格尔授权管理系统产品白皮书资料下载.pdf

1、接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向格尔公司承担保密责任：1 ）接受方在接收该文档前，已经掌握的信息。2 ）可以通过与接受方无关的其它渠道公开获得的信息。3 ）可以从第三方，以无附加保密要求方式获得的信息。上海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 3目 录 1 前言不乐观的授权管理现状.4 2 格尔授权管理系统的技术特点.6 3 产品简介.9 3.1 格尔 P M S产品线.9 3.2 体系结构.9 4 产品特性及功能

2、.1 0 4.1 产品特性.1 0 4.2 基本功能一览表.1 1 5 实施效果.1 2 6 附录.1 3 6.1 名词解释.1 3 图表目录 图表 1 当前授权管理的应用状况图.4 图表 2 使用 S A M L 框架进行授权管理.7 图表 3 格尔 P M S产品列表.9 图表 4 格尔 P M S 产品体系架构.1 0 图表 5 格尔 P M S产品功能列表.1 2 图表 6 格尔 P M S实施效果图.1 2 上海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 41 前言不乐观的授权管理现状 随着社会的发展以及企业的

3、不断壮大，企业网的范围也不断扩大，从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。随着各种网络应用不断涌现，在采用网络应用较多的企业中，出现了安全管理的问题，尤其是当这些应用采用不同的权限分配和控制方式时，整体的安全策略难以制定，各个子系统的管理变得复杂，很难得到有效的控制。useruser2server1AC1server2AC2server3AC3user3Admin 图表 1 当前授权管理的应用状况图 不同的用户对应不同的应用系统，由于企业或机构的网络结构比较复杂，应用系统和用户都是分散分布的，因此对用户的访问控制和权限管理就显得非常的复杂和凌乱。而网络与应用的管理者必须要能够控制：

4、有“谁”能够访问应用的信息，用户访问的是“什么信息”，哪个用户被授予什么样的“权限”。然而，在图 1 表达出的目前大多数授权管理应用状况说明，在应用数量不断增长，系统安全提出更高要求的情况下，这种权限的表达和权限管理方式的复杂度会急剧提升，提高管理的压力，成本并且有安全方面的风险，即这种传统权限管理方案已经相对滞后了。传统权限管理方案通常是通过使用用户名和口令的方式来实现对用户的访 上海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 5问控制的，而对权限的控制是每个应用系统分别进行的，不同的应用系统分别针对保护的资源进行权限

5、的管理和控制，同时，又因为不同系统的设计和实施策略不同，导致了同一机构内存在多种权限管理的现状。传统权限管理方案主要存在下面的问题：l 权限管理混乱 对一个机构而言，数据和人力资源都是统一的。但是由于系统设计的原因，可能同时对相同的人员采用不同的管理方式，对机构内的共享数据采用了不同的权限分配策略，这显然不合理，也不利于对机构资源的管理。l 带来系统的不安全因素 不同的权限管理策略产生的安全强度是不同的。这就可能造成机构信息安全管理的漏洞，因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击，这就给机构资源的安全性带来极大的危害。l 权限管理依赖于访问控制应用 权限的赋予和撤销往往都

6、是在访问控制应用中产生的，不同的访问控制应用之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。每个应用都要维护自己的用户信息和授权方法，权限无法在分布的应用中和远程应用中使用。l 资源所有者没有权限 应用系统负责权限的发放和使用，造成权限真正的拥有者不能有效，及时的更改，发布实时的权限信息。比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。而从本质上讲，权限的发放和权限的鉴别使用是完全不同的两个过程，完全可以分开，权限的拥有者发放权限，而由资源的保护者验证权限。l 增加了系统管理员的负担 由于不同的系统采用的是不同的权限管理策略，系统管理员不得不熟悉和操作不同的权

7、限管理模式，这无疑增加了系统管理员的负担。另外，大多数老系统都采用的是权限访问控制列表的方式，但是对于大型复杂应 上海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 6用用这种方式来分配权限，给系统管理员带来巨大负担且易出错。l 开发复杂费用高 设计一个新的安全应用系统时，权限管理是一个极其重要的部分。在缺乏统一权限管理模型的情况下，设计人员要考虑选择权限管理模型、访问控制授权方案，而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能，为一个应用开发的管理往往无法在其它应用中重用，增大系统的费用。2 格尔授权管理系统

8、的技术特点 用单一的方式来实现多个应用统一访问控制和授权很复杂。比如说，在一个机构相关范围内，往往包含多种角色，每个角色担负不同的职责和业务，每个人员又可以承担多个角色（领导，技术人员，管理人员，销售，伙伴，客户）；要保护的内容也是不同的，如数据库，网页，文件；管理规定可能多种多样，如分支机构定义的规则不能违反高一级机构的规则；访问控制策略也是及其复杂的，同样的一个角色，在不同的系统中具有的权限往往是不同的，部门内的策略不能和机构的策略冲突；安全应用系统的环境也千差万别，等等。在解决上面这些问题时，格尔授权管理系统（P M S）采用了一些先进行的技术和理念：l S A ML技术框架 从当前的的

9、技术走向来看，S A M L技术是具备解决授权问题的明星技术。S A M L 是由 O A S I S组织（高级结构化信息标准组织）批准，基于 X M L的安全访问控制框架体系和协议。/w w w.k o a l.c o m 7鉴别权威用户策略决策中心属性权威策略策略系统实体策略鉴别声明授权决定声明属性声明应用请求策略执行中心 图表 2 使用 SAML 框架进行授权管理 在 S A M L 框架下，无论用户使用哪种信任机制，只要满足 S A M L 的接口、信息交互定义和流程规范，相互之间都可以无缝的相互结合。S A M L规范的完整框架及有关信息交互格式与协议使得现有的各种身份鉴别机制（P

10、K I、K e r b e r o s、口令）、各种授权机制（基于属性证书的 P M I、A C L、K e r b e r o s的访问控制）通过使用统一接口实现跨信任域的互操作，便于分布式应用系统的信任和授权的统一管理。l X A C ML技术 X A C M L是可以描述及适用关于通过因特网访问信息的控制策略的标记语言。该语言设计为通过提供能够表现权限认证策略的统一语言，从而可以在各种授权管理产品之间实现互联，由于该语言具有可以适应大规模集成环境的灵活性和功能，因此将成为关于新一代授权管理产品的名符其实的 标准。在多种环境以及不同供应商的产品中采用统一的策略是实现高度可靠安全性的 关键，

11、由于 X A C M L 组合了传输访问申请人属性的机制如 上海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 8S A M L A s s e r t i o n、J a v a 许可（P e r mi s s i o n）以及 WS-S e c u r i t y T o k e n s 等，因此在可以应用于We b 服务J 2 S E 等电子商务环境的访问许可基础设施中成为一个重要的要素。l X ML/S O A P技术 S O A P利用 X M L 来包装程序的请求和响应，由于采用了 X M L 的优点，可以轻易使

12、用 H T T P，S M T P等网络上最常用使用的通信方式来携带，更可以穿越企业防火墙，还可以通过 S S L，S/M I M E等机制加密，安全性高。另外，由于 S O A P 是个标准文字格式，所以它具备程序语言和操作平台的独立性，这正是 w e b-s e r v i c e 时代所需要的特征。l 应用证书技术 从普遍应用而言，权限信息相对于身份信息来说容易改变，维护授权信息代价相对维护身份信息要高的多，所以在 P K I得到较大规模应用以后，人们已经认识到需要超越当前 P K I 提供的身份验证和机密性，使用针对应用的应用证书来进行用户属性在多个应用中的定义。/w w w.k o

13、a l.c o m 93 产品简介 3.1 格尔 P MS产品线 格尔 P M S产品，根据用户的需求不同，形成一个 P M S产品系列，提供不同级别的服务：产品型号 产品特点 P M S-2.0.0标准版 具备 P M S产品的通用特点 P M S-2.0.0企业版 可接入属性认证系统，可以进行客户化定制 P M S-2.0.0 高级企业版 支持分布式大型应用 图表 3 格尔 PMS 产品列表 3.2 体系结构 格尔 P M S由一系列软件实现模块组成，其体系结构如下所示：/w w w.k o a l.c o m 1 0策略管理P A P鉴别权威访问者策略信息P I P应用系统属性权威验证身

14、份为A A 签发身份证书请求决定属性权威A A注册申请A R A业务授权角色管理资源管理策略决策P D P策略实施P E P目标L D A P发放应用证书业务授权P MS 图表 4 格尔 PMS 产品体系架构 4 产品特性及功能 4.1 产品特性 l 实现统一的分布式访问控制服务；l 使用应用证书技术实现灵活的授权管理；l 提供 We b S e r v i c e 服务形式的权限校验方式；l 支持 B/S、C/S应用；l 支持业界最新的 S A M L 1.0规范，实现多个信任域间的访问控制；l 支持业界最新的 X A C M L 1.0 规范，标准的权限校验策略描述；l 广泛采用 X M

15、L 技术，最大限度地提高同其它系统间的互操作性；l 与 K O A L P K I 平台无缝集成；/w w w.k o a l.c o m 1 1l 采用组件化技术，基本充分的架构灵活性，方便定制。4.2 基本功能一览表 功能类别 功能名称 描述 系统配置部署 系统配置部署 配置系统相关信息，生成站点证书和第一个系统管理员 系统基本信息配置 系统基本信息配置 提供在系统部署后对系统基本信息的修改功能 数据库信息配置 数据库信息配置 提供在系统部署后对系统所需要的数据库信息的修改功能 业务模块查询 业务模块定义 业务模块更新 业务模块管理 业务模块删除 管理需要使用本系统的业务模块 角色查询 角

16、色及策略定义 角色及策略更新 角色管理 角色删除 对各个具体业务模块的角色及策略进行管理 资源查询 资源定义 资源批量定义 资源更新 资源管理 资源删除 管理相应业务模块的资源 查询人员授权 增加人员授权 修改人员授权 授权管理 删除人员授权 系统的核心模块，对各种角色进行灵活的授权管理，包括基于人员和属性的授权 上海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 1 2查询属性授权 增加属性授权 修改属性授权 删除属性授权 权限校验服务 权限校验 提供接口供独立的应用系统做权限校验使用 约束域服务 约束域服务 提供接口供需

17、要约束域计算的应用系统使用 图表 5 格尔 PMS 产品功能列表 5 实施效果 本系统安装和实施后，整个网络的授权管理方式变成如下方式：AppServer1PDP1AppServer2PDP2AppServer3PDP3AdminPMSLDAPuser 图表 6 格尔 PMS 实施效果图 上海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 1 3 6 附录 6.1 名词解释 6.1.1 A C L（A c c e s s C o n t r o l L i s t）访问控制列表，一种访问控制策略，列出实体名称或角色被允许还是

18、禁止的权限。所谓策略就是将实体、组和角色与相应的特权进行映射。6.1.2 P MS（P r i v i l e g e Ma n a g e me n t S y s t e m）格尔授权管理系统 6.1.3 S A ML （S e c u r i t y A s s e r t i o n Ma r k u p L a n g u a g e）安全认定标记语言，是支持 X M L电子商务的第一个工业标准，它将 S 2 M L和 A u t h X M L结合起来，为企业之间进行 B 2 B 和 B 2 C业务交易提供共享安全服务的公用语言。S A M L允许企业及其供应商、客户与合作伙伴进行

19、安全的授权、认证和基本信息交换，而与它们各自采用的软件及硬件平台无关。因此，S A M L 将会促进离散的安全系统之间的互操作性，可以跨越企业之间的界线，建立一个安全的电子商务交易框架。X M L 信任中心（X M L T r u s t C e n t e r）将会及时向开发者提供 S A M L 的相关资源。更详细的资料可以从 O A S I S X M L安全服务技术委员会（S e c u r i t y S e r v i c e s T e c h n i c a l C o mmi t t e e）的网站（S 2 M L.o r g和 A u t h x ml.o r g）获得 上

20、海格尔软件股份有限公司 上海市余姚路 2 8 8 号 A楼 4层 T e l:/w w w.k o a l.c o m 1 46.1.4 S O A P（S i mp l e O b j e c t A c c e s s P r o t o c o l）简单对象访问协议是在分散或分布式的环境中交换信息的简单的协议，是一个基于 X M L 的协议。6.1.5 We b服务 We b 服务是描述一些操作（利用标准化的 X M L 消息传递机制可以通过网络访问这些操作）的接口。We b 服务是用标准的、规范的 X M L 概念描述的，称为 We b 服务的服务描述。6.1.6 A A （A t t r i b u t e A u t h o r i t y）颁发属性证书的实体，与 A C i s s u e r 是同义词。