西门子江西授权代理商
提出了一种面向用户的分布式授权系统的通用模型。它以用户为中心管理对象,在统一的信任平台上支持多个分布的、基于不同授权模型的授权点,通过授权管理,各个节点既可以独立地支持各自的上层应用,也可以相互关联共同支持一个上层应用。后给出了这种模型的具体应用模式。
关键词: 身份证书 属性证书 授权
网络应用规模的不断扩大带来了以下发展趋势:资源分散、用户分散、决策分权、决策者分散,用户信息、决策信息的复杂程度日益增加。这种趋势使得传统的对用户和资源的集中式管理逐渐朝着分布式管理的方向发展。因此需要为系统提供良好且一致的管理,同时满足不同的分布节点之间充分的协同和信息共享,完成对同一资源的协调管理,为整个系统提供统一的管理。
1 分布环境下授权机制新的需求
与传统的集中式系统相比,分布式系统的授权和访问控制机制带来了更多实现和管理上的问题。资源(包括服务)、资源的所有者、资源的管理者分散在网络的各个节点上,某一资源可能存在多个干系人(或资源的所有者),分别独立地对用户进行资格审核与分布式授权。资源的管理者(或服务的提供者)需要完整维护、及时更新访问控制策略和规则,验证每一个访问请求所有必须的授权条件。可见,简单地将集中式授权和访控模型部署到分布式系统的各个节点无法满足复杂系统的需要。
此外,同一网络区域内可能存在多个分布式应用系统,系统之间存在越来越多的协作和相互支持。这需要各个系统之间存在着统一的信任基础和用于相互认证、访问控制的数据交换平台。当前,基于PKI(公开密钥基础设施)技术的统一信任平台正在快速建设中,应该充分利用现有PKI资源为分布式应用提供信任管理,在此基础上选择各自的授权机制,建立相应的访问控制模型,实现基于PMI(特权管理基础设施)技术的授权管理。
本文提出一种面向用户的分布式授权系统的通用模型。它以用户为中心管理对象,以用户管理为核心,在统一的信任平台上支持多个分布的、基于不同授权模型的授权点。通过授权管理,各个节点可以独立自主地支持各自的上层应用,也可以相互协作,共同支持一个上层应用。这一机制的设计思想是在基于身份证书的信任平台上进行基于属性证书的授权管理
2 面向用户的分布式授权模型
图1是笔者设计的面向用户的分布式授权模型体系结构示意图。模型包括四部分:基于PKI技术的信任管理平台、授权节点、受控应用节点和LDAP目录服务器。各部分说明如下:
(1)基于PKI技术的信任管理平台。该平台是整个授权模型的信任基础,负责对用户身份的审核。同时它包含了负责生成身份证书(公钥证书)的机构CA(Certificate Authority)中心和负责生成属性证书的机构AA(Attribute Authority)中心。
(2)授权管理节点。授权管理节点实现对特定特权的审核及授予。它分布在系统的每个应用服务子系统中,自主地维护着与子系统相关的授权策略和信息,并检查验证用户提供的有关证明。根据这些证明、相关信息及授权策略,向合法用户授予相应的权利以及该权利的有效期,并将这些授权信息交给AA中心,由它负责指派有关的AA签发相应的属性证书。
(3)受控应用节点。也称为资源节点,同样分布在系统中,其上运行着实际应用服务子系统的决策模块,维护相应服务的访问控制策略和相关信息。当用户访问该节点的资源时,受控应用节点检查用户提供的身份信息(身份证书),查找相应的属性证书,验证模块负责验证这些证书的合法性。访问决策模块根据属性证书的授权信息以及本地的访问控制策略,决定该用户是否有权访问本地的应用服务并告知访问执行模块执行。
(4)LDAP目录服务器。主要用于发布PMI用户的属性证书、身份证书以及证书的撤消列表CRL,以供查询使用。
在本模型中,采用公开密钥加密技术的身份证书是提供身份、授权和属性信息的基础。本系统的运行应该相对稳定,即不应该由于个别用户身份证书的变更而引起相应的授权服务体系的附加管理操作。因此在这里采用将属性证书与用户的一个终身不变的身份标识码(例如身份证号码)相关联,在身份证书中也与该标识码相关联,并且信任服务系统提供的对应用户的新身份证书,将属性证书自动与该身份证书关联。
3 分布式授权模型的应用模式
在上述分布式授权模型思想的指导下,笔者为某省数字认证中心设计了面向用户的“一证通”应用机制。所谓“一证通”,是系统内的每个用户惟一拥有一份标识其身份的身份证书,而系统内分布的各种应用服务都将以此为基础,向用户提供服务。下面举例说明“一证通”机制的整体业务流程和功能。
系统的结构如图2所示。当一个新用户想要加入到这个系统时,首先到受理点注册,提供自己的身份信息和注册(属性)信息。受理点接收用户信息后直接交到注册机构RA,由RA生成身份证书和属性证书的请求发给信任平台。信任平台中的CA中心根据用户提供的身份信息生成相应的身份证书,同时,把用户提供的注册信息交给分布在网络上各个应用服务系统的授权节点(行业RA),由各个授权节点根据各自本地的属性集合和授权策略生成授权信息交还给信任平台上对应的AA,于是每个AA生成相应的属性证书。生成的身份证书(一份)和属性证书(多份)被保存在LDAP目录服务器中以供查询使用
DQ 16x24VDC/0.5A HF MSO
对于值状态,系统将为每个通道一个附加位。值状态位将指示用户程序中所的输出值在模块端是否未得到确认(0 = 值不正确)。
组态为 16 通道 DQ 16x24VDC/0.5A HF 的地址空间
下图显示了组态为带值状态的 16 通道模块的地址空间分配。可任意模块的起始地址。通道的地址将从该起始地址开始。
在模块上印有字母“a 到 d”。“QB a”是指模块起始地址输出字节 a。
图片: 组态为 16 通道 DQ 16x24VDC/0.5A HF 的地址空间(带值状态)
组态为 2 x 8 通道 DQ 16x24VDC/0.5A HF S QI 的地址空间
组态为 2 x 8 通道模块时,模块的通道应分为多个子模块。在共享设备中使用该模块时,可将子模块分配给不同的 IO 控制器。
IO 控制器的数量取决于所使用的接口模块。请遵循本手册中有关特定接口模块的信息。
与 1 x 16 通道模块组态不同,这 2 个子模块都可任意起始地址。用户也可子模块中相关值状态的地址。
图片: 组态为 2 x 8 通道 DQ 16x24VDC/0.5A HF S QI 的地址空间(带值状态)
组态为 1 x 16 通道 DQ 16x24VDC/0.5A HF MSO 的地址空间
组态为 1 x 16 通道模块(模块内部 shared output,MSO)时,系统将模块的通道 0 到 15 会复制到多个子模块中。之后,在各子模块中通道 0 到 15 的值都将相同。在共享设备中使用该模块时,可将这些子模块分配给多 4 个 IO 控制器:
分配给子模块 1 的 IO 控制器对输出 0 到 15 具有写访问权限。
分配给子模块 2、3 或 4 的 IO 控制器则对输出 0 到 15 具有读访问权限。
IO 控制器的数量取决于所使用的接口模块。请遵循本手册中有关特定接口模块的信息。
值状态 (Quality Information, QI)
值状态的含义取决于所在的子模块。
对于个子模块(= 基本子模块),值状态为 0 表示值不正确或基本子模块的 IO 控制器处于 STOP 状态。
对于第二到第四个子模块(MSO 子模块),值状态“0”表示值不正确或发生以下某种错误:
基本子模块尚未组态(未就绪)。
IO 控制器与基本子模块间的连接已中断。
基本子模块的 IO 控制器处于 STOP 或 POWER OFF 状态。
下图显示了子模块 1 和 2 的地址空间分配和值状态。
图片: 组态为 1 x 16 通道 DQ 16x24VDC/0.5A HF S MSO 的地址空间(带值状态)
下图显示了子模块 3 和 4 的地址空间分配和值状态。