Privilege Management infrastruktúra

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2013. március 13-án áttekintett verziótól ; az ellenőrzések 29 szerkesztést igényelnek .

Privilege Management Infrastructure ( PMI ) – olyan módszerek, amelyek lehetővé teszik a nyilvános kulcsú infrastruktúra ( PKI ) tanúsítványok társítását bármely jogosultság és jogosultság biztosításával .  A PMI olyan attribútum-tanúsítványok kiadását használja , amelyek egy adott PKI-tanúsítványt bizonyos jogosultság- és/vagy jogosultságkészletekhez társítanak.

A Privilege Management Infrastructure a nyilvános kulcsú infrastruktúra ( PKI ) mellett létezik, nem annak részeként .

Történelem

A nyilvános kulcsú infrastruktúrát először az X.509 szabvány negyedik módosítása során szabványosították , amelyet az ITU-T 2001-ben fogadott el.

Főbb feladatok

Alapvető információk

A szervezetekben PKI -alapú mechanizmusokat használnak a szerver eléréséhez, míg a PMI szabályozza a már jogosult felhasználó hozzáférését bizonyos információkhoz. Használati példaként említhetjük az RBAC (Role Based Access Controll) algoritmust, mely szerint a felhasználó azonosításkor megkapja a szükséges jogokat, a szervezetben betöltött szerepe szerint.

Attribútum tanúsítvány

Attribútumtanúsítvány (AC vagy AC – Attribútumtanúsítvány) – egy speciális formátumú tanúsítvány, amely további információk nyilvános kulcsú tanúsítvánnyal való társítására szolgál. Az attribútum tanúsítványok lehetővé teszik a hozzáférés szabályozását bizonyos elvek, szerepek, pozíciók alapján. Az AS egy digitális aláírással hitelesített adatstruktúra, amely hivatkozást tartalmaz ugyanannak a tárgynak egy vagy több nyilvános kulcsú tanúsítványára.

Általános szabály, hogy az attribútumtanúsítvány információkat tartalmaz a felhasználóról, a hozzáférési csoportokról, amelyeknek tagja, valamint a nyilvános kulcsáról.

Az ilyen tanúsítványok jelenléte nemcsak a nyilvános kulcsok élettartamának növelését teszi lehetővé, hanem jelentősen leegyszerűsíti a PKI -val végzett munkát . Például egy nyilvános kulcs birtokosa több hozzáférési joggal is rendelkezhet. Ezenkívül a hozzáférési jogok megváltoztatásakor csak az attribútum tanúsítványt kell újra kiadni a nyilvános kulcs tanúsítványának megváltoztatása nélkül.

PMI objektumok

PMI [1] Privilege Management Infrastructure Objects :

  1. A Source of Authority (SOA) olyan hatóság, amelyben a tanúsítványtulajdonosok bíznak abban, hogy kizárólagosan felelősek a jogosultságkészletek kiadásáért és kezeléséért. Bizonyos esetekben az attribútumközpontban is szerepelhet.
  2. Az Attribute Authority (Attribute Authoritiy (AA) vagy Attribute Certificate Issuer (ACI)) az attribútumtanúsítványok kibocsátója. Kiadja és visszavonja az attribútumtanúsítványokat.
  3. Attribútumtanúsítvány -felhasználók – Hatóságok és magánszemélyek, akik attribútumtanúsítványokat birtokolnak és használnak.
  4. A megbízható fél (Attribute Certificate Verifier) ​​egy olyan hatóság, amely ellenőrzi a tanúsítvány érvényességét.
  5. Ügyfelek  – olyan szervek és személyek, akik jogosultságuk megerősítését kérik a szükséges műveletek elvégzéséhez.
  6. Lerakatok  – az érvényes és visszavont tanúsítványok listáinak tárháza.

Az attribútumtanúsítványok megjelenésének szükségessége a tanúsítvány alanyának jogainak/jogosultságainak gyakoribb változásával jár, mint a róla szóló adatok (beosztás változás, feladatkör változás, ideiglenes felhatalmazás a webszerveren stb.) . Az attribútumtanúsítványok jelenléte miatt lehetőség van az alany jogosultságának megváltoztatására a tárgytanúsítvány újbóli kiadása nélkül (csak az attribútumtanúsítványok újbóli kiadása és visszavonása).

Fontos szempont : mivel az attribútumtanúsítvány és a nyilvános kulcsú tanúsítvány közötti kapcsolatot az attribútumtanúsítványban található hivatkozás határozza meg, és nem fordítva, az attribútumközpontok szükség esetén a hitelesítésszolgáltatótól és a tanúsítványnyilvántartástól függetlenül is létrehozhatók. Így egy nyilvános kulcsú infrastruktúra (PKI) idegen kulcsot használó vállalat létrehozhatja saját attribútum jogosultságát a PKI-ben regisztrált személyek szerepeinek és engedélyeinek megadásához.

PMI és PKI

A fő különbség a PMI és a PKI között az, hogy a PKI kezeli a nyilvános kulcsú tanúsítványokat, míg a PMI az attribútumtanúsítványokat. A PMI inkább a nyilvános kulcsú infrastruktúra kiegészítője, mint annak része. A nyilvános kulcsú tanúsítvány felelős a felhasználó hitelesítéséért , a személyazonosság megerősítéséért (összehasonlítható az alany útlevelével), az attribútum tanúsítvány pedig az engedélyezéséért , a jogok megerősítéséért (hasonlítható a vízummal). Ezenkívül a CA-k érvényességi ideje jellemzően rövidebb, mint a személyes tanúsítványok.

Általánosságban elmondható, hogy a két infrastruktúrát alkotó objektumok hasonló jellegűek, amint az a megfelelési táblázatból látható:

Privilege Management infrastruktúra Nyilvános kulcsú infrastruktúra
Attribútum tanúsítvány nyilvános kulcsú tanúsítvány
A bizalom forrása Root CA
attribútum központ Ellenőrző Központ
Attribútum tanúsítvány felhasználók Nyilvános kulcsú tanúsítvány felhasználói
megbízható fél megbízható fél
Ügyfelek Ügyfelek
Adattárak

(CARL-tanúsítványkibocsátó visszavonási listája)

Adattárak

(CRL-tanúsítvány visszavonási lista)

Megvalósítások

Jelenleg számos séma létezik a PMI használatára a felhasználók hitelesítésére

Szelektív hozzáférés-vezérlés (DAC)

A fájl tulajdonosa hozzáférési listákat állít be egy adott erőforráshoz. Ez megtehető például hozzáférés-vezérlési listák segítségével, amelyek a PMI-koncepcióban egy AS segítségével vannak megadva, amelyek mindegyik attribútuma számos felhasználói jogosultságot ír le. Amikor később hozzáfér ehhez az erőforráshoz, a rendszer beolvassa a felhasználó AS-jét, ellenőrzi, hogy rendelkezik-e olvasási / szerkesztési / futtatási jogosultságokkal, és attól függően, hogy a felhasználó rendelkezik-e hozzáférési jogokkal, engedélyezi vagy tiltja a műveletet.

Kötelező hozzáférés-vezérlés (MAC)

Minden erőforrás rendelkezik egy címkével, amely meghatározza a hozzáférés szintjét (különleges fontosságú, szigorúan titkos, titkos ...). Minden felhasználónak van AS-ja. A rendszer lehetővé teszi a felhasználó számára az olyan információkhoz való hozzáférést, amelyek titkossága a munka során nem haladja meg az AS-ben előírt hozzáférési szintet.

Szerep alapú hozzáférés-vezérlés (RBAC)

A legfejlettebb beléptető modell. Elmondása szerint kétféle hangszóró létezik:

Amikor hozzáfér, a rendszer megvizsgálja, hogy milyen szerepkörei vannak a felhasználónak, az ASNR-ek alapján. Minden ANSR egy ASOR-hoz van társítva, amely kifejezetten meghatározza a hozzáférési jogokat egy adott erőforráshoz.

ENGEDÉLY [2]

PERMIS ( angol PrivilEge and Role Management Infrastructure Standards) – szabványok a szerepek és jogosultságok kezelésére szolgáló infrastruktúrához.

Ez egy olyan rendszer, amely az RBAC modellen alapuló attribútumtanúsítványokon alapuló hozzáférési házirendeket használ.

A PERMIS 3 fő részből áll:

  1. Engedélyezési szabályzat
  2. Privilégium-kiosztó
  3. Interfész alkalmazások létrehozásához PMI-vel (The PMI API )

Engedélyezési rendszer

Olyan rendszer, amely meghatározza, hogy a felhasználónak van-e joga hozzáférni egy adott erőforráshoz, és milyen feltételekkel.

A hierarchikus RBAC modellt használja. Ez azt jelenti, hogy van egy csoportfa, mindegyik lapnak saját hozzáférési joga van. A fa csomópontja átruházza jogait olyan csoportokra, amelyek vele kapcsolatban gyerekek. Ez nagymértékben leegyszerűsíti a hálózati adminisztráció egészét.

Főbb funkciók:

Privilege Distribution System

Hozzáférési jogokat biztosít a felhasználóknak és alkalmazásoknak. Megbízhatósági forrás vagy attribútumközpont használja. Felelős az új attribútum tanúsítványok kiadásáért és a régi attribútum tanúsítványok visszavonásáért. Felelősséget vállal a visszavont és érvényes tanúsítványok tárának karbantartásáért is.

Alkalmazás-létrehozási felület PMI-vel

Az API-t a The Open Group fejlesztette ki.

Engedélyezési (AZN) API-nak hívják.

C nyelven írva .

Az ISO 10181-3 szabvány alapján .

Gyengeségek és sebezhetőségek

PKI & PMI

Nyilvános kulcsú infrastruktúrában, ha egy tanúsítványt nem lehet érvényesíteni, a felhasználó problémákat tapasztal, mert a rendszer nem hitelesíti őt.

A beléptető infrastruktúra esetében a rendszer veszélybe kerül. Például még akkor is, ha egy program egy dokumentum megnyitásához engedélyeket kér, amikor a felhasználó helyi gépén fut, meg tudja nyitni a fájlt, figyelmen kívül hagyva ezeket a kéréseket.

Futásidő

Abban az esetben, ha a támadó teljes hozzáféréssel rendelkezik ahhoz a környezethez, amelyben a rendszerfolyamatok futnak, másolásvédett rendszer esetén is hozzáférhet a fájlhoz .

Protokoll szintű támadások

A PMI közvetlen csatorna hiányában a felhasználóhoz delegálhat jogokat a fájl megnyitásához és használatához. Így a támadó támadást szervezhet egy kommunikációs csatorna ellen, vagy kérést hajthat végre egy végterminálról, amelyen vírusszoftver van telepítve .

Azonosítás

Az AC rendszerint nyilvános kulcsú tanúsítványhoz van kötve, így van egy nyilvános kulcsú fenyegetés, amely veszélyezteti a PKI-t.

Hitelesítés-kezelés

Az identitás- és hozzáférés-kezelés szoftver- és hardvermódszerek összessége a felhasználói információk számítógépen történő vezérlésére. Ez az információ olyan adat, amely azonosítja a felhasználót, és leírja, hogy milyen műveleteket hajthat végre. Ezenkívül vezérlőket is tartalmaz ezen információk megváltoztatásához. Ennek a rendszernek a vezérlőobjektumai általában a hardver és a hálózati erőforrások, valamint a szoftverek.

Ennek a rendszernek a tárgya a digitális identitás . Ez egyfajta hálózati ábrázolás, amely személyes adatokat és kiegészítő információkat is tartalmaz. Ezen információk védelmének és kezelésének számos módja van. Például ezeknek az adatoknak a titkosítására szolgáló módszereket széles körben használják. A második módszer a feldolgozott objektumok néhány jellegzetes attribútumának tárolásán alapuló módszer. A PMI keretrendszer ennek a módszernek a privát megvalósítása.

Szabályzat

A PMI-t a következő szabványok írják le:

Bizonyítvány Név Először örökbe fogadtak Utoljára módosítva Érvényes
X.509 Nyilvános kulcsú infrastruktúra (PKIX) [3] 2001. február 2006. július Igen
ISO/IEC 9594-8 :2014 Nyilvános kulcsú és attribútum tanúsítvány keretrendszerek [4] 2001. augusztus 2014. március Igen
RFC 5755 Internet attribútum tanúsítványprofil az engedélyezéshez [5] 2002. április 2010. január Igen

Irodalom

Polyanskaya O. Yu., Gorbatov V.S. „Nyilvános kulcsfontosságú infrastruktúrák”

John R. Vacca "Nyilvános kulcsú infrastruktúra: Megbízható alkalmazások és webszolgáltatások kiépítése"

Carlisle Adams és Robert Zuccherato "Globális PMI az elektronikus tartalomterjesztésért"

Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai "Intranet biztonság attribútumtanúsítványok használatával a privilégiumkezelési infrastruktúra alatt"

David W Chadwick "X.509-szerepkör-alapú jogosultságkezelési infrastruktúra"

Tadayoshi Kohno és Mark McGovern "A globális tartalom-PMI-ről: Továbbfejlesztett másolásvédett internetes tartalomterjesztés"

Jegyzetek

  1. Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai. Intranet biztonság attribútumtanúsítványok használatával a privilege Management Infrastructure alatt  // Proceedings 39th Annual 2005 International Carnahan Conference on Security Technology. — 2005-10-01. — S. 1–4 . - doi : 10.1109/CCST.2005.1594859 . Archiválva az eredetiből 2017. augusztus 18-án.
  2. Moduláris PERMIS projekt . sec.cs.kent.ac.uk. Letöltve: 2016. november 7. Az eredetiből archiválva : 2016. július 9.
  3. Nyilvános kulcsú infrastruktúra (X.509) (pkix) - . datatracker.ietf.org. Hozzáférés dátuma: 2016. november 7. Az eredetiből archiválva : 2016. november 7.
  4. ISO/IEC 9594-8:2014 - Információtechnológia. A nyílt rendszerek kapcsolata. Könyvtár. 8. rész: Nyilvános kulcsú tanúsítvány szerkezete és attribútumai . ISO. Hozzáférés dátuma: 2016. november 7. Az eredetiből archiválva : 2016. november 7.
  5. Turner, Sean, Housley, Russ, <UNKNOWN>, Stephen Farrell. Egy internetes attribútum tanúsítvány profilja az engedélyezéshez . tools.ietf.org. Letöltve: 2016. november 7. Az eredetiből archiválva : 2016. december 22.