PMI技術在軍工企業中的應用研究

郭曉蕾

摘 要：本文對企業信息化建設當中出現的權限管理混亂、系統無法集成、管理難度大、維護成本高等問題進行剖析，提出了基于角色訪問控制的權限管理解決方案性。

關鍵詞：PMI 權限管理

1.引言

目前大多數軍工企業都通過PKI證書+USBKey的形式，進行身份認證，但這只能確定“他是誰”的問題。武器裝備科研生產單位保密資格認證標準中要求，軍工企業應采取強制訪問控制措施，權限分離應當采用最小授權原則，并在它們之間形成相互制約的關系[1]。本文通過分析目前軍工企業中權限管理的現狀，提出一種在PKI 基礎上權限管理解決方案。

2.權限管理現狀

目前，軍工企業大都已建立了OA、PDM、電子郵件等多個應用系統，與此同時，新的應用系統也不斷加入。這些系統對權限的控制是分別進行的，不同的應用系統分別針對自己要保護的資源進行權限的管理和控制，這種方式帶來了以下問題：

（1）權限管理混亂

應用之間缺乏關聯性，權限管理模塊重復開發，用戶管理、組織機構等數據重復維護，用戶使用不便且安全性差，數據的完整性、一致性很難得到保障。

（2）系統無法集成

各個應用系統的權限管理模式設計不同，技術實現方式不同，系統之間的集成存在問題，單點登陸難度大。

（3）管理難度大

大多數老系統都采用ACL，需要手動維護每個員工在多個系統的權限，而人員、崗位、組織變化頻繁，安全保密管理員或產品管理員需要大量修改操作，不能有效、及時地更改、發布實時的權限信息。

（4）工作量增加，維護成本高

系統管理員需要維護多套系統，熟悉并操作不同系統的權限管理模式，對于應用數量多的企業來說，系統管理員的負擔過于沉重。

綜上所述，實現權限管理機制的統一部署和管理，成為解決目前權限管理問題的主要途徑。而PMI（Privilege Management Infrastructure ， 授權管理基礎設施）技術則應運而生。

3.特權管理基礎設施PMI

3.1 PMI的構成

PMI 是一個由屬性證書、屬性權威機構、屬性證書庫等部件構成的綜合系統：

（1）SOA（Source of Authority，屬性權威源）：主要職責是授權策略的管理與應用、AA中心的設立審核及管理、應用授權受理等。

（2）AA（Attribute Authority，屬性權威）：屬性證書的生成簽發機構，主要功職責包括屬性證書的全生命周期管理：生成、頒發、更新、注銷等。

（3）AC（Attribute Certificate，屬性證書），是由屬性權威進行數字簽名的數據結構，綁定了一個用戶的權限。

3.2PMI模型

角色模型是X.509 PMI模型的一種，其最核心的思想就是在用戶和權限中間加入角色。用戶通過角色分配證書中的角色屬性，分配到一個或多個角色；通過角色定義證書，給某個角色分配一定的權限。用戶只持有角色分配證書，因此并不直接分配給用戶權限，系統只需要維護角色的信息，而不會影響用戶，大大簡化了授權管理。

屬性權威（SOA/AA）負責權限策略的管理并為用戶分配角色，為角色分配權限。權限驗證者負責對用戶進行身份認證和對用戶的訪問請求進行判定。用戶，即權限持有者，發起訪問資源的服務請求，權限驗證者根據服務請求，結合權限策略、環境變量和對象的敏感程度等，進行判定用戶是否能夠訪問資源。

3.3實現方案

企業實施PMI，首先應建立屬性權威，制定授權策略，然后再進行授權、訪問控制和審計。所以，一個企業PMI平臺實現的架構應該包括驗證服務器，注冊服務器，數據庫服務器，LDAP服務器等。

（1）權限策略的建立

權限策略一個企業如何進行人員和信息資源的分類管理，如數據的敏感性，可以按照其重要程度分為公開、秘密、機密和絕密；人員的職務，設計師，副總師等。同時還需要對信息資源的操作權限進行劃分，一般分為讀、寫、刪除、修改，打印，復制，屏幕截取等。

（2）申請屬性證書

用戶訪問資源的必要條件是用戶已申請公鑰證書和屬性證書，公鑰證書是身份憑證，用戶提出屬性證書申請時必須出示，屬性權威根據公鑰證書中用戶的身份，從訪問控制服務器中檢索用戶所屬的組，然后從策略庫中的系統權限策略描述中進行解析，最后得出用戶可以擁有的角色，然后簽發用戶的屬性證書，并發布到LDAP服務器上。

（3）訪問請求

用戶發出對某個目標資源的訪問請求，同時提交代表用戶身份的公鑰證書。訪問控制模塊介于用戶和目標資源之間，截獲用戶的各種請求，然后對用戶的身份信息和屬性信息分別進行判端，最后再根據判決結果執行允許用戶對系統資源進行訪問或者拒絕訪問。

（4）身份驗證

用戶登陸的過程就是身份驗證的過程，由證書權威確定其公鑰證書中的簽名為真，以此證明證書簽發的有效性、用戶證書的時效性、證書的可用性、證書未被撤銷。身份驗證通過后，向訪問控制模塊發送已通過信息，否則由訪問控制模塊向應用服務器發送驗證失敗信息。

（5）權限驗證

訪問控制模塊根據終端用戶公鑰證書中的證書惟一標識從LDAP 目錄服務器中檢索該用戶的角色分配屬性證書，并驗證其真實性和有效性，如果驗證信息有誤，訪問控制模塊就返回驗證未通過的信息，如果驗證信息正確，訪問控制模塊則需從角色分配證書中獲取用戶的角色屬性值，將用戶請求與權限集合相比較，判定該用戶請求是否在權限允許的范圍之內，不在權限范圍之內，就向應用服務器返回拒絕服務的響應信息，否則通過應用服務器響應用戶請求[2]。

（6）服務響應

應用服務器根據訪訪問控制模塊返回的消息進行判斷，如果是驗證通過，則響應用戶請求，如果是未通過，返回給用戶被拒絕的消息。

4結束語

基于PMI的權限管理解決方案將業務管理與授權管理分離，有效地簡化了授權管理， 降低了應用系統的復雜度和管理成本，同時對授權管理信息提供了更多保護功能，提高了權限管理的靈活性和安全性。

參考文獻：

[1] 國家軍工保密資格認定辦公室.軍工保密資格認定工作手冊.金城出版社.2017年.P123.

[2] 雷建云 蔣天發 邢光林.基于PKI與PMI的訪問控制在企業信息系統中的應用. 武漢理工大學學報.2008年04期.