【導(dǎo)讀】中國(guó)最大的管理資料下載中心?？偛浚褐袊?guó)·長(zhǎng)春前進(jìn)大街2266號(hào)。電話：86-0431-5173333傳真：86-0431-5172696. 吉大正元信息技術(shù)股份有限公司。基于PMI建立安全應(yīng)用14

　　

【正文】 勢(shì)，并盡快進(jìn)入權(quán)限管理和訪問(wèn)控制的新的市場(chǎng)。因此， PMI 具有很高的開發(fā)價(jià)值。 產(chǎn)品簡(jiǎn)介 PMI 是由吉大正元開發(fā)的通用權(quán)限管理平臺(tái)。主要應(yīng)用在權(quán)限管理，訪問(wèn)控制領(lǐng)域。 為進(jìn)行資源管理的二次開發(fā)人員提供了一個(gè)方便，安全，高效的決策平臺(tái)。 中國(guó)最大的管 理 資料下載中心 (收集 \整理 . 大量免費(fèi)資源共享 ) 第 19 頁(yè) 共 25 頁(yè) PMI 主要用于 web 資源的訪問(wèn)控制，磁盤資源的訪問(wèn)控制，數(shù)據(jù)庫(kù)資源的訪問(wèn)控制，網(wǎng)絡(luò)資源的訪問(wèn)控制，硬件資源的訪問(wèn)控制。 PMI 系統(tǒng)分成兩大模塊：管理模塊，引擎模塊。 管理模塊主要包括下面功能： 1) 用戶管理： 維護(hù)系統(tǒng)所管理的用戶的相關(guān)信息。 2) 資源管理： 維護(hù)系統(tǒng)所管理的資源的相關(guān)信息。 3) 策略管理： 制訂和維護(hù)決策過(guò)程所用到的策略。 4) 管理員管理： 維護(hù)系統(tǒng)管理員的相關(guān)信息。 5) 角色分配管理： 負(fù)責(zé)為用戶分配權(quán)限，和維護(hù)權(quán)限信息。 引擎模塊主要包 括下面功能： 1) 策略實(shí)施： 截獲用戶的請(qǐng)求，生成決策請(qǐng)求，發(fā)給策略決策點(diǎn)，等待決策結(jié)果。 2) 策略決策： 接受策略實(shí)施點(diǎn)發(fā)來(lái)的決策請(qǐng)求，根據(jù)制定的策略進(jìn)行決策，并把決策結(jié)果返回給策略實(shí)施點(diǎn)。 PMI 系統(tǒng)采用了先進(jìn)的技術(shù)：公鑰證書，數(shù)字簽名， SSL 連接， XML,屬性證書，屬性 權(quán)威， RBAC 訪問(wèn)控制框架， J2EE 架構(gòu)， EJB。 PMI 系統(tǒng)具有高效率，高安全性，高可靠性，方便性等特點(diǎn)。 產(chǎn)品功能 實(shí)施接口 用戶可以根據(jù)平臺(tái)提供的實(shí)施接口針對(duì)具體應(yīng)用開發(fā)相應(yīng)的訪問(wèn)控制插件，通過(guò)插件獲取用戶的身份信息，用戶要訪問(wèn) 的資源，以及對(duì)資源的動(dòng)作。也就是，使用該接口構(gòu)建策略實(shí)施點(diǎn)，根據(jù)用戶對(duì)資源的請(qǐng)求生成決策請(qǐng)求信息后，發(fā)出決策請(qǐng)求，并根據(jù)決策結(jié)果執(zhí)行訪問(wèn)或者拒絕。 身份信息獲取 接收認(rèn)證系統(tǒng)提供的用戶身份信息。系統(tǒng)提供統(tǒng)一的身份信息接口對(duì)多種認(rèn)證方式進(jìn)行支持，無(wú)論使用基于證書的身份驗(yàn)證還是基于用戶名 /口令的驗(yàn)證，系統(tǒng)都使用相同的身份信息接口接收用戶身份信息。 支持基于口令的認(rèn)證，基于 PKI證書的認(rèn)證 中國(guó)最大的管 理 資料下載中心 (收集 \整理 . 大量免費(fèi)資源共享 ) 第 20 頁(yè) 共 25 頁(yè) 訪問(wèn)實(shí)施接口（ AEF API） 根據(jù)用戶對(duì)資源的請(qǐng)求生成決策請(qǐng)求信息，發(fā)出決策請(qǐng)求，接收決策結(jié)果。接收訪問(wèn)的資源信息和訪問(wèn)動(dòng) 作信息。根據(jù)用戶身份信息，要訪問(wèn)的資源信息，以及訪問(wèn)動(dòng)作和相關(guān)信息，生成授權(quán)決策請(qǐng)求信息（ Decision Request）。 向策略決策點(diǎn)發(fā)出決策請(qǐng)求。接收決策結(jié)果，將結(jié)果返回給策略實(shí)施點(diǎn)。提供用戶權(quán)限信息。動(dòng)態(tài)定位策略決策點(diǎn)。決策過(guò)程對(duì)用戶來(lái)說(shuō)是透明的，用戶只能看到認(rèn)證過(guò)程，但看不到?jīng)Q策過(guò)程。 決策服務(wù) 接收決策請(qǐng)求信息，并根據(jù)策略信息對(duì)決策請(qǐng)求信息進(jìn)行決策，返回決策結(jié)果 策略決策點(diǎn)（ PDP） 接收決策請(qǐng)求信息，檢索策略規(guī)則，根據(jù)決策請(qǐng)求信息和策略規(guī)則作出決策，將決策結(jié)果返回策略實(shí)施點(diǎn)。將用戶的權(quán)限信息 返回給策略實(shí)施點(diǎn)。對(duì)決策過(guò)程的所有操作提供審計(jì)接口。 策略管理功能 資源管理 為管理員提供方便的資源管理方式。提供 Web資源的自動(dòng)發(fā)現(xiàn)功能，導(dǎo)入資源的接口 ；提供資源的添加、刪除和修改功能；對(duì)資源的管理采用集中方式，并按照資源的組織形式對(duì)資源進(jìn)行管理；對(duì)資源的各種操作提供審計(jì)接口；對(duì)資源信息根據(jù)應(yīng)用要求附加安全標(biāo)簽（屬性）。 角色管理 提供友好的圖形界面對(duì)角色進(jìn)行管理。根據(jù)實(shí)際的應(yīng)用環(huán)境的要求劃分角色，例如可以據(jù)企業(yè)或組織結(jié)構(gòu)，也可以根據(jù)級(jí)別和職責(zé)劃分角色；角色之間應(yīng)該可以支持繼承，以方便管理員的管理工作； 對(duì)角色的管理支持委托方式，減輕管理員負(fù)擔(dān)；提供角色的增加，修改，刪除的功能；支持角色繼承的沖突消解；靈活的角色分配能力；對(duì)角色的操作提供審計(jì)接口。 用戶管理 通過(guò)該功能為管理員提供方便的用戶管理方式；按照用戶類型對(duì)用戶進(jìn)行分類管 中國(guó)最大的管 理 資料下載中心 (收集 \整理 . 大量免費(fèi)資源共享 ) 第 21 頁(yè) 共 25 頁(yè) 理，如：?jiǎn)T工，合作伙伴，顧客等。提供用戶的添加，修改，刪除功能；對(duì)用戶的管理應(yīng)該支持委托方式；對(duì)用戶的各種操作提供審計(jì)接口。 授權(quán)策略的管理 定義授權(quán)約束條件；定義系統(tǒng)內(nèi)的權(quán)限；根據(jù)建立的角色給角色定義權(quán)限；申請(qǐng)簽發(fā)相應(yīng)用戶的屬性證書；系統(tǒng)提供映射關(guān)系的增加，修改，刪除；授權(quán)策略的管 理應(yīng)該支持管理員授權(quán)委托方式；使用兼容 RBAC， MAC， ACL的授權(quán)模型；提供對(duì)授權(quán)策略信息操作的審計(jì)接口； 委托管理 實(shí)現(xiàn)特定范圍策略的委托管理，減輕管理人員的工作負(fù)擔(dān)；管理員可以設(shè)定委托功能，將一部分權(quán)限的管理工作委托給其他管理員；受托管理員可以對(duì)委托范圍內(nèi)的用戶，資源，策略進(jìn)行管理；委托的權(quán)限范圍，可以靈活指定；對(duì)管理員委托管理權(quán)限的請(qǐng)求要經(jīng)過(guò)嚴(yán)格地驗(yàn)證，保證系統(tǒng)的安全性；支持多級(jí)委托管理；對(duì)委托事件提供審計(jì)接口 系統(tǒng)管理功能 系統(tǒng)運(yùn)行環(huán)境信息的管理 對(duì)系統(tǒng)所處運(yùn)行環(huán)境的相關(guān)信息進(jìn)行配置；對(duì)系統(tǒng)運(yùn)行所 需的相關(guān)參數(shù)進(jìn)行配置；對(duì)系統(tǒng)初始化，啟動(dòng)，運(yùn)行，退出等配置信息進(jìn)行管理；對(duì)系統(tǒng)的操作提供審計(jì)接口。 首席用戶 初始化系統(tǒng)；提供增加，修改，刪除管理員信息的功能；對(duì)管理員進(jìn)行授權(quán)；制定安全策略；對(duì)首席用戶的操作提供審計(jì)。 管理員 管理系統(tǒng)的用戶、資源和授權(quán)策略；進(jìn)行管理權(quán)限的委托；管理員只能對(duì)權(quán)限范圍內(nèi)的策略和資源進(jìn)行管理；管理相應(yīng)的配置信息；對(duì)管理員的管理操作提供審計(jì)。 產(chǎn)品特點(diǎn) 該產(chǎn)品具有下列特點(diǎn)： 中國(guó)最大的管 理 資料下載中心 (收集 \整理 . 大量免費(fèi)資源共享 ) 第 22 頁(yè) 共 25 頁(yè) ? 具有通用性，對(duì)不同的應(yīng)用提供決策支持。 ? 文檔資源 ? web資源 ? 數(shù)據(jù)庫(kù)資源 ? 網(wǎng)絡(luò)設(shè)備資源等 ? 策略的定制靈活， 能夠根據(jù)不同的情況定制出不同的策略。 ? 可以適應(yīng)不同的需求，制定出不同的策略，基本上能滿足用戶不同的需求。對(duì)各種不同情況進(jìn)行訪問(wèn)控制。 ? 管理功能操作簡(jiǎn)單。 ? 不要有太多的計(jì)算機(jī)知識(shí)和專業(yè)知識(shí)，就可以進(jìn)行系統(tǒng)的管理，簡(jiǎn)單的操作界面，方便的管理功能，減輕了管理人員的工作負(fù)擔(dān)。 ? 具有很好的擴(kuò)展能力。 ? 為了方便系統(tǒng)將來(lái)的擴(kuò)展，系統(tǒng)采用了良好的程序框架，系統(tǒng)增加功能，修改功能，刪除功能都是非常方便的。 ? 具有較高的效率，保證決策過(guò)程不會(huì)明顯的影響訪問(wèn)速度。 ? 獨(dú)立于任何應(yīng)用， CA。 ? pmi 系統(tǒng)所使用的公鑰證書獨(dú)立于任何 CA 系 統(tǒng)。 ? 對(duì)各種敏感信息具有較高的安全性。 ? 由于采用了 SSL 連接，簽名驗(yàn)證，公鑰證書技術(shù)，所以對(duì)數(shù)據(jù)具有很好的保密性和安全性。 系統(tǒng)結(jié)構(gòu) 硬件設(shè)施結(jié)構(gòu) 軟件系統(tǒng) 結(jié)構(gòu) 中國(guó)最大的管 理 資料下載中心 (收集 \整理 . 大量免費(fèi)資源共享 ) 第 23 頁(yè) 共 25 頁(yè) 系統(tǒng)工作 過(guò)程 1. 使用用戶管理工具注冊(cè)應(yīng)用系統(tǒng)用戶信息； 2. 使用資源管理工具注冊(cè)資源信息； 3. 使用策略定制工具制定應(yīng)用系統(tǒng)的權(quán)限管理和訪問(wèn)控制策略； 4. 使用權(quán)限分配工具簽發(fā)策略證書，角色定義證書； 5. 屬性權(quán)威針對(duì)用戶簽發(fā)屬性證書； 6. 啟動(dòng)策略實(shí)施點(diǎn)，使用的指定的策略和相關(guān)信息初始化策略決策服務(wù)器 ； 7. 用戶登陸時(shí)，策略實(shí)施點(diǎn)驗(yàn)證用戶身份，并根據(jù)下一個(gè)步驟獲取權(quán)限信息； 8. 如果是推模式，直接從用戶提供的屬性證書中獲得權(quán)限信息，如果是拉模式，根據(jù)用戶身份信息從屬性證書庫(kù)中檢索，并返回用戶的權(quán)限信息； 9. 對(duì)每個(gè)訪問(wèn)請(qǐng)求，策略實(shí)施點(diǎn)根據(jù)權(quán)限、動(dòng)作和目標(biāo)信息生成決策請(qǐng)求； 10. 策略實(shí)施點(diǎn)向策略決策點(diǎn)發(fā)出決策請(qǐng)求； 11. 策略決策點(diǎn)根據(jù)策略對(duì)請(qǐng)求進(jìn)行判斷，返回決策結(jié)果； 12. 策略實(shí)施點(diǎn)根據(jù)結(jié)果決定是否進(jìn)行訪問(wèn)； 13. 如果要停止運(yùn)行，就關(guān)閉策略實(shí)施點(diǎn)，由策略實(shí)施點(diǎn)通知策略決策服務(wù)器停止服務(wù)； 支持環(huán)境 硬件設(shè)備 ? 決策服務(wù)器： 高性能服務(wù)器； CPU：奔 IV ； 硬盤： 40G以上； 內(nèi)存： 512M以上； ? LDAP服務(wù)器： 高性能服務(wù)器 CPU：奔 IV ； 硬盤： 80G以上； 中國(guó)最大的管 理 資料下載中心 (收集 \整理 . 大量免費(fèi)資源共享 ) 第 24 頁(yè) 共 25 頁(yè) 內(nèi)存： 512M以上； ? 管理終端： PC機(jī) CPU：奔 III 內(nèi)存： 256M以上。 ? 策略實(shí)施點(diǎn) 高性能服務(wù)器 CPU：奔 硬盤： 40G以上 內(nèi)存： 512M以上。 支持軟件 ? 操作系統(tǒng)： win20 win9 winXP、 NT、 Linux、 Solaris ? 目錄服務(wù)器： 的 iPla0目錄服務(wù)器； ? WEB服務(wù)器： ? JAVA運(yùn)行環(huán)境： 。 專用技術(shù)詞匯 PMI： 權(quán)限管理基礎(chǔ)設(shè)施； AA： 屬性權(quán)威； 策略實(shí)施點(diǎn)： 用來(lái)對(duì)用戶的請(qǐng)求做出決策的模塊。接受用戶請(qǐng)求，轉(zhuǎn)化成 PMI系統(tǒng)需要的形式，傳送給策略決策點(diǎn)，由策略決策點(diǎn)對(duì)此做出決策。策略實(shí)施點(diǎn)運(yùn)行在資源服務(wù)器 上。 策略決策點(diǎn)： 最終做出決策的模塊。接收策略實(shí)施點(diǎn)發(fā)來(lái)的決策請(qǐng)求，根據(jù)管理端做出的策略，做出決策，返回給策略實(shí)施點(diǎn)。 動(dòng)作策略： 定義了 PMI系統(tǒng)所支持的動(dòng)作列表。 SOA策略： 定義了 PMI系統(tǒng)所信任的 SOA的列表。 角色層次策略： 定義了 PMI系統(tǒng)所支持的角色的定義，和所支持的角色之間的層次關(guān)系。 資源域策略： 對(duì) PMI系統(tǒng)所支持的資源進(jìn)行了域劃分，以方便于管理和訪問(wèn)控制，可以按照應(yīng)用的具體組織形式進(jìn)行劃分。具體采用什么樣的劃分形式，視情況而定。 用戶域策略： 對(duì) PMI系統(tǒng)所支持的用戶進(jìn)行了域劃分，以方便于管理和訪問(wèn)控制，可以按照應(yīng)用的具體組織形式進(jìn)行劃分。具體采用什么樣的劃分形式，視情況而定。 角色分配策略： 定義了為用戶分配角色時(shí)的準(zhǔn)則，例如：某個(gè)用戶域上，可以分配什么樣的 中國(guó)最大的管 理 資料下載中心 (收集 \整理 . 大量免費(fèi)資源共享 ) 第 25 頁(yè) 共 25 頁(yè) 角色，有效期，由哪個(gè) SOA來(lái)分配等 … .。 訪問(wèn)控制策略： 定義了對(duì)用戶的訪問(wèn)請(qǐng)求作決策時(shí)的一個(gè)準(zhǔn)則，例如：以某個(gè)動(dòng)作訪問(wèn)某個(gè)資源，需要什么樣的角色。 角色分配屬性證書： 由某個(gè)受信任的 AA簽發(fā)屬性證書，封裝了用戶所擁有的角色列表。 策略屬性證書： 由某個(gè)受信任的 AA簽發(fā)屬性證書，封裝了某個(gè)應(yīng)用所制定的策略。 策略服務(wù)器： 運(yùn)行策略決策點(diǎn)的服務(wù)器，主要提供決策服務(wù)，對(duì)用戶的訪問(wèn)請(qǐng)求給出決策結(jié)果。