鉴于中的非授权用户非法操作和合法用户的越权操作，以及PIG的公钥证书(Pl(C)只能提供身份验证，无法实现权限管理等问题，提出了一种基于PMI(权限管理基础设施)权限管理的0A安全模型．该模型使用PIG的公钥证书和PMI的属性证书进行身份验证和权限管理，防止了非法和越权操作，授权更具公正性和权威性。实践结果表明，该安全模型可以解决OA系统中用户的非授权访问、不可否认性和数据文件的保密性、完整性等安全性问题．

            0引言

            公钥基础设施(publickeyinfrastructure，PIG)是信息安全领域成熟的网络安全解决方案，很多网络安全技术和方案已经离不开PIG技术的支持。它在为网络安全应用提供安全功能的同时，也面临着自身不足的挑战。随着技术的不断发展，当前PKI提供的身份认证和机密性已经不能满足现有的安全需求，要求步入权限管理领域。但由PIG进行权限管理时，存在一些问题：公钥证书的身份的长效性和角色特权的相对短效性的矛盾；不便于不同系统互通互用；不利于权限的分配管理。因此，要求有一独立机构在Pl(I提供身份认证的基础上，使用安全授权技术确定实体的访问权限，提供相应的授权管理机制，管理用户在系统中的动作行为。PMI(授权管理基础设施)是在公钥基础设施提供身份认证的基础上，通过属性证书实现对实体(用户)的权限管理，弥补了PKI的不足之处。然而，关于PMI系统的研究和开发还处在验证阶段，没有统一的标准。国外著名的信息安全公司如RSA，Entrust，Baltimore等在PMI研究方面都进行了大量的工作，政府也进行了相应的研究。国内，全国信息安全标准化技术委员会成立PKI／PMI工作组。重点研究国内外P斑／PMI标准现状、体系，制定了《信息技术开发系统互联目录公钥和属性证书框架》，同时国内也已经有相关模型和类似的产品出现，但是还没有相应的应用实例。国内的有些公司，例如：吉大正元信息技术股份有限公司的JIT-SSO在PMI的产品探索和研究上进行了一定的工作。PMI在权限管理方面相对传统的权限管理，具有很大的优越性，成为当今研究的热点。

            在(OA)系统中，PIG为其提供了用户的身份验证，解决了身份假冒问题，但是出现了非授权用户的越权操作。同时由于OA系统业务处理流程的特殊性，所以要求对不同级别的合法用户，在信息系统的访问和操作方面应该给予严格的权限控制。当前OA授权是后台提供系统级的数据保护，管理模式陈旧，系统管理员参与业务和权限管理，授权失去公正性和权威性。基于PIG技术的PMI授权管理是采用属性证书的形式进行授权，是一独立的授权系统，可以弥补OA系统中权限管理存在的缺陷。在OA中融合PMI的权限管理，提高了系统的安全性，同时系统的授权是可信赖的、公正的、权威的，使系统的实用性更强。

            lPMI概述

            公钥基础设施(publickeyinfrastructure，PKI)，提供对实体的身份验证服务，然而对实体的权限管理存在不足，因此出现了合法用户的非法操作或越权操作等问题。PMI即权限管理基础设施，在PKI提供身份验证服务的基础上，提供权限管理服务。它描述实体为了完成某些操作所需要具有的权限，是一个授权过程，不是对实体身份的鉴别。授予某个实体到某个对象的访问权限即授权。PKI的身份鉴别能确定“他是谁”，PMI解决“他能做什么”的问题。在PKI提供可信的身份认证的基础上，提供一种有效的体系结构，以属性证书(表示和容纳权限信息)的形式，管理实体的权限属性，这是PMI的最终目标。这里包括两层含义：一方面，PMI保证用户可以做他们有权限进行的操作、获取他们有权获取的信息：另一方面，PMI应能提供跨应用、跨企业、跨系统、跨安全域的用户属性的管理和交互手段。

            属性证书(AC)是由属性权威(AA)签发的将实体与其属性集(角色、权限等)捆绑在一起的数据结构，权威机构的数字签名保证了绑定的有效性和合法性。这里数字签名的作用不是用于证明公钥／私钥对和身份之间的关系，而是用于证明证书持有者拥有的权限，AC即是权限信息的载体。PMI对权限生命周期的管理是通过管理属性证书的生命周期实现的。属性证书的申请、签发、注销、验证流程对应着权限的申请、授予、撤销、使用验证的过程。使用属性证书管理权限，这样权限的管理就不必依赖某个具体的应用。

            属性证书把授权信息和公钥证书分离，提供对实体权限属性的授予服务，但是它建立在公钥证书可信的身份认证基础上，因此它的使用必须结合公钥证书。先使用公钥证书进行身份认证后使用属性证书进行授权验证，没有经过身份认证的授权是没有意义的，也是不安全的。属性证书没有公钥，通过持有者的某个属性和公钥证书链接。当与身份相关的特权属性变化时，证书所对应的公钥证书可以保持相对稳定。因此，实体可以拥有与每个公钥证书相关的多个属性证书。

            公钥证书可以被认为是一本护照：它表明持有者的身份，不能够轻易获得，并且生命周期长。属性证书类似一个入口签证：一般由不同的权威机构颁发，并且生命周期短。获得一个入口签证一般需要出示一个护照，获得签证可以是一个很简单的过程。

            2OA安全模型设计方案

            在诸多的应用系统中，权限的管理是不容忽视的重要部分。然而，当前的授权管理面临着诸多挑战：用户对信息系统访问权限的变化越来越频繁；权限管理混乱，可能为系统带来不安全因素；资源所有者没有权限；系统管理员参与权限管理和时存在诸多不安全因素和不便；权限管理模式陈旧等。因此对系统造成很多不安全因素，非法访问和越权操作等，使应用系统资源受到极大的威胁。

            传统的OA系统是通过对实体(用户)用户名和密码的管理实现权限的管理，管理模式陈旧。系统管理员参与业务管理的同时，参与权限管理，此时的授权失去了公证性。

            基于权限管理基础设施(PMI)的OA安全系统，由公钥基础设施(PKI)提供身份验证，在此基础上，使用PMI的属性证书(AC)实现权限的授予和管理。权限管理基础设施是独立于OA系统的权限管理机构，由PMI进行权限管理，体现授权的权威性和公正性。PICA技术已经相当成熟，在此不多介绍。系统的逻辑模型如图1所示，整个系统可分为4个子系统，分别如下所示：

            图1系统逻辑模型

            (1)属性权威从：受理申请，生成、签发和管理属性证书，提供授权服务；

            (2)证书管理服务器：即LDAP服务器，用于存储证书及其它信息，可提供查询服务；

            (3)登陆系统：用户登陆OA系统，提供身份的验证服务；

            (4)访问控制系统：用户访问资源前的属性验证，提供权限验证服务。

            实体(用户)登陆OA系统前，必须先后申请钥证书(由PKI提供)和属性证书。从受理点接受请求，同时连通决策服务器，经过决策决定是否签发属性证书。若通过，则提交用户请求信息到从服务器。从服务器签发AC给用户并将证书存放在LDAP服务器。

            当实体(用户)使用公钥证书提供的身份验证功能通过登陆系统登陆OA系统后，如果请求访问有权限要求的系统资源时，OA资源服务器要求用户提供属性证书。访问控制子系统检查用户提供的证书，并连通LDAP服务器检验该用户是否有权限访问该资源。