来源：电子技术应用  作者：南京大学计算机科学与技术系 金仑

摘要：提出了一种面向用户的分布式授权系统的通用模型。它以用户为中心管理对象，在统一的信任平台上支持多个分布的、基于不同授权模型的授权点，通过授权管理，各个节点既可以独立地支持各自的上层应用，也可以相互关联共同支持一个上层应用。最后给出了这种模型的具体应用模式。

关键词：身份证书属性证书授权

网络应用规模的不断扩大带来了以下发展趋势：资源分散、用户分散、决策分权、决策者分散，用户信息、决策信息的复杂程度日益增加。这种趋势使得传统的对用户和资源的集中式管理逐渐朝着分布式管理的方向发展。因此需要为系统提供良好且一致的管理，同时满足不同的分布节点之间充分的协同和信息共享，完成对同一资源的协调管理，为整个系统提供统一的管理。

1 分布环境下授权机制新的需求
与传统的集中式系统相比，分布式系统的授权和访问控制机制带来了更多实现和管理上的问题。资源(包括服务)、资源的所有者、资源的管理者分散在网络的各个节点上，某一资源可能存在多个干系人(或资源的所有者)，分别独立地对用户进行资格审核与分布式授权。资源的管理者(或服务的提供者)需要完整维护、及时更新访问控制策略和规则，验证每一个访问请求所有必须的授权条件。可见，简单地将集中式授权和访控模型部署到分布式系统的各个节点无法满足复杂系统的需要。

此外，同一网络区域内可能存在多个分布式应用系统，系统之间存在越来越多的协作和相互支持。这需要各个系统之间存在着统一的信任基础和用于相互认证、访问控制的数据交换平台。当前。基于PKl(公开密钥基础设施)技术的统一信任平台正在快速建设中，应该充分利用现有PKI资源为分布式应用提供信任管理，在此基础上选择各自的授权机制，建立相应的访问控制模型，实现基于PMI(特权管理基础设施)技术的授权管理。

本文提出一种面向用户的分布式授权系统的通用模型。它以用户为中心管理对象，以用户管理为核心，在统一的信任平台上支持多个分布的、基于不同授权模型的授权点。通过授权管理，各个节点可以独立自主地支持各自的上层应用，也可以相互协作，共同支持一个上层应用。这一机制的设计思想是在基于身份证书的信任平台上进行基于属性证书的授权管理。

2 面向用户的分布式授权模型
图l是笔者设计的面向用户的分布式授权模型体系结构示意图。模型包括四部分：基于PKI技术的信任管理平台、授权节点、受控应用节点和LDAP目录服务器。各部分说明如下：

(1)基于PKI技术的信任管理平台。该平台是整个授权模型的信任基础，负责对用户身份的审核。同时它包含了负责生成身份证书(公钥证书)的权威机构CA(Certifieate Authority)中心和负责生成属性证书的权威机构AA(Attribute Authority)中心。

(2)授权管理节点。授权管理节点实现对特定特权的审核及授予。它分布在系统的每个应用服务子系统中，自主地维护着与子系统相关的授权策略和信息，并检查验证用户提供的有关证明。根据这些证明、相关信息及授权策略，向合法用户授予相应的权利以及该权利的有效期，并将这些授权信息交给AA中心，由它负责指派有关的AA签发相应的属性证书。

(3)受控应用节点。也称为资源节点，同样分布在系统中，其上运行着实际应用服务子系统的决策模块，维护相应服务的访问控制策略和相关信息。当用户访问该节点的资源时，受控应用节点检查用户提供的身份信息(身份证书)，查找相应的属性证书，验证模块负责验证这些证书的合法性。访问决策模块根据属性证书的授权信息以及本地的访问控制策略，决定该用户是否有权访问本地的应用服务并告知访问执行模块执行。

(4)LDAP目录服务器。主要用于发布PMI用户的属性证书、身份证书以及证书的撤消列表CRL，以供查询使用。

在本模型中，采用公开密钥加密技术的身份证书是提供身份、授权和属性信息的基础。本系统的运行应该相对稳定．即不应该由于个别用户身份证书的变更而引起相应的授权服务体系的附加管理操作。因此在这里采用将属性证书与用户的一个终身不变的身份标识码(例如身份证号码)相关联，在身份证书中也与该标识码相关联，并且信任服务系统提供的对应用户的最新身份证书，将属性证书自动与该身份证书关联。

3 分布式授权模型的应用模式
在上述分布式授权模型思想的指导下，笔者为某省数字认证中心设计了面向用户的“一证通”应用机制。所谓“一证通”，是系统内的每个用户惟一拥有一份标识其身份的身份证书，而系统内分布的各种应用服务都将以此为基础，向用户提供服务。下面举例说明“一证通”机制的整体业务流程和功能。

系统的结构如图2所示。当一个新用户想要加