】随着IT系统规模和用户范围的扩大,在大中型企业和组织中,授权管理仍然是复杂和具有挑战性的工作论文概述了授权管理基础设施(PM)在大型应用系统中的应用和建设问题,以及PM对应用系统授权管理和访问控制模式的影响【关键词】信息安全;授权管理基础设施;公钥基础设施【中图分类号】TP393【文献标识码】A【文章编号】1009-8054(2006)12-0164-03Applying PMI in Large Scale Application Systemsng(Aerospace Science Technology Finance Co, Ltd Beijing 100830, China)(Abstract ]Especially recent years, with the scale-up of IT systems and the extension of scope of users, effective privilege administration is still a complex and challenging work, which is a major issue in large enterprises and organizations.This text introduced the applying and building of Privilege Management Infrastructure in large scale application systemsand analyzed the influence on authorization and access control model of application systems【 Keywords】 Information Security;PMI;PKI户访问的是“什么信息”,哪个用户被授予什么样的“权限”。1前言旦机构确定了权限管理和发布的方式,访问控制系统就可计算机网络能有效地实现资源共享,但资源共享和信息以根据机构发放的权限以及定义的安全策略控制用户访问,安全是一对矛盾体。随着资源共享的进一步加强,随之而来保护应用系统。然而,过去在权限生命周期管理,权限的表的信息安全问题也日益突出,而身份认证、权限和访问控制达和权限管理方式方面没有更成熟更实用的成果,权限管理又是网络应用安全的两个重要内容,因此它们也成为当前信方案发展相对滞后。息安全领域中的研究热点。许多应用系统都需要分别在这两相反,访问控制,或者说授权服务,已经十分成熟,在过个方面采取相应的安全措施,但是,对一些大型的组织机构去的研究和应用中已经获得了很多的成果,建立了我们目前主来说,其网络结构比较复杂,应用系统比较多,如果分别对要使用的DAC、ACL、MAC、RBAC访问控制模型。传统的不同的应用系统采用不同的安全策略,管理将变得越来越复应用系统通常是通过使用用户名和口令的方式来实现对用户的甚至难以控制。由于机构的网络结构比较复杂,应用系访问控制,而对权限旳控制是毎个应用系统分别进行的,不同统和用户都是分散分布的,不同的用户对应不同的应用系统,的应用系统分别针对保护的资源进行权限的管理和控制,这种因此对用户的访问控制和权限管理就显得非常的复杂和淩乱。方式存在一些缺点。同时,又因为不同系统的设计和实施策略而机构必须要能够控制:有“谁”能够访问机构的信息,用不同,导致了同一机构内存在多种权限管理的现状。2什么是PM收稿日期:2006-10-27目前,在信息化建设过程中,权限管理通常采用PM技作者简介:赵晓东,男,汉族,1978年生,航天科技财务有术。PM是“ Privi l ege Managerment I nf r astr uct ur e”的缩限责任公司,学士,工程硕土在读,研究方向为计算机应用写,意为“授权管ITIIT n+c" i onal信息安全。Tel communi cat i中国煤化工neeri nCNMHG164www.cismag.com,cm学术研究Ac ademi c Resear chTask Force)使用属性证书实现了PM于促进统一身份管理和授权系统与业务应用系统各自向着规授权管理基础设施是属性证书、属性权威、属性证书库范化的方向发展等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撒销等功能。建立PM的目的是管理权限的生存周4授权模式的变化期,通过PM对证书和权限的管理,可以为应用系统建立控制策略规则是随着应用变化的,而权限是可以不必依个高安全强度,更易维护管理,扩展能力极强的访问控制环赖于具体的应用进行管理的,比如说,一个注册会计师,他境,提供可以不断延伸和标准化的授权平台。同公钥基础设拥有国內会计师注册机构颁发的会计师资质,但是,在不同施PK相比,两者主要区别在于:PK证明用户是谁,而PM的企业内,他能够接触的资料范围是完全不同的,或者说,他证明这个用户有什么权限,能干什么,而且授权管理基础设的权限是根据不同情况变化的。导致变化的原因是每个企业施PM需要公钥基础设施PKI为其提供身份认证。对会计师能够访问的范围根据自己的情况进行了具体的定义也就是使用了不同的策略3深入认识PM基于PM,就可以本着“谁负责,谁授权”的原则,将PM实际提岀了一个新的信息保护基础设施,能够与权限分配、发布、撤消过程与权限在应用系统中的使用和验和目录服务紧密地集成,并系统地建立起对认可用户的证等一系列活动分成两个相对独立的过程。对权限的分配、特定授权,对权限管理进行了系统的定乂和描述,完整地提存储、分发、撤消旳过程,我们称其为授权管理过程,使用供了授权服务所需过程。建立在PKI基础上的PM,以向用PM进行管理;另一个相对独立的过程是用户使用授权管理户和应用程序提供权限管理和授权服努为目标,主要负责向过程产生的权限访问应用系统,应用系统根据系统定义的控业务应用系统提供与应用相关的授权服务管理,提供用户身制策略判断用户权限的合法性,并允许或拒绝访问的过程份到应用授权的映射功能,能够为各种应用系统提供统一的这个过程我们称其为访问控制过程。授权管理平台,极大地提高权限管理的安全性,并简化应用当将传统的访问控制过程明确地区分为这两个独立的过开发。更为重要的是,PM为应用提供一致和标准的权限服程时,我们能够更清晰地划分职责,规范业务管理流程和减务,强有力地支持与应用的集成,使用户建立的访问控制体轻系统管理的复杂性。这时人事官员或权限管只责是系能支持大量的用户和访问控制应用,并能够有效地控制管根据所辖用户的真实情况给他授权(分配某个角色),只要这理的复杂性,可以根据应用的发展随时在体系中加入新的访个授权符合总体授权策略就不必关心具体让用户访问哪一个问控制应用应用系统;而资源和数据的管理和保护人员只是按照访问控需要注意的是,PM的提出实际是为各类实体提供了制策略来为毎个角色赋予能够访问的资源的范围,而不必关种规范化和可交互的描述能力,而不是一种具体的授权管理心要为哪-个人分配什么样的权限。这样能够使毎个人只是实现模式。PK/PM联合为各类实体建立了一种标准的标识关注自己的业务工作,減轻了管理员负担,而且容易界定问方法、规范化的实体知识描述方法和安全一致的发布方法。题的责任范围这就使得统一或分散的管理模式下产生的实体和实体信息能够以可信的方式跨越不同的应用系统边界(不必在应用5PM的建设模式A和B中分别管理这些信息),并为各类应用系统认证和授权PM作为与PK紧密集成的基础设施,扩展了PK作为提供必要的信息。在管理上,PM为跨越不同的应用系统边基础设施在实体管理方面的能力。PM在大型系统中更为界,对机构外用户(甚至是未知用户)进行授权管理提供了可般性的作用是作为权威源( SOA, Sour ce af Aut horit y)1对能。在这个意义上,基于PKI/PM构造的统一身份管理和各业务机构的权威或资信进行管理(如许可证、执照、实体属授权系统完全可以作为信息化系统中规范的全局实体管理系性)。这种权威往往是不可让渡的,即权力完全由拥有者行使统的核心。而且,身份证书和属性证书本质上降低了实体管(或进行委托),而不能由其它机构和人代为行使(或得到委理和授权系统与应用系统的偶合度。证书是各类管理系统的托)。为此,应使用PM为这些资信和权限的管理提供管理支产物,由相关业务部门根据规范流程和需要进行管理,不受持,以保证资信和权限存在旳合法性和与应用系统的交互能某个具体业务系统的应用模式和访问控制模式旳影响。各种力。目前,国内已建的PM主要对人员属性进行管理,本质业务应用系统对所有实体证书使用一致的模式获取、验证和上是一个人员信中N类似人员属性管解析,而不必考虑管理系统流程的变化。这种方式非常有利理的方式,在各YHe中国煤化工类实体建立规CNMHG信息安全与通信保165学术研究Ac adem c Research范的属性知识描述,为各类应用系统的授权和访问控制提供的访冋控制提供标准化旳授权接口;使统一或分散的管理模必要的信息式下产生的授权信息,能够以可信的方式跨越不同的应用系从管理和效率考虑,可以建立全局性、统一的PM,管统边界,为大型应用系统信息化整合提供了重要的支撑杋制。理面向全网的权限和资信信息,这也意味着各机构对代表所有机构进行全局管理的PM进行了权限委托。对那些局限于参考文献某个区域、机构或者应用的资信管理,可以考虑建立相应资1]张健,胡成全,孙吉贵,马春旺,齐红.基于PK信和权限管理系统(或建立独立的PM,主要基于安全性和规技术的PM的研究与实现].计算机集成制造系统,2005,11模因素),即可建设一个全局性的PM(降低应用复杂性)和为(6:881-884某些业务系统建设特定权威的PM2]冯瑜瑾,丁志强,罗永红.属性证书:将PK扩展到授权领域的数字证书[].云南大学学报(自然科学版),20036结论25(6A:111-115在PK得到较大规模应用以后,人们已经认识到需要超[3] ITU T Recormmendat i on. X509 ISOI EC 9594-越当前PK提供的身份验证和机密性,步入授权验证的领域,8 I nf or nat i on technol ogy open syst emi nt er connect i on提供信息环境的权限管理将成为下一个主要目标。PM可以 t he di rect ory: publ i c key and at tri but e certi fi cate为应用系统提供适合应用规模和投资额度权限管理支持和服 fr amcor k务;能够极大地降低由多个相同或不同的应用组成的安全域4洪帆,张驰.基于属性证书的特权管理基础设施[]内授权管理系统的开发周期和成本;为各种规模的安全应用微计算机应用,2005,26(4:398-401.(上接第163页)产和安全状况普査,然后对典型抽样节点进行深入调查和安全风险评估,只有这样才能设计出具有针对性、符合具体发,则由本地的审核中心向集团公司总部的一级∝A系统发企业要求的信息安全保障体系。本文就是基于这样的理念出申请后,由一级A系统签发。通过信用上溯和信用下传,在参考相关标准,并结合具体工程实践,设计出构建煤业集不同证书持有者之间可以建立起信任关系。团信息安全体系的方法,并应用到神华宁夏煤业集团公司全网统一的安全管理中心(SαOa传统的安全管理的安全体系设计项目中,取得了良好的效果方式是将分散在各地、不同种类安全系统就近分别管理,这样导致安全信息互不相通,安全策略难以保持一致,是许多参考文献的运行管理权利集中到一起,通过高度自动化的管理手段, I nf or ati on Security Manageer, e of practi ce for安全隐患形成的根源之一。安全管理中心将安全保护设施[1] I SOIEC 17799: 2005, Code将分散在各地区、不同业务网络上面的各种安全产品有机2] ISOI EC 27001 2005, I nf or at i on technol ogy地结成一个整体,实行一体化管理。在煤业集团中建设和部 Security techni ques- I nf or mat i on securi ty nanagement署安全管理中心是对传统管理方式的一种重大变革,它将 systens requi repent s安全防御上升到了一个新的、全局的高度,帮助企业从分散3]美国国家安全局发布,信息保障技术框架.北京的安全转向集中的、可管理的安全。中软电子出版社,20024]吴昌伦,王毅刚.PDA过程模式在信息安全管4结束语理体系的应用 ht t p: //w cof I y. com f or um PDCA.信息安全是一个动态发展、充满对抗性的领域,它伴doc.随着信息技术和攻击手段的发展而不断进步。人们对于信5]田野.信息安全等级保护体系设计 ht t p://息安全的认识也由过去一味强调技术和产品转变到现在的ww. cCw com cn/04/0412/e/0412e521.asp人、技术和运行三个维度,通过构建信息安全风险管理体系[6]安全风险管理指南 ht t p: //w m cr os of t和技术体系来保障系统的安全。在具体实践中,需要对信息 cord chi na/ technetcl/def aul t系统的各方面进行完整、深入的调研,以及大范围的信息资px.←中国煤化工CNMHG166WW. CIsmacOnm-6n