Privilege Management Infrastructure ( PMI ) – olyan módszerek, amelyek lehetővé teszik a nyilvános kulcsú infrastruktúra ( PKI ) tanúsítványok társítását bármely jogosultság és jogosultság biztosításával . A PMI olyan attribútum-tanúsítványok kiadását használja , amelyek egy adott PKI-tanúsítványt bizonyos jogosultság- és/vagy jogosultságkészletekhez társítanak.
A Privilege Management Infrastructure a nyilvános kulcsú infrastruktúra ( PKI ) mellett létezik, nem annak részeként .
A nyilvános kulcsú infrastruktúrát először az X.509 szabvány negyedik módosítása során szabványosították , amelyet az ITU-T 2001-ben fogadott el.
A szervezetekben PKI -alapú mechanizmusokat használnak a szerver eléréséhez, míg a PMI szabályozza a már jogosult felhasználó hozzáférését bizonyos információkhoz. Használati példaként említhetjük az RBAC (Role Based Access Controll) algoritmust, mely szerint a felhasználó azonosításkor megkapja a szükséges jogokat, a szervezetben betöltött szerepe szerint.
Attribútumtanúsítvány (AC vagy AC – Attribútumtanúsítvány) – egy speciális formátumú tanúsítvány, amely további információk nyilvános kulcsú tanúsítvánnyal való társítására szolgál. Az attribútum tanúsítványok lehetővé teszik a hozzáférés szabályozását bizonyos elvek, szerepek, pozíciók alapján. Az AS egy digitális aláírással hitelesített adatstruktúra, amely hivatkozást tartalmaz ugyanannak a tárgynak egy vagy több nyilvános kulcsú tanúsítványára.
Általános szabály, hogy az attribútumtanúsítvány információkat tartalmaz a felhasználóról, a hozzáférési csoportokról, amelyeknek tagja, valamint a nyilvános kulcsáról.
Az ilyen tanúsítványok jelenléte nemcsak a nyilvános kulcsok élettartamának növelését teszi lehetővé, hanem jelentősen leegyszerűsíti a PKI -val végzett munkát . Például egy nyilvános kulcs birtokosa több hozzáférési joggal is rendelkezhet. Ezenkívül a hozzáférési jogok megváltoztatásakor csak az attribútum tanúsítványt kell újra kiadni a nyilvános kulcs tanúsítványának megváltoztatása nélkül.
PMI [1] Privilege Management Infrastructure Objects :
Az attribútumtanúsítványok megjelenésének szükségessége a tanúsítvány alanyának jogainak/jogosultságainak gyakoribb változásával jár, mint a róla szóló adatok (beosztás változás, feladatkör változás, ideiglenes felhatalmazás a webszerveren stb.) . Az attribútumtanúsítványok jelenléte miatt lehetőség van az alany jogosultságának megváltoztatására a tárgytanúsítvány újbóli kiadása nélkül (csak az attribútumtanúsítványok újbóli kiadása és visszavonása).
Fontos szempont : mivel az attribútumtanúsítvány és a nyilvános kulcsú tanúsítvány közötti kapcsolatot az attribútumtanúsítványban található hivatkozás határozza meg, és nem fordítva, az attribútumközpontok szükség esetén a hitelesítésszolgáltatótól és a tanúsítványnyilvántartástól függetlenül is létrehozhatók. Így egy nyilvános kulcsú infrastruktúra (PKI) idegen kulcsot használó vállalat létrehozhatja saját attribútum jogosultságát a PKI-ben regisztrált személyek szerepeinek és engedélyeinek megadásához.
A fő különbség a PMI és a PKI között az, hogy a PKI kezeli a nyilvános kulcsú tanúsítványokat, míg a PMI az attribútumtanúsítványokat. A PMI inkább a nyilvános kulcsú infrastruktúra kiegészítője, mint annak része. A nyilvános kulcsú tanúsítvány felelős a felhasználó hitelesítéséért , a személyazonosság megerősítéséért (összehasonlítható az alany útlevelével), az attribútum tanúsítvány pedig az engedélyezéséért , a jogok megerősítéséért (hasonlítható a vízummal). Ezenkívül a CA-k érvényességi ideje jellemzően rövidebb, mint a személyes tanúsítványok.
Általánosságban elmondható, hogy a két infrastruktúrát alkotó objektumok hasonló jellegűek, amint az a megfelelési táblázatból látható:
Privilege Management infrastruktúra | Nyilvános kulcsú infrastruktúra |
---|---|
Attribútum tanúsítvány | nyilvános kulcsú tanúsítvány |
A bizalom forrása | Root CA |
attribútum központ | Ellenőrző Központ |
Attribútum tanúsítvány felhasználók | Nyilvános kulcsú tanúsítvány felhasználói |
megbízható fél | megbízható fél |
Ügyfelek | Ügyfelek |
Adattárak
(CARL-tanúsítványkibocsátó visszavonási listája) |
Adattárak
(CRL-tanúsítvány visszavonási lista) |
Jelenleg számos séma létezik a PMI használatára a felhasználók hitelesítésére
A fájl tulajdonosa hozzáférési listákat állít be egy adott erőforráshoz. Ez megtehető például hozzáférés-vezérlési listák segítségével, amelyek a PMI-koncepcióban egy AS segítségével vannak megadva, amelyek mindegyik attribútuma számos felhasználói jogosultságot ír le. Amikor később hozzáfér ehhez az erőforráshoz, a rendszer beolvassa a felhasználó AS-jét, ellenőrzi, hogy rendelkezik-e olvasási / szerkesztési / futtatási jogosultságokkal, és attól függően, hogy a felhasználó rendelkezik-e hozzáférési jogokkal, engedélyezi vagy tiltja a műveletet.
Minden erőforrás rendelkezik egy címkével, amely meghatározza a hozzáférés szintjét (különleges fontosságú, szigorúan titkos, titkos ...). Minden felhasználónak van AS-ja. A rendszer lehetővé teszi a felhasználó számára az olyan információkhoz való hozzáférést, amelyek titkossága a munka során nem haladja meg az AS-ben előírt hozzáférési szintet.
A legfejlettebb beléptető modell. Elmondása szerint kétféle hangszóró létezik:
Amikor hozzáfér, a rendszer megvizsgálja, hogy milyen szerepkörei vannak a felhasználónak, az ASNR-ek alapján. Minden ANSR egy ASOR-hoz van társítva, amely kifejezetten meghatározza a hozzáférési jogokat egy adott erőforráshoz.
PERMIS ( angol PrivilEge and Role Management Infrastructure Standards) – szabványok a szerepek és jogosultságok kezelésére szolgáló infrastruktúrához.
Ez egy olyan rendszer, amely az RBAC modellen alapuló attribútumtanúsítványokon alapuló hozzáférési házirendeket használ.
A PERMIS 3 fő részből áll:
Olyan rendszer, amely meghatározza, hogy a felhasználónak van-e joga hozzáférni egy adott erőforráshoz, és milyen feltételekkel.
A hierarchikus RBAC modellt használja. Ez azt jelenti, hogy van egy csoportfa, mindegyik lapnak saját hozzáférési joga van. A fa csomópontja átruházza jogait olyan csoportokra, amelyek vele kapcsolatban gyerekek. Ez nagymértékben leegyszerűsíti a hálózati adminisztráció egészét.
Főbb funkciók:
Hozzáférési jogokat biztosít a felhasználóknak és alkalmazásoknak. Megbízhatósági forrás vagy attribútumközpont használja. Felelős az új attribútum tanúsítványok kiadásáért és a régi attribútum tanúsítványok visszavonásáért. Felelősséget vállal a visszavont és érvényes tanúsítványok tárának karbantartásáért is.
Az API-t a The Open Group fejlesztette ki.
Engedélyezési (AZN) API-nak hívják.
C nyelven írva .
Az ISO 10181-3 szabvány alapján .
Nyilvános kulcsú infrastruktúrában, ha egy tanúsítványt nem lehet érvényesíteni, a felhasználó problémákat tapasztal, mert a rendszer nem hitelesíti őt.
A beléptető infrastruktúra esetében a rendszer veszélybe kerül. Például még akkor is, ha egy program egy dokumentum megnyitásához engedélyeket kér, amikor a felhasználó helyi gépén fut, meg tudja nyitni a fájlt, figyelmen kívül hagyva ezeket a kéréseket.
Abban az esetben, ha a támadó teljes hozzáféréssel rendelkezik ahhoz a környezethez, amelyben a rendszerfolyamatok futnak, másolásvédett rendszer esetén is hozzáférhet a fájlhoz .
A PMI közvetlen csatorna hiányában a felhasználóhoz delegálhat jogokat a fájl megnyitásához és használatához. Így a támadó támadást szervezhet egy kommunikációs csatorna ellen, vagy kérést hajthat végre egy végterminálról, amelyen vírusszoftver van telepítve .
Az AC rendszerint nyilvános kulcsú tanúsítványhoz van kötve, így van egy nyilvános kulcsú fenyegetés, amely veszélyezteti a PKI-t.
Az identitás- és hozzáférés-kezelés szoftver- és hardvermódszerek összessége a felhasználói információk számítógépen történő vezérlésére. Ez az információ olyan adat, amely azonosítja a felhasználót, és leírja, hogy milyen műveleteket hajthat végre. Ezenkívül vezérlőket is tartalmaz ezen információk megváltoztatásához. Ennek a rendszernek a vezérlőobjektumai általában a hardver és a hálózati erőforrások, valamint a szoftverek.
Ennek a rendszernek a tárgya a digitális identitás . Ez egyfajta hálózati ábrázolás, amely személyes adatokat és kiegészítő információkat is tartalmaz. Ezen információk védelmének és kezelésének számos módja van. Például ezeknek az adatoknak a titkosítására szolgáló módszereket széles körben használják. A második módszer a feldolgozott objektumok néhány jellegzetes attribútumának tárolásán alapuló módszer. A PMI keretrendszer ennek a módszernek a privát megvalósítása.
A PMI-t a következő szabványok írják le:
Bizonyítvány | Név | Először örökbe fogadtak | Utoljára módosítva | Érvényes |
---|---|---|---|---|
X.509 | Nyilvános kulcsú infrastruktúra (PKIX) [3] | 2001. február | 2006. július | Igen |
ISO/IEC 9594-8 :2014 | Nyilvános kulcsú és attribútum tanúsítvány keretrendszerek [4] | 2001. augusztus | 2014. március | Igen |
RFC 5755 | Internet attribútum tanúsítványprofil az engedélyezéshez [5] | 2002. április | 2010. január | Igen |
Polyanskaya O. Yu., Gorbatov V.S. „Nyilvános kulcsfontosságú infrastruktúrák”
John R. Vacca "Nyilvános kulcsú infrastruktúra: Megbízható alkalmazások és webszolgáltatások kiépítése"
Carlisle Adams és Robert Zuccherato "Globális PMI az elektronikus tartalomterjesztésért"
Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai "Intranet biztonság attribútumtanúsítványok használatával a privilégiumkezelési infrastruktúra alatt"
David W Chadwick "X.509-szerepkör-alapú jogosultságkezelési infrastruktúra"
Tadayoshi Kohno és Mark McGovern "A globális tartalom-PMI-ről: Továbbfejlesztett másolásvédett internetes tartalomterjesztés"