Инфраструктура управления привилегиями

Поделись знанием:
Это текущая версия страницы, сохранённая 5.166.131.83 (обсуждение) в 02:27, 27 ноября 2015. Вы просматриваете постоянную ссылку на эту версию.

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск
У этого термина существуют и другие значения, см. инфраструктура.

Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI) — методы, позволяющие связать сертификаты инфраструктуры открытых ключей (PKI) с предоставлением каких-либо привилегий и полномочий. Для PMI используется выпуск атрибутных сертификатов, связывающих данный сертификат PKI с каким-либо набором привилегий и/или полномочий.

Инфраструктура управления привилегиями является существует наряду c инфраструктурой открытых ключей (PKI), а не как её часть.

Главным отличием PMI от PKI состоит в том, что PKI управляет сертификатами открытых ключей, а PMI — атрибутными сертификатами. Сертификат открытого ключа можно сравнить с паспортом субъекта, а атрибутный сертификат — с визой, первый обеспечивает идентификацию личности, а второй дает определенное разрешение. Кроме того, атрибутные сертификаты обычно имеют меньший срок действия, чем личные сертификаты.

Объекты инфраструктуры управления привилегиями PMI:

  1. Атрибутный сертификат (АС, или AC — Attribute Certificate) — сертификат специального формата, который используется для связывания дополнительной информации с сертификатом открытого ключа. Атрибутные сертификаты позволяют управлять доступом на основе определенных принципов, ролей, должностей. АС представляет собой структуру данных, заверенных цифровой подписью, и содержащую ссылку на один или несколько сертификатов открытых ключей одного и того же субъекта.
  2. Атрибутный центр (АЦ) — издатель атрибутных сертификатов. Выпускает и аннулирует атрибутные сертификаты.

Необходимость появления атрибутных сертификатов связывается с более частым изменением прав/полномочий субъекта сертификата, чем данных о нем (смена должности, изменение круга должностных обязанностей, временная авторизация на веб-сервере и т. д.). Благодаря наличию атрибутных сертификатов есть возможность менять полномочия субъекта без перевыпуска сертификата субъекта (перевыпускаются и отзываются только атрибутные сертификаты).

Важный момент: так как связь атрибутного сертификата и сертификата открытого ключа определяется ссылкой именно в атрибутном сертификате, а не наоборот, то атрибутные центры можно создавать по необходимости отдельно от удостоверяющего центра и реестра сертификатов. Таким образом, компания, использующая внешний ключ инфраструктуры открытых ключей (PKI) , может создать свой атрибутный центр для указания ролей и полномочий лицам, зарегистрированных в PKI.

PMI описывается в стандартах X.509, [www.iso.org/iso/catalogue_detail.htm?csnumber=43793 ISO/IEC 9594-8:2005]. [www.webcitation.org/67m7UICQu Архивировано из первоисточника 19 мая 2012].


Это заготовка статьи по криптографии. Вы можете помочь проекту, дополнив её.


Источник — «http://wiki-org.ru/wiki/index.php?title=Инфраструктура_управления_привилегиями&oldid=74769333»