專利名稱:基于pki/pmi技術(shù)的跨域管理裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種適用于計(jì)算機(jī)信息安全領(lǐng)域的管理裝置����,特別涉及一種適用 于計(jì)算機(jī)信息安全領(lǐng)域的信息保護(hù)的基于PKI/PMI技術(shù)的跨域管理裝置。
背景技術(shù):
隨著大規(guī)模網(wǎng)絡(luò)的發(fā)展���,數(shù)據(jù)涉及局域網(wǎng)�、廣域網(wǎng)����、Internet等��,數(shù)據(jù)安全性問題 越來越突出�����,數(shù)據(jù)的安全性��、保密性����、真實(shí)性�、完整性,成為人們關(guān)注的焦點(diǎn)�����。為解決網(wǎng)絡(luò)數(shù)據(jù)安全問題�,世界各國對其進(jìn)行了多年的研究�,初步形成了一套完 整的安全解決方案,即目前被廣泛采用的PKI (Public Key Infrastructure-公鑰基礎(chǔ)設(shè) 施)禾口 PMI (Privilege Management Infrastructure-權(quán)限基石出設(shè)施)技術(shù)����。隨著電子政務(wù)��、電子商務(wù)等業(yè)務(wù)的發(fā)展���,信息在不同的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)源之間實(shí) 現(xiàn)自動��、快速����、安全的交換,而用戶則必須不停地跨域訪問信息數(shù)據(jù)�,然而在跨域用戶訪問 跨越自己的PKI信任域的擴(kuò)展外部業(yè)務(wù)與其他域的PKI/PMI認(rèn)證系統(tǒng)進(jìn)行網(wǎng)上數(shù)據(jù)共享和 信息交換時,就會出現(xiàn)相互信任問題和資源訪問的權(quán)限問題���,如怎樣確保交易雙方身份真 實(shí)性��、交易的不可抵賴性����、成交過程的保密性等�����,怎樣確定外域用戶在本域訪問資源的權(quán)限 問題等����。但是�����,不同域的PKI/PMI實(shí)現(xiàn)方式都是不相同的�����;因此�����,特別需要一種更靈活�����、更 安全的裝置來管理不同域的PKI身份識別和PMI的授權(quán)��,以提供安全通信和信息互聯(lián)共享��。
實(shí)用新型內(nèi)容本實(shí)用新型的目的在于提供一種基于PKI/PMI技術(shù)的跨域管理裝置,能夠?qū)缬?的身份和授權(quán)進(jìn)行管理���,能夠很好的解決跨域互聯(lián)和訪問的問題��,更靈活���,更安全��,實(shí)現(xiàn)安 全通信和信息互聯(lián)共享�。本實(shí)用新型解決其技術(shù)問題所采取的技術(shù)方案是一種基于PKI/PMI技術(shù)的跨域管理裝置���,其特征在于�,它包括一用于操作多個管理域間的訪問控制�,訪問控制的管理,授權(quán)策略的映射的跨域 授權(quán)管理模塊����;一基于PKI技術(shù)為身份管理與控制提供完整的解決方案的跨域身份管理模塊;及一提供對電子行為進(jìn)行責(zé)任認(rèn)定的完整解決方案并對所有的進(jìn)行訪問和授權(quán)的 行為進(jìn)行監(jiān)控并審計(jì)的監(jiān)控審計(jì)管理模塊�;所述跨域授權(quán)管理模塊、跨域身份管理模塊和監(jiān)控審計(jì)管理模塊之間互相連接并 進(jìn)行數(shù)據(jù)信息交互��。在本實(shí)用新型的一個實(shí)施例中����,所述跨域授權(quán)管理模塊由身份基礎(chǔ)層、身份管理 層�����、身份控制層、身份跨域?qū)踊ハ噙B接構(gòu)成��;所述身份基礎(chǔ)層��、身份管理層����、身份控制層、身 份跨域?qū)由显O(shè)置有注冊域標(biāo)識�,實(shí)現(xiàn)跨域信任。在本實(shí)用新型的一個實(shí)施例中�����,所述跨域身份管理模塊為一采用角色映射���,代理訪問實(shí)現(xiàn)多個邏輯隔離的認(rèn)證域或訪問控制域的跨域授權(quán)訪問模塊��。 在本實(shí)用新型的一個實(shí)施例中����,所述監(jiān)控審計(jì)管理模塊由一對跨域的每一個動 作、每個請求�����、每個事件進(jìn)行追蹤和審計(jì)的審計(jì)模塊及一對跨域的每個事件進(jìn)行動態(tài)監(jiān)控����, 并將監(jiān)控的結(jié)果記錄下來��,以備后續(xù)的審計(jì)的監(jiān)控模塊構(gòu)成�。進(jìn)一步,所述審計(jì)模塊上設(shè)置有為司法追蹤提供證據(jù)的司法鑒定接口�。本實(shí)用新型的基于PKI/PMI技術(shù)的跨域管理裝置,與其他PKI/PMI信任域進(jìn)行網(wǎng) 上數(shù)據(jù)共享和信息交換時�,不同的PKI/PMI信任域之間可以信任和授權(quán)訪問,更靈活��、更安 全的來管理跨域身份和授權(quán)訪問�����,以提供安全通信和信息互聯(lián)共享���,實(shí)現(xiàn)跨域信息共享和 資源的授權(quán)訪問�����,實(shí)現(xiàn)本實(shí)用新型的目的�。
圖1為本實(shí)用新型的基于PKI/PMI技術(shù)的跨域管理裝置的結(jié)構(gòu)框圖;圖2為本實(shí)用新型的基于PKI/PMI技術(shù)的跨域管理裝置的流程框圖���。
具體實(shí)施方式
為了使本實(shí)用新型實(shí)現(xiàn)的技術(shù)手段����、創(chuàng)作特征����、達(dá)成目的與功效易于明白了解,下 面結(jié)合具體圖示�����,進(jìn)一步闡述本實(shí)用新型�����。實(shí)施例如圖1所示����,本發(fā)明的基于PKI/PMI技術(shù)的跨域管理裝置��,它包括一跨域授權(quán)管 理模塊10��、一跨域身份管理模塊20及一監(jiān)控審計(jì)管理模塊30 �����;跨域授權(quán)管理模塊10、跨域 身份管理模塊20和監(jiān)控審計(jì)管理模塊30之間互相連接并進(jìn)行數(shù)據(jù)信息交互��?���?缬蚴跈?quán)管理模塊10是基于PKI技術(shù)的跨域身份管理,適用于大規(guī)模復(fù)雜應(yīng)用系 統(tǒng)�����,為應(yīng)用系統(tǒng)的身份管理與控制提供完整的解決方案���?��?缬蚴跈?quán)管理模塊10包括四個層 次身份基礎(chǔ)層、身份管理層���、身份控制層�、身份跨域?qū)印I矸莼A(chǔ)層���,包括客戶端安全環(huán)境��,網(wǎng)絡(luò)環(huán)境�����、密鑰環(huán)境��、數(shù)據(jù)環(huán)境���、目錄服務(wù) LDAP 等;身份管理層�����,包括PKI�、PMI中的屬性管理、身份注冊����、策略管理����,跨域的PMI擴(kuò)展 PMI+ 等����;身份控制層,包括身份認(rèn)證�、PMI及PMI+中的訪問控制決策功能ADF(ACCeSS Decision Function)、審計(jì)與追蹤等�����;身份跨域?qū)?�,包括跨域的LDAP目錄服務(wù)�����、跨域的身份映射��,跨域的授權(quán)代理和代理等���。所述身份基礎(chǔ)層、身份管理層����、身份控制層����、身份跨域?qū)由显O(shè)置有注冊域標(biāo)識����,實(shí) 現(xiàn)跨域信任??缬蚴跈?quán)管理模塊10可采用形式化策略語言描述主體及其屬性,實(shí)現(xiàn)標(biāo)準(zhǔn)化�����、可 移植的身份管理�����,那樣將會具有良好的互操作和擴(kuò)展性��;并可以通過角色映射解決跨域身 份管理的復(fù)雜性問題��??缬蛏矸莨芾砟K20的目的是在多個邏輯隔離的認(rèn)證域或訪問控制域的復(fù)雜網(wǎng) 絡(luò)環(huán)境下的跨域授權(quán)訪問機(jī)制下,實(shí)現(xiàn)用戶的安全狀態(tài)自動遷移��,并且需要兼容現(xiàn)有訪問控制系統(tǒng)的跨域授權(quán)訪問控制方法,以實(shí)現(xiàn)現(xiàn)有系統(tǒng)到跨域訪問的平滑過渡���,從而保護(hù)現(xiàn)有的投資并支持跨域的信息共享與業(yè)務(wù)協(xié)同���。跨域身份管理模塊20主要解決多個管理域間訪問控制的互操作性問題���,訪問控 制的管理�,授權(quán)策略的映射等問題�。多個管理域間訪問控制的互操作需要提供單點(diǎn)登錄的跨企業(yè)和組織的授權(quán)機(jī) 制,以實(shí)現(xiàn)全局一體的訪問控制�。在跨管理域的授權(quán)中由于信息訪問的主體和客體可能屬 于訪問控制策略不同的管理域���,訪問控制可能會發(fā)生沖突�����,這就需要一定的協(xié)調(diào)機(jī)制�����。訪問 控制的互操作需要滿足兩條原則第一�����,自主原則����,即在某一管理域中允許的信息訪問,通 過互操作也允許�;第二,安全原則����,即在某一管理域中禁止的信息訪問,通過互操作也禁止�。訪問控制的管理網(wǎng)絡(luò)中具有多個管理域、多種安全策略�����、大量的用戶及信息服務(wù) 請求以及異構(gòu)的信息資源���,訪問控制又存在多種粒度���,同時網(wǎng)絡(luò)是一個開放、動態(tài)的系統(tǒng), 所以�����,應(yīng)該使用一個易于管理的訪問控制機(jī)制�����,以降低訪問控制管理的復(fù)雜度�。同時,跨管 理域的授權(quán)可能會降低訪問控制的確定性���,造成安全漏洞����,應(yīng)該提供發(fā)現(xiàn)這些安全漏洞的 機(jī)制��。授權(quán)策略映射的管理授權(quán)策略由一組規(guī)定組成�,用以指明證書用于指定信任域 或具有相同安全要求的應(yīng)用類型和范圍�����。策略由信任域制定并對外廣泛發(fā)布���,策略映射是 PKI互聯(lián)互通必須解決的重要題��?����?缬蚬芾淼牟呗杂成涔δ芫褪沁M(jìn)行雙方策略的確定對應(yīng)�。 通過跨越管理系統(tǒng)的策略映射表將這種關(guān)系告訴使用者,從而使策略在不同的信任域互相 理解����。跨域授權(quán)策略映射管理首先制定一種合適的滿足一般需要的策略���,然后分析不同信 任域的策略要求和頒發(fā)該策略證書的過程和規(guī)定���,然后將對方的策略與自己的策略進(jìn)行對 應(yīng),最后將這種對應(yīng)關(guān)系反映在用戶訪問中����,以便所有的用戶能夠自動處理。監(jiān)控審計(jì)管理模塊30用于責(zé)任認(rèn)定的電子證據(jù)的證據(jù)力�����,解決由于電子證據(jù)的 技術(shù)依賴性、形式復(fù)合性��、存儲與傳遞的隱蔽性���、易于變造性所帶來的責(zé)任認(rèn)定困難問題����。 研究通過簽名驗(yàn)證服務(wù)器�����、時間戳服務(wù)器���、網(wǎng)絡(luò)審計(jì)�、主機(jī)審計(jì)�、數(shù)據(jù)庫審計(jì)、應(yīng)用審計(jì)等系 統(tǒng)協(xié)同工作��,實(shí)現(xiàn)對電子證據(jù)完整性的保護(hù)����、事件關(guān)聯(lián)與證據(jù)鏈分析�,提供對系統(tǒng)中的電子 行為進(jìn)行責(zé)任認(rèn)定的完整解決方案。同時對所有通過跨越管理系統(tǒng)的進(jìn)行訪問和授權(quán)的行為進(jìn)行監(jiān)控并審計(jì)。本發(fā)明的基于PKI/PMI技術(shù)的跨域管理裝置對跨域的身份和授權(quán)進(jìn)行管理�����,具體 實(shí)施方法如圖2所示�����,請求域里面的用戶跨域訪問資源域里的數(shù)據(jù)時實(shí)施流程如下所述1��、請求域里面的用戶由客戶端發(fā)起802. Ix驗(yàn)證申請����,并提交各人證書以及 MachineID給跨域管理系統(tǒng);2�、跨域管理系統(tǒng)確認(rèn)用戶提交的MachineID是否在已經(jīng)注冊的允許連入機(jī)器字 典中,如果不在字典中�,不打開可控端口,連接結(jié)束����;3、如果MachineID在字典中轉(zhuǎn)入下一步身份認(rèn)證��;4����、將請求發(fā)送到PKI邊界目錄服務(wù)器上進(jìn)行身份驗(yàn)證�;5�、PKI返回跨域管理系統(tǒng)是否通過驗(yàn)證信息,如果用戶證書驗(yàn)證不通過則不打開 可控端口���,連接結(jié)束�����;6��、通過認(rèn)證的信息請求轉(zhuǎn)入下一步角色去獲?�?��;7、從PMI邊界目錄服務(wù)器中驗(yàn)證用戶角色和權(quán)限��;[0045]8���、獲取用戶的角色和權(quán)限����,如果用戶有特定角色返回特定角色,如果沒有特定角 色返回該類用戶的默認(rèn)角色����;9�、將用戶的角色提交給角色映射器,將用戶的角色映射到中介角色代理�����;10����、將映射好的中介角色提交到下一步進(jìn)行映射策略轉(zhuǎn)換,映射策略轉(zhuǎn)換的目的 是將中介角色轉(zhuǎn)換到資源域?qū)?yīng)的角色����;11、角色對應(yīng)的資源域代理證書綁定�;12、向資源域提交訪問請求���;13��、將請求發(fā)送到資源域PKI邊界目錄服務(wù)器上驗(yàn)證身份�����;14��、資源域PKI返回跨域管理系統(tǒng)是否通過驗(yàn)證信息����,如果用戶證書驗(yàn)證不通過 則返回;15��、從資源域的PMI邊界目錄服務(wù)器中驗(yàn)證用戶角色和權(quán)限����;16、獲取用戶的角色和權(quán)限�����,如果用戶有特定角色返回特定角色����,如果沒有特定角 色返回該類用戶的默認(rèn)角色;17�、訪問資源域的資源并將訪問結(jié)果返回到用戶交互界面。訪問流程的過程中��,角色映射采用IRBAC的方法[3] [4],引入的中介角色映射和 映射策略轉(zhuǎn)換是關(guān)鍵環(huán)節(jié)����,其中中介角色代理,起到橋梁作用���,中介角色代理和每個域的代 理訪問角色一一映射,這樣避免了每個域的代理訪問角色兩兩相互映射��,減少了映射的復(fù) 雜度����。映射策略轉(zhuǎn)換過程相當(dāng)于一個二次映射的過程,將請求域的角色映射到中介角色代 理上后�,需要通過計(jì)算將中介角色代理的權(quán)限轉(zhuǎn)換到資源域的訪問角色代理上,實(shí)現(xiàn)跨域 的訪問���,這么做的好處是無論是請求域訪問資源域還是資源域訪問請求域���,每個域不需要 額外的改造工作。監(jiān)控審計(jì)管理模塊30由審計(jì)模塊和監(jiān)控模塊構(gòu)成����;審計(jì)模塊可對跨域管理的系 統(tǒng)的每一個動作�、每個請求����、每個事件進(jìn)行追蹤和審計(jì),該模塊有司法鑒定接口�,可為司法 追蹤提供證據(jù)。監(jiān)控模塊對跨域管理的每個事件進(jìn)行動態(tài)監(jiān)控�����,并將監(jiān)控的結(jié)果記錄下來��,以備 后續(xù)的審計(jì)���,監(jiān)控模塊還會及時發(fā)現(xiàn)非法事件����,異常事件并報(bào)警��,可以得到及時的響應(yīng)���。其中邊界目錄服務(wù)器的引入�,是出于如下考慮在信任域中,含有某些敏感信息��, 不希望為信任域外的用戶訪問����。因此,出于安全考慮�,不希望其它信任域中的用戶直接訪問 城內(nèi)的目錄服務(wù)器在信任域的外圍,單獨(dú)采用一臺目錄服務(wù)器為域外的用戶查詢證書當(dāng)前 狀態(tài)提供服務(wù)�����。該目錄服務(wù)器上存放的信息是內(nèi)部目錄服務(wù)器的子集�����。以上顯示和描述了本實(shí)用新型的基本原理和主要特征和本實(shí)用新型的優(yōu)點(diǎn)���。本行 業(yè)的技術(shù)人員應(yīng)該了解,本實(shí)用新型不受上述實(shí)施例的限制���,上述實(shí)施例和說明書中描述 的只是說明本實(shí)用新型的原理����,在不脫離本實(shí)用新型精神和范圍的前提下,本實(shí)用新型還 會有各種變化和改進(jìn)����,這些變化和改進(jìn)都落入要求保護(hù)的本實(shí)用新型范圍內(nèi),本實(shí)用新型 要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定���。
權(quán)利要求一種基于PKI/PMI技術(shù)的跨域管理裝置�����,其特征在于����,它包括一用于操作多個管理域間的訪問控制�,訪問控制的管理,授權(quán)策略的映射的跨域授權(quán)管理模塊�;一基于PKI技術(shù)為身份管理與控制提供完整的解決方案的跨域身份管理模塊;及一提供對電子行為進(jìn)行責(zé)任認(rèn)定的完整解決方案并對所有的進(jìn)行訪問和授權(quán)的行為進(jìn)行監(jiān)控并審計(jì)的監(jiān)控審計(jì)管理模塊�����;所述跨域授權(quán)管理模塊�、跨域身份管理模塊和監(jiān)控審計(jì)管理模塊之間互相連接并進(jìn)行數(shù)據(jù)信息交互。
2.根據(jù)權(quán)利要求1所述的基于PKI/PMI技術(shù)的跨域管理裝置�����,其特征在于,所述跨域授 權(quán)管理模塊由身份基礎(chǔ)層���、身份管理層�、身份控制層����、身份跨域?qū)踊ハ噙B接構(gòu)成;所述身份 基礎(chǔ)層����、身份管理層、身份控制層�����、身份跨域?qū)由显O(shè)置有注冊域標(biāo)識��,實(shí)現(xiàn)跨域信任����。
3.根據(jù)權(quán)利要求1所述的基于PKI/PMI技術(shù)的跨域管理裝置���,其特征在于��,所述跨域身 份管理模塊為一采用角色映射�,代理訪問實(shí)現(xiàn)多個邏輯隔離的認(rèn)證域或訪問控制域的跨域 授權(quán)訪問模塊。
4.根據(jù)權(quán)利要求1所述的基于PKI/PMI技術(shù)的跨域管理裝置���,其特征在于����,所述監(jiān)控審 計(jì)管理模塊由一對跨域的每一個動作��、每個請求���、每個事件進(jìn)行追蹤和審計(jì)的審計(jì)模塊及 一對跨域的每個事件進(jìn)行動態(tài)監(jiān)控����,并將監(jiān)控的結(jié)果記錄下來�,以備后續(xù)的審計(jì)的監(jiān)控模 塊構(gòu)成。
5.根據(jù)權(quán)利要求4所述的基于PKI/PMI技術(shù)的跨域管理裝置��,其特征在于���,所述審計(jì)模 塊上設(shè)置有為司法追蹤提供證據(jù)的司法鑒定接口��。
專利摘要本實(shí)用新型公開一種基于PKI/PMI技術(shù)的跨域管理裝置��,它包括一跨域授權(quán)管理模塊����、一跨域身份管理模塊及一監(jiān)控審計(jì)管理模塊;所述跨域授權(quán)管理模塊���、跨域身份管理模塊和監(jiān)控審計(jì)管理模塊之間互相連接并進(jìn)行數(shù)據(jù)信息交互�����;與其他PKI/PMI信任域進(jìn)行網(wǎng)上數(shù)據(jù)共享和信息交換時��,不同的PKI/PMI信任域之間可以信任和授權(quán)訪問���,更靈活、更安全的來管理跨域身份和授權(quán)訪問�����,以提供安全通信和信息互聯(lián)共享��,實(shí)現(xiàn)跨域信息共享和資源的授權(quán)訪問�,實(shí)現(xiàn)本實(shí)用新型的目的。
文檔編號H04L9/32GK201557132SQ20092021427
公開日2010年8月18日 申請日期2009年11月27日 優(yōu)先權(quán)日2009年11月27日
發(fā)明者倪力舜, 劉欣, 吳淼, 杭強(qiáng)偉, 柯耀宏, 沈寒輝, 王福, 鄒翔, 金波, 黃 俊 申請人:公安部第三研究所