Ayrıcalık Yönetim Altyapısı - Privilege Management Infrastructure

İçinde kriptografi Ayrıcalık Yönetimi kullanıcı yetkilerini ITU-T Tavsiyesine göre yönetme sürecidir X.509. X.509'un 2001 baskısı [1] bileşenlerinin çoğunu (hepsini değil) belirtir Ayrıcalık Yönetim Altyapısı (PMI), X.509'a göre öznitelik sertifikaları (AC'ler). X.509'un (2005 ve 2009) sonraki sürümleri, bir delegasyon hizmeti de dahil olmak üzere PMI'ya başka bileşenler ekledi (2005'te [2]) ve alanlar arası yetkilendirme (2009 baskısında [3]).

Ayrıcalık yönetimi altyapıları (PMI'lar), açık anahtar altyapıları (PKI'ler) kimlik doğrulaması içindir. PMI'lar, kullanıcı ayrıcalıklarını öznitelikler biçiminde tutmak için öznitelik sertifikalarını (AC'ler) kullanır. genel anahtar sertifikaları (PKC'ler) genel anahtarları tutmak için. PMI'larda, kullanıcılara AC'ler veren Yetki Kaynakları (SoA'lar) ve Nitelik Otoriteleri (AA'ler) vardır. sertifika yetkilileri Kullanıcılara PKC veren (CA'lar). AC'lerin yayınlayan AA tarafından dijital olarak imzalanması gerektiğinden ve PKI, AA'nın imzasını doğrulamak için kullanıldığından, genellikle PMI'lar temeldeki bir PKI'ye dayanır.

Bir X.509 AC, PKC'nin genel anahtarının sertifika sahibinin (veya öznenin) herhangi bir öznitelik kümesiyle değiştirildiği, iyi bilinen X.509 genel anahtar sertifikasının (PKC) bir genellemesidir. Bu nedenle, teorik olarak X.509 AC'ler, bir kullanıcının genel anahtarının yanı sıra kullanıcının diğer herhangi bir özelliğini tutmak için kullanılabilir. (Benzer şekilde, X.509 PKC'ler, bir X.509 PKC'nin konu dizini öznitelikleri uzantısına ekleyerek öznenin ayrıcalık özniteliklerini tutmak için de kullanılabilir). Ancak, genel anahtarların yaşam döngüsü ve kullanıcı ayrıcalıkları genellikle çok farklıdır ve bu nedenle ikisini de aynı sertifikada birleştirmek genellikle iyi bir fikir değildir. Benzer şekilde, birisine ayrıcalık atayan otorite, genellikle birinin açık anahtarını onaylayan otoriteden farklıdır. Bu nedenle, SoA / AA ve CA'nın işlevlerini aynı güvenilir otoritede birleştirmek genellikle iyi bir fikir değildir. PMI'lar, ayrıcalıkların ve yetkilerin anahtarlardan ve kimlik doğrulamadan ayrı olarak yönetilmesine izin verir.

Bir X.509 PMI'nin ilk açık kaynak uygulaması, AK altında finansmanla oluşturuldu PERMIS proje ve yazılım şu adresten edinilebilir: İşte. Uygulamanın bir açıklaması bulunabilir.[4][5]

X.509 AC'ler ve PMI'lar bugün Şebekelerde kullanılmaktadır (bkz. Şebeke bilişim ), kullanıcılara ayrıcalıklar atamak ve ayrıcalıkları Izgara çevresinde taşımak için. Günümüzün en popüler Grid ayrıcalık yönetim sisteminde, VOMS,[6] VO üyelikleri ve rolleri şeklindeki kullanıcı ayrıcalıkları, VOMS sunucusu tarafından bir X.509 AC'ye yerleştirilir, VOMS sunucusu tarafından imzalanır ve ardından Grid'i taşımak için kullanıcının X.509 proxy sertifikasına yerleştirilir.

Popülaritesinin artması nedeniyle XML SABUN tabanlı hizmetler, SAML öznitelik iddiaları artık kullanıcı özniteliklerini taşımak için X.509 AC'lerden daha popüler. Bununla birlikte, her ikisinin de benzer işlevselliği vardır, bu da bir kullanıcı için bir dizi ayrıcalık özniteliğini güçlü bir şekilde bağlar.

Referanslar

  1. ^ ISO 9594-8 / ITU-T Rec. X.509 (2001) Dizin: Genel anahtar ve öznitelik sertifika çerçeveleri
  2. ^ ISO 9594-8 / ITU-T Rec. X.509 (2005) Dizin: Genel anahtar ve öznitelik sertifika çerçeveleri
  3. ^ ISO 9594-8 / ITU-T Rec. X.509 (2009)
  4. ^ D.W.Chadwick, A. Otenko "PERMIS X.509 Rol Tabanlı Ayrıcalık Yönetim Altyapısı". Gelecek Nesil Bilgisayar Sistemleri, 936 (2002) 1–13, Aralık 2002. Elsevier Science BV.
  5. ^ David W. Chadwick, GansenZhao, Sassa Otenko, Romain Laborde, Linying Su ve Tuan Anh Nguyen. "PERMIS: modüler bir yetkilendirme altyapısı". Eş Zamanlılık ve Hesaplama: Uygulama ve Deneyim. Cilt 20, Sayı 11, Sayfalar 1341-1357, 10
  6. ^ Alfieri, R., Cecchini, R., Ciaschini, V., Dell'Agnello, L., Frohner, A., Lorentey, K., Spataro, F., "Gridmap dosyasından VOMS'a: Grid'de yetkilendirmeyi yönetme çevre ”. Gelecek Nesil Bilgisayar Sistemleri. Cilt 21, hayır. 4, sayfa 549-558. Nisan 2005