Простая инфраструктура открытых ключей

Простая инфраструктура открытых ключей ( SPKI , произносится как spoo-key ) была попыткой преодолеть сложность традиционной X.509 инфраструктуры открытых ключей . Это было указано в двух (RFC) Рабочей группы по проектированию Интернета (IETF) : запроса комментариев спецификациях RFC 2692 и RFC 2693 IETF — от рабочей группы SPKI . IETF Эти два RFC так и не прошли «экспериментальный» уровень зрелости статуса RFC . Спецификация SPKI определила формат сертификата авторизации, предусматривающий разграничение привилегий, прав или других подобных атрибутов (называемых авторизациями ) и привязку их к открытому ключу. В 1996 году SPKI был объединен с Simple Distributed Security Infrastructure. ^[1] ( SDSI , произносится как пена ) Рона Ривеста и Батлера Лэмпсона .

История и обзор

Исходный SPKI идентифицировал принципалов только как открытые ключи , но позволял привязывать авторизации к этим ключам и делегировать авторизацию от одного ключа к другому. Используемая кодировка представляла собой пару атрибут:значение, аналогичную Заголовки RFC 822 .

Исходный SDSI связывал локальные имена (отдельных лиц или групп) с открытыми ключами (или другими именами), но осуществлял авторизацию только в списках управления доступом (ACL) и не позволял делегировать подмножества полномочий принципала. В качестве кодировки использовалось стандартное S-выражение . Пример открытого ключа RSA в SPKI в «расширенном транспортном формате» (для фактического транспорта структура будет закодирована в Base64 ):

(public-key
   (rsa-pkcs1-md5
    (e #03#)
    (n
     |ANHCG85jXFGmicr3MGPj53FYYSY1aWAue6PKnpFErHhKMJa4HrK4WSKTO
     YTTlapRznnELD2D7lWd3Q8PD0lyi1NJpNzMkxQVHrrAnIQoczeOZuiz/yY
     VDzJ1DdiImixyb/Jyme3D0UiUXhd6VGAz0x0cgrKefKnmjy410Kro3uW1| )))

Комбинация SPKI/SDSI позволяет присваивать имена принципалам, создавать именованные группы принципалов и делегировать права или другие атрибуты от одного принципала к другому. Он включает в себя язык выражения авторизации — язык, включающий определение «пересечения» авторизаций. Он также включает понятие порогового субъекта — конструкцию, предоставляющую полномочия (или делегирование) только тогда, когда $K$ из $N$ из перечисленных субъектов совпадают (в запросе на доступ или делегировании прав). SPKI/SDSI использует кодировку S-выражений, но определяет двоичную форму, которую чрезвычайно легко анализировать — грамматику LR(0) — называемую каноническими S-выражениями .

SPKI/SDSI не определяет роль коммерческого центра сертификации (CA). Фактически, одна из предпосылок SPKI заключается в том, что коммерческий центр сертификации не служит никакой полезной цели. ^[2] В результате SPKI/SDSI применяется преимущественно в закрытых решениях и демонстрационных проектах, представляющих академический интерес. Еще одним побочным эффектом этого элемента дизайна является то, что SPKI/SDSI сам по себе сложно монетизировать. ^{[ нужна ссылка ]} Он может быть компонентом какого-либо другого продукта, но нет экономического обоснования для разработки инструментов и сервисов SPKI/SDSI, кроме как в составе какого-либо другого продукта.

Наиболее известными общими развертываниями SPKI/SDSI являются E-speak, продукт промежуточного программного обеспечения от HP , который использовал SPKI/SDSI для контроля доступа к веб-методам, и UPnP Security, который использует XML-диалект SPKI/SDSI. ^{[ нужна ссылка ]} для контроля доступа к веб-методам, делегирования прав между участниками сети и т.д.

См. также

СПКАК

Примечания

^ «SDSI — простая распределенная инфраструктура безопасности» . люди.csail.mit.edu . Проверено 15 марта 2017 г.
^ Эллисон, Карл (1996). «Установление личности без центров сертификации». 6-й симпозиум USENIX по безопасности . CiteSeerX 10.1.1.31.7263 .

Внешние ссылки

[1] «SDSI — простая распределенная инфраструктура безопасности» . люди.csail.mit.edu . Проверено 15 марта 2017 г.

[2] Эллисон, Карл (1996). «Установление личности без центров сертификации». 6-й симпозиум USENIX по безопасности . CiteSeerX 10.1.1.31.7263 .

[1]

[2]