1系统总体方案

1．1架构和功能

系统依托PMI，遵循X．509协议、GB／T16264．8—2005和ISO／IEC9594—8(2005)标准，采用RBAC模型。系统包括访问控制执行单元(AccessControlEnforcementFunction，AEF)的实施接口、访问控制决策单元(AccessControlDecisionFunction，ADF)的决策服务、决策管理和系统管理共四部分。用户权限由属性证书描述，系统的用户、角色、目标资源、操作行为及属性证书等各类信息存储在LDAP中。系统为用户设计了PKI、PMI和LDAP三类服务供其调用⋯。其中，PKI和PMI服务遵守X．509、GB／T16264．8—2005、ISO／IEC9594—8(2005)及相应的PKI规范，LDAP服务遵守RFC2251(V3)技术规范。系统架构如所示，功能模块如所示。

1．2主要功能模块

1．2．1AEF实施接口

①接收由应用系统或PKI认证系统传递过来的用户的身份信息、要访问的资源，以及对资源的操作行为。无论是PKI或用户名一口令哪种认证形式，均提供相同接口；②按预定格式生成决策请求信息，并向访问控制决策单元ADF发出决策请求；③接收ADF的决策结果，并将结果传递到应用系统，由应用系统根据决策结果执行或者拒绝用户的访问。

1．2．2ADF决策服务

①接收由AEF发出的决策请求信息；②检索策略规测，对决策请求作出决策；③将决策结果和用户的权限信息返给AEF，并对决策过程的所有操作提供审计接口。

1．2．3决策管理

①资源与操作管理。对目标资源及操作行为提供维护功能；对资源信息和操作行为根据应用需求附加安全属性；定义目标资源角色、操作角色及各自的继承关系等；对资源的各种操作提供审计接口。②用户角色管理。根据实际应用环境的要求来划分角色，可以按企业组织结构，或根据级别和职责来决定，完全由应用系统灵活设置，随时能够增删改；角色之间支持继承；对角色的操作提供审计接口。③用户管理。提供增删改功能；按类型(如员工、合作伙伴、顾客等)分类管理；对用户操作提供审计。④授权策略管理。定义授权约束条件。包括为用户分配角色时要满足的静态职责分离约束，会话激活角色时要满足的动态职责分离约束及权限分配时要满足的约束条件；定义系统内的权限；分配权限；申请、签发、撤销属性证书；对所有操作提供审计接口。⑤委托管理。对授权体系进行维护，能够增加或撤销属性权威机构AA和AA；对系统管理员进行管理，赋予或撤销其属性权威机构AA和AA的操作职能；系统提供操作审计。

1．2．4系统管理

①运行环境信息的管理。环境信息、相关参数等的配置；初始化、启动、运行等配置信息管理；系统提供操作审计。②首席用户。首席用户是系统设置的第一个默认用户，属于超级管理员。他可以增删改管理员，并对管理员授权；它还可以制定授权策略，进行环境信息配置；系统提供首席用户的操作审计。③管理员。管理员分为超级管理员、LDAP目录服务管理员、授权管理员和签发管理员四种。超级管理员担当管理员的维护、系统环境信息和参数配置等工作；LDAP目录服务管理员负责LDAP数据库的维护，负责创建和管理应用系统的用户树、角色树、目标资源树、操作树及属性证书树等；授权管理员负责用户与用户角色、资源与资源角色及操作与操作角色间关系的维护，负责授权策略及委托等决策管理的职能；签发管理员负责属性证书管理，包括签发、撤销等维护职能。终端实ll终端实体EEll体EE对管理员的每次操作都提供审计。

2授权体系与访问控制模型

2．1授权体系PMI在体系上可以分为三级，分别是信任源点SOA(SourceOfAuthority)中心、属性权威机构AA(At—tributeAuthority)中心和AA点。系统将第一级设置为分公司或连锁店SOA，分公司或连锁店分布在不同的物理区域，基本上是一个独立的应用系统，互相之间没有联系，所以采取多SOA方案；第二级按应用子系统划分，如财务管理子系统的AA、物流管理子系统的AA、销售与采购子系统AA、人力资源子系统AA等；第三级为各子系统的AA点，其设立和数目根据子系统的业务需求确定，可以随时增加或删除。授权管理的结构如所示。

2．2访问控制模型及其实现

2．2．1访问控制模型

采用RBAC模型，并根据应用的实际情况对其加以改进，形成了一个增强的RBAC模型。该模型在原有RBAC基础上添加了目标角色和操作角色两个元素，相应地也增加了操作与操作角色、目标与目标角色及操作角色与目标角色三种关系。对新添加的角色引入层次继承关系，对新添加的关系引入静态约束。其模型描述如所示。

2．2．2用户权限的表示

系统是通过对角色分配权限及为用户指定角色来实现授权的，属性证书是载体，记录角色被指派了哪些权限，用户拥有哪些角色。属性证书分为角色规范证书RSC(RoleSpecificationCertificate)、角色分配证书RAC(RoleAssignmentCertificate)及属性描述符证书ADC(AttributeDescriptorCertificate)。RSC记录角色所拥有的权限，RAC记录指派给用户的角色，ADC描述访问控制策略应遵守的规则。静态职责分离、动态职责分离及客体约束等存入LDAP数据库，以便在权限分配和角色激活时检测是否满足约束条件。AA可以定义任意数量的角色，角色及角色的成员(即用户)甚至可以通过不同的AA分别定义和管理，角色成员的分配可以由AA实施，角色及角色的成员可以给予任意的生命周期。显示出了系统RBAC模型中SOA、AA、AA、角色、终端实体(用户)、属性证书、LDAP证书库等各实体之间的关系。

3LDAP数据库设计

3．1存储结构

LDAP使用一种类似于X．500协议中数据的组织方式来访问目录中的信息，支持分布式环境、安全可靠、灵活方便，逐渐成为下一代智能化网络管理的核心部分”。系统利用LDAP存放应用的用户树、角色树、目标资源树、操作树及属性证书树等信息。存储结构如所示。

3．2LDAP服务

LDAP服务提供了查询、更新、认证及LDAP扩展共四类操作。系统利用c语言对LDAP操作进行封装(1ber．h，ldap．h)，提供了连接、断开连接，绑定、解除绑定，条目的增删改，条目查询等功能。为了安全起见，这些功能都由相应的系统管理员执行。LDAP目录服务管理员负责LDAP数据库的维护，负责创建和管理应用系统的用户树、角色树、目标资源树、操作树及属性证书树等。

4结束语

该系统为企业安全应用面临的资源共享问题提供了一个可行的访问控制方案，解决了跨组织边界的用户和服务资源的动态调整及安全属性种类繁多、权限决策辅助因素的多变等问题。该系统已在笔者单位开发的网络安全及安全办公平台等项目中得到应用，很好地解决了项目面临的安全问题。系统通过将访问控制机制从具体应用的开发和管理中分离出来，不仅屏蔽了安全技术的复杂性，也拥有很强的灵活性、适应性和可扩展性。