理、资源管理的综合性管理平台,实现了整套的RBAC(基于角色的访问控制)规范,包括细粒度的角色等级和角色约束机制,以及无限级别的权限继承的体系。
二、安全政策
安全政策是一个概念,也是一个基于各种对象和概念的组合。安全政策是围绕着角色、权限、用户、资源和安全域之间的关系而定义的。
互联网的环境是没有界限和约束的,在这样的环境下进行商务活动,保证消费者和服务提供方双方的利益,是对运营商最基本的要求。所以,建立一套完善的管理体系,对高校信息化的总体全面而方便有序地管理起来就成为了重中之重。比如,用户如何方便的申请自己需要的服务,如何支付自己享受的服务,而对于服务提供方,如何针对不同的客户开通不同的服务,如何为客户提供方便快捷的单点登录多个服务,如何确认访问者的身份,又如何获得访问者的权限信息? 如何控制和分配用户的访问及操作权限?解决这些问题都是一个基于互联网的服务首要任务。也就是首先要制定和实施管理政策,而这个政策就是一个安全政策,处理好在数字化校园平台中用户、角色、服务(资源)、客户、权限等之间的关系,做到统一贵方,疏而不漏,方便快捷,同时又具有极强的扩展性、规范性和安全性。
统一的安全政策管理是统一认证与授权平台的总体目标,它主要是一个基于“角色”的细粒度管理体系。不同于以用户为中心的管理方式,基于角色的管理更加精练与便捷。下图绘制了安全政策里的各种关系:
安全政策概念图 16
操作资源的权限被分配给了角色。而角色又根据学校的需求而制定的约束下分配给了用户。一个权限可能隐含着其他的权限。 而这一切都在一个安全域的范围内制定的。安全域划分了安全政策的范围, 那就是说,安全政策只能针对安全域内的对象和资源才可以执行。安全域可以按地理划分、按组织结构划分、或者按功能划分,安全域可以是一个国家或地区、一个 城市或省份、一个域、一个组、一个组织、或一个组织部门。
三、基于RBAC的授权规范
RBAC(Role-Based Access Control,基于角色得访问控制)体系是美国NIST(美国科技与标准管理局)制定而且提倡的用户管理、安全政策管理体系,也是目前公认的解决大型组织机构的统一资源访问控制的有效方法。
统一认证与授权平台实现了RBAC标准的用户统一权限管理平台,具有RBAC体系的灵活性、可扩展性、可管理性,本方案建议采用统一认证与授权平台。我们在下面简单的介绍统一认证与授权平台中的重要概念,与其应用的范围和例子。
1. 角色
角色在RBAC体系里是一个核心的概念,也是统一认证与授权平台系统中最核心的元素。在统一认证与授权平台管理平台上,客户可以根据自身的需求定义角色及其相关的安全政策。系统里不预设固定的角色或用户,给予客户最大的灵活性和适用性。一个角色可以是全局性的,或局部性的。局部性即局部于一个或多个安全域的范围之内。一个全局性的角色可以在所有的安全域内执行它的权限。局部于一个安全域的角色只能在这个域内,和这个域下属的子域内执行它的权限。更准确的说,一个局部性的角色不是指这个角色被包容在一个安全域内,而是指这个角色拥有访问域内的资源的权限。一个角色可以拥有访问一个或多个域的资源的权限。
不仅如此,在统一认证与授权平台管理平台上可以制定角色等级,并且不限制角色等级数量。 一个角色可以继承它下属角色的权限。角色等级结构可以跨越多个等级,那就是说,第一个角色可以继承第二角色的权限,而第二角色又可以继承第三角色的权限。但是不是所有下属角色的权限都被上层继承,系统提供配置选项,这也是统一认证与授权平台灵活性的体现之一。
17
上图描绘的就是角色与安全域之间的关系,角色5是一个全局性的角色。角色1、6和7只有访问安全域1的权限,而角色3和4只有 访问安全域2的权限。但是角色2拥有访问安全域1和2的权限。按照全局性角色的定义,角色5 拥有访问安全域1和2的权限。从上图我们也可以看到,角色7继承了角色6的所有权限。
统一认证与授权平台也建立了用户基数、职责分离等概念,为高校制定灵活的管理策略奠定了坚实的技术基础
角色可以分的很细,例如:计费系统,平台可以根据资源的划分和计费系统原有的权限划分来建立不同的角色。
每个用户在自己的服务权限范围内,可以给自己部门(院系)制定一些角色。例如建立一个系主任的角色,只要给这个角色定义好权限,并将相应的用户赋予系主任的角色即可完成政策制定的工作。本来如果有200个同样角色的用户,需要一一配置的,这样一来,一次性解决问题,不仅降低了管理强度,而且减少了因为多次的重复工作引起的误操作。这也是统一权限管理体系从以用户为中心向以角色为核心转移的一个根本原因之一。
2. 用户
统一认证与授权平台中的用户可以是自然人或者是应用软件,因为一个软件也可以执行命令。一个用户必须先被分配了角色才能进行操作, 因为用户的权限是通过角色得到的,所有未分配角色的用户没有任何权限,也不能登录。
18
上图所表示的就是平台的一些基本角色,所有用户都是按照上面的角色来赋予不同的权限,所有操作都是在统一认证与授权平台中进行配置:用户认证平台管理员(用户)通过统一认证与授权平台来创建平台内的各类用户,科室用户是由用户管理员在统一认证与授权平台中来创建.
例如,用户A科室开通了Email和WebHosting两个服务。并不是用户A 科室所有的员工都能使用这两个服务,用户可以按照角色分配来赋予自己内部的用户权限。
19
3. 资源
资源指的是在安全政策管理系统里管理的外在资源。资源是任何可以定义的实体。 例如,一个资源可以是一套应用软件、应用软件里的一个模块、硬件(如打印机)、 一份文件、一个数据表、或数据表里的某一行、一个XML文件里的元素,等等。简单的说,一个资源可以是任何能以标识符标识的抽象或现实的实体。
在用户认证平台中,应用系统提供的服务或者产品是资源,应用服务的任何操作可以是资源,计费系统中各单元也可以是资源任何应用的一个小模块都可以当作一个资源由统一认证与授权平台来管理。
所有的应用都能被统一认证与授权平台有效的管理起来,计费系统等应用的业务流程无需变更就能完全集成到平台。这就实现了平台对所有服务和产品达到统一管理的需求。
统一认证与授权平台可以很灵活的制定自己需要的安全政策,所以以后有任何新的ASP,甚至将来移动应用和3G应用要集成进来,平台也能很容易地把应用划分成多个资源来管理。
下面我们根据资源的概念来举例说明一个新的服务在平台上是如何配置、管理和发布的,比如,现在平台要上一个教育网的服务,步骤是这样的:1、首先我们按照这个服务提供方具体提供多少服务、多少产品以及对服务的操作性、计费规则等,把平台当前所需要管理这个服务提供方的所有的功能模块和服务内容划分成多个资源,并在统一认证与授权平台的界面上进行简单配置新建资源。2、根据具体的这些资源,按需分别分配给系统角色(用户认证平台内部、服务提供方以及定购此服务的用户)。这样就完成了。
4. 权限
执行权是通过分配权限而得到的。权限的定义是指对某些对象或资源的某些操作的许可。权限一般被归类成权限组。权限与权限组有系统定义和自主定义(或用户定义)之分。系统定义权限和权限组是安全政策管理系统内置定义,不能改动。系统管理员可以自主定义一些权限及权限组来补充和加强对角色与资源的安全管理。
20