Протоколы PKI. Операционные протоколы. Протоколы управления. Протокол меток времени. Атрибутные сертификаты, страница 8



Модели PMI (2)


Привлекательной возможностью PMI является связывание набора атрибутов с абстрактным именем, получившим название роли. Роли могут разделяться различными субъектами, равно как и одному субъекту может быть присвоено несколько ролей.

Определение роли осуществляется путем выпуска сертификата спецификации роли (role specification certificate), содержащего набор атрибутов, ассоциированных с данной ролью. Назначение роли субъекту производится путем выпуска сертификата назначения роли (role assignment certificate). Наличие двухуровневого механизма присвоения атрибутов субъекту позволяет вносить изменения на уровне сертификата спецификации роли, оставляя неизменным сертификат ее владельца.

Ролевая модель PMI также включает четыре компонента: роль, ее владельца, проверяющего и центр авторизации. Центр авторизации назначает роли специфический набор привилегий путем выпуска сертификата спецификации роли. Далее центр авторизации назначает роль владельцу путем выпуска сертификата назначения роли. Владелец заявляет привилегии путем предоставления сертификата назначения роли. Роль подтверждает наличие в сертификате спецификации роли запрашиваемых привилегий. Проверяющий доверяет роли и ее владельцу на основании доверия к центру авторизации.

Сертификаты спецификации ролей делегирование не поддерживают.


Технология PKI и ее реализация на платформе Microsoft .NET Лекция 5: Протоколы РИ

Построение и проверка пути сертификации

для АС

Построение и проверка пути сертификации в PMI имеет много общего с аналогичными процедурами в PKI. При этом существует ряд определенных отличий. Процесс проверки принципиально разделяется на три фазы: базовая проверка, проверка делегирования и проверка передачи ролей. При этом две последние из них должны выполняться до начала первой.

Базовая проверка включает в себя проверку цепочки атрибутных сертификатов, включая проверку цепочки сертификатов аутентификации (в случае использования сертификата PKI для идентификации издателя или владельца атрибутного сертификата).

Проверка делегирования предполагает наличие в пути делегирования только сертификатов атрибутных центров, авторизованных на выпуск соответствующих сертификатов, в соответствии с ограничениями, накладываемыми на длину пути сертификации, пространство имен и диапазон применяемых политик сертификации.

В случае, если проверяемый атрибутный сертификат является сертификатом назначения роли, проверяется также сертификат спецификации роли. Поскольку последний не подлежит делегированию, для каждого включения атрибута роли в сертификат назначения роли достаточно выполнить только одну проверку.

Процесс проверки пути сертификации PMI показан на слайде.


Преимущества и недостатки PMI

Преимущества:

•  Возможность смены привилегий без изменения сертификата
аутентификации

•  Назначение привилегий для абстрактной роли

•  Сертификация процесса делегирования полномочий

Недостатки:

•  Сложность реализации и администрирования

•  Недостаточно детальная проработка стандартов

•  Малое число внедрений и совместимых приложений

Говоря о преимуществах и недостатках управления данными авторизации с помощью PMI следует сказать следующее.

Есть ряд неоспоримых достоинств. Это возможность смены привилегий без изменения сертификата аутентификации субъекта. Широкие возможности по реализации мандатных схем разграничения доступа предоставляет механизм назначения привилегий для абстрактной роли. Сертификация процесса делегирования полномочий позволяет доверить процесс предоставления прав и привилегий уполномоченным лицам.