ＬＤＡＰ目錄服務在企業ＰＫＩ／ＰＭＩ中的應用

摘要：PMI提出了一個新的信息保護基礎設施，能夠與PKI和目錄服務緊密地集成，并系統地建立起對認可用戶的特定授權，對權限管理進行了系統的定義和描述，完整地提供了授權服務所需過程。對建立在PKI基礎上的PMI在企業中建立了授權關系建模，將授權模型及其變更關系在LDAP樹的設計中體現，并簡要提出了LDAP目錄服務在PKI/PMI混合系統中的應用。

關鍵詞：LDAP；PMI；PKI；目錄樹；權限；策略

中圖分類號：TP309.2文獻標識碼：A文章編號：1009-3044(2008)25-1420-03

LDAP directory service in the application of Enterprise PKI/PMI

WANG Hong-wei

(Guizhou University， Electronics and Information Technology Institute， Guiyang 550025， China)

Abstract: PMI proposed a new information protection infrastructure， which with PKI and directory services closer integration， and to establish a system of authorized user's specific authorization， competence of the management of the system definition and description， full authorization to provide the services required for the course. Establishment of the PKI based on the PMI in the enterprise authorized the establishment of relations Modeling， the licensing model and its change in the relationship between designs embodied in the LDAP tree， and briefly raised LDAP directory services in the application of the PKI / PMI mixed system.

Key words: LDAP; PMI; PKI; Directory tree; Privilege; Strategy

1 引言

目前PKI（Public Key Infrastructure，公鑰基礎設施）得到了較大規模的應用，如何超越當前PKI提供的身份驗證和機密性，提供信息環境的權限管理成為一個主要目標。建立在PKI基礎上的PMI（Privilege Management Infrastructure，權限管理基礎設施），將對資源的訪問控制權統一交由授權機構進行管理，即由資源的所有者來進行訪問控制管理。在PMI中發放的證書即為屬性證書（Attribute Certificate），PMI使用屬性證書表示和容納權限信息，通過管理證書的生命周期實現對權限生命周期的管理。對于一個實體的權限約束由屬性管理機構AA或者由證書機構CA提供。授權信息可以放在公鑰證書擴展項中或者屬性證書中。X.509標準中定義了屬性證書格式，屬性證書中各種信息的存放形式本質是目錄中的“屬性——屬性值”關系。從屬性證書的數據特性來看，采用目錄服務是十分合適的。LDAP（Lightweight Directory Access Protocol）即輕量目錄訪問協議，由于LDAP目錄服務自身帶有靈活的項目檢索、匹配和維護等功能及安全機制，通過LDAP開發工具，應用系統可以方便地在線獲取證書或查詢證書狀態。

2 LDAP目錄樹

2.1 目錄樹簡介

一個目錄樹就是一個規定儲藏各種不同類型信息的容器的組織方法。你可以把它看做是數據的歸檔系統。LDAP目錄服務器分層保存著它們的信息，和UNIX的文件系統很像。這些層次規定從邏輯上把一定條目的信息分組（或者劃分子組）。

■

圖1 簡單目錄樹

如圖1，這是一個非常簡單的目錄樹例子。在最上層，有個root，是基準標識名（Base Distinguished Name，基準DN），這是每個目錄樹的起點。root下面是兩個類別，每個下面還有兩個子類別。這些處在“葉子”位置的部分稱作RDN。Employees是按照部門分的，Customers是按照地區分的。如何分組是沒有限制的，如果需要的話，在目錄里的任何一層里面都可以有許多組。

2.2 企業（組織關系）的目錄樹例子

如圖2是一個IT企業xintongsoft公司LDAP組織關系目錄樹的設想圖。其中，gm指總經理（General Manager)，dgm指副總經理，dce指副總工程師（Deputy Chief Engineer），dd指副主任（Deputy Director），sm指部門經理（Sector Manager）。Location的分支中以jinglishi代指經理室，以此類推。

LDAP中會用到屬性（Attribute），Attribute類同于編程語言中的變量，它可以被賦值，就像是可以存放一個單一類型信息的容器。

1) 對圖中應用到的Attribute介紹如下：

dc: domain component， 經常用來指一個域名的一部分，如：dc=mydomain， dc=org；

ou: organizational unit name， 指一個組織單元的名字；

cn: common name， 指一個對象的名字；如果指人，需要使用其全名；

uid: user id， 通常指一個人的登錄名，這個不同于Linux系統中用戶的uid.

2) 另外，常見的Attribute還有：

c: 國家；

givenName: 指一個人的名字，不能用來指姓或者middle name；

l: 指一個地名，如一個城市或者其它地理區域的名字；

mail: 電子信箱地址

o: organization name， 指一個組織的名字；

sn: surname， 指一個人的姓；

telephoneNumber: 電話號碼，應該帶有所在的國家的代碼；

objectClass: 是一種特殊的Attribute，它包含其它用到的Attribute以及它自身。

由此我們可以知道，xintongsoft公司的Internet域名以 .com結尾，并把他們的顧客聯系信息，公司正式員工內部登陸信息，辦公室的地址或辦公室電話號碼等類似信息放到了LDAP目錄里。

3 企業中的權限關系

3.1 PMI模型結構

絕大多數的訪問控制應用都能抽象成一般的權限管理模型，包括3個實體：對象、權限聲明者（privilege asserter）、權限驗證者（privilege verifier）。

對象可以是被保護的資源。例如，在一個訪問控制應用中，受保護資源就是對象。權限聲明者也就是訪問者，是持有特定權限并聲明其權限具有特定使用內容的實體。權限驗證者對訪問動作進行驗證和決策，是制定決策的實體，決定被聲明的權限對于使用內容來說是否充分。

權限驗證者根據4個條件決定訪問通過/失敗：權限聲明者的權限；適當的權限策略；當前的環境變量，如果有的話；對象方法的敏感度，如果有的話。

權限（屬性證書）必須有安全應用和在權限管理上的訪問控制，這樣可進行審計，安全地改善和提高，PMI技術得到實質的應用，改變訪問控制實施復雜的問題。因此，必須提供屬性證書應用和支撐框架，或者說PMI應用平臺，在屬性證書和應用之間架起一座溝通的橋梁，使得安全應用可以通過支撐框架將屬性證書直接集成進來而實現權限管理和控制訪問，從而使應用程序設計者更多地關心應用的業務邏輯，而不必針對具體應用重復性地開發和實施權限管理和訪問控制機制。

3.2 企業授權關系模型及訪問控制策略

■

圖3 IT企業中的部門及權限組織關系設想圖

如圖3，是IT企業中的部門及權限組織關系設想圖。下面介紹PMI系統平臺的訪問控制，訪問控制可以表示為三元組：<主體，客體，操作>。主體是訪問的發起者；客體指各類信息資源，是被訪問者；操作是該主體對客體發起的訪問動作。

客體可以根據信息開放等級對高級別干部，中高級別干部，中等級別干部，下級干部，系統管理員，普通員工，公司外來人員進行分類，分別為A，B，C，D，E，F，G。操作也可以大致分為以下類別：查詢1，查詢2，查詢3，……，查詢n，增加，修改，刪除，傳輸，統計，系統管理。

下面我們就可以給出信息訪問授權的定位了，可以建立信息資源授權三維圖如圖4。

例如，公司中等級別干部運營支撐部經理訪問本部門某應用系統，進行查詢2操作，那么該應用系統制定的授權策略如圖4黑點所示。相應的可以根據具體需要制定出各種應用系統內的授權策略。

4 PKI/PMI和應用邏輯結構

PMI應用結構PKI/PMI和應用的邏輯結構如圖5。其中部分說明如下。

1) 策略

授權策略展示了一個機構在信息安全和授權方面的頂層控制、授權遵循的原則和具體的授權信息。在一個機構的PMI應用中，策略包括一個機構如何將它的人員和數據進行分類組織，這種組織方式必須考慮到具體應用的實際運行環境，如數據的敏感性、人員權限的明確劃分，以及必須和相應人員層次相匹配的管理層次等因素。所以，策略的指定是需要根據具體的應用量身定做的。策略包含著應用系統中的所有用戶和資源信息，以及用戶和信息的組織管理方式；用戶和資源之間的權限關系；保證安全的管理授權約束；保證系統安全的其他約束。在PMI中，主要使用基于角色的訪問控制（RBAC，Role-Based Access Control）。

2) AA

屬性證書的簽發者被稱為屬性權威AA，屬性權威的根稱為SOA。

3) ARA

屬性證書的注冊申請機構稱為屬性注冊權威ARA。

4) LDAP

用來存儲簽發的屬性證書和屬性證書撤消列表。

5) 策略實施

策略實施點（PEP，Policy Enforcement Point）也叫做PMI激活的應用，對每一個具體的應用可能是不同的，是指已經通過接口插件或代理所修改過的應用或服務，這種應用或服務用來實施一個應用內部的策略決策，介于訪問者和目標之間。當訪問者申請訪問時，策略實施點向授權策略服務器申請授權，并根據授權決策的結果實施決策，即對目標執行訪問或者拒絕訪問。在具體應用中，策略實施點可能是應用程序內部中進行訪問控制的一段代碼，也可能是安全的應用服務器（如在Web服務器上增加一個訪問控制插件），或者是進行訪問控制的安全應用網關。

6) 策略決策

策略決策點（PDP，Policy Decision Point）也叫做授權策略服務器，它接收和評價授權請求，根據具體策略做出不同的決策。它一般并不隨具體的應用而變化，是一個通用的處理判斷邏輯。當接收到授權請求時，根據授權策略，對訪問者的安全屬性及當前條件進行決策，并將決策結果返回給應用。對于不同應用的支持是通過解析不同的制定策略來完成的。在實施的過程中，只需要定制策略實施部分，并定義相關策略。

5 結束語

通過對應用LDAP技術進行安全信息管理的分析，可以得出結論：應用LDAP查詢控制可以代替原來的基于關系數據庫的查詢控制，而且相對于關系數據庫的立體結構，LDAP的樹狀結構查詢起來更加方便、容易控制，對于人員組織結構和角色權限管理比較復雜的應用系統適用性很強。同時它可以在任何計算機平臺上，用很容易獲得的LDAP客戶端程序或者相關的API編程訪問LDAP目錄獲取需要的信息。

把授權策略和屬性證書存儲在LDAP服務器中，實現了統一集中管理各個不同系統的授權策略的配置，實現了用PMI屬性證書來對用戶進行訪問資源的授權，并為授權管理人員提供了統一的授權管理平臺。此外，目錄服務的層次化結構和相關的配置數據提供了可擴展的、統一的機制。層次化的組織方式有助于實現管理的可擴展性和靈活性，也大大提高了身份認證的效率。

參考文獻：

[1] 關振勝. 公鑰基礎設施PKI及其應用[M]. 北京:電子工業出版社，2008:222-253.

[2] C.Adams，S.Lloyd. 公開密鑰基礎設施：概念、標準和實施[M]. 馮登國，等譯. 北京:人民郵電出版社，2001.

[3] Wm.Arthur Conklin， Gregory B.White. 計算機安全原理[M]. 王昭，等譯. 北京:高等教育出版社，2006.

[4] 劉一冰， 王若燁， 冷文浩. 運用RBAC策略實現權限管理[J]. 計算機工程與應用，2005(31):209-212，229.

[5] 劉繼來， 趙亞萍， 董亞波. 基于LDAP的面向對象目錄訪問模型及其實現[J]. 計算機時代，2007(6).