Infrastruktura pro správu oprávnění - Privilege Management Infrastructure

v kryptografie Správa oprávnění je proces správy uživatelských oprávnění na základě doporučení ITU-T X.509. Vydání X.509 z roku 2001 [1] specifikuje většinu (ale ne všechny) komponent a Infrastruktura pro správu oprávnění (PMI), na základě X.509 atributové certifikáty (AC). Pozdější vydání X.509 (2005 a 2009) přidaly do PMI další komponenty, včetně delegační služby (v roce 2005 [2]) a povolení interdomény (ve vydání z roku 2009 [3]).

Infrastruktury pro správu oprávnění (PMI) slouží k autorizaci veřejné klíčové infrastruktury (PKI) slouží k ověřování. PMI používají k uchování uživatelských oprávnění ve formě atributů namísto certifikátů atributů (AC) certifikáty veřejného klíče (PKC) pro uložení veřejných klíčů. PMI mají zdroje autority (SoA) a autority atributů (AA), které vydávají AC uživatelům, místo certifikační autority (CA), které vydávají PKC uživatelům. Obvykle se PMI spoléhají na podkladovou PKI, protože AC musí být digitálně podepsány vydávajícím AA a PKI se používá k ověření podpisu AA.

X.509 AC je zobecněním dobře známého certifikátu veřejného klíče X.509 (PKC), ve kterém byl veřejný klíč PKC nahrazen jakoukoli sadou atributů držitele certifikátu (nebo subjektu). Proto by teoreticky bylo možné použít AC X.509 k uchování veřejného klíče uživatele i jakéhokoli jiného atributu uživatele. (V podobném duchu lze PKC X.509 také použít k uložení atributů oprávnění subjektu, a to tak, že je přidáte do rozšíření atributů adresáře subjektu v PKC X.509). Životní cyklus veřejných klíčů a uživatelských oprávnění se však obvykle velmi liší, a proto obvykle není vhodné kombinovat oba v jednom certifikátu. Podobně se oprávnění, které někomu přiděluje oprávnění, obvykle liší od oprávnění, které certifikuje veřejný klíč někoho. Proto obvykle není vhodné kombinovat funkce SoA / AA a CA ve stejné důvěryhodné autoritě. PMI umožňují správu oprávnění a oprávnění odděleně od klíčů a ověřování.

První open source implementace X.509 PMI byla postavena s financováním v rámci ES POVOLENÍ projekt a software je k dispozici na webu tady. Popis implementace najdete v.[4][5]

X.509 AC a PMI se dnes používají v sítích (viz Grid computing ), přiřadit oprávnění uživatelům a přenášet oprávnění po Gridu. V nejpopulárnějším dnešním systému správy oprávnění Grid, tzv VOMS,[6] uživatelská oprávnění ve tvaru členství a rolí VO jsou umístěna uvnitř AC X.509 serverem VOMS, podepsána serverem VOMS a poté vložena do uživatelského certifikátu X.509 proxy pro přenášení po Gridu.

Z důvodu nárůstu popularity XML MÝDLO založené služby, SAML tvrzení atributů jsou nyní pro přenos atributů uživatelů populárnější než AC X.509. Oba však mají podobnou funkcionalitu, což je silné navázání sady atributů oprávnění na uživatele.

Reference

  1. ^ ISO 9594-8 / ITU-T Rec. X.509 (2001) The Directory: Public-key and attribute certificate frameworks
  2. ^ ISO 9594-8 / ITU-T Rec. X.509 (2005) The Directory: Public-key and attribute certificate frameworks
  3. ^ ISO 9594-8 / ITU-T Rec. X.509 (2009)
  4. ^ D.W.Chadwick, A. Otenko „Infrastruktura správy privilegovaných rolí PERMIS X.509“. Future Generation Computer Systems, 936 (2002) 1–13, prosinec 2002. Elsevier Science BV.
  5. ^ David W. Chadwick, GansenZhao, Sassa Otenko, Romain Laborde, Linying Su a Tuan Anh Nguyen. „PERMIS: modulární autorizační infrastruktura“. Souběžnost a výpočet: praxe a zkušenosti. Svazek 20, vydání 11, strany 1341-1357, 10
  6. ^ Alfieri, R., Cecchini, R., Ciaschini, V., Dell'Agnello, L., Frohner, A., Lorentey, K., Spataro, F., „From gridmap-file to VOMS: managing authorized in a Grid životní prostředí". Počítačové systémy budoucí generace. Sv. 21, č. 4, str. 549-558. Dubna 2005