一种分布环境下面向用户的授权模型

(1)基于PKI技术的信任管理平台。该平台是整个授权模型的信任基础，负责对用户身份的审核。同时它包含了负责生成身份证书(公钥证书)的权威机构CA(Certifieate Authority)中心和负责生成属性证书的权威机构AA(Attribute Authority)中心。
(2)授权管理节点。授权管理节点实现对特定特权的审核及授予。它分布在系统的每个应用服务子系统中，自主地维护着与子系统相关的授权策略和信息，并检查验证用户提供的有关证明。根据这些证明、相关信息及授权策略，向合法用户授予相应的权利以及该权利的有效期，并将这些授权信息交给AA中心，由它负责指派有关的AA签发相应的属性证书。
(3)受控应用节点。也称为资源节点，同样分布在系统中，其上运行着实际应用服务子系统的决策模块，维护相应服务的访问控制策略和相关信息。当用户访问该节点的资源时，受控应用节点检查用户提供的身份信息(身份证书)，查找相应的属性证书，验证模块负责验证这些证书的合法性。访问决策模块根据属性证书的授权信息以及本地的访问控制策略，决定该用户是否有权访问本地的应用服务并告知访问执行模块执行。
(4)LDAP目录服务器。主要用于发布PMI用户的属性证书、身份证书以及证书的撤消列表CRL，以供查询使用。
在本模型中，采用公开密钥加密技术的身份证书是提供身份、授权和属性信息的基础。本系统的运行应该相对稳定．即不应该由于个别用户身份证书的变更而引起相应的授权服务体系的附加管理操作。因此在这里采用将属性证书与用户的一个终身不变的身份标识码(例如身份证号码)相关联，在身份证书中也与该标识码相关联，并且信任服务系统提供的对应用户的最新身份证书，将属性证书自动与该身份证书关联。
3 分布式授权模型的应用模式
在上述分布式授权模型思想的指导下，笔者为某省数字认证中心设计了面向用户的“一证通”应用机制。所谓“一证通”，是系统内的每个用户惟一拥有一份标识其身份的身份证书，而系统内分布的各种应用服务都将以此为基础，向用户提供服务。下面举例说明“一证通”机制的整体业务流程和功能。
系统的结构如图2所示。当一个新用户想要加入到这个系统时，首先到受理点注册，提供自己的身份信息和注册(属性)信息。受理点接收用户信息后直接交到注册机构RA，由RA生成身份证书和属性证书的请求发给信任平台。信任平台中的CA中心根据用户提供的身份信息生成相应的身份证书，同时，把用户提供的注册信息交给分布在网络上各个应用服务系统的授权节点(行业RA)，由各个授权节点根据各自本地的属性集合和授权策略生成授权信息交还给信任平台上对应的AA，于是每个AA生成相应的属性证书。生成的身份证书(一份)和属性证书(多份)被保存在LDAP目录服务器中以供查询使用。

用户访问系统中某种应用的应用模式示意如图3所示。假设一个用户想要在系统中查看其税务信息。首先，登录到税务系统的资源节点，输入用户名和密码等必要登录信息后，该节点将根据得到的这些信息到LDAP目录服务器上去检索相应的身份证书。如果身份证书存在并且未过期，则可以根据身份证书和属性证书的对应关系查询该用户相应的所有属性证书并取回本地(如果存在)。假定要访问用户的税务信息必须提供合法的工商数据(如营业执照号)、银行数据(如银行账号)和税务数据(如税务号)，如果取回的属性证书中含有这三份相应的证书(图3中的属性证书1～3)，税务系统的资源节点则启动本地的访问决策模块。该模块根据该用户的访问请求，搜索本地访问控制策略库中的相应策略，并将属性证书中的相关授权信息取出，判断是否满足以下条件：
(“营业执照”=“合法”)AND(“银行账号”=“合法”)AND(“税务号”=“合法”)

只有当这个条件满足时，税务资源节点才将该用户的税务信息展现给访问者。
在这个例子中可以看到，很多情况下，对每个资源节点的访问不一定只依赖于本地授权节点发布的授权信息。即一个资源存在着多个干系者(所有者)。例如上例中的税务资源节点，实际上从属于工商、银行和税务系统三个干系者，每个干系者负责该资源的某一方面属性的审核。一方面，在税务授权节点授予该用户税务授权信息时用户的工商、银行等授权信息都是合法的；另一方面，用户的属性是不断变化的，可能在请求访问税务资源时，其他授权信息已经发生了变化而变得不合法，但又没有及时通知到税务资源节点。所以在访问资源时，必须检查与该资源相关的多份授权信息(属性证书)来作出晟终决定。
本文提出的这种面向用户的分布式授权模型，能满足多种授权需求，从而使系统的扩充和管理变得非常方便，十分有利于大型分布式应用服务系统的资源管理。在此模型基础上发展起来的“一证通”系统也在某省的数字认证中心中得到了良好的运行，系统的运行维护成本也得到了有效的控制。