ПЕРМИС - PERMIS
ПЕРМИС (Стандарты инфраструктуры управления привилегиями и ролями) - это сложная, основанная на политиках разрешение система, которая реализует расширенную версию Национального института стандартов и технологий США (NIST ) стандартный ролевой контроль доступа (RBAC ) модель. PERMIS поддерживает распределенное назначение ролей и атрибутов пользователям несколькими распределенными полномочиями по атрибутам, в отличие от модели NIST, которая предполагает централизованное назначение ролей пользователям. PERMIS предоставляет криптографически безопасную инфраструктуру управления привилегиями (PMI ) с помощью шифрование с открытым ключом технологии и X.509 Сертификаты атрибутов для поддержания атрибутов пользователей. PERMIS не предоставляет никаких механизмов аутентификации, но оставляет на усмотрение приложения, что использовать. Сила PERMIS заключается в его способности интегрироваться практически в любое приложение и в любую схему аутентификации, например Шибболет (Интернет2), Kerberos, имя пользователя / пароли, Сетка прокси-сертификаты и инфраструктура открытых ключей (PKI ).
Как стандартная система RBAC, основными подразделениями PERMIS являются:
- политика авторизации,
- набор пользователей,
- набор администраторов (полномочий по атрибутам), которые назначают роли / атрибуты пользователям,
- набор ресурсов, которые необходимо защитить,
- набор действий над ресурсами,
- набор правил контроля доступа,
- и необязательные обязательства и ограничения.
Политика PERMIS - это расширяемый язык разметки (XML ) на основе и имеет правила для назначения ролей пользователя и назначения ролей привилегий, последнее содержит необязательные обязательства, которые возвращаются приложению, когда пользователю предоставляется доступ к ресурсу. Политика PERMIS может храниться либо в виде простого текстового файла XML, либо в виде атрибута в подписанном сертификате атрибута X.509 для обеспечения защиты целостности и обнаружения взлома. Роли и атрибуты пользователей могут храниться в защищенных подписанных сертификатах атрибутов X.509 и храниться в облегченном протоколе доступа к каталогам (LDAP ) каталоги или веб-службы распределенного авторинга и управления версиями (WebDAV ) репозиториев, или они могут быть созданы по запросу как язык разметки утверждения безопасности (SAML ) утверждения атрибута.
Механизм авторизации PERMIS состоит из двух компонентов: службы проверки учетных данных, которая проверяет роли пользователей в соответствии с правилами назначения ролей пользователей, и точки принятия решения по политике (PDP), которая оценивает запросы доступа пользователей в соответствии с правилами назначения разрешений ролей (или правила контроля доступа). Доступ к ресурсу зависит от ролей / атрибутов, назначенных пользователю, и назначений ролей и разрешений, которые могут содержать ограничения на основе запроса доступа пользователя (например, «печать менее 10 страниц») и среды (например, времени суток. ). PERMIS может работать как в принудительном режиме (назначения атрибутов пользователя отправляются в PERMIS приложением), так и в режиме извлечения (PERMIS сам извлекает назначения атрибутов из репозиториев LDAP / WebDAV или органов управления атрибутами SAML). ПЕРМИС - это Открытый исходный код проект и исходный код Java можно скачать с http://www.openpermis.info. Кроме того, предварительно скомпилированные библиотеки Java можно загрузить с http://sec.cs.kent.ac.uk/permis/.
PERMIS уникален тем, что поддерживает криптографическую защиту пользовательских атрибутов / ролей и политики, которая гарантирует их целостность и защищает их от подделки. Новые возможности постоянно добавляются к нему, как стандартный расширяемый язык разметки управления доступом (XACML ) интерфейс, который позволяет легко заменять PDP PERMIS и XACML, возможность принимать SAML утверждения атрибутов, поддержка динамического делегирования полномочий и политик разделения обязанностей, а также недавнее добавление контролируемого интерфейса на естественном языке (на английском языке) для написания простых политик PERMIS.
Смотрите также
- Авторизация
- Управление идентификацией
- Служба аутентификации и авторизации Java (JAAS)
- Легкий протокол доступа к каталогам (LDAP)
- RBAC (Контроль доступа на основе ролей)
- X.509
- Шибболет
- SAML (Язык разметки утверждения безопасности)
- Kerberos
- XACML (Расширяемый язык разметки контроля доступа)
- PKI (Инфраструктура открытого ключа)