吉大正元权限管理系统

身份认证/访问控制

1.产品概述 
　　吉大正元权限管理系统（以下简称：PMS）主要管理人、群体、应用角色等要素， PMS首先连接CA的目录服务，从目录上获取到的数字证书，通过解析数字证书，构建PMS内部的组织机构以及人员树，这样授权中人的要素已经具备。PMS又提供了规则群体生成工具，根据行业实际需要事先指定定义群体所需的属性字典，在加以与、或、非、等于、不等于等一系列逻辑形成规则表达式；系统还可以指定一个名字，并从组织机构树上指定若干人员形成工作组，这样授权要素中群体要素已经具备。系统中提供手工输入以及指定格式字典导入的方式维护应用角色信息，已经添加的应用角色可以删除，这样授权要素中应用角色要素已经具备。有了上手机软件开发

述的人、群体、应用角色要素，就可以进行授权动作，授权的本质就是建立人到应用角色、群体到应用角色之间的映射绑定关系。最后将以上的绑定关系发送到属性签发子系统，以属性证书的形式签发出来，并发布到目录服务器上，授权过程完成。因为授权结果以属性证书的形式发布，所以有效的避免了人工篡改的可能性，PKI体系内有认证权威，大家信任认证权威所以信任其签发的公钥证书，与PKI系统相似PMI体系中建立的属性权威，应用系统信任属性权威，所以信任属性权威签发的属性证书。
　　PMS体系提供了相应的API俗称“中间件”，该组件负责解析并验证公钥证书，根据公钥内包含的属性信息以及群体表达式，换算出该证书所对应的规则群体，根据公钥证书中的DN信息可以换算出该证书所在的工作组。API根据用户DN信息、规则群体信息、工作组信息查询PMS的目录服务器，获取以上信息对应的属性证书，最后解析属性证书获取到应用角色。
　　吉大正元权限管理系统采用当前主流的B/S结构的设计模式，主要由浏览器（PMS管理端）、权限管理模块、属性证书签发模块、中间件等几部分组成，如下图所示： 

  

权限管理系统体系结构

    吉大正元权限管理系统包括以下几个部分：

PMS管理终端：基于Web浏览器的管理模式，支持当前主流的浏览器   权限管理模块：是整个权限管理系统核心的组成部分，主要负责梳理各个应用系统的人员、群体、角色、权限信息，并将以上信息在权限管理模块内进行注册，最后完成人到角色（或权限）、群体到角色（或权限）的绑定关系维护   属性证书签发模块：应用系统会信任属性权威源签发的属性证书，并以属性证书所签发的内容进行系统内部的访问控制操作。属性证书签发模块负责建立属性权威源，并负责将“权限管理模块”中人到角色、群体到角色的映射关系签发成属性证书，并将已经签发成功的属性证书返回给“权限管理模块”   中间件：属于PMS系统的SDK，通常与应用系统部署在一起供应用系统调用，主要负责进行用户数字证书有效性校验、相应规则群体的匹配、属性证书的下载、属性证书的解析、应用角色冲突消解等操作   PMI目录服务：不属于PMS系统内部模块但为PMS系统必选组件，“权限管理模块”中的“属性证书发布服务”负责将已经签发成功的属性证书发布到目录服务，并且根据定制策略，数据同步校验服务负责校验“权限管理模块”中，数据库存储数据与目录服务器上发布数据的一致性 

2.产品功能 

权限管理子系统:应用管理、应用定义、应用角色管理、授权管理、群体管理、群体授权、个人授权、工作组管理、工作组授权、权限查询、权限注销、管理员管理、系统管理员管理、业务管理员管理、代理管理员管理   属性签发子系统:属性配置属性证书签发 

3.产品特点 

全新的授权理念   灵活的授权管理   基于开放的PMI标准   灵活的字典配置 

4.典型客户 

中国公安部   中国监察部   沈阳市公安局   国家信息中心   中国地震局   ……