POVOLENÍ - PERMIS

POVOLENÍ (PrivilEge and Role Management Infrastructure Standards) je sofistikovaná politika oprávnění systém, který implementuje vylepšenou verzi amerického Národního institutu pro standardy a technologie (NIST ) standardní řízení přístupu na základě rolí (RBAC ) Modelka. PERMIS podporuje distribuované přiřazení rolí a atributů uživatelům více autoritami distribuovaných atributů, na rozdíl od modelu NIST, který předpokládá centralizované přiřazování rolí uživatelům. PERMIS poskytuje kryptograficky bezpečnou infrastrukturu pro správu oprávnění (PMI ) použitím šifrování veřejného klíče technologie a X.509 Atributové certifikáty zachovat atributy uživatelů. PERMIS neposkytuje žádný ověřovací mechanismus, ale ponechává na aplikaci, aby určila, co má použít. Síla společnosti PERMIS vychází z její schopnosti být integrována do prakticky jakékoli aplikace a jakéhokoli schématu autentizace Shibboleth (Internet2), Kerberos, uživatelské jméno / hesla, Mřížka proxy certifikáty a infrastruktura veřejného klíče (PKI ).

Jako standardní systém RBAC jsou hlavními entitami PERMIS

  • autorizační politika,
  • skupina uživatelů,
  • sada správců (autorit atributů), kteří přiřazují role / atributy uživatelům,
  • soubor zdrojů, které mají být chráněny,
  • soubor akcí týkajících se zdrojů,
  • soubor pravidel kontroly přístupu,
  • a nepovinných povinností a omezení.

Zásadou PERMIS je eXtensible Markup Language (XML ) -založené a má pravidla pro přiřazení rolí uživatelů a přiřazení rolí privilegií, které obsahují volitelné povinnosti, které jsou vráceny do aplikace, když je uživateli udělen přístup k prostředku. Zásadu PERMIS lze uložit buď jako jednoduchý textový soubor XML, nebo jako atribut v podepsaném certifikátu atributu X.509, aby byla zajištěna ochrana integrity a detekce neoprávněné manipulace. Uživatelské role a atributy mohou být uloženy v zabezpečených podepsaných certifikátech atributů X.509 a uloženy v protokolu Lightweight Directory Access Protocol (LDAP ) adresáře nebo webové distribuované vytváření a správa verzí (WebDAV ) repozitáře, nebo mohou být vytvořeny na vyžádání jako Security Assertion Markup Language (SAML ) tvrzení atributů.

Autorizační modul PERMIS obsahuje dvě součásti: službu ověřování pověření, která ověřuje role uživatelů podle pravidel přiřazování rolí uživatelů a bod rozhodnutí rozhodnutí (PDP), který vyhodnocuje požadavky uživatelů na přístup podle pravidel přiřazování rolí (nebo pravidla kontroly přístupu). Přístup k prostředku závisí na rolích / atributech přiřazených uživateli a na přiřazení oprávnění rolí, která mohou obsahovat omezení založená na požadavku uživatele na přístup (např. „Tisknout méně než 10 stránek“) a prostředí (např. Denní doba ). PERMIS může pracovat buď v režimu push (přiřazení atributů uživatele odesílá aplikace PERMIS), nebo v režimu pull (PERMIS načítá přiřazení atributů sám z repozitářů LDAP / WebDAV nebo autorit atributů SAML). PERMIS je otevřený zdroj projekt a zdrojový kód Java lze stáhnout z http://www.openpermis.info. Alternativně lze předkompilované knihovny Java stáhnout z http://sec.cs.kent.ac.uk/permis/.

PERMIS je jedinečný svou podporou kryptografické ochrany atributů / rolí uživatele a zásad, které zaručují jejich integritu a chrání je před neoprávněnou manipulací. Nové vlastnosti se do něj neustále přidávají, jako standardní rozšířitelný značkovací jazyk Access Control Markup Language (XACML ) rozhraní, které umožňuje bezproblémové zaměňování PDP PERMIS a XACML, schopnost přijmout SAML tvrzení atributů, podpora dynamického delegování pravomocí a zásady oddělení povinností a nedávné přidání kontrolovaného rozhraní přirozeného jazyka (v angličtině) pro psaní jednoduchých zásad PERMIS.

Viz také

externí odkazy