PMI技术白皮书完整版.docx

PMI技术白皮书

技术白皮书

总部：中国·长春前进大街2266号

：86-0431-5173333：86-0431-5172696

吉大正元信息技术股份

名目

TOC\o1-3\h\z产品相应技术 2

PMI概览 2

权限治理基础设施 4

PMI的定义 4

什么缘故不是PKI 5

PKI和PMI的关系 6

属性权威 7

权限治理 8

属性证书的特点 8

PMI模型 9

访问操纵框架 10

访问操纵抽象模型 10

策略规那么 12

授权策略 12

基于PMI建立安全应用 13

PMI应用结构 13

应用方式 14

建立访问操纵系统 15

访问操纵流程 15

PMI中技术的应用 15

系统简介 16

需求背景 16

产品简介 17

产品功能 17

实施接口 17

身份信息猎取 17

访问实施接口〔AEFAPI〕 18

决策服务 18

策略决策点〔PDP〕 18

策略治理功能 18

资源治理 18

角色治理 18

用户治理 18

授权策略的治理 19

托付治理 19

系统治理功能 19

系统运行环境信息的治理 19

首席用户 19

治理员 19

产品特点 19

系统结构 20

硬件设施结构 20

软件系统结构 20

系统工作过程 21

支持环境 21

硬件设备 21

支持软件 21

专用技术词汇 22

产品相应技术

PMI概览

运算机网络能有效地实现资源共享，但资源共享和信息安全是一对矛盾体。随着资源共享的进一步加强，随之而来的信息安全问题也日益突出，而身份认证，权限和访问操纵又是网络应用安全的两个重要内容，因此它们也成为了当前信息安全领域中的研究热点。许多应用系统都需要分别在这两个方面采取了相应的安全措施。

然而，对一些大型的组织机构来说，其网络结构比较复杂，应用系统比较多，假如分别对不同的应用系统采纳不同的安全策略，那么治理将变得越来越复杂，甚至难以操纵。不同的用户对应不同的应用系统，由于机构的网络结构比较复杂，应用系统和用户差不多上分散分布的，因此对用户的访问操纵和权限治理就显得专门的复杂和凌乱。而机构必须要能够操纵：有〝谁〞能够访问机构的信息，用户访问的是〝什么信息〞，哪个用户被授予什么样的〝权限〞。一旦机构确定了权限治理和公布的方式，访问操纵系统就能够依照机构发放的权限以及定义的安全策略操纵用户访问，爱护应用系统。然而，过去在权限生命周期治理，权限的表达和权限治理方式方面没有更成熟更有用的成果，权限治理方案进展相对滞后。

相反，访问操纵，或者说授权服务，差不多十分成熟，在过去的研究和应用中差不多获得了专门多的成果，建立了我们目前要紧使用的DAC，ACL，MAC，RBAC访问操纵模型，其中ACL和MAC得到了最普遍的应用。目前，RBAC模型也差不多比较成熟，支持了最新的应用。

传统的应用系统通常是通过使用用户名和口令的方式来实现对用户的访问操纵的，而对权限的操纵是每个应用系统分别进行的，不同的应用系统分别针对爱护的资源进行权限的治理和操纵，这种方式存在一些缺点。同时，又因为不同系统的设计和实施策略不同，导致了同一机构内存在多种权限治理的现状。目前，缺乏有效的权限治理带来了以下问题：

权限治理纷乱

对一个机构而言，数据和人力资源差不多上统一的。然而由于系统设计的缘故，可能同时对相同的人员采纳不同的治理方式，对机构内的共享数据采纳了不同的权限分配策略，这明显不合理，也不利于对机构资源的治理。

带来系统的不安全因素

不同的权限治理策略产生的安全强度是不同的。这就可能造成机构信息安全治理的漏洞，因此入侵者就有可能瞄准那些权限治理相对不安全的系统进行集中攻击，这就给机构资源的安全性带来极大的危害。

权限治理依靠于访问操纵应用

权限的给予和撤销往往差不多上在访问操纵应用中产生的，不同的访问操纵应用之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。每个应用都要爱护自己的用户信息和授权方法，权限无法在分布的应用中和远程应用中使用。

资源所有者没有权限

应用系统负责权限的发放和使用，造成权限真正的拥有者不能有效，及时的更换，公布实时的权限信息。比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。而从本质上讲，权限的发放和权限的鉴别使用是完全不同的两个过程，完全能够分开，权限的拥有者发放权限，而由资源的爱护者验证权限。

增加了系统治理员的负担

由于不同的系统采纳的是不同的权限治理策略，系统治理员不得不熟悉和