網(wǎng)絡應用規(guī)模的不斷擴大帶來了以下發(fā)展趨勢：資源分散,、用戶分散、決策分權,、決策者分散,，用戶信息、決策信息的復雜程度日益增加,。這種趨勢使得傳統(tǒng)的對用戶和資源的集中式管理逐漸朝著分布式管理的方向發(fā)展,。因此需要為系統(tǒng)提供良好且一致的管理，同時滿足不同的分布節(jié)點之間充分的協(xié)同和信息共享,，完成對同一資源的協(xié)調管理,，為整個系統(tǒng)提供統(tǒng)一的管理。
1 分布環(huán)境下授權機制新的需求
　　與傳統(tǒng)的集中式系統(tǒng)相比,，分布式系統(tǒng)的授權和訪問控制" title="訪問控制">訪問控制機制帶來了更多實現(xiàn)和管理上的問題,。資源(包括服務),、資源的所有者、資源的管理者分散在網(wǎng)絡的各個節(jié)點上,，某一資源可能存在多個干系人(或資源的所有者),，分別獨立地對用戶進行資格審核與分布式授權。資源的管理者(或服務的提供者)需要完整維護,、及時更新訪問控制策略" title="控制策略">控制策略和規(guī)則,，驗證每一個訪問請求所有必須的授權條件?？梢?，簡單地將集中式授權和訪控模型部署到分布式系統(tǒng)的各個節(jié)點無法滿足復雜系統(tǒng)的需要。
　　此外,，同一網(wǎng)絡區(qū)域內可能存在多個分布式應用" title="分布式應用">分布式應用系統(tǒng),，系統(tǒng)之間存在越來越多的協(xié)作和相互支持。這需要各個系統(tǒng)之間存在著統(tǒng)一的信任基礎和用于相互認證,、訪問控制的數(shù)據(jù)交換平臺,。當前，基于PKI(公開密鑰基礎設施)技術的統(tǒng)一信任平臺正在快速建設中,，應該充分利用現(xiàn)有PKI資源為分布式應用提供信任管理,，在此基礎上選擇各自的授權機制，建立相應的訪問控制模型,，實現(xiàn)基于PMI(特權管理基礎設施)技術的授權管理,。
　　本文提出一種面向用戶的分布式授權系統(tǒng)的通用模型。它以用戶為中心管理對象,，以用戶管理為核心,，在統(tǒng)一的信任平臺上支持多個分布的,、基于不同授權模型的授權點,。通過授權管理，各個節(jié)點可以獨立自主地支持各自的上層應用,，也可以相互協(xié)作,，共同支持一個上層應用。這一機制的設計思想是在基于身份證書的信任平臺上進行基于屬性證書的授權管理,。

2 面向用戶的分布式授權模型
　　圖1是筆者設計的面向用戶的分布式授權模型體系結構示意圖,。模型包括四部分：基于PKI技術的信任管理平臺、授權節(jié)點,、受控應用節(jié)點和LDAP目錄服務器,。各部分說明如下：
　　(1)基于PKI技術的信任管理平臺。該平臺是整個授權模型的信任基礎,，負責對用戶身份的審核,。同時它包含了負責生成身份證書(公鑰證書)的權威機構CA(Certificate Authority)中心和負責生成屬性證書的權威機構AA(Attribute Authority)中心,。
　　(2)授權管理節(jié)點。授權管理節(jié)點實現(xiàn)對特定特權的審核及授予,。它分布在系統(tǒng)的每個應用服務子系統(tǒng)中,，自主地維護著與子系統(tǒng)相關的授權策略和信息，并檢查驗證用戶提供的有關證明,。根據(jù)這些證明,、相關信息及授權策略，向合法用戶授予相應的權利以及該權利的有效期,，并將這些授權信息交給AA中心,，由它負責指派有關的AA簽發(fā)相應的屬性證書。
　　(3)受控應用節(jié)點,。也稱為資源節(jié)點,，同樣分布在系統(tǒng)中，其上運行著實際應用服務子系統(tǒng)的決策模塊,，維護相應服務的訪問控制策略和相關信息,。當用戶訪問該節(jié)點的資源時，受控應用節(jié)點檢查用戶提供的身份信息(身份證書),，查找相應的屬性證書,，驗證模塊負責驗證這些證書的合法性。訪問決策模塊根據(jù)屬性證書的授權信息以及本地的訪問控制策略,，決定該用戶是否有權訪問本地的應用服務并告知訪問執(zhí)行模塊執(zhí)行,。
　　(4)LDAP目錄服務器。主要用于發(fā)布PMI用戶的屬性證書,、身份證書以及證書的撤消列表CRL,，以供查詢使用。
　　在本模型中,，采用公開密鑰加密技術的身份證書是提供身份,、授權和屬性信息的基礎。本系統(tǒng)的運行應該相對穩(wěn)定,，即不應該由于個別用戶身份證書的變更而引起相應的授權服務體系的附加管理操作,。因此在這里采用將屬性證書與用戶的一個終身不變的身份標識碼(例如身份證號碼)相關聯(lián)，在身份證書中也與該標識碼相關聯(lián),，并且信任服務系統(tǒng)" title="服務系統(tǒng)">服務系統(tǒng)提供的對應用戶的最新身份證書,，將屬性證書自動與該身份證書關聯(lián)。
3 分布式授權模型的應用模式
　　在上述分布式授權模型思想的指導下,，筆者為某省數(shù)字認證中心設計了面向用戶的“一證通”應用機制,。所謂“一證通”，是系統(tǒng)內的每個用戶惟一擁有一份標識其身份的身份證書，而系統(tǒng)內分布的各種應用服務都將以此為基礎,，向用戶提供服務,。下面舉例說明“一證通”機制的整體業(yè)務流程和功能。
　　系統(tǒng)的結構如圖2所示,。當一個新用戶想要加入到這個系統(tǒng)時,，首先到受理點注冊，提供自己的身份信息和注冊(屬性)信息,。受理點接收用戶信息后直接交到注冊機構RA,，由RA生成身份證書和屬性證書的請求發(fā)給信任平臺。信任平臺中的CA中心根據(jù)用戶提供的身份信息生成相應的身份證書,，同時,，把用戶提供的注冊信息交給分布在網(wǎng)絡上各個應用服務系統(tǒng)的授權節(jié)點(行業(yè)RA)，由各個授權節(jié)點根據(jù)各自本地的屬性集合和授權策略生成授權信息交還給信任平臺上對應的AA,，于是每個AA生成相應的屬性證書,。生成的身份證書(一份)和屬性證書(多份)被保存在LDAP目錄服務器中以供查詢使用。

?