【導讀】中國最大的管理資料下載中心。總部：中國·長春前進大街2266號。電話：86-0431-5173333傳真：86-0431-5172696. 吉大正元信息技術(shù)股份有限公司?；赑MI建立安全應用14

　　

【正文】 勢，并盡快進入權(quán)限管理和訪問控制的新的市場。因此， PMI 具有很高的開發(fā)價值。 產(chǎn)品簡介 PMI 是由吉大正元開發(fā)的通用權(quán)限管理平臺。主要應用在權(quán)限管理，訪問控制領(lǐng)域。 為進行資源管理的二次開發(fā)人員提供了一個方便，安全，高效的決策平臺。 中國最大的管 理 資料下載中心 (收集 \整理 . 大量免費資源共享 ) 第 19 頁 共 25 頁 PMI 主要用于 web 資源的訪問控制，磁盤資源的訪問控制，數(shù)據(jù)庫資源的訪問控制，網(wǎng)絡(luò)資源的訪問控制，硬件資源的訪問控制。 PMI 系統(tǒng)分成兩大模塊：管理模塊，引擎模塊。 管理模塊主要包括下面功能： 1) 用戶管理： 維護系統(tǒng)所管理的用戶的相關(guān)信息。 2) 資源管理： 維護系統(tǒng)所管理的資源的相關(guān)信息。 3) 策略管理： 制訂和維護決策過程所用到的策略。 4) 管理員管理： 維護系統(tǒng)管理員的相關(guān)信息。 5) 角色分配管理： 負責為用戶分配權(quán)限，和維護權(quán)限信息。 引擎模塊主要包 括下面功能： 1) 策略實施： 截獲用戶的請求，生成決策請求，發(fā)給策略決策點，等待決策結(jié)果。 2) 策略決策： 接受策略實施點發(fā)來的決策請求，根據(jù)制定的策略進行決策，并把決策結(jié)果返回給策略實施點。 PMI 系統(tǒng)采用了先進的技術(shù)：公鑰證書，數(shù)字簽名， SSL 連接， XML,屬性證書，屬性 權(quán)威， RBAC 訪問控制框架， J2EE 架構(gòu)， EJB。 PMI 系統(tǒng)具有高效率，高安全性，高可靠性，方便性等特點。 產(chǎn)品功能 實施接口 用戶可以根據(jù)平臺提供的實施接口針對具體應用開發(fā)相應的訪問控制插件，通過插件獲取用戶的身份信息，用戶要訪問 的資源，以及對資源的動作。也就是，使用該接口構(gòu)建策略實施點，根據(jù)用戶對資源的請求生成決策請求信息后，發(fā)出決策請求，并根據(jù)決策結(jié)果執(zhí)行訪問或者拒絕。 身份信息獲取 接收認證系統(tǒng)提供的用戶身份信息。系統(tǒng)提供統(tǒng)一的身份信息接口對多種認證方式進行支持，無論使用基于證書的身份驗證還是基于用戶名 /口令的驗證，系統(tǒng)都使用相同的身份信息接口接收用戶身份信息。 支持基于口令的認證，基于 PKI證書的認證 中國最大的管 理 資料下載中心 (收集 \整理 . 大量免費資源共享 ) 第 20 頁 共 25 頁 訪問實施接口（ AEF API） 根據(jù)用戶對資源的請求生成決策請求信息，發(fā)出決策請求，接收決策結(jié)果。接收訪問的資源信息和訪問動 作信息。根據(jù)用戶身份信息，要訪問的資源信息，以及訪問動作和相關(guān)信息，生成授權(quán)決策請求信息（ Decision Request）。 向策略決策點發(fā)出決策請求。接收決策結(jié)果，將結(jié)果返回給策略實施點。提供用戶權(quán)限信息。動態(tài)定位策略決策點。決策過程對用戶來說是透明的，用戶只能看到認證過程，但看不到?jīng)Q策過程。 決策服務(wù) 接收決策請求信息，并根據(jù)策略信息對決策請求信息進行決策，返回決策結(jié)果 策略決策點（ PDP） 接收決策請求信息，檢索策略規(guī)則，根據(jù)決策請求信息和策略規(guī)則作出決策，將決策結(jié)果返回策略實施點。將用戶的權(quán)限信息 返回給策略實施點。對決策過程的所有操作提供審計接口。 策略管理功能 資源管理 為管理員提供方便的資源管理方式。提供 Web資源的自動發(fā)現(xiàn)功能，導入資源的接口 ；提供資源的添加、刪除和修改功能；對資源的管理采用集中方式，并按照資源的組織形式對資源進行管理；對資源的各種操作提供審計接口；對資源信息根據(jù)應用要求附加安全標簽（屬性）。 角色管理 提供友好的圖形界面對角色進行管理。根據(jù)實際的應用環(huán)境的要求劃分角色，例如可以據(jù)企業(yè)或組織結(jié)構(gòu)，也可以根據(jù)級別和職責劃分角色；角色之間應該可以支持繼承，以方便管理員的管理工作； 對角色的管理支持委托方式，減輕管理員負擔；提供角色的增加，修改，刪除的功能；支持角色繼承的沖突消解；靈活的角色分配能力；對角色的操作提供審計接口。 用戶管理 通過該功能為管理員提供方便的用戶管理方式；按照用戶類型對用戶進行分類管 中國最大的管 理 資料下載中心 (收集 \整理 . 大量免費資源共享 ) 第 21 頁 共 25 頁 理，如：員工，合作伙伴，顧客等。提供用戶的添加，修改，刪除功能；對用戶的管理應該支持委托方式；對用戶的各種操作提供審計接口。 授權(quán)策略的管理 定義授權(quán)約束條件；定義系統(tǒng)內(nèi)的權(quán)限；根據(jù)建立的角色給角色定義權(quán)限；申請簽發(fā)相應用戶的屬性證書；系統(tǒng)提供映射關(guān)系的增加，修改，刪除；授權(quán)策略的管 理應該支持管理員授權(quán)委托方式；使用兼容 RBAC， MAC， ACL的授權(quán)模型；提供對授權(quán)策略信息操作的審計接口； 委托管理 實現(xiàn)特定范圍策略的委托管理，減輕管理人員的工作負擔；管理員可以設(shè)定委托功能，將一部分權(quán)限的管理工作委托給其他管理員；受托管理員可以對委托范圍內(nèi)的用戶，資源，策略進行管理；委托的權(quán)限范圍，可以靈活指定；對管理員委托管理權(quán)限的請求要經(jīng)過嚴格地驗證，保證系統(tǒng)的安全性；支持多級委托管理；對委托事件提供審計接口 系統(tǒng)管理功能 系統(tǒng)運行環(huán)境信息的管理 對系統(tǒng)所處運行環(huán)境的相關(guān)信息進行配置；對系統(tǒng)運行所 需的相關(guān)參數(shù)進行配置；對系統(tǒng)初始化，啟動，運行，退出等配置信息進行管理；對系統(tǒng)的操作提供審計接口。 首席用戶 初始化系統(tǒng)；提供增加，修改，刪除管理員信息的功能；對管理員進行授權(quán)；制定安全策略；對首席用戶的操作提供審計。 管理員 管理系統(tǒng)的用戶、資源和授權(quán)策略；進行管理權(quán)限的委托；管理員只能對權(quán)限范圍內(nèi)的策略和資源進行管理；管理相應的配置信息；對管理員的管理操作提供審計。 產(chǎn)品特點 該產(chǎn)品具有下列特點： 中國最大的管 理 資料下載中心 (收集 \整理 . 大量免費資源共享 ) 第 22 頁 共 25 頁 ? 具有通用性，對不同的應用提供決策支持。 ? 文檔資源 ? web資源 ? 數(shù)據(jù)庫資源 ? 網(wǎng)絡(luò)設(shè)備資源等 ? 策略的定制靈活， 能夠根據(jù)不同的情況定制出不同的策略。 ? 可以適應不同的需求，制定出不同的策略，基本上能滿足用戶不同的需求。對各種不同情況進行訪問控制。 ? 管理功能操作簡單。 ? 不要有太多的計算機知識和專業(yè)知識，就可以進行系統(tǒng)的管理，簡單的操作界面，方便的管理功能，減輕了管理人員的工作負擔。 ? 具有很好的擴展能力。 ? 為了方便系統(tǒng)將來的擴展，系統(tǒng)采用了良好的程序框架，系統(tǒng)增加功能，修改功能，刪除功能都是非常方便的。 ? 具有較高的效率，保證決策過程不會明顯的影響訪問速度。 ? 獨立于任何應用， CA。 ? pmi 系統(tǒng)所使用的公鑰證書獨立于任何 CA 系 統(tǒng)。 ? 對各種敏感信息具有較高的安全性。 ? 由于采用了 SSL 連接，簽名驗證，公鑰證書技術(shù)，所以對數(shù)據(jù)具有很好的保密性和安全性。 系統(tǒng)結(jié)構(gòu) 硬件設(shè)施結(jié)構(gòu) 軟件系統(tǒng) 結(jié)構(gòu) 中國最大的管 理 資料下載中心 (收集 \整理 . 大量免費資源共享 ) 第 23 頁 共 25 頁 系統(tǒng)工作 過程 1. 使用用戶管理工具注冊應用系統(tǒng)用戶信息； 2. 使用資源管理工具注冊資源信息； 3. 使用策略定制工具制定應用系統(tǒng)的權(quán)限管理和訪問控制策略； 4. 使用權(quán)限分配工具簽發(fā)策略證書，角色定義證書； 5. 屬性權(quán)威針對用戶簽發(fā)屬性證書； 6. 啟動策略實施點，使用的指定的策略和相關(guān)信息初始化策略決策服務(wù)器 ； 7. 用戶登陸時，策略實施點驗證用戶身份，并根據(jù)下一個步驟獲取權(quán)限信息； 8. 如果是推模式，直接從用戶提供的屬性證書中獲得權(quán)限信息，如果是拉模式，根據(jù)用戶身份信息從屬性證書庫中檢索，并返回用戶的權(quán)限信息； 9. 對每個訪問請求，策略實施點根據(jù)權(quán)限、動作和目標信息生成決策請求； 10. 策略實施點向策略決策點發(fā)出決策請求； 11. 策略決策點根據(jù)策略對請求進行判斷，返回決策結(jié)果； 12. 策略實施點根據(jù)結(jié)果決定是否進行訪問； 13. 如果要停止運行，就關(guān)閉策略實施點，由策略實施點通知策略決策服務(wù)器停止服務(wù)； 支持環(huán)境 硬件設(shè)備 ? 決策服務(wù)器： 高性能服務(wù)器； CPU：奔 IV ； 硬盤： 40G以上； 內(nèi)存： 512M以上； ? LDAP服務(wù)器： 高性能服務(wù)器 CPU：奔 IV ； 硬盤： 80G以上； 中國最大的管 理 資料下載中心 (收集 \整理 . 大量免費資源共享 ) 第 24 頁 共 25 頁 內(nèi)存： 512M以上； ? 管理終端： PC機 CPU：奔 III 內(nèi)存： 256M以上。 ? 策略實施點 高性能服務(wù)器 CPU：奔 硬盤： 40G以上 內(nèi)存： 512M以上。 支持軟件 ? 操作系統(tǒng)： win20 win9 winXP、 NT、 Linux、 Solaris ? 目錄服務(wù)器： 的 iPla0目錄服務(wù)器； ? WEB服務(wù)器： ? JAVA運行環(huán)境： 。 專用技術(shù)詞匯 PMI： 權(quán)限管理基礎(chǔ)設(shè)施； AA： 屬性權(quán)威； 策略實施點： 用來對用戶的請求做出決策的模塊。接受用戶請求，轉(zhuǎn)化成 PMI系統(tǒng)需要的形式，傳送給策略決策點，由策略決策點對此做出決策。策略實施點運行在資源服務(wù)器 上。 策略決策點： 最終做出決策的模塊。接收策略實施點發(fā)來的決策請求，根據(jù)管理端做出的策略，做出決策，返回給策略實施點。 動作策略： 定義了 PMI系統(tǒng)所支持的動作列表。 SOA策略： 定義了 PMI系統(tǒng)所信任的 SOA的列表。 角色層次策略： 定義了 PMI系統(tǒng)所支持的角色的定義，和所支持的角色之間的層次關(guān)系。 資源域策略： 對 PMI系統(tǒng)所支持的資源進行了域劃分，以方便于管理和訪問控制，可以按照應用的具體組織形式進行劃分。具體采用什么樣的劃分形式，視情況而定。 用戶域策略： 對 PMI系統(tǒng)所支持的用戶進行了域劃分，以方便于管理和訪問控制，可以按照應用的具體組織形式進行劃分。具體采用什么樣的劃分形式，視情況而定。 角色分配策略： 定義了為用戶分配角色時的準則，例如：某個用戶域上，可以分配什么樣的 中國最大的管 理 資料下載中心 (收集 \整理 . 大量免費資源共享 ) 第 25 頁 共 25 頁 角色，有效期，由哪個 SOA來分配等 … .。 訪問控制策略： 定義了對用戶的訪問請求作決策時的一個準則，例如：以某個動作訪問某個資源，需要什么樣的角色。 角色分配屬性證書： 由某個受信任的 AA簽發(fā)屬性證書，封裝了用戶所擁有的角色列表。 策略屬性證書： 由某個受信任的 AA簽發(fā)屬性證書，封裝了某個應用所制定的策略。 策略服務(wù)器： 運行策略決策點的服務(wù)器，主要提供決策服務(wù)，對用戶的訪問請求給出決策結(jié)果。