1、特权管理基础设施特权管理基础设施PMIPrivilege Management Infrustructure2属性证书属性证书l知道了“他是谁”以后,可以允许他做什么呢?l为了实现对资源的访问控制,认证 和 授权 都是必不可少的环节3属性证书属性证书l将“基于公钥的身份认证技术”加以扩展,使其能够实现对授权 的支持。属性证书Attribute Certificate(AC)的出现,提供了一种解决 授权、基于角色的控制 以及授权代理 等应用需求的有效途径l由于AC支持了授权代理,使得它的授权模式也适用于分布式的环境4属性证书与公钥身份证书的区别属性证书与公钥身份证书的区别l Public Key
2、 Certificates(PKC)将证书持有者的名字与其公钥紧紧地绑定在一起,用以认证持有者的身份。而Attribute Certificate(AC)将持有者的名字和一系列“属性”绑定在一起,这些属性用来表征证书持有者属于哪个用户组,属于什么角色,他持有什么样的安全许可,或者其他的某些授权信息5属性证书与公钥身份证书的区别属性证书与公钥身份证书的区别l PKC可以理解成护照,它用来证明持有者的身份,一般有效期很长,并且不是很容易就获得;而AC更像是入境签证,它由不同的管理方颁发,有效期一般不是很长。为了申请签证,通常要出示护照,并且其过程相对简单一些l ISO/IEC 9594-8(ITU
3、-T X.509)提出了在AC的基础上构建的Privilege Management Infrastructure(PMI)6PKI PMI 实体对比实体对比 7lConcept PKI Entity PMI EntityCertificatePublic Key Certificate Attribute ertificateCertificate issuerCertification AuthorityAttribute AuthorityCertificate userSubjectHolderCertificate bindingSubjects name to public key
4、Holders name to privilege attribute(s)Revocation Certificate revocation list(CRL)Attribute certificate revocation list(ACRL)Root of trustRoot certification authority or trust anchor Source of authority(SOA)Subordinate authoritySubordinate certification authorityAttribute authority8属性的两种表达模式属性的两种表达模式
5、l 一个表达授权意义的属性 可以包含在PKC的扩展段中,也可以单独的放在一个AC中。如果一个证书既要代表身份认证,又要处理属性认证,可以采用前者9属性的两种表达模式属性的两种表达模式lISO的ISO98,以及IETF的RFC3281中都指明将属性包含在PKC扩展段中是一种可选的模式。这有如下好处:l可以与现行认证系统互操作l简化了认证路径处理,因为单个信任路径既表达了认证又代表了授权l在发布授权的时候,涉及的实体和事务相对较少10两种证书比较两种证书比较11授权属性分离的原因授权属性分离的原因l将授权和认证各自分离开来,CA负责认证,而AA负责授权l属性证书AC可随时更新,来反映随时变化的授权
6、状态,而不必被绑定到PKC较长的有效期上l属性证书的有效期往往非常短,甚至可以不使用吊销列表12属性可以表达的含义属性可以表达的含义组和角色组和角色 l角色角色 提供了一种间接分配特权的方法。AA可以给用户颁发一个证书,将一个或多个角色分配给他,而在另外的地方(如,使用一个专门定义角色的AC),来定义角色的特权 这样,特权的分配和用户的管理就分离开来,管理员可以为整个组或角色分配特权,而不是单个地为用户分配特权13属性可以表达的含义属性可以表达的含义组和角色组和角色l这种分离有很多优点:l便于管理和理解。管理员定义好角色对资源的访问特权后,就可以专注于对用户的管理。当角色的特权发生改变后,只需
7、更新角色的定义,而不必对用户证书更新l角色的分配可以使用代理模式。角色的定义和角色的分配可以在不同的AA上实现。这非常适合于分布式应用l特权分配可以被继承。l角色和角色的成员可以定义不同的有效期14属性可以表达的含义约束和语义属性可以表达的含义约束和语义l约束 表现了属性之间的限制关系,最常见的约束是某些属性间的互斥约束,这表示同一个范围内不能同时包含两个或两个以上这类属性l例如,一个角色不能既是考生,又是监考官l目前对属性的约束,支持还相当有限。ITU-T X.509(2000)里有少量的方法支持约束,例如时间约束可以用在AC的有效期里15属性可以表达的含义机密属性属性可以表达的含义机密属性
8、lAC持有者可能并不希望向所有的验证者都暴露自己获得的授权属性,这时可以让AA对含有敏感信息的属性单独颁发AC 这样,针对特定的资源,使用特定的AC,避免了向其它对象暴露机密属性l更安全的方式是对证书中的敏感属性进行加密,那么,只有那些能够识别这种加密属性的验证者,才能获知属性的内容16ISO/IEC 9594-8(ITU X.509)以及以及 PDAMl属性证书最早是在1997年版的ISO/IEC 9594-8 ISO97 中提出。然而在很久以后的版本中才有AC的定义条款,并且仅限于定义基本属性类型以及适用规则l在1998年的PDAM(Proposed Draft Amendment)v1中
9、,包含了针对属性证书全面的讨论,并提出了Privilege Management Infrastructure(PMI)模型17ISO/IEC 9594-8(ITU X.509)以及以及 PDAMl1999年公布FPDAM(Final Proposed Draft Amendment),其中定义了PMI的重要组成,但还不完整l2000年,颁布国际标准ISO/IEC 9594-8,也即ITU X.509(2000),这便是广为熟知的ITU Recommendation X.509,也被人们称作X.509 V4。其中完整地定义了属性证书和PMI模型18 PMI模型构建在属性证书之上,主要包含四个部
10、分:普通模型(General Model)控制模型(Control Model)代理模型(Delegation Model)角色模型(Roles Model)19PMIPMI的几种模型的几种模型20(1)通用模型通用模型 PMI主要围绕特权的分配使用和验证来进行 属性证书框架采用四个模型来描述敏感资源上的权限是如何分配、流转、管理和验证 通过了解这几个模型,可以明确PMI中的主要相关实体,主要操作进程,以及交互的内容21(1)通用模型通用模型 通用模型也称为基本模型,如下图所示。模型中包含三个实体:授权机构(SOA或AA)、特权持有者(Privilege Holder)和特权验证者(Privi
11、lege Verifier)授权机构向特权持有者授权,特权持有者向资源提出访问请求并声称具有权限,由特权验证者进行验证 特权验证者总是信任授权机构,从而建立信任关系22(1)通用模型通用模型23(1)通用模型通用模型PMI基本模型描述了在授权服务体系中主要三方之间的逻辑关系,以及两个主要过程:特权分配和验证这是PMI框架的核心。PMI基本模型的体系结构类似于单级CA的体系结构,SOA的作用就可以看作是CA。对特权的分配是由SOA直接进行的,SOA(AA)通过为特权持有者颁发属性证书来进行授权24(1)通用模型通用模型由于SOA同时要完成很多宏观控制功能,如制订访问策略,维护撤消列表,进行日志和
12、审计工作等,特别是当用户数目增大时,就会在SOA处形成性能瓶颈。SOA也会显得庞大而臃肿25(1)通用模型通用模型如果实际应用中用户数量非常庞大,就需要对基本模型进行改进,以实现真正可行的PMI体系一个明确的思路就是对授权管理功能进行分流,减少SOA的直接特权管理任务,使得SOA可以进行自身的宏观管理功能26(2)控制模型控制模型控制模型阐述了如何控制对敏感对象方法的访问。模型中有五个对象:特权声称者、特权验证者、对象方法(敏感)、特权策略和环境变量 特权声明者具有特权 对象方法具有敏感性27(2)控制模型控制模型这里描述的技术使特权验证者在一致特权策略下控制特权声明者对对象方法的访问。特权和
13、敏感性都是多值参数。特权声明者可能是一个被公钥证书所鉴别的实体,或一个被磁盘镜象摘要所鉴别的可执行对象等28(2)控制模型控制模型图8-4 PMI控制模型PMI控制模型29(3)委托模型委托模型特权委托提出了授权机构的层次级联。特权经由若干AA从上至下流转,最后到达特权持有者。这样,SOA和高层AA就只负责制订访问策略,维护有限的证书分配和管理功能,从而实现了系统规模的扩张和整体性能的优化。特权分配类似于一个树形结构,如下图所示30(3)委托模型委托模型委托树模型31(3)委托模型委托模型委托方式下的管理和验证模型给出了委托方式下进行权限管理和验证的模式。委托模型中有四种角色:SOA、AA、特
14、权验证者和特权声称者。SOA将特权委托给AA,通过发布属性证书来确定AA所拥有的权限或权限子集,同时赋予AA进行特权委托的权力。SOA可以通过限制委托路径深度、限制名字空间等方法来控制后继委托。AA所委托的特权不能超过他本身所拥有的特权32(3)委托模型委托模型委托方式下的管理和验证33(3)委托模型委托模型特权验证者信任SOA对资源的访问控制特权。当一个特权持有者提出请求时,若其持有证书并非由SOA颁发,特权验证者将定位通往SOA的委托路径进行验证。并对该路径上每一AA节点进行判断是否具有该权限34(3)委托模型委托模型特权委托路径与公钥证书的有效路径是不同的。委托路径将既包括属性证书又包括
15、公钥证书,如果是通过公钥证书获得特权则只能通过发布公钥证书来委托特权。如果是通过属性证书获得特权则只能通过发布属性证书来委托特权。只有AA才能委托,最终用户不具备委托权限35(3)委托模型委托模型在委托模型中,特权的委托路径是一个关键问题。不光在分配过程需要由策略对此进行约束,在验证过程也要对委托路径进行有效性判断36(4)角色模型角色模型PMI角色模型如下图所示,角色模型提供一种间接分配特权给个体的方式。在角色模型中,SOA不再将特权直接分配给特权持有者,而是建立若干角色并将权限授予角色。该模型使用两个证书完成角色的定义和分配。特权持有者申请特权时,SOA通过角色分配证书(Role Assi
16、gnment Certificates),为个体赋予角色身份,从而使个体获得角色所具有的特权集合37(4)角色模型角色模型PMI角色模型38(4)角色模型角色模型SOA颁发角色分配证书给个体,通过证书中的角色属性使他们能够扮演一个或多个角色。而角色的特权是通过角色说明证书(Role Specification Certificates)来赋予的。角色分配证书可以是公钥证书,也可以是属性证书,但角色说明证书只能是属性证书39(4)角色模型角色模型 在角色模型中,SOA持有角色说明证书,特权持有者只持有角色分配证书,类似于一个指向特权的指针。在进行访问请求时,特权验证者根据特权持有者提交的角色分配
17、证书,在本地的角色说明书库中查找对应者;如果没有,则根据分配证书中的信息到SOA处查找40(4)角色模型角色模型基于角色授权的PMI模型通过引入角色这个中间层次能有效地简化授权管理,进一步降低系统复杂度和管理成本,提高了系统的可理解性和易修改性,提供授权管理的灵活性和可靠性。将用户按角色进行分类授权后,系统管理者只需要对角色的特权进行修改,就可以控制具有该身份的所有用户的特权,另一方面,基于角色的管理贴近实际应用,更加人性化,易于理解41(4)角色模型角色模型一个角色的特权的更新并不影响终端实体,实现了对授权管理较大的灵活性。但是这种方式需要颁发和处理两种不同的证书,这给证书管理增加了很大的负
18、担,和委托授权的方式一样,由于验证的时候需要角色说明证书,所以也带来了特权验证者的复杂性。采用这种方式时,可以考虑和RBAC机制进行结合,从而减少授权管理的复杂性,降低管理开销42Internet Engineering Task Force(IETF)lIETF属性证书的相关提议主要是PKIX(X.509 Public Key Infrastructure)工作组提出l在1998年到2001年间,属性证书以Internet草案的形式被讨论(Internet Attribute Certificate Profile for Authorization),该草案在2001年7月被IESG(In
19、ternet Engineering Steering Group)认可为提议标准(Proposed Standard),文档为RFC328143Internet Engineering Task Force(IETF)l另外,一个名为Attribute Certificate Policy extension草案也在讨论中,2003年4月已颁布第3版本,主要涉及AC的策略定义44使用属性证书实现基于角色的访问控制使用属性证书实现基于角色的访问控制l属性证书通过一种非常简单的方式支持角色的访问控制(RBAC),通常的过程是:预先颁发一些定义角色的X.509属性证书,它定义角色的特权;然后再为最
20、终用户颁发一个属性证书,该属性证书里为用户指定一个或多个角色45使用属性证书实现基于角色的访问控制使用属性证书实现基于角色的访问控制l当用户访问资源的时候,他可以选择将自己的AC“推”(push)向服务器一方,这样服务器便可以直接读取用户的授权信息,来决定下一步的操作。这种方式减轻了服务器的负担,提高了执行效率。并且,此时服务器只被告知了它应该知道的信息,用户不必暴露自己持有的其它特权。这种方式适合于用户的AC不是由目标服务器颁发的情况46使用属性证书实现基于角色的访问控制使用属性证书实现基于角色的访问控制l另外一种方式是,用户访问资源的时候只简单的向服务器证明身份,并不主动出示其AC。服务器
21、自行决定是否需要判断该用户的授权,如果需要,则主动向为该用户颁发AC的授权机构“拉”(pull)回其AC。这种方式的好处是,在实现的时候可以不用考虑客户端和客户服务协议的不同。该方式适合于用户的AC由请求的服务器本身的域颁发的情况4748PMI的产品和应用的产品和应用l(1)PERMIS PMIlPERMIS PMI是英国True Trust公司推出的PMI产品。该产品的前身是Dr.Chadwick负责的一个欧共体项目,即从2000年12月到2002年6月完成的PERMIS(PrivilEge and Role Management Infrastructure Standards Valid
22、ation)。PERMIS是基于X.509标准的PMI实现。并且在三个不同城市Salford,Bologna和Barcelona的不同应用中实施。该项目据此提出了一项RFC(Request for Comment)来标准化电子商务应用中的特权需要以及描述PERMIS的API49PMI的产品和应用的产品和应用l(2)AkentilAkenti是一个由美国Lawrence Berkeley National实验室开发的授权管理基础设施。它也是依据RFC2704所提出的五个组件的可信管理基础设施50PMI的产品和应用的产品和应用l(3)SelectAccesslBaltimore公司的SelectA
23、ccess是个提供特权管理基础设施PMI服务的世界领先的授权管理解决方案,它允许管理并执行用户的特权,对电子商务和企业资源交易进行授权。在一个企业外联网环境中,SelectAccess对基于Web的资源提供基于角色的授权,使企业为客户、供应商和伙伴提供安全的丰富的用户体验51PMI的产品和应用的产品和应用SelectAccess用二维表表示所有用户和资源。SelectAccess支持多种鉴别方法来维持一个安全可信的环境。支持口令、数字证书(软件形式的和智能卡形式的)和安全ID令牌(SecureID tokens);管理基于角色和组;动态角色特征确保用户特权改变与商务过程的变化同步;可支持多级委
24、托;鉴别措施可通过API支持52PMI的产品和应用的产品和应用SelectAccess贯彻了XML技术,XML为数据的传输和整合到现存及未来的应用提供了充分的灵活性,不管是基于WEB还是非WEB的。支持Windows NT/2000,Linux,Solaris,HP-UX等操作系统。访问控制通过插件强迫执行,可以用于Microsoft IIS,iPlanet,Apache,BEA WebLogic,IBM WebSphere,Silver Stream,Oracle 9i以及Plumtree等53PMI的产品和应用的产品和应用l(4)IBM Tivoli secureWay Authoriza
25、tionlThe Open Group aznAPI由DASCOM(现已被IBM收购)提出。其目的是将授权与信任分开、授权与具体实现机制(如ACL,Entitlements、Rules、Classification,等等)分开54PMI的产品和应用的产品和应用基于规则的访问控制为访控策略定义特定的属性,能简单创建规则。简单规则的例子包括强制一个特定的认证方法,一个物理位置或者一个特定的时间段。基于规则的访问控制策略建立在XACML标准基础之上,XACML标准提供对策略和规则与建立在相同标准上的其他应用的更好集成XACML是一种用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架55PM
26、I的产品和应用的产品和应用56PMI的产品和应用的产品和应用l(5)北京耐丁网络技术有限公司用户授权和访问控制系统l耐丁公司的用户授权和访问控制体系的建设就是设计统一的授权策略,建立统一的用户管理中心,提供统一的应用系统访问控制基础平台和实现机制,解决企业网现有的多种不同类型的用户对多个不同业务应用系统的授权和访问控制问题,防止用户越权访问或修改数据,确保对信息的访问限制在授权范围内57PMI的产品和应用的产品和应用l(6)吉大正元权限管理和授权服务基础平台lPMI权限管理和授权服务基础平台是由吉大正元开发的通用权限管理平台。主要应用在权限管理,访问控制领域。为进行资源管理的二次开发人员提供了
27、一个方便,安全,高效的决策平台。PMI权限管理和授权服务基础平台主要用于web资源的访问控制,磁盘资源的访问控制,数据库资源的访问控制,网络资源的访问控制和硬件资源的访问控制58PMI的产品和应用的产品和应用l(7)维豪集团安全平台l维豪集团将基于公钥基础设施PKI和授权管理基础设施PMI的智能化信任与授权技术与J2EE技术结合,搭建了应用于不同领域的各种安全平台59l上面提到的PMI产品和应用,设计时存在着类似的需要注意的方面和问题60l在过去的几年中,权限管理作为安全的一个领域得到快速发展,也提出了几种权限管理方案,如Kerberos,基于策略服务器方案,但目前应用和研究的热点集中于基于P
28、KI的PMI研究61 AC签发 数据库 AA受理 工作站 AA管理 工作站 LDAP 目录服务 属性权威 AA 一个属性权威AA的基本组成 62PMI模型模型l绝大多数的访问控制应用都能抽象成一般的权限管理模型,包括3个实体:对象,权限声称者(privilege asserter)和权限验证者(privilege verifier)。对象可以是被保护的资源,例如在一个访问控制应用中,受保护资源就是对象63l权限验证者根据4个条件决定访问通过/失败:l权限声明者的权限l适当的权限策略l当前环境变量(如果有的话)l对象方法的敏感度(如果有的话)64l其中,权限策略说明了对于给定敏感度的对象方法或权
29、限的用法和内容,用户持有的权限需要满足的条件和达到的要求。权限策略准确定义了什么时候权限验证者应该能确定以便许可权限声明者访问要求的对象、资源,应用等l为了保证系统的安全性,权限策略需要完整性和可靠性保护,防止他人通过修改权限策略而攻击系统65l下面对应的控制模型说明验证者如何控制权限声明者对保护对象的访问,并表达了最基本的影响因素:权限策略 对象方法(敏感度)权限声明者 环境变量 权限验证者 66访问控制抽象模型访问控制抽象模型 l无论哪一种访问控制授权方案都可以表示成如下的基本元素和抽象。目标目标 访问控制决策单元 ADF 提交 访问请求 访问控制执行单元 AEF 执行 访问请求 决策结果
30、 决策请求 访问者 67l同样,影响决策单元进行决策的因素也可以抽象如下图所示:访问控制决策单元访问控制决策单元 ADFADF 决策请求 决策结果 访问者信息 访问请求信息 目标信息 上下文信息 访问控制 策略规则 保留信息 权限验证者用户的身份,权限信息(属性证书信息)等资源的等级,敏感度等信息影响决策的应用端环境,如会话的有效期等决策单元内部的控制因素包括访问动作等信息不同的应用系统访问控制策略是完全不同的访问控制框架中随应用变化的部分68PMI应用结构应用结构 lPKI PMI和应用的逻辑结构如下,PMI属性权威AALDAP注册申请ARAPKI策略决策PDP策略实施PEP目标访问者应用系
31、统策略属性证书签发系统应用策略支撑框架为AA签发身份证书为用户签发身份证书策略实施点PEP(Policy Enforcement Point)和策略决定点PDP(Policy Decision Point)。PEP用于表达请求和执行访问控制决定。PDP从PEP处接受请求,评估适用于该请求的策略,并将授权决定返回给PEP69l各部分说明:l访问者、目标访问者、目标l访问者是一个实体(该实体可能是人,也可能是其他计算机实体),它试图访问系统内的其他实体(目标)70l策略策略l授权策略展示了一个机构在信息安全和授权方面的顶层控制,授权遵循的原则和具体的授权信息。在一个机构的PMI应用中,策略应当包括
32、一个机构将如何将它的人员和数据进行分类组织,这种组织方式必须考虑到具体应用的实际运行环境,如数据的敏感性,人员权限的明确划分,以及必须和相应人员层次相匹配的管理层次等因素l所以,策略的制定是需要根据具体的应用量身定做的71l具体说,策略包含着应用系统中的所有用户和资源信息以及用户和信息的组织管理方式;用户和资源之间的权限关系;保证安全的管理授权约束;保证系统安全的其他约束。在PMI中主要使用基于基于角色的访问控制(RBAC,Role-Based Access Control)72lACl属性证书(AC)是PMI的基本概念,它是权威签名的数据结构,将权限和实体信息绑定在一起。属性证书中包含了用户
33、在某个具体的应用系统中的角色信息,而该角色具有什么样的权限是在策略中指定的。lAAl属性证书的签发者被称为属性权威AA,属性权威AA的根称为SOA73lARAl属性证书的注册申请机构称为属性注册权威ARAlLDAPl用来存储签发的属性证书和属性证书撤消列表 74l策略实施策略实施l策略实施点(PEPs,Policy Enforcement Points)也叫PMI激活的应用,对每一个具体的应用可能是不同的,是指已经通过接口插件或者代理所修改过的应用或服务,这种应用或服务被用来实施一个应用内部的策略决策,介于访问者和目标之间,当访问者申请访问时,策略实施点向授权策略服务器申请授权,并根据授权决策
34、的结果实施决策,即对目标执行访问或者拒绝访问75l在具体的应用中,策略实施点 -可能是应用程序内部中进行访问控制的一段代码 -也可能是安全的应用服务器(如在Web服务器上增加一个访问控制插件)-或者是进行访问控制的安全应用网关76策略决策策略决策l策略决策点(PDP,Policy Decision Point)也叫授权策略服务器,它接收和评价授权请求,根据具体策略做出不同的决策。它一般并不随具体的应用变化,是一个通用的处理判断逻辑。当接收到一个授权请求时,根据授权地策略,访问者的安全属性以及当前条件进行决策,并将决策结果返回给应用。对于不同应用的支持是通过解析不同的定制策略来完成的l在实施的过
35、程中,只需要定制策略实施部分,并定义相关策略 77应用方式应用方式 l在安全应用系统中实现访问控制,一般使用3种方式:n基于应用的方式(Application Based)在应用程序中使用进行访问控制的代码,在应用程序内部对访问请求进行直接的控制和处理n服务器插件方式(Plug-In Based)78应用方式应用方式 针对应用服务器(如Web)建立服务器的安全插件,在服务器上对请求进行处理,可以与具体的应用服务器紧密集成,插件可以在相同的应用服务平台上重复使用。n代理方式(Proxy Based)在用户和应用服务器之间建立访问控制代理服务器,对访问请求进行处理后,允许的访问被转发到应用服务器。
36、79l访问控制代码,服务器插件和代理服务器都称为策略实施点80lPMI系统分成两大模块:管理模块,引擎模块管理模块主要包括下面功能:l用户管理:维护系统所管理的用户的相关信息l资源管理:维护系统所管理的资源的相关信息81l策略管理:制订和维护决策过程所用到的策略l管理员管理:维护系统管理员的相关信息l角色分配管理:负责为用户分配权限,和维护权限信息 82引擎模块主要包括下面功能:l策略实施:截获用户的请求,生成决策请求,发给策略决策点,等待决策结果l策略决策:接受策略实施点发来的决策请求,根据制定的策略进行决策,并把决策结果返回给策略实施点83软件系统结构软件系统结构 AC签 发 数 据 库
37、AA受 理 工 作 站 AA管 理 工 作 站 LDAP 目 录 服 务 属 性 权 威AA 84系统工作过程系统工作过程 l使用用户管理工具注册应用系统用户信息;l使用资源管理工具注册资源信息l使用策略定制工具制定应用系统的权限管理和访问控制策略l使用权限分配工具签发策略证书,角色定义证书85系统工作过程系统工作过程 l属性权威针对用户签发属性证书l启动策略实施点,使用指定的策略和相关信息初始化策略决策服务器l用户登陆时,策略实施点验证用户身份,并根据下一个步骤获取权限信息86l如果是推模式,直接从用户提供的属性证书中获得权限信息,如果是拉模式,根据用户身份信息从属性证书库中检索,并返回用户的权限信息l对每个访问请求,策略实施点根据权限、访问动作和目标信息生成决策请求l策略实施点向策略决策点PDP发出决策请求系统工作过程系统工作过程 87l策略决策点PDP根据策略对请求进行判断,返回决策结果l策略实施点根据结果决定是否放行或拒绝用户请求l如果要停止运行,就关闭策略实施点,由策略实施点通知策略决策服务器停止服务系统工作过程系统工作过程 88l决策服务器l高性能服务器l;lLDAP服务器l高性能服务器l管理终端lPC机l策略实施点l高性能服务器l管理终端lPC机l管理终端lPC机