|
|
|
Структура атрибутного сертификата |
PMI осуществляет управление информацией о правах и привилегиях субъектов PKI путем выпуска атрибутных сертификатов. Атрибутный сертификат содержит набор атрибутов владельца сертификата PKI и однозначно связан с ним. Этим PMI отличается от других авторизационных моделей (например, SPKI). Атрибутный сертификат версии 2 содержит следующий набор основных полей:
•Номер версии: номер текущей версии атрибутного сертификата,
•Данные идентификации владельца: идентификация может осуществляться с использованием имени, пары издатель/серийный номер сертификата аутентификации или дайджеста содержимого объекта (используется для программного кода),
•Имя издателя: определяется аналогично имени владельца, но уже для издателя атрибутного сертификата,
•Подпись: содержит идентификатор алгоритма подписи под сертификатом, •Атрибуты: определяют набор прав и привилегий владельца сертификата.
Серийный номер сертификата, период действия и дополнения определяются аналогично сертификату PKI.
Сформированный набор полей заверяется подписью с использованием секретного ключа издателя атрибутного сертификата.
Дополнения атрибутного сертификата
Группы дополнений:
• Базовое управление
привилегиями: определяют временные
границы
и область применения назначаемых привилегий
• Отзыв привилегий: предоставляют данные
о наличии и локализации
статусной
информации
• Источник
авторизации: предоставляют информацию об
атрибутном
центре и правилах интерпретации атрибутов
• Ролевые дополнения: предоставляют
данные о локализации
сертификата
описания роли
• Дополнения
делегирования: определяют ограничения на передачу
привилегий
Дополнения атрибутного сертификата, по аналогии с сертификатом аутентификации также можно разделить на группы.
Дополнения, осуществляющие базовое управление привилегиями, определяют временные границы и область применения назначаемых привилегий. В рамках данной группы также определяется набор соответствующих политик, ограничивающих предоставление привилегий другим субъектам системы.
Дополнения отзыва привилегий предоставляют данные о наличии и локализации статусной информации. Информация о назначении привилегий в ряде случаев может иметь настолько краткий период действия, что управление статусной информацией становится нецелесообразным. Отсутствие статусной информации фиксируется дополнением noRevAvail.
Дополнения источника авторизации предоставляют информацию об атрибутном центре и правилах интерпретации атрибутов. Правила интерпретации атрибута определяются дескриптором, состоящим из имени атрибута и правил его предоставления. Сертификат,содержащий это дополнение, называется сертификатом описания атрибута.
Ролевые дополнения предоставляют данные о локализации сертификата описания роли. Дополнения делегирования определяют ограничения на передачу привилегий. Далее о них будет рассказано более подробно.
|
|
|
Модели PMI (1) |
В рамках PMI определяется ряд моделей, описывающих механизм взаимодействия между собой различных компонент PMI в контексте передачи и использования привилегий.
Базовая модель определяет механизм предоставления привилегий. Модель включает три компонента: владельца привилегий, проверяющего и центр авторизации. Центр авторизации назначает привилегии владельцу путем выпуска атрибутного сертификата. Владелец заявляет свои привилегии проверяющему путем предоставления сертификата. Проверяющий доверяет владельцу на основании доверия к центру авторизации, выпустившему соответствующий сертификат.
Поскольку объем авторизационных данных существенно больше объема данных аутентификации, то основной задачей, решаемой в рамках PMI, является делегирование полномочий по назначению привилегий.
Модель делегирования включает четыре компонента: владельца привилегий, проверяющего, центр авторизации и атрибутный центр. Центр авторизации делегирует часть своих полномочий по назначению подмножества привилегий атрибутному центру путем выпуска атрибутного сертификата, с возможностями назначения привилегий или дальнейшего их делегирования. Проверяющий доверяет атрибутному центру и владельцу на основании доверия к центру авторизации по делегированию полномочий владельцам атрибутных сертификатов.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
