Privilege Management Infrastructure ( PMI ) - metode care vă permit să asociați certificate de infrastructură cu chei publice ( PKI ) cu furnizarea oricăror privilegii și autorități . PMI utilizează emiterea de certificate de atribute care asociază un anumit certificat PKI cu un anumit set de privilegii și/sau autorități.
Infrastructura de gestionare a privilegiilor există alături de Infrastructura cu chei publice ( PKI ), nu ca parte a acesteia .
Infrastructura cu chei publice a fost standardizată pentru prima dată în al patrulea amendament la standardul X.509 , care a fost adoptat de ITU-T în 2001.
În organizații, mecanismele bazate pe PKI sunt folosite pentru a accesa serverul, în timp ce PMI controlează accesul unui utilizator deja autorizat la anumite informații. Ca exemplu de utilizare, putem cita algoritmul RBAC (Role Based Access Controll), conform căruia utilizatorul, la identificare, primește drepturile necesare, în funcție de rolul pe care îl joacă în organizație.
Certificat de atribut (AC sau AC - Certificat de atribut) - un certificat cu format special care este utilizat pentru a asocia informații suplimentare cu un certificat de cheie publică. Certificatele de atribute vă permit să controlați accesul pe baza anumitor principii, roluri, poziții. AS este o structură de date certificată printr-o semnătură digitală și care conține o legătură către unul sau mai multe certificate de cheie publică ale aceluiași subiect.
De regulă, un certificat de atribut conține informații despre utilizator, grupurile de acces în care acesta este membru, precum și cheia publică a acestuia.
Prezența unor astfel de certificate nu numai că vă permite să creșteți durata de viață a cheilor publice, ci și să simplificați semnificativ munca cu PKI . De exemplu, deținătorul unei chei publice poate avea drepturi de acces multiple. În plus, atunci când se schimbă drepturile de acces, trebuie reemis doar certificatul de atribut fără a schimba certificatul cheii publice.
PMI [1] Obiecte de infrastructură de gestionare a privilegiilor :
Necesitatea apariției certificatelor de atribut este asociată cu o schimbare mai frecventă a drepturilor/autorităților subiectului certificatului decât a datelor despre acesta (schimbarea postului, modificarea sferei atribuțiilor, autorizarea temporară pe serverul web etc.) . Datorită prezenței certificatelor de atribut, este posibil să se schimbe autoritatea subiectului fără a reemite certificatul de subiect (doar certificatele de atribut sunt reemise și revocate).
Punct important : deoarece relația dintre un certificat de atribut și un certificat de cheie publică este determinată de o legătură în certificatul de atribut și nu invers, centrele de atribute pot fi create, dacă este necesar, separat de autoritatea de certificare și de registrul de certificate. Astfel, o companie care utilizează o cheie străină de Infrastructură cu chei publice (PKI) își poate crea propria sa Autoritate de Atribut pentru a specifica roluri și permisiuni pentru persoanele înregistrate în PKI.
Principala diferență dintre PMI și PKI este că PKI gestionează certificatele de cheie publică, în timp ce PMI gestionează certificatele de atribute. PMI este mai mult un supliment la infrastructura cheii publice decât o parte a acesteia. Certificatul de cheie publică este responsabil pentru autentificarea utilizatorului , confirmarea identității (poate fi comparat cu pașaportul subiectului), iar certificatul de atribut este pentru autorizarea acestuia , confirmarea drepturilor (poate fi comparat cu o viză). În plus, CA au de obicei o perioadă de valabilitate mai scurtă decât certificatele personale.
În general, obiectele care compun aceste două infrastructuri sunt de natură similară, după cum se poate observa din tabelul de corespondență:
| Infrastructura de gestionare a privilegiilor | Infrastructură de cheie publică |
|---|---|
| Certificat de atribut | certificat de cheie publică |
| Sursa de încredere | Rădăcină CA |
| centru de atribute | Centru de verificare |
| Utilizatori de certificat de atribut | Utilizatori de certificate cu cheie publică |
| parte de încredere | parte de încredere |
| Clienții | Clienții |
| Depozitele
(CARL-Lista de revocare a autorității de certificare) |
Depozitele
(CRL-Lista de revocare a certificatelor) |
În prezent, există mai multe scheme de utilizare a PMI pentru autorizarea utilizatorilor
Proprietarul fișierului stabilește liste de acces pentru o anumită resursă. Acest lucru se poate face, de exemplu, folosind liste de control al accesului.În conceptul PMI, aceste liste sunt specificate folosind un AS, fiecare atribut al căruia descrie un număr de drepturi de utilizator. La accesarea ulterioară a acestei resurse, sistemul citește AS-ul utilizatorului, verificând dacă acesta are privilegii de a citi/edita/rula, iar în funcție de dacă utilizatorul are drepturi de acces, permite sau interzice acțiunea.
Fiecare resursă are o etichetă care determină nivelul de acces la ea (importanță deosebită, top secret, secret...). Fiecare utilizator are un AS. Sistemul permite utilizatorului accesul la informații, nivelul de secret în timpul lucrului cu care nu depășește nivelul de acces prescris în AS.
Cel mai avansat model de control al accesului. Potrivit ei, există două tipuri de difuzoare:
Când este accesat, sistemul analizează ce roluri are utilizatorul, pe baza ASNR-urilor pe care le are. Fiecare ANSR este asociat cu un ASOR, care definește în mod explicit drepturile de acces la o anumită resursă.
PERMIS ( Privilege and Role Management Infrastructure Standards) - standarde pentru infrastructura de gestionare a rolurilor și privilegiilor.
Este un sistem care utilizează politici de acces bazate pe certificate de atribute bazate pe modelul RBAC.
PERMIS constă din 3 părți principale:
Un sistem care determină dacă un utilizator are drepturi de acces la o anumită resursă și în ce condiții.
Utilizează modelul RBAC ierarhic. Aceasta înseamnă că există un arbore de grupuri, fiecare dintre foi având propriile sale drepturi de acces. Nodul arborelui își deleagă drepturile grupurilor care sunt copii în relație cu acesta. Acest lucru simplifică foarte mult administrarea rețelei în ansamblu.
Functii principale:
Oferă drepturi de acces utilizatorilor și aplicațiilor. Folosit de o sursă de încredere sau de o autoritate de atribut. Responsabil pentru emiterea de noi și revocarea vechilor certificate de atribut. De asemenea, își asumă responsabilitatea pentru menținerea depozitului de certificate revocate și valabile.
API-ul a fost dezvoltat de The Open Group.
Se numește API de autorizare (AZN).
Scris în limbaj C.
Bazat pe standardul ISO 10181-3 .
Într-o infrastructură cu cheie publică, dacă un certificat nu poate fi validat, utilizatorul întâmpină probleme deoarece sistemul nu îl autentifică.
În cazul infrastructurii de control al accesului, sistemul va fi în pericol. De exemplu, chiar dacă un program de deschidere a unui document solicită permisiuni atunci când rulează pe mașina locală a utilizatorului, poate deschide fișierul, ignorând aceste solicitări.
În cazul în care un atacator are acces deplin la mediul în care rulează procesele sistemului, el poate obține acces la fișier chiar și în cazul unui sistem protejat la copiere .
PMI, în absența unui canal direct către utilizator, poate delega drepturi de deschidere și utilizare a fișierului. Astfel, un atacator poate organiza un atac pe un canal de comunicare sau poate executa o solicitare de la un terminal final cu software virus instalat pe acesta .
AC este de obicei legat de un certificat de cheie publică, așa că există o amenințare de cheie publică care compromite PKI.
Managementul identității și al accesului este un set de metode software și hardware pentru controlul informațiilor utilizatorului pe un computer. Aceste informații sunt date care identifică utilizatorul și descriu acțiunile pe care îi este permis să le efectueze. Conține, de asemenea, controale pentru modificarea acestor informații. De regulă, obiectele de control ale acestui sistem sunt resurse hardware și de rețea, precum și software.
Obiectul acestui sistem este identitatea digitală . Acesta este un fel de reprezentare a rețelei care include date personale , precum și informații auxiliare. Există multe modalități de a proteja și gestiona aceste informații. De exemplu, metodele de criptare a acestor date sunt utilizate pe scară largă. A doua metodă este o metodă bazată pe stocarea unor atribute distinctive ale obiectelor procesate. Cadrul PMI este o implementare privată a acestei metode.
PMI este descris în următoarele standarde:
| Certificat | Nume | Primul adoptat | Modificat ultima dată | Valabil |
|---|---|---|---|---|
| X.509 | Infrastructură cu cheie publică (PKIX) [3] | februarie 2001 | iulie 2006 | da |
| ISO/IEC 9594-8 :2014 | Cadre de chei publice și certificate de atribute [4] | august 2001 | martie 2014 | da |
| RFC 5755 | Un profil de certificat de atribut Internet pentru autorizare [5] | aprilie 2002 | ianuarie 2010 | da |
Polyanskaya O. Yu., Gorbatov V.S. „Infrastructuri cheie publice”
John R. Vacca „Infrastructură cheie publică: construirea de aplicații și servicii web de încredere”
Carlisle Adams și Robert Zuccherato „Un PMI global pentru distribuția de conținut electronic”
Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai „Securitate intranet folosind certificate de atribute în cadrul infrastructurii de gestionare a privilegiilor”
David W Chadwick „O infrastructură de gestionare a privilegiilor bazată pe roluri X.509”
Tadayoshi Kohno și Mark McGovern „Cu privire la PMI de conținut global: distribuire îmbunătățită a conținutului pe internet protejat împotriva copierii”