格尔授权管理系统产品白皮书资料下载.pdf
《格尔授权管理系统产品白皮书资料下载.pdf》由会员分享,可在线阅读,更多相关《格尔授权管理系统产品白皮书资料下载.pdf(14页珍藏版)》请在冰点文库上搜索。
接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。
对于以下三种信息,接受方不向格尔公司承担保密责任:
1)接受方在接收该文档前,已经掌握的信息。
2)可以通过与接受方无关的其它渠道公开获得的信息。
3)可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com3目录1前言不乐观的授权管理现状.42格尔授权管理系统的技术特点.63产品简介.93.1格尔PMS产品线.93.2体系结构.94产品特性及功能.104.1产品特性.104.2基本功能一览表.115实施效果.126附录.136.1名词解释.13图表目录图表1当前授权管理的应用状况图.4图表2使用SAML框架进行授权管理.7图表3格尔PMS产品列表.9图表4格尔PMS产品体系架构.10图表5格尔PMS产品功能列表.12图表6格尔PMS实施效果图.12上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com41前言不乐观的授权管理现状随着社会的发展以及企业的不断壮大,企业网的范围也不断扩大,从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。
随着各种网络应用不断涌现,在采用网络应用较多的企业中,出现了安全管理的问题,尤其是当这些应用采用不同的权限分配和控制方式时,整体的安全策略难以制定,各个子系统的管理变得复杂,很难得到有效的控制。
useruser2server1AC1server2AC2server3AC3user3Admin图表1当前授权管理的应用状况图不同的用户对应不同的应用系统,由于企业或机构的网络结构比较复杂,应用系统和用户都是分散分布的,因此对用户的访问控制和权限管理就显得非常的复杂和凌乱。
而网络与应用的管理者必须要能够控制:
有“谁”能够访问应用的信息,用户访问的是“什么信息”,哪个用户被授予什么样的“权限”。
然而,在图1表达出的目前大多数授权管理应用状况说明,在应用数量不断增长,系统安全提出更高要求的情况下,这种权限的表达和权限管理方式的复杂度会急剧提升,提高管理的压力,成本并且有安全方面的风险,即这种传统权限管理方案已经相对滞后了。
传统权限管理方案通常是通过使用用户名和口令的方式来实现对用户的访上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com5问控制的,而对权限的控制是每个应用系统分别进行的,不同的应用系统分别针对保护的资源进行权限的管理和控制,同时,又因为不同系统的设计和实施策略不同,导致了同一机构内存在多种权限管理的现状。
传统权限管理方案主要存在下面的问题:
l权限管理混乱对一个机构而言,数据和人力资源都是统一的。
但是由于系统设计的原因,可能同时对相同的人员采用不同的管理方式,对机构内的共享数据采用了不同的权限分配策略,这显然不合理,也不利于对机构资源的管理。
l带来系统的不安全因素不同的权限管理策略产生的安全强度是不同的。
这就可能造成机构信息安全管理的漏洞,因此入侵者就有可能瞄准那些权限管理相对不安全的系统进行集中攻击,这就给机构资源的安全性带来极大的危害。
l权限管理依赖于访问控制应用权限的赋予和撤销往往都是在访问控制应用中产生的,不同的访问控制应用之间尽管有相同的用户和授权策略却往往不能互相使用对方产生的权限。
每个应用都要维护自己的用户信息和授权方法,权限无法在分布的应用中和远程应用中使用。
l资源所有者没有权限应用系统负责权限的发放和使用,造成权限真正的拥有者不能有效,及时的更改,发布实时的权限信息。
比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。
而从本质上讲,权限的发放和权限的鉴别使用是完全不同的两个过程,完全可以分开,权限的拥有者发放权限,而由资源的保护者验证权限。
l增加了系统管理员的负担由于不同的系统采用的是不同的权限管理策略,系统管理员不得不熟悉和操作不同的权限管理模式,这无疑增加了系统管理员的负担。
另外,大多数老系统都采用的是权限访问控制列表的方式,但是对于大型复杂应上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com6用用这种方式来分配权限,给系统管理员带来巨大负担且易出错。
l开发复杂费用高设计一个新的安全应用系统时,权限管理是一个极其重要的部分。
在缺乏统一权限管理模型的情况下,设计人员要考虑选择权限管理模型、访问控制授权方案,而且开发人员也要根据不同的应用花费较大代价来实现权限管理功能,为一个应用开发的管理往往无法在其它应用中重用,增大系统的费用。
2格尔授权管理系统的技术特点用单一的方式来实现多个应用统一访问控制和授权很复杂。
比如说,在一个机构相关范围内,往往包含多种角色,每个角色担负不同的职责和业务,每个人员又可以承担多个角色(领导,技术人员,管理人员,销售,伙伴,客户);
要保护的内容也是不同的,如数据库,网页,文件;
管理规定可能多种多样,如分支机构定义的规则不能违反高一级机构的规则;
访问控制策略也是及其复杂的,同样的一个角色,在不同的系统中具有的权限往往是不同的,部门内的策略不能和机构的策略冲突;
安全应用系统的环境也千差万别,等等。
在解决上面这些问题时,格尔授权管理系统(PMS)采用了一些先进行的技术和理念:
lSAML技术框架从当前的的技术走向来看,SAML技术是具备解决授权问题的明星技术。
SAML是由OASIS组织(高级结构化信息标准组织)批准,基于XML的安全访问控制框架体系和协议。
/www.koal.com7鉴别权威用户策略决策中心属性权威策略策略系统实体策略鉴别声明授权决定声明属性声明应用请求策略执行中心图表2使用SAML框架进行授权管理在SAML框架下,无论用户使用哪种信任机制,只要满足SAML的接口、信息交互定义和流程规范,相互之间都可以无缝的相互结合。
SAML规范的完整框架及有关信息交互格式与协议使得现有的各种身份鉴别机制(PKI、Kerberos、口令)、各种授权机制(基于属性证书的PMI、ACL、Kerberos的访问控制)通过使用统一接口实现跨信任域的互操作,便于分布式应用系统的信任和授权的统一管理。
lXACML技术XACML是可以描述及适用关于通过因特网访问信息的控制策略的标记语言。
该语言设计为通过提供能够表现权限认证策略的统一语言,从而可以在各种授权管理产品之间实现互联,由于该语言具有可以适应大规模集成环境的灵活性和功能,因此将成为关于新一代授权管理产品的名符其实的标准。
在多种环境以及不同供应商的产品中采用统一的策略是实现高度可靠安全性的关键,由于XACML组合了传输访问申请人属性的机制如上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com8SAMLAssertion、Java许可(Permission)以及WS-SecurityTokens等,因此在可以应用于Web服务J2SE等电子商务环境的访问许可基础设施中成为一个重要的要素。
lXML/SOAP技术SOAP利用XML来包装程序的请求和响应,由于采用了XML的优点,可以轻易使用HTTP,SMTP等网络上最常用使用的通信方式来携带,更可以穿越企业防火墙,还可以通过SSL,S/MIME等机制加密,安全性高。
另外,由于SOAP是个标准文字格式,所以它具备程序语言和操作平台的独立性,这正是web-service时代所需要的特征。
l应用证书技术从普遍应用而言,权限信息相对于身份信息来说容易改变,维护授权信息代价相对维护身份信息要高的多,所以在PKI得到较大规模应用以后,人们已经认识到需要超越当前PKI提供的身份验证和机密性,使用针对应用的应用证书来进行用户属性在多个应用中的定义。
/www.koal.com93产品简介3.1格尔PMS产品线格尔PMS产品,根据用户的需求不同,形成一个PMS产品系列,提供不同级别的服务:
产品型号产品特点PMS-2.0.0标准版具备PMS产品的通用特点PMS-2.0.0企业版可接入属性认证系统,可以进行客户化定制PMS-2.0.0高级企业版支持分布式大型应用图表3格尔PMS产品列表3.2体系结构格尔PMS由一系列软件实现模块组成,其体系结构如下所示:
/www.koal.com10策略管理PAP鉴别权威访问者策略信息PIP应用系统属性权威验证身份为AA签发身份证书请求决定属性权威AA注册申请ARA业务授权角色管理资源管理策略决策PDP策略实施PEP目标LDAP发放应用证书业务授权PMS图表4格尔PMS产品体系架构4产品特性及功能4.1产品特性l实现统一的分布式访问控制服务;
l使用应用证书技术实现灵活的授权管理;
l提供WebService服务形式的权限校验方式;
l支持B/S、C/S应用;
l支持业界最新的SAML1.0规范,实现多个信任域间的访问控制;
l支持业界最新的XACML1.0规范,标准的权限校验策略描述;
l广泛采用XML技术,最大限度地提高同其它系统间的互操作性;
l与KOALPKI平台无缝集成;
/www.koal.com11l采用组件化技术,基本充分的架构灵活性,方便定制。
4.2基本功能一览表功能类别功能名称描述系统配置部署系统配置部署配置系统相关信息,生成站点证书和第一个系统管理员系统基本信息配置系统基本信息配置提供在系统部署后对系统基本信息的修改功能数据库信息配置数据库信息配置提供在系统部署后对系统所需要的数据库信息的修改功能业务模块查询业务模块定义业务模块更新业务模块管理业务模块删除管理需要使用本系统的业务模块角色查询角色及策略定义角色及策略更新角色管理角色删除对各个具体业务模块的角色及策略进行管理资源查询资源定义资源批量定义资源更新资源管理资源删除管理相应业务模块的资源查询人员授权增加人员授权修改人员授权授权管理删除人员授权系统的核心模块,对各种角色进行灵活的授权管理,包括基于人员和属性的授权上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com12查询属性授权增加属性授权修改属性授权删除属性授权权限校验服务权限校验提供接口供独立的应用系统做权限校验使用约束域服务约束域服务提供接口供需要约束域计算的应用系统使用图表5格尔PMS产品功能列表5实施效果本系统安装和实施后,整个网络的授权管理方式变成如下方式:
AppServer1PDP1AppServer2PDP2AppServer3PDP3AdminPMSLDAPuser图表6格尔PMS实施效果图上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com136附录6.1名词解释6.1.1ACL(AccessControlList)访问控制列表,一种访问控制策略,列出实体名称或角色被允许还是禁止的权限。
所谓策略就是将实体、组和角色与相应的特权进行映射。
6.1.2PMS(PrivilegeManagementSystem)格尔授权管理系统6.1.3SAML(SecurityAssertionMarkupLanguage)安全认定标记语言,是支持XML电子商务的第一个工业标准,它将S2ML和AuthXML结合起来,为企业之间进行B2B和B2C业务交易提供共享安全服务的公用语言。
SAML允许企业及其供应商、客户与合作伙伴进行安全的授权、认证和基本信息交换,而与它们各自采用的软件及硬件平台无关。
因此,SAML将会促进离散的安全系统之间的互操作性,可以跨越企业之间的界线,建立一个安全的电子商务交易框架。
XML信任中心(XMLTrustCenter)将会及时向开发者提供SAML的相关资源。
更详细的资料可以从OASISXML安全服务技术委员会(SecurityServicesTechnicalCommittee)的网站(S2ML.org和Authxml.org)获得上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel:
/www.koal.com146.1.4SOAP(SimpleObjectAccessProtocol)简单对象访问协议是在分散或分布式的环境中交换信息的简单的协议,是一个基于XML的协议。
6.1.5Web服务Web服务是描述一些操作(利用标准化的XML消息传递机制可以通过网络访问这些操作)的接口。
Web服务是用标准的、规范的XML概念描述的,称为Web服务的服务描述。
6.1.6AA(AttributeAuthority)颁发属性证书的实体,与ACissuer是同义词。
升级会员 