基于属性证书的网络访问控制机制

基于属性证书的网络访问控制机制

1授权和访问控制网络是一个非常交易平台。即使人们相距遥远，相互信任，他们也可以通过该平台进行交易和金融交易。网上交易过程中,关键的一个环节就是建立交易双方的信任关系,其中,交易双方的身份鉴别以及对资源的访问控制,都是建立信任关系过程中必须要解决的问题。目前,以公钥基础设施(PKI)为基础建立的身份认证机制可以很好地解决用户的身份鉴别问题。由一个权威的第三方签名的证书将某一个实体和一副公钥唯一地绑定在一起,这样的一份证书称为公钥证书。在对资源的保护中,常见的访问控制机制有访问控制列表(ACL)、基于角色的访问控制(RBAC)、基于标记(Label)的访问控制等。其中,ACL中的用户访问权限,RBAC中的用户角色以及基于标记访问中的标记都可以看作是用来鉴别用户访问权限的信息,我们称之为属性(Attibuter)。以现在比较流行的RBAC为例,它的主要思想是:系统中的每个用户都被赋予一个或若干个角色,为每个角色分配若干的访问权限,当用户对资源进行访问时,资源服务器按照用户的身份查找他所对应的角色,以判定本次访问是否允许。在这个过程中,寻找用户的角色是个比较耗时的阶段。当用户数量不是很大时,用户和角色的信息可以以表的形式存放在资源服务器中。但是,网上交易的用户数量可能达到上百万,如果在资源服务器上维护一个如此庞大的信息表,对它的查找和维护所需的开销都是极为可观的,资源服务器也会因此消耗大量的资源而无法进行其他的工作。此外,分布式环境下的资源不是集中管理的,不同的资源服务器制定的访问策略可能是不同的,采用的访问机制也会不同。但是用户希望这些不同的实现对自己来说是透明的,即他能够以一种统一的方式对这些资源进行访问。分布式系统实现这样要求的解决方案是将授权和访问控制分离,即制定访问策略和实现访问控制的实体不是同一个。由公钥证书实现了用户身份与公钥的绑定,人们想到,如果将用户的身份和相应的属性信息绑定在一起,并以权威机构的签名证书证明的这种绑定,一方面可以简化用户的属性鉴别过程,另一方面属性证书的颁发者和验证者是两个实体,可以实现授权和访问控制的分离。我们把这种将用户身份和属性信息绑定在一起的证书称为属性证书,基于属性证书的授权以及证书管理系统称为授权管理基础设施(PMI)。PMI可应用于资源的访问控制。2用户身份评估●证书权威机构(CertificationAuthority,CA)CA是为一个或多个用户所信任的权威机构,负责签署公钥证书,并对公钥证书的有效性负责。●公钥证书(PublicKeyCertificate,PKC)由CA颁发并签名的一个数据结构,其中包括了某个实体的身份、公钥、证书的有效期等信息,可以用来对用户的身份进行鉴别。●公钥基础设施(PublicKeyInfrastructure,PKI)PKI是各种软件、硬件、人员组合成的机构,负责公钥证书PKC的创建、管理、存放以及撤销。●属性权威机构(AttributeAuthority,AA)AA是为一个或多个用户所信任的权威机构,负责属性证书的颁布和签名,并对属性证书的有效性负责。●属性证书(AttributeCertificate,AC)属性证书是由AA创建并签名的数据结构,包括了某个实体的一些属性信息,可用于确定实体的访问权限。●授权管理基础设施(PrivilegeManagementInfrastructure,PMI)PMI包括了AA、存放属性证书的数据库系统、受保护的资源、属性证书的验证者等。●属性证书验证者(AttributeCertificateVerifiers)属性证书验证者负责对属性证书的有效性和合法性进行验证,并使用这些验证的结果。3属性证书的使用3.1属性证书pkc属性证书的格式如图1所示。它的数据结构描述如下:下面是对每个域的介绍:●version(版本号)目前的版本号最高为v2;●holder(持有者)表明了属性证书持有者的身份,可以有多种描述方式,其中最常见的就是用户的公钥证书PKC;●issuer(颁布者)对属性证书颁布者的信息描述;●signature(签名)对签名算法以及签名的描述;●serialNumber(序列号)唯一地标志了属性证书的序号;●attrCerValidityperiod(有效期)属性证书的有效期间;●attributes(属性)是属性证书的最重要的域,描述了用户的某种属性信息,如果采用RBAC的访问机制,这个域中记录的就是用户的角色信息;●issuerUniqueID(属性证书颁布者的ID)唯一地确定了属性证书颁布者的身份;●extensions(扩展项)允许对属性证书增加一些新的域,更好地扩展属性证书的功能。3.2取得属性证书/公钥证书从3.1节中对属性证书格式的描述可以看出,属性证书的格式和公钥证书非常相似。因此,在属性证书使用的初期,人们曾经试图将它与公钥证书一起使用,方法是在公钥证书的扩展项中用指针指向属性证书的数据结构,并出现了一些这样的应用。公钥证书与属性证书结合的方式带来的最大好处是简化了认证的过程。在用户的一次访问请求过程中,需要首先对用户的身份进行认证,然后根据用户的身份查找其属性信息。公钥证书+属性证书的方式可以使这个验证过程一次完成,在取得用户的公钥证书后,通过指针可以获得属性证书中的相关信息。但是,适合将公钥证书和属性证书结合使用的场合并不多,在如下一些情况下,属性证书和PKC就不适合结合使用,而应该分离。(1)属性证书和公钥证书的颁布者不是同一个实体。在这种情况下,属性证书和公钥证书的颁发、策略制定以及证书的保存各不相同,此时不适合两个不同的实体对同一份证书进行签名。(2)用户具有多个属性,并且由不同的实体授予这些属性。(3)属性证书和公钥证书的有效期不同。当两个证书的有效期不同时,其中一个证书的撤销会影响到另一份证书的使用。特别地,用户的属性可能会经常发生改变,这使得属性证书的撤销更为频繁,而不适合与相对比较稳定的公钥证书结合使用。4pm的主要组成和工作方法4.1属性证书的发放授权管理基础设施PMI的主要功能是:权限的分配和对权限的验证。前者是指如何发放属性证书以及对属性证书的管理、访问策略的制定和描述等;后者是指当用户向某个资源服务器提出访问请求时,如何对用户的属性证书进行验证并按照访问控制策略决定本次请求是否通过。4.1.1属性证书的颁布在授权模型中,有几个主要的实体:●资源所有者(SourceOfAuthority,SOA)SOA是属性证书的最初颁布者,是权威实体,类似于PKI中的根CA的角色。它可以将权限以属性证书的形式直接颁发给一个实体,我们称其为证书持有者(Holder),也可以将属性证书的颁布权授予下一级权威实体AA(AttributeAuthority),这是一个类似子CA的概念。这样就会形成一条授权路径,最终将权限授予使用者。●权限验证者(ACVerifier)权限验证者是为SOA和证书使用者所共同信任的一个实体。它的功能是接收用户的验证请求,对属性证书进行验证,并向资源服务器提交验证结果。在授权时,SOA或者AA需要完成的工作有:(1)验证用户的身份。常用的身份证明是公钥证书。(2)查找授权策略。策略一般存放在特定的数据库中,规定了授权路径的最大长度以及根据不同的访问控制机制能够为该用户授予的访问权限。(3)生成属性证书。在步骤(1)、步骤(2)的基础上,为用户生成属性证书,并存放到证书数据库中。4.1.2用户访问请求访问控制的功能由权限验证者实现,它的主要结构参照ISO10181-3中的标准访问控制模型,由AEF和ADF两部分组成,即图3虚线框中的部分。数据库中存放了属性证书以及对资源的访问策略等。用户向资源服务器提出访问请求,验证者得到这个请求,接下来它要做的工作是:(1)AEF接收用户的请求,并把请求传送给ADF。由于用户的请求格式与ADF接收的格式不一定相同,AEF在这里需要做一定的格式转换工作,同时为ADF的判别工作提供所需的相关信息,如上下文信息等。(2)ADF根据用户的身份,通过证书数据库查找到用户的属性证书,验证该证书是否仍在有效的使用期间。(3)如果证书有效,则提取相应的用户属性,在数据库中查找访问策略,根据策略决定用户的本次请求是否能通过,并把决策结果返回给AEF;否则拒绝用户的本次访问。(4)AEF向用户发送“允许访问”或者“拒绝访问”的应答。4.2pm的工作方法按照用户在访问控制过程中参与的程度可以将PMI的工作方式分为PUSH和PULL两种模式。(1)用户访问请求获取acperifing用户和资源服务器之间不需要特别的连接进行属性认证,权限验证者来完成中间人的任务。它的过程如下:①用户将访问请求向ACVerifier提交;②ACVerifier判定用户本次访问是否允许;③向资源服务器提供其需要的信息。该模式的特点是减轻了资源服务器认证和鉴别的负担,而将其分担到ACVerifier身上,同时也要求客户端安装相应的软件和程序。(2)用户访问请求与PUSH模式相对,PULL模式中用户的负担大大减轻,处理过程如下:①用户向服务器提出访问请求;②服务器与验证者建立连接,请求对该用户的请求进行验证;③验证者判定本次访问是否通过。在这种模式中,客户端的工作大大简化,仅需提出请求即可;但是服务器端的开销增加了,需要额外与验证者建立连接。5策略语言模型从以上的介绍和研究中我们看到,PMI可以很好地实现分布式环境下的授权和访问控制,从而实现对资源的保护。我们在对PMI的一些主要内容有了比较全面的了解以后,主要研究PMI在具体应用中的一些实现。在PMI的授权模型中,一个重要的研究内容就是策略的制定。策略语言的描述可以有多种方式,用逻辑谓词的描述方式和XML的描述都是目前比较常见的,它们主要是对策略语言的语法和语义进行描述,但是在继承关系的表达上有所不足,并且,如何优化策略的查找也是一个值得关注的问题。特别是如何针对一个特定的应用系统,如为证券、保险等领域制定相应的安全