Инфраструктура управления привилегиями - Privilege Management Infrastructure

В криптография Управление привилегиями это процесс управления авторизацией пользователей на основе Рекомендации ITU-T X.509. Версия X.509 2001 г. [1] определяет большинство (но не все) компонентов Инфраструктура управления привилегиями (PMI), на основе X.509 сертификаты атрибутов (AC). Более поздние версии X.509 (2005 и 2009) добавили дополнительные компоненты в PMI, включая службу делегирования (в 2005 г. [2]) и междоменной авторизацией (в редакции 2009 г. [3]).

Инфраструктуры управления привилегиями (PMI) предназначены для авторизации того, что инфраструктуры открытых ключей (PKI) предназначены для аутентификации. PMI используют сертификаты атрибутов (AC) для удержания пользовательских привилегий в форме атрибутов вместо сертификаты открытых ключей (PKC) для хранения открытых ключей. У PMI есть источники полномочий (SoA) и органы атрибутов (AA), которые выдают AC пользователям вместо сертификационные органы (ЦС), которые выдают пользователям PKC. Обычно PMI полагаются на лежащую в основе PKI, поскольку AC должны быть подписаны цифровой подписью выдающего AA, а PKI используется для проверки подписи AA.

AC X.509 является обобщением хорошо известного сертификата открытого ключа X.509 (PKC), в котором открытый ключ PKC заменен любым набором атрибутов держателя сертификата (или субъекта). Следовательно, теоретически можно использовать AC X.509 для хранения открытого ключа пользователя, а также любого другого атрибута пользователя. (Аналогичным образом, PKC X.509 могут также использоваться для хранения атрибутов привилегий субъекта, добавляя их к расширению атрибутов каталога субъекта X.509 PKC). Однако жизненный цикл открытых ключей и пользовательских привилегий обычно сильно различается, и поэтому объединять их в одном сертификате обычно не очень хорошая идея. Точно так же полномочия, назначающие кому-либо привилегии, обычно отличаются от полномочий, удостоверяющих чей-то открытый ключ. Следовательно, обычно не рекомендуется объединять функции SoA / AA и CA в одном доверенном центре. PMI позволяют управлять привилегиями и авторизацией отдельно от ключей и аутентификации.

Первая реализация X.509 PMI с открытым исходным кодом была создана при финансировании ЕК. ПЕРМИС проект, а программное обеспечение доступно по адресу здесь. Описание реализации можно найти в.[4][5]

AC и PMI X.509 используются сегодня в сетях (см. Грид-вычисления ), чтобы назначать привилегии пользователям и переносить привилегии по сети. В самой популярной на сегодняшний день системе управления привилегиями Grid, называемой Рвоты,[6] привилегии пользователя в форме членства и ролей VO помещаются в AC X.509 сервером VOMS, подписываются сервером VOMS, а затем встраиваются в сертификат прокси-сервера X.509 пользователя для передачи по сети.

Из-за роста популярности XML МЫЛО услуги на базе, SAML Утверждения атрибутов сейчас более популярны, чем AC X.509 для передачи пользовательских атрибутов. Однако у них обоих схожая функциональность, которая заключается в прочной привязке набора атрибутов привилегий к пользователю.

Рекомендации

  1. ^ ISO 9594-8 / Рек. X.509 (2001) Справочник: структуры сертификатов открытых ключей и атрибутов
  2. ^ ISO 9594-8 / Рек. X.509 (2005) Справочник: структуры сертификатов открытых ключей и атрибутов
  3. ^ ISO 9594-8 / Рек. X.509 (2009 г.)
  4. ^ Д. В. Чедвик, А. Отенко «Инфраструктура управления привилегиями на основе ролей PERMIS X.509». Компьютерные системы будущего поколения, 936 (2002) 1–13, декабрь 2002 г. Elsevier Science BV.
  5. ^ Дэвид В. Чедвик, Гансен Чжао, Сасса Отенко, Ромен Лаборде, Линьинг Су и Туан Ань Нгуен. «PERMIS: модульная инфраструктура авторизации». Параллелизм и вычисления: практика и опыт. Том 20, выпуск 11, страницы 1341-1357, 10
  6. ^ Альфиери, Р., Чеккини, Р., Чиаскини, В., Делль'Анджелло, Л., Фронер, А., Лорентей, К., Спатаро, Ф., «От файла карты сетки к VOMS: управление авторизацией в сетке среда". Компьютерные системы будущего поколения. Vol. 21, нет. 4. С. 549-558. Апрель 2005 г.