[发明专利]基于PMI的委托授权管理方法及装置

说明书

本发明公开了一种基于PMI的委托授权管理方法及装置，所述方法包括：基于PMI的授权模型，根据业务授权管理员的操作确定待委托管理员，并授予委托资源集合，其中，所述委托资源集合为当前业务资源的部分集合；为每个委托资源集合生成委托业务编码，关联原有业务；根据受委托管理员的操作创建角色并进行角色授权；根据受委托管理员的操作进行用户组授权和用户授权。

技术领域

本发明涉及通信领域，尤其涉及一种基于PMI的委托授权管理方法及装置。

背景技术

PMI(Privilege Management Infrastructure，授权管理基础设施)是国家信息安全基础设施的一个重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。

PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销、使用和验证的过程。而且，使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用，而且利于权限的安全分布式应用。PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。

PMI授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适当的用户身份信息来实现用户认证，主要是PKI体系下的数字证书，也包括动态口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来，以独立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务。

PMI在体系上可以分为三级，分别是信任源点(SOA中心)、属性权威机构AA中心和AA代理点。在实际应用中，这种分级体系可以根据需要进行灵活配置，可以是三级、二级或一级。授权管理系统的总体架构如图1所示。

(1)信任源点(SOA中心)。信任源点(SOA中心)是整个授权管理体系的中心业务节点，也是整个授权管理基础设施PMI的最终信任源和最高管理机构。SOA中心的职责主要包括：授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。

(2)授权服务中心AA。属性权威机构AA中心是授权管理基础设施PMI的核心服务节点，是对应于具体应用系统的授权管理分系统，由具有设立AA中心业务需求的各应用单位负责建设，并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。

(3)授权服务代理点。AA代理点是授权管理基础设施PMI的用户代理节点，也称为资源管理中心，是与具体应用用户的接口，是对应AA中心的附属机构，接受AA中心的直接管理，由各AA中心负责建设，报经主管的SOA中心同意，并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理。

(4)访问控制执行者。访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块，因此，实际上并不属于授权管理基础设施的部分，但却是授权管理体系的重要组成部分。访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一起提交到授权服务代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理。

在基于PMI技术的访问控制模式中，用户要访问某个业务，首先需要经过管理员的授权才能访问。如果业务的授权管理员不能及时授权，那用户就无法访问该业务。

发明内容