基于公安数字身份证书的授权策略研究

龚雷 苏嘉珺 方伟明

上海市公安局科技处 上海 233001

0 引言

上海公安系统经过多年的信息化建设，已经建成了一大批比较成熟的应用系统，其涉及的应用面覆盖了上海公安的大部分业务。

基于公安数字身份证书的集中授权平台的建设不仅可以改善信息孤岛的问题，也将促进公安行业信息系统建设、业务流程整合等方面的改革，从整体上提高信息化建设的质量，适应社会经济快速发展对公安信息化的需求。这在当前公安信息化建设与发展中有着十分重要的意义。

1 系统框架

基于PKI/PMI的规范的安全认证模型如图1所示。

图1 PKI/PMI安全认证模型图

(1) 用户向访问控制接口提交自己的数字证书，并提出访问；

(2) 接口请求验证服务器验证用户的身份和权限；

(3) 验证服务器调用PKI系统，PKI利用数字证书进行用户的身份认证，如果不能通过身份验证，则为非法用户，拒绝进入系统；

(4) 通过身份认证后，验证服务器调用PMI系统，PMI利用属性证书进行用户权限的验证，如果通过权限验证可以进入应用系统，系统响应用户请求，否则不能访问应用系统。

模型的主要元素：

(1) 可视化授权策略生成器：可用来定义、维护和查询满足用户需求的任何类型的授权策略。定义后的策略转化成可被授权决策引擎处理的授权规则存放数据库中。

(2) 授权语言控制台：管理员用于指定授权规则，作用类似于可视化策略生成器，方便管理员更快更方便的制定授权规则。

(3) 用户、组、角色管理模块：管理用户、组合角色之间的关系，包括分配角色给用户、添加删除组内用户、角色间的继承关系等等。

(4) API接口：用于授权和访问控制的接口，分为两类：授权管理API和授权引擎API。授权管理API用于为用户和组设置权限。授权引擎API主要用于控制用户对资源的访问。

(5) 授权决策引擎：主要用于判断是否允许主体(包括用户、进程、应用等)发送的访问请求。授权决策引擎从文本文件、分布式授权服务器或用户提供的证书获取所有与该请求相关的访问策略，并根据这些策略做出决策。引擎还包括权限冲突的检测和解决。

(6) 授权语言解释器：用于对客户端生成的授权语句的解释处理，然后存储到授权规则数据库中。

(7) 数据库：保存成员信息、授权规则、历史访问信息等，用于授权决策的判定。

(8) 主体：主体的类型有多种，包括但不仅限于用户、应用、主机、任意一个人、机构、进程等。

(9) 客体：访问控制的目的是保护客体免于非授权的访问。受保护的客体种类对应用来说是特定的，不包含在授权模型内。需要保护的客体包含但不仅限于：数据库数据、文件、目录、网络连接、主机、外设等实体。客体名称应该从应用特定的命名域中提取得到，而且对授权机制来说必须是明确的。

(10) 策略语言：与客体相关的策略包括一个允许的操作集合、一个允许的主体集合和一个可选的操作约束。定义一个策略必须包括：访问标志、授予者标志、访问权限集合、条件集合。策略语言表示了一个设置了条件的符号序列。

(11) 条件的设置：条件的设置分为一般的和特殊的，一般的条件可在访问控制API中判定；特殊的条件是依赖于应用的，由应用来判定。一般的条件有：

① 访问允许的时间或时间间隔。

② 主体的位置。权限被授予某些特定的主机、域或网络上的主体。

③ 信息保护。设置如何保护信息的机密性和完整性。

④ 权限约束：一般，一个主体可能属于多个组，该主体除了自己单独的权限意外，还缺省的拥有他所属组的所有权限。在分配权限时，可以选择：A、一次只有一个组的权限。B、一次可以有特定几个组的权限。

(12) 一般授权和访问API

① 授权管理API：提供必要的访问对授权相关的主体执行管理功能，也可以用于实现认证功能。主要的操作包括：增加或删除用户、增加或删除机构和增加或删除应用。

② 权限引擎API：主要包含两个功能：一是检查某个特定用户是否被授予特定的操作集合；二是检索特定用户所授予的操作集合。

2 与应用系统整合方案

从调研的各个应用系统统计分析来看，它们都是面向上海市公安各个部门的警员用户或与公安密切相关的用户，用户群体比较固定；组织机构也相对一致。采用统一的基础信息库管理用户和机构信息，并通过同步的方式分发给各个应用系统使用可以有效的解决用户信息无法统一、信息重复、身份不一致、应用系统无法整合、系统安全性差、用户操作复杂、维护难度大等问题值。系统整体接入对策如图2。

图2 增加授权系统后模式图

(1) 应用正式开通前，需要到统一信息集中授权管理平台进行注册，并约定需要同步的机构、用户信息域。

(2) 统一信息集中授权管理平台将人员机构信息定时通过不同的适配器同步给各个应用系统。

(3) 终端用户通过SSL认证网关进行身份验证和属性获取，并提交到应用服务器进行权限验证。

3 关键技术

3.1 基础信息库

基础信息库按结构层次可分为展现层、应用层和数据层，其中展现层主要是基础信息管理UI，应用层主要有组织机构信息管理、人员信息管理、应用系统信息管理、同步管理和服务管理等模块(如图3)。

图3 基础信息库

人员信息管理：实现应用系统人员的整个生命周期的管理，对于人员的入职、调动、兼职、离职等过程中的用户身份的信息操作管理。

组织机构信息管理：实现应用系统机构的整个生命周期的管理，对于机构的创建、调整、拆分、合并等过程中机构信息操作管理。

应用系统管理：在权威基础信息库注册需要管理的应用系统的信息；同时在应用系统中注册相应服务，以实现数据同步。应用系统管理包括应用系统注册(应用系统的注册、审批、信息修改和注销等生命流程)和应用系统服务管理(应用系统同步服务接口地址的注册、修改和注销)。

授权管理：将各个应用系统的角色授予对应的人员，并记录授权的历史轨迹。主要包括授权、冻结授权、解冻授权、临时授权、撤销授权等过程中授权信息操作管理。

服务管理：管理向外提供的服务，如向外提供用户信息修改、应用系统注册等接口。

3.2 数据同步服务

数据同步服务用于基础信息库和各个应用系统之间的数据交互，主要完成将基础信息库的数据同步到其它系统中(图4)。

图4 数据同步服务图

统一信息集中授权平台的数据同步设计思路是统一信息集中授权平台对应用系统开放数据接口，向应用系统发布更新命令，应用系统自行更新用户、组织机构等数据。平台以XML文档的形式开放用户、组织机构、用户拥有角色信息的数据接口，平台通过http协议向应用系统的数据同步程序发布同步指令，数据同步程序通过平台的数据接口读取并更新数据。

4 结论

基于公安数字身份证书的集中授权平台的建设不仅可以改善信息孤岛的问题，也将促进公安行业信息系统建设、业务流程整合等方面的改革，从整体上提高信息化建设的质量，适应社会经济快速发展对公安信息化的需求。这在当前公安信息化建设与发展中有着十分重要的意义。

[1] 周文峰,尤军考,何基香.基于RBAC模型的权限管理系统设计与实现[J].微计算机信息.2006.

[2] Sandhu R S, Coyne E J, Feinstein H L, et al. Role-based Access Control Models[J]. IEEE Computer.1996.

[3] Epstein P, Sandhu R. Towards A UML Based Approach to Role Engineering[C]//Proceedings of the 4th ACM Workshop on Role-based Access Control. [S. l.]： AVM Press.1999.