Etuoikeuksien hallintainfrastruktuuri

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 13. maaliskuuta 2013 tarkistetusta versiosta . tarkastukset vaativat 29 muokkausta .

PMI ( Privilege Management Infrastructure ) - menetelmät, joiden avulla voit liittää julkisen avaimen infrastruktuurin ( PKI ) varmenteet mahdollisiin oikeuksiin ja valtuuksiin .  PMI käyttää attribuuttivarmenteiden myöntämistä , jotka yhdistävät tietyn PKI-varmenteen joihinkin oikeuksiin ja/tai valtuuksiin.

Privilege Management Infrastructure on olemassa julkisen avaimen infrastruktuurin ( PKI ) rinnalla , ei osana sitä .

Historia

Julkisen avaimen infrastruktuuri standardoitiin ensimmäisen kerran X.509 -standardin neljännessä muutoksessa , jonka ITU-T hyväksyi vuonna 2001.

Päätehtävät

• tietojen luottamuksellisuuden varmistaminen
• tietojen luotettavuuden varmistaminen
• tietojen eheyden varmistaminen
• tietojen asianmukaisuuden varmistaminen
• tarjoamalla käyttäjän valtuutuksen
• helpottaa PKI- hallintaa

Perustiedot

Organisaatioissa palvelimelle pääsyyn käytetään PKI -pohjaisia ​​mekanismeja, kun taas PMI valvoo jo valtuutetun käyttäjän pääsyä tiettyihin tietoihin. Esimerkkinä käytöstä voidaan mainita RBAC (Role Based Access Controll) -algoritmi, jonka mukaan käyttäjä saa tunnistettuaan tarvittavat oikeudet organisaatiossa olevan roolin mukaan.

Ominaisuustodistus

Attribuuttivarmenne (AC tai AC - Attribute Certificate) - erikoismuotoinen varmenne, jota käytetään liittämään lisätiedot julkisen avaimen varmenteeseen. Attribuuttivarmenteiden avulla voit hallita pääsyä tiettyjen periaatteiden, roolejen ja asemien perusteella. AS on tietorakenne, joka on varmennettu digitaalisella allekirjoituksella ja sisältää linkin yhteen tai useampaan saman kohteen julkisen avaimen varmenteeseen.

Attribuuttivarmenne sisältää pääsääntöisesti tietoja käyttäjästä, pääsyryhmistä, joissa hän on jäsen, sekä hänen julkisen avaimensa.

Tällaisten varmenteiden läsnäolo ei vain mahdollistaa julkisten avainten käyttöiän pidentämistä, vaan myös yksinkertaistaa huomattavasti työtä PKI :n kanssa . Esimerkiksi yhden julkisen avaimen haltijalla voi olla useita käyttöoikeuksia. Lisäksi käyttöoikeuksia muutettaessa vain määritesertifikaatti on myönnettävä uudelleen muuttamatta julkisen avaimen varmennetta.

PMI-objektit

PMI [1] Privilege Management Infrastructure Objects :

1. Valtuutuksen lähde (SOA) on jokin viranomainen, jonka varmenteenhaltijat luottavat olevan yksin vastuussa käyttöoikeusjoukkojen myöntämisestä ja hallinnasta. Joissakin tapauksissa se voidaan sisällyttää attribuuttikeskukseen.
2. Attribute Authority (Attribute Authoritiy (AA) tai Attribute Certificate Issuer (ACI)) on attribuuttivarmenteiden myöntäjä. Myöntää ja peruuttaa attribuuttivarmenteita.
3. Attribuuttivarmenteiden käyttäjät – Attribuuttivarmenteita omistavat ja käyttävät viranomaiset ja henkilöt.
4. Luotettu osapuoli (Attribute Certificate Verifier) ​​on viranomainen, joka tarkistaa varmenteen voimassaolon.
5. Asiakkaat  - elimet ja henkilöt, jotka pyytävät vahvistusta oikeuksistaan ​​suorittaa vaaditut toimet.
6.  Tietovarastot - voimassa olevien ja peruutettujen varmenteiden luetteloiden arkisto .

Attribuuttivarmenteiden esiintymistarve liittyy varmenteen kohteen oikeuksien/valtuuksien useampaan muutokseen kuin häntä koskevien tietojen (aseman muutos, tehtävän laajuuden muutos, väliaikainen valtuutus verkkopalvelimelle jne.) . Attribuuttivarmenteiden olemassaolon vuoksi on mahdollista muuttaa kohteen valtuuksia ilman, että aihevarmennetta myönnetään uudelleen (vain attribuuttivarmenteet myönnetään uudelleen ja peruutetaan).

Tärkeä huomautus: koska attribuuttivarmenteen ja julkisen avaimen varmenteen välinen suhde määräytyy attribuuttivarmenteen linkin avulla, eikä päinvastoin, attribuuttikeskuksia voidaan tarvittaessa luoda erillään varmentajasta ja varmennerekisteristä. Siten julkisen avaimen infrastruktuurin (PKI) vierasavainta käyttävä yritys voi luoda oman attribuuttivaltuutuksensa määrittääkseen roolit ja käyttöoikeudet PKI:hen rekisteröityneille henkilöille.

PMI ja PKI

Suurin ero PMI:n ja PKI:n välillä on, että PKI hallitsee julkisen avaimen varmenteita, kun taas PMI hallitsee attribuuttivarmenteita. PMI on enemmän julkisen avaimen infrastruktuurin lisäosa kuin osa sitä. Julkisen avaimen varmenne vastaa käyttäjän todentamisesta , henkilöllisyyden vahvistamisesta (se voidaan verrata kohteen passiin) ja attribuuttivarmenne on sen valtuuttaminen , oikeuksien vahvistaminen (se voidaan verrata viisumiin). Lisäksi CA:illa on tyypillisesti lyhyempi voimassaoloaika kuin henkilökohtaisilla varmenteilla.

Yleensä objektit, jotka muodostavat nämä kaksi infrastruktuuria, ovat luonteeltaan samanlaisia, kuten vastaavuustaulukosta voidaan nähdä:

Etuoikeuksien hallintainfrastruktuuri	Julkisen avaimen infrastruktuuri
Ominaisuustodistus	julkisen avaimen varmenne
Luottamuksen lähde	Juuri CA
attribuuttikeskus	Vahvistuskeskus
Attribuuttivarmenteen käyttäjät	Julkisen avaimen varmenteen käyttäjät
luotettava puolue	luotettava puolue
Asiakkaat	Asiakkaat
Tietovarastot (CARL-varmenteen myöntäjän peruutusluettelo)	Tietovarastot (CRL-varmenteen peruutusluettelo)

Toteutukset

Tällä hetkellä on olemassa useita järjestelmiä PMI:n käyttämiseen käyttäjien valtuutukseen

Selective Access Control (DAC)

Tiedoston omistaja määrittää käyttöoikeusluettelot tietylle resurssille. Tämä voidaan tehdä esimerkiksi pääsynhallintalistoilla , jotka PMI-konseptissa määritetään AS:n avulla, jonka jokainen attribuutti kuvaa useita käyttöoikeuksia. Kun tätä resurssia käytetään myöhemmin, järjestelmä lukee käyttäjän AS:n ja tarkistaa, onko hänellä luku-/muokkaus-/suoritusoikeudet, ja riippuen siitä, onko käyttäjällä käyttöoikeuksia, hän sallii tai kieltää toiminnon.

Pakollinen kulunvalvonta (MAC)

Jokaisella resurssilla on tunniste, joka määrittää sen käyttöoikeustason (erityinen tärkeys, huippusalainen, salainen ...). Jokaisella käyttäjällä on AS. Järjestelmä sallii käyttäjän pääsyn tietoihin, joiden salassapitoaste ei ylitä AS:ssa määrättyä käyttöoikeustasoa.

Role Based Access Control (RBAC)

Edistyksellisin kulunvalvontamalli. Hänen mukaansa kaiuttimia on kahdenlaisia:

• Role Description Attribute Certificate (ACOR)
• Role Assignment Attribute Certificate (ACHR)

Käytettäessä järjestelmä tarkastelee, mitä rooleja käyttäjällä on, hänen ASNR:ien perusteella. Jokainen ANSR liittyy ASOR:iin, joka määrittelee nimenomaisesti käyttöoikeudet tiettyyn resurssiin.

LUPA [2]

PERMIS ( englanninkieliset PrivilEge and Role Management Infrastructure Standards) - standardit roolien ja oikeuksien hallintaa varten.

Se on järjestelmä, joka käyttää RBAC-malliin perustuviin attribuuttivarmenteisiin perustuvia pääsykäytäntöjä.

PERMIS koostuu 3 pääosasta:

1. Valtuutuskäytäntö
2. Etuoikeuksien jakaja
3. Käyttöliittymä sovellusten luomiseen PMI:llä (The PMI API )

Valtuutusjärjestelmä

Järjestelmä, joka määrittää, onko käyttäjällä oikeudet käyttää tiettyä resurssia ja millä ehdoilla.

Käyttää hierarkkista RBAC-mallia. Tämä tarkoittaa, että on olemassa ryhmien puu, jokaisella taulukolla on omat käyttöoikeudet. Puun solmu delegoi oikeutensa ryhmille, jotka ovat siihen nähden lapsia. Tämä yksinkertaistaa huomattavasti verkon hallintaa kokonaisuudessaan.

Päätoiminnot:

• Tarkistetaan käyttäjän oikeuksia
• Määrittelee roolit ja niiden suhteet
• Määrittää luettelon luottamuslähteistä
• Määrittää vaaditut tiedostooikeudet
• Mapsin käyttäjä- ja tiedostooikeudet
• Sallii tai estää pääsyn tiedostoon

Privilege Distribution System

Antaa käyttöoikeudet käyttäjille ja sovelluksille. Käyttää luottamuslähdettä tai attribuuttikeskusta. Vastaa uusien attribuuttien myöntämisestä ja vanhojen attribuuttien kumoamisesta. Se ottaa myös vastuun peruutettujen ja voimassa olevien varmenteiden arkiston ylläpidosta.

Sovellusten luontiliittymä PMI:n kanssa

Sovellusliittymän on kehittänyt The Open Group.

Sitä kutsutaan Authorization (AZN) API:ksi.

Kirjoitettu C -kielellä .

Perustuu ISO 10181-3 - standardiin .

Heikkoudet ja haavoittuvuudet

PKI & PMI

Jos varmennetta ei voida vahvistaa julkisen avaimen infrastruktuurissa, käyttäjällä on ongelmia, koska järjestelmä ei todenna häntä.

Kulunvalvontainfrastruktuurin tapauksessa järjestelmä on vaarassa. Esimerkiksi vaikka ohjelma asiakirjan avaamiseksi pyytää käyttöoikeuksia, kun se suoritetaan käyttäjän paikallisella koneella, se voi avata tiedoston jättäen huomiotta nämä pyynnöt.

Kestoaika

Jos hyökkääjällä on täysi pääsy ympäristöön, jossa järjestelmäprosessit ovat käynnissä, hän voi päästä käsiksi tiedostoon myös kopiosuojatun järjestelmän tapauksessa .

Protokollatason hyökkäykset

Jos käyttäjälle ei ole suoraa kanavaa, PMI voi siirtää oikeudet tiedoston avaamiseen ja käyttöön. Siten hyökkääjä voi järjestää hyökkäyksen viestintäkanavaa vastaan ​​tai suorittaa pyynnön päätelaitteesta, johon on asennettu virusohjelmisto .

Tunnistus

AC on yleensä sidottu julkisen avaimen varmenteeseen, joten on olemassa julkisen avaimen uhka, joka vaarantaa PKI:n.

Tunnistetietojen hallinta

Identiteetti- ja käyttöoikeuksien hallinta on joukko ohjelmisto- ja laitteistomenetelmiä käyttäjätietojen hallintaan tietokoneessa. Nämä tiedot ovat tietoja, jotka tunnistavat käyttäjän ja kuvaavat toimintoja, joita hän saa suorittaa. Se sisältää myös säätimiä näiden tietojen muuttamiseksi. Tämän järjestelmän ohjausobjekteja ovat pääsääntöisesti laitteistot ja verkkoresurssit sekä ohjelmistot.

Tämän järjestelmän tavoitteena on digitaalinen identiteetti . Tämä on jonkinlainen verkkoesitys, joka sisältää henkilötietoja sekä aputietoja. On monia tapoja suojata ja hallita näitä tietoja. Esimerkiksi menetelmiä näiden tietojen salaamiseksi käytetään laajalti. Toinen menetelmä on menetelmä, joka perustuu käsiteltävien objektien joidenkin erottuvien ominaisuuksien tallentamiseen. PMI-kehys on tämän menetelmän yksityinen toteutus.

Säännöt

PMI on kuvattu seuraavissa standardeissa:

Todistus	Nimi	Ensin adoptoitu	Viimeksi muokattu	Pätevä
X.509	Julkisen avaimen infrastruktuuri (PKIX) [3]	Helmikuu 2001	Heinäkuu 2006	Joo
ISO/IEC 9594-8 :2014	Julkisen avaimen ja attribuuttien varmennekehykset [4]	Elokuu 2001	Maaliskuu 2014	Joo
RFC 5755	Internet-attribuutin varmenneprofiili valtuutusta varten [5]	huhtikuuta 2002	tammikuuta 2010	Joo

Kirjallisuus

Polyanskaya O. Yu., Gorbatov V.S. "Julkiset avaininfrastruktuurit"

John R. Vacca "Julkinen avaininfrastruktuuri: Luotettujen sovellusten ja verkkopalvelujen rakentaminen"

Carlisle Adams ja Robert Zuccherato "Global PMI sähköisen sisällön jakeluun"

Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai "Intranet-suojaus attribuuttivarmenteilla etuoikeuksien hallintainfrastruktuurissa"

David W Chadwick "X.509 Role-based Privilege Management Infrastructure"

Tadayoshi Kohno ja Mark McGovern "Global Content PMI:stä: Parannettu kopiosuojattu Internet-sisällön jakelu"

Muistiinpanot

1. ↑ Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai. Intranet-suojaus attribuuttivarmenteilla etuoikeuksien hallintainfrastruktuurin alla  // Proceedings 39th Annual 2005 International Carnahan Conference on Security Technology. - 2005-10-01. - S. 1-4 . - doi : 10.1109/CCST.2005.1594859 . Arkistoitu alkuperäisestä 18. elokuuta 2017.
2. ↑ Modulaarinen PERMIS-projekti . sec.cs.kent.ac.uk. Haettu 7. marraskuuta 2016. Arkistoitu alkuperäisestä 9. heinäkuuta 2016. (määrätön)
3. ↑ Julkisen avaimen infrastruktuuri (X.509) (pkix) - . datatracker.ietf.org. Käyttöpäivä: 7. marraskuuta 2016. Arkistoitu alkuperäisestä 7. marraskuuta 2016. (määrätön)
4. ↑ ISO/IEC 9594-8:2014 - Tietotekniikka. Avointen järjestelmien suhde. Hakemisto. Osa 8: Julkisen avaimen varmenteen rakenne ja attribuutit . ISO. Käyttöpäivä: 7. marraskuuta 2016. Arkistoitu alkuperäisestä 7. marraskuuta 2016. (määrätön)
5. ↑ Turner, Sean, Housley, Russ, <UNKNOWN>, Stephen Farrell. Internet-määritevarmenneprofiili valtuutusta varten . tools.ietf.org. Haettu 7. marraskuuta 2016. Arkistoitu alkuperäisestä 22. joulukuuta 2016. (määrätön)