前言：本站為你精心整理了PMI授權管理體系設計分析范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1系統總體方案

1．1架構和功能

系統依托pmi，遵循X．509協議、GB／T16264．8—2005和ISO／IEC9594—8(2005)標準，采用RBAC模型。系統包括訪問控制執行單元(AccessControlEnforcementFunction，AEF)的實施接口、訪問控制決策單元(AccessControlDecisionFunction，ADF)的決策服務、決策管理和系統管理共四部分。用戶權限由屬性證書描述，系統的用戶、角色、目標資源、操作行為及屬性證書等各類信息存儲在LDAP中。系統為用戶設計了PKI、PMI和LDAP三類服務供其調用⋯。其中，PKI和PMI服務遵守X．509、GB／T16264．8—2005、ISO／IEC9594—8(2005)及相應的PKI規范，LDAP服務遵守RFC2251(V3)技術規范。系統架構如所示，功能模塊如所示。

1．2主要功能模塊

1．2．1AEF實施接口

①接收由應用系統或PKI認證系統傳遞過來的用戶的身份信息、要訪問的資源，以及對資源的操作行為。無論是PKI或用戶名一口令哪種認證形式，均提供相同接口；②按預定格式生成決策請求信息，并向訪問控制決策單元ADF發出決策請求；③接收ADF的決策結果，并將結果傳遞到應用系統，由應用系統根據決策結果執行或者拒絕用戶的訪問。

1．2．2ADF決策服務

①接收由AEF發出的決策請求信息；②檢索策略規測，對決策請求作出決策；③將決策結果和用戶的權限信息返給AEF，并對決策過程的所有操作提供審計接口。

1．2．3決策管理

①資源與操作管理。對目標資源及操作行為提供維護功能；對資源信息和操作行為根據應用需求附加安全屬性；定義目標資源角色、操作角色及各自的繼承關系等；對資源的各種操作提供審計接口。②用戶角色管理。根據實際應用環境的要求來劃分角色，可以按企業組織結構，或根據級別和職責來決定，完全由應用系統靈活設置，隨時能夠增刪改；角色之間支持繼承；對角色的操作提供審計接口。③用戶管理。提供增刪改功能；按類型(如員工、合作伙伴、顧客等)分類管理；對用戶操作提供審計。④授權策略管理。定義授權約束條件。包括為用戶分配角色時要滿足的靜態職責分離約束，會話激活角色時要滿足的動態職責分離約束及權限分配時要滿足的約束條件；定義系統內的權限；分配權限；申請、簽發、撤銷屬性證書；對所有操作提供審計接口。⑤委托管理。對授權體系進行維護，能夠增加或撤銷屬性權威機構AA和AA；對系統管理員進行管理，賦予或撤銷其屬性權威機構AA和AA的操作職能；系統提供操作審計。

1．2．4系統管理

①運行環境信息的管理。環境信息、相關參數等的配置；初始化、啟動、運行等配置信息管理；系統提供操作審計。②首席用戶。首席用戶是系統設置的第一個默認用戶，屬于超級管理員。他可以增刪改管理員，并對管理員授權；它還可以制定授權策略，進行環境信息配置；系統提供首席用戶的操作審計。③管理員。管理員分為超級管理員、LDAP目錄服務管理員、授權管理員和簽發管理員四種。超級管理員擔當管理員的維護、系統環境信息和參數配置等工作；LDAP目錄服務管理員負責LDAP數據庫的維護，負責創建和管理應用系統的用戶樹、角色樹、目標資源樹、操作樹及屬性證書樹等；授權管理員負責用戶與用戶角色、資源與資源角色及操作與操作角色間關系的維護，負責授權策略及委托等決策管理的職能；簽發管理員負責屬性證書管理，包括簽發、撤銷等維護職能。終端實ll終端實體EEll體EE對管理員的每次操作都提供審計。

2授權體系與訪問控制模型

2．1授權體系PMI在體系上可以分為三級，分別是信任源點SOA(SourceOfAuthority)中心、屬性權威機構AA(At—tributeAuthority)中心和AA點。系統將第一級設置為分公司或連鎖店SOA，分公司或連鎖店分布在不同的物理區域，基本上是一個獨立的應用系統，互相之間沒有聯系，所以采取多SOA方案；第二級按應用子系統劃分，如財務管理子系統的AA、物流管理子系統的AA、銷售與采購子系統AA、人力資源子系統AA等；第三級為各子系統的AA點，其設立和數目根據子系統的業務需求確定，可以隨時增加或刪除。授權管理的結構如所示。

2．2訪問控制模型及其實現

2．2．1訪問控制模型

采用RBAC模型，并根據應用的實際情況對其加以改進，形成了一個增強的RBAC模型。該模型在原有RBAC基礎上添加了目標角色和操作角色兩個元素，相應地也增加了操作與操作角色、目標與目標角色及操作角色與目標角色三種關系。對新添加的角色引入層次繼承關系，對新添加的關系引入靜態約束。其模型描述如所示。

2．2．2用戶權限的表示

系統是通過對角色分配權限及為用戶指定角色來實現授權的，屬性證書是載體，記錄角色被指派了哪些權限，用戶擁有哪些角色。屬性證書分為角色規范證書RSC(RoleSpecificationCertificate)、角色分配證書RAC(RoleAssignmentCertificate)及屬性描述符證書ADC(AttributeDescriptorCertificate)。RSC記錄角色所擁有的權限，RAC記錄指派給用戶的角色，ADC描述訪問控制策略應遵守的規則。靜態職責分離、動態職責分離及客體約束等存入LDAP數據庫，以便在權限分配和角色激活時檢測是否滿足約束條件。AA可以定義任意數量的角色，角色及角色的成員(即用戶)甚至可以通過不同的AA分別定義和管理，角色成員的分配可以由AA實施，角色及角色的成員可以給予任意的生命周期。顯示出了系統RBAC模型中SOA、AA、AA、角色、終端實體(用戶)、屬性證書、LDAP證書庫等各實體之間的關系。

3LDAP數據庫設計

3．1存儲結構

LDAP使用一種類似于X．500協議中數據的組織方式來訪問目錄中的信息，支持分布式環境、安全可靠、靈活方便，逐漸成為下一代智能化網絡管理的核心部分”。系統利用LDAP存放應用的用戶樹、角色樹、目標資源樹、操作樹及屬性證書樹等信息。存儲結構如所示。

3．2LDAP服務

LDAP服務提供了查詢、更新、認證及LDAP擴展共四類操作。系統利用c語言對LDAP操作進行封裝(1ber．h，ldap．h)，提供了連接、斷開連接，綁定、解除綁定，條目的增刪改，條目查詢等功能。為了安全起見，這些功能都由相應的系統管理員執行。LDAP目錄服務管理員負責LDAP數據庫的維護，負責創建和管理應用系統的用戶樹、角色樹、目標資源樹、操作樹及屬性證書樹等。

4結束語

該系統為企業安全應用面臨的資源共享問題提供了一個可行的訪問控制方案，解決了跨組織邊界的用戶和服務資源的動態調整及安全屬性種類繁多、權限決策輔助因素的多變等問題。該系統已在筆者單位開發的網絡安全及安全辦公平臺等項目中得到應用，很好地解決了項目面臨的安全問題。系統通過將訪問控制機制從具體應用的開發和管理中分離出來，不僅屏蔽了安全技術的復雜性，也擁有很強的靈活性、適應性和可擴展性。