Jump to content

Инфраструктура управления привилегиями

В криптографии Управление привилегиями — это процесс управления авторизацией пользователей на основе Рекомендации ITU-T X.509 . Версия X.509 2001 г. [1] определяет большинство (но не все) компонентов инфраструктуры управления привилегиями (PMI), основанной на сертификатах атрибутов X.509 (AC). В более поздних версиях X.509 (2005 и 2009 гг.) к PMI были добавлены дополнительные компоненты, включая службу делегирования (в 2005 г. [2] ) и междоменная авторизация (в редакции 2009 г. [3] ).

Инфраструктуры управления привилегиями (PMI) предназначены для авторизации так же, как инфраструктуры открытых ключей (PKI) для аутентификации. PMI используют сертификаты атрибутов (AC) для хранения привилегий пользователя в форме атрибутов вместо сертификатов открытых ключей (PKC) для хранения открытых ключей. У PMI есть источники полномочий (SoA) и органы атрибутов (AA), которые выдают AC пользователям, вместо органов сертификации (CA), которые выдают PKC пользователям. Обычно PMI полагаются на базовую PKI, поскольку AC должны быть подписаны цифровой подписью выдающего AA, а PKI используется для проверки подписи AA.

AC X.509 является обобщением хорошо известного сертификата открытого ключа X.509 (PKC), в котором открытый ключ PKC заменен любым набором атрибутов владельца сертификата (или субъекта). Следовательно, теоретически можно использовать AC X.509 для хранения открытого ключа пользователя, а также любого другого атрибута пользователя. (Аналогичным образом, PKC X.509 также можно использовать для хранения атрибутов привилегий субъекта, добавляя их к расширению атрибутов каталога субъекта X.509 PKC). Однако жизненный цикл открытых ключей и привилегий пользователя обычно сильно различается, и поэтому объединять их в одном сертификате обычно не рекомендуется. Точно так же орган, предоставляющий кому-либо привилегию, обычно отличается от органа, удостоверяющего чей-либо открытый ключ. Поэтому обычно не рекомендуется объединять функции SoA/AA и CA в одном доверенном центре. PMI позволяют управлять привилегиями и авторизацией отдельно от ключей и аутентификации.

Первая реализация X.509 PMI с открытым исходным кодом была создана при финансовой поддержке проекта EC PERMIS , а программное обеспечение доступно здесь . Описание реализации можно найти в . [4] [5]

AC и PMI X.509 используются сегодня в Grid-системах (см. Grid-вычисления ) для назначения привилегий пользователям и распространения этих привилегий по Grid. В самой популярной сегодня системе управления привилегиями Grid, называемой VOMS , [6] привилегии пользователя в форме членства и ролей VO помещаются внутри AC X.509 сервером VOMS, подписываются сервером VOMS, а затем встраиваются в прокси-сертификат пользователя X.509 для переноса по сети.

Из-за роста популярности XML SOAP служб на основе утверждения атрибутов SAML теперь более популярны, чем AC X.509, для транспортировки пользовательских атрибутов. Однако они оба имеют схожую функциональность, заключающуюся в жесткой привязке набора атрибутов привилегий к пользователю.

Ссылки

[ редактировать ]
  1. ^ ISO 9594-8/ITU-T Rec. X.509 (2001 г.) Справочник: Структуры сертификатов открытых ключей и атрибутов
  2. ^ ISO 9594-8/ITU-T Rec. X.509 (2005 г.) Справочник: Структуры сертификатов открытых ключей и атрибутов
  3. ^ ISO 9594-8/ITU-T Rec. Х.509 (2009 г.)
  4. ^ Д.В.Чадвик, А. Отенко «Инфраструктура управления привилегиями на основе ролей PERMIS X.509». Компьютерные системы будущего, 936 (2002) 1–13, декабрь 2002 г. Elsevier Science BV.
  5. ^ Дэвид В. Чедвик, ГансенЧжао, Сасса Отенко, Ромен Лаборд, Линьин Су и Туан Ань Нгуен. «PERMIS: модульная авторизационная инфраструктура». Параллелизм и вычисления: практика и опыт. Том 20, выпуск 11, страницы 1341-1357, 10
  6. ^ Альфиери, Р., Чеккини, Р., Часкини, В., Делл'Аньелло, Л., Фронер, А., Лорентей, К., Спатаро, Ф., «От файла карты сетки к VOMS: управление авторизацией в Сетевая среда». Компьютерные системы будущего поколения. Том. 21, нет. 4, стр. 549-558. апрель 2005 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Privilege_Management_Infrastructure&oldid=1199100777"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 17b2553cf9aad9f6d6b3e796d6cfbc10__1706217360
URL1:https://arc.ask3.ru/arc/aa/17/10/17b2553cf9aad9f6d6b3e796d6cfbc10.html
Заголовок, (Title) документа по адресу, URL1:
Privilege Management Infrastructure - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)