郭晓蕾

摘 要：本文对企业信息化建设当中出现的权限管理混乱、系统无法集成、管理难度大、维护成本高等问题进行剖析，提出了基于角色访问控制的权限管理解决方案性。

关键词：PMI 权限管理

1.引言

目前大多数军工企业都通过PKI证书+USBKey的形式，进行身份认证，但这只能确定“他是谁”的问题。武器装备科研生产单位保密资格认证标准中要求，军工企业应采取强制访问控制措施，权限分离应当采用最小授权原则，并在它们之间形成相互制约的关系[1]。本文通过分析目前军工企业中权限管理的现状，提出一种在PKI 基础上权限管理解决方案。

2.权限管理现状

目前，军工企业大都已建立了OA、PDM、电子邮件等多个应用系统，与此同时，新的应用系统也不断加入。这些系统对权限的控制是分别进行的，不同的应用系统分别针对自己要保护的资源进行权限的管理和控制，这种方式带来了以下问题：

（1）权限管理混乱

应用之间缺乏关联性，权限管理模块重复开发，用户管理、组织机构等数据重复维护，用户使用不便且安全性差，数据的完整性、一致性很难得到保障。

（2）系统无法集成

各个应用系统的权限管理模式设计不同，技术实现方式不同，系统之间的集成存在问题，单点登陆难度大。

（3）管理难度大

大多数老系统都采用ACL，需要手动维护每个员工在多个系统的权限，而人员、岗位、组织变化频繁，安全保密管理员或产品管理员需要大量修改操作，不能有效、及时地更改、发布实时的权限信息。

（4）工作量增加，维护成本高

系统管理员需要维护多套系统，熟悉并操作不同系统的权限管理模式，对于应用数量多的企业来说，系统管理员的负担过于沉重。

综上所述，实现权限管理机制的统一部署和管理，成为解决目前权限管理问题的主要途径。而PMI（Privilege Management Infrastructure ， 授权管理基础设施）技术则应运而生。

3.特权管理基础设施PMI

3.1 PMI的构成

PMI 是一个由属性证书、属性权威机构、属性证书库等部件构成的综合系统：

（1）SOA（Source of Authority，属性权威源）：主要职责是授权策略的管理与应用、AA中心的设立审核及管理、应用授权受理等。

（2）AA（Attribute Authority，属性权威）：属性证书的生成签发机构，主要功职责包括属性证书的全生命周期管理：生成、颁发、更新、注销等。

（3）AC（Attribute Certificate，属性证书），是由属性权威进行数字签名的数据结构，绑定了一个用户的权限。

3.2PMI模型

角色模型是X.509 PMI模型的一种，其最核心的思想就是在用户和权限中间加入角色。用户通过角色分配证书中的角色属性，分配到一个或多个角色；通过角色定义证书，给某个角色分配一定的权限。用户只持有角色分配证书，因此并不直接分配给用户权限，系统只需要维护角色的信息，而不会影响用户，大大简化了授权管理。

属性权威（SOA/AA）负责权限策略的管理并为用户分配角色，为角色分配权限。权限验证者负责对用户进行身份认证和对用户的访问请求进行判定。用户，即权限持有者，发起访问资源的服务请求，权限验证者根据服务请求，结合权限策略、环境变量和对象的敏感程度等，进行判定用户是否能够访问资源。

3.3实现方案

企业实施PMI，首先应建立属性权威，制定授权策略，然后再进行授权、访问控制和审计。所以，一个企业PMI平台实现的架构应该包括验证服务器，注册服务器，数据库服务器，LDAP服务器等。

（1）权限策略的建立

权限策略一個企业如何进行人员和信息资源的分类管理，如数据的敏感性，可以按照其重要程度分为公开、秘密、机密和绝密；人员的职务，设计师，副总师等。同时还需要对信息资源的操作权限进行划分，一般分为读、写、删除、修改，打印，复制，屏幕截取等。

（2）申请属性证书

用户访问资源的必要条件是用户已申请公钥证书和属性证书，公钥证书是身份凭证，用户提出属性证书申请时必须出示，属性权威根据公钥证书中用户的身份，从访问控制服务器中检索用户所属的组，然后从策略库中的系统权限策略描述中进行解析，最后得出用户可以拥有的角色，然后签发用户的属性证书，并发布到LDAP服务器上。

（3）访问请求

用户发出对某个目标资源的访问请求，同时提交代表用户身份的公钥证书。访问控制模块介于用户和目标资源之间，截获用户的各种请求，然后对用户的身份信息和属性信息分别进行判端，最后再根据判决结果执行允许用户对系统资源进行访问或者拒绝访问。

（4）身份验证

用户登陆的过程就是身份验证的过程，由证书权威确定其公钥证书中的签名为真，以此证明证书签发的有效性、用户证书的时效性、证书的可用性、证书未被撤销。身份验证通过后，向访问控制模块发送已通过信息，否则由访问控制模块向应用服务器发送验证失败信息。

（5）权限验证

访问控制模块根据终端用户公钥证书中的证书惟一标识从LDAP 目录服务器中检索该用户的角色分配属性证书，并验证其真实性和有效性，如果验证信息有误，访问控制模块就返回验证未通过的信息，如果验证信息正确，访问控制模块则需从角色分配证书中获取用户的角色属性值，将用户请求与权限集合相比较，判定该用户请求是否在权限允许的范围之内，不在权限范围之内，就向应用服务器返回拒绝服务的响应信息，否则通过应用服务器响应用户请求[2]。

（6）服务响应

应用服务器根据访访问控制模块返回的消息进行判断，如果是验证通过，则响应用户请求，如果是未通过，返回给用户被拒绝的消息。

4结束语

基于PMI的权限管理解决方案将业务管理与授权管理分离，有效地简化了授权管理， 降低了应用系统的复杂度和管理成本，同时对授权管理信息提供了更多保护功能，提高了权限管理的灵活性和安全性。

参考文献：

[1] 国家军工保密资格认定办公室.军工保密资格认定工作手册.金城出版社.2017年.P123.

[2] 雷建云 蒋天发 邢光林.基于PKI与PMI的访问控制在企业信息系统中的应用. 武汉理工大学学报.2008年04期.