PMI的研究与发展.docVIP

PMI（Privilege Manage Infrastructure）的研究与发展 背景 身份认证目前广泛采用PKI技术（Public Key Infrastructure，公开密钥基础设施）。PKI技术采用证书管理公钥，通过第三方的可信任机构，认证中心CA（Certificate Authority），把用户的公钥和用户的其他标识信息（如名称、e-mail,身份证号等）捆绑在一起，从而验证用户的身份信息。 然而身份信息通常是稳固的，不易变的。这些信息包括用户个人信息等。而用户权限信息则是经常变化的，随着其职务变换，或者工作职责的变换都会发生改变。更为广泛的，一个人可能兼具多种角色，拥有多个权限，例如在一间公司里是董事，在另一间公司又是监事，要把这么多权限放到一个证书里很不现实，而且由于权限可能存在互斥或者彼此不能同时出现(基于商业逻辑)，用户可能不得不拥有很多身份证书，这就违背了用户与证书在身份上的一一对应的逻辑。 原因在于PKI系统中身份和权限不分离的格局。上述情况中用户的身份并没有变化，变化的是用户的权限。换句话说，如果把信任服务和授权服务分开来看，那么我们只需要更改授权服务中用户的权限就可以了，用户的身份信息可以保持不变。这种身份确认和特权管理之间的差异决定了对信任和授权服务应该区别对待。 因此在2000年，IETF与ITU共同努力在X.509协议第四版中将授权管理，也就是PMI从PKI中分离出来，作为一个单独的框架。 PMI概况 授权管理基础设施PMI是国家信息安全基础设施（National Information Security Infrastructure，NISI）的一个重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到权限的映射功能，提供与实际处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。 授权管理基础设施PMI是一个由属性证书AC（Attribute Certificate），属性权威AA（Attribute Authority），属性证书库等部件构成的综合系统，用来实现属性证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息，通过管理属性证书的生命周期实现对权限生命周期的管理.属性证书的申请，签发，注销，验证流程对应着权限的申请，发放，撤消，使用和验证的过程。而且，使用属性证书进行权限管理的方式使得权限管理不必依赖某个具体的应用。而且利于权限的安全分布式应用。 权限管理作为安全的一个领域得到快速发展，也提出了多种权限管理方案，如Kerberos，基于策略服务器的方案，但目前应用和研究的热点集中于基于PMI的研究。在PKI得到较大规模应用以后，人们已经认识到需要超越当前PKI提供的身份认证机制，步入授权领域，提供信息环境的权限管理将成为下一个主要目标。PMI实际提出了一个新的信息保护基础设施，能够系统地建立起对认可用户的授权机制。 X.509协议中描述PMI为一种基于PKI并承担权限管理功能的框架，为网络应用等领域提供一种新的更加有效的访问控制的基础设施。因此，权限管理是PMI的主要功能。如何界定PMI与其他应用体系的功能、采用何种授权策略、如何搭建信任逻辑、权限如何表述、如何分配和传递、如何设计PMI的实现架构、采用何种技术实现等等都是PMI研究的范围。 PMI架构 PMI体系 PMI是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能。Attribute Authority（AA）即属性权威，用来生成并签发属性证书（Attribute Certificate，AC）的机构。它负责管理属性证书的整个生命周期。属性证书的实体和其权限的绑定是由一个经过数字签名的数据结构来提供的，这种数据结构称为属性证书，由属性权威签发并管理，它包括一系列特别的证书扩展机制。 虽然CA是一个域中身份的管理机构，但这并不意味着它是授权的管理机构。AA和CA在逻辑上是完全独立的。“身份证书”的创建和维护应该与PMI分离开来。因此，通常的情况是属性权威（Attribute Authority，AA）分离出来作为授权管理机构。对于CA签发的单个公钥证书PKC，可以存在多个属性证书AC与之对应，属性证书并不一定要由同一个属性权威颁发。属性权威AA负责对最终实体或者其他授权管理机构进行授权，是签发属性证书的实体。在授予一种权限前，该AA必须已经拥有该权限。这意味着该AA必须已经被授予这项权限或者是这项权限之源。属性权威人可以签发角色证书，这种角色证书指定了对一个最终实体分配特定的角色。属性权威AA也可能需要为其签发的属性证书签发证书撤销通知。对于短生命周期的属性证书，证书撤销通知并不