В компьютерной безопасности , в сертификате атрибута или сертификат авторизации ( AC ) представляет собой цифровой документ , содержащий атрибуты , связанные с держателем эмитентом. Когда связанные атрибуты в основном используются для авторизации, AC называется сертификатом авторизации . AC стандартизирован в X.509 . RFC 5755 дополнительно определяет использование для авторизации в Интернете.
Сертификат авторизации работает вместе с сертификатом открытого ключа (PKC). В то время как PKC выдается центром сертификации (CA) и используется в качестве подтверждения личности его владельца, например, паспорта , сертификат авторизации выдается органом атрибутов (AA) и используется для характеристики или предоставления полномочий его держателю, как виза . Поскольку идентификационная информация редко изменяется и имеет длительный срок действия, в то время как информация об атрибутах часто изменяется или имеет короткий срок действия, необходимы отдельные сертификаты с разными уровнями безопасности, сроками действия и поставщиками. [1]
Сравнение сертификатов атрибутов и открытых ключей
AC похож на PKC, но не содержит открытого ключа, потому что верификатор AC находится под контролем эмитента AC и поэтому доверяет эмитенту напрямую, имея предварительно установленный открытый ключ эмитента. Это означает, что как только закрытый ключ эмитента AC скомпрометирован, эмитент должен сгенерировать новую пару ключей и заменить старый открытый ключ во всех верификаторах под его контролем новым.
Проверка AC требует наличия PKC, который называется держателем AC в AC.
Как и в случае с PKC, AC можно связать для делегирования атрибуции. Например, сертификат авторизации, выданный Алисе, разрешает ей использовать определенную услугу. Алиса может делегировать эту привилегию своему помощнику Бобу, выдав AC для PKC Боба. Когда Боб хочет использовать службу, он представляет свой PKC и цепочку AC, начиная с его собственного AC, выданного Алисой, а затем AC Алисы, выданного эмитентом, которому служба доверяет. Таким образом, служба может проверить, что Алиса делегировала свои привилегии Бобу и что Алиса была авторизована на использование службы эмитентом, который контролирует службу. RFC 3281, однако, не рекомендует использовать цепочки AC из-за сложности администрирования и обработки цепочки, а также из-за небольшого использования AC в Интернете.
Применение
Чтобы использовать службу или ресурс, которые контролирует издатель AC, пользователь представляет PKC и AC части службы или ресурса, которая функционирует как верификатор AC. Верификатор сначала проверит личность пользователя с помощью PKC, например, попросив пользователя расшифровать сообщение, зашифрованное открытым ключом пользователя в PKC. Если аутентификация прошла успешно, верификатор будет использовать предустановленный открытый ключ эмитента AC для проверки действительности представленного AC. Если AC действителен, верификатор проверит, соответствует ли PKC, указанный в AC, представленному PKC. Если он совпадает, верификатор проверит срок действия AC. Если AC все еще действителен, верификатор может выполнить дополнительные проверки, прежде чем предлагать пользователю определенный уровень обслуживания или использования ресурсов в соответствии с атрибутами, содержащимися в AC.
Например, разработчик программного обеспечения, у которого уже есть PKC, хочет развернуть свое программное обеспечение на вычислительном устройстве, использующем DRM, таком как iPad, где программное обеспечение может запускаться на устройстве только после того, как программное обеспечение было одобрено производителем устройства. Разработчик программного обеспечения подписывает программное обеспечение закрытым ключом PKC и отправляет подписанное программное обеспечение производителю устройства для утверждения. После аутентификации разработчика с помощью PKC и проверки программного обеспечения производитель может решить выпустить AC, предоставляющий программному обеспечению базовую возможность установки и выполнения, а также дополнительную возможность использовать устройство Wi-Fi по принципу наименьшего количества привилегия . В этом примере AC не ссылается на PKC разработчика в качестве держателя, а на программное обеспечение, например, путем сохранения подписи разработчика программного обеспечения в поле владельца AC. Когда программное обеспечение помещается в вычислительное устройство, устройство проверяет целостность программного обеспечения с помощью PKC разработчика перед проверкой действительности AC и предоставлением программному обеспечению доступа к функциям устройства.
Пользователю также может потребоваться получить несколько AC от разных эмитентов, чтобы использовать определенную услугу. Например, компания предоставляет одному из своих сотрудников общекорпоративный AC, в котором в качестве рабочей области указывается инженерный отдел. Однако, чтобы получить доступ к инженерным данным, сотруднику также необходим AC допуска от руководителя инженерного отдела. В этом примере ресурс инженерных данных должен быть предварительно установлен с открытыми ключами как для всей компании, так и для инженерного отдела эмитентов переменного тока.
Содержание типичного сертификата атрибута
Версия : версия сертификата.
Владелец : владелец сертификата.
Эмитент : эмитент сертификата.
Алгоритм подписи : алгоритм подписания сертификата.
Серийный номер : уникальный номер выпуска, присвоенный эмитентом.
Срок действия: срок действия сертификата.
Атрибуты : атрибуты, связанные с держателем сертификата.
Значение подписи : подпись эмитента над всеми данными выше.
Преимущества
Используя сертификат атрибута, хосту службы или ресурса не нужно поддерживать список управления доступом, который потенциально может быть большим, или всегда быть подключенным к сети для доступа к центральному серверу, как при использовании Kerberos . Это похоже на идею возможностей, в которых разрешение (или разрешения) на использование службы или ресурса хранится не в самой службе или ресурсе, а в пользователях, использующих механизм защиты от несанкционированного доступа .
Смотрите также
Рекомендации
- ^ Фаррелл, S .; Housley, R. "Профиль сертификата Интернет-атрибута или авторизация". RFC 3281. Цитировать журнал требует
|journal=
( помощь )