Инфраструктура управления привилегиями

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI) — инфраструктура, позволяющая связать сертификаты PKI с предоставлением каких-либо привилегий и полномочий. Для PMI используется выпуск атрибутных сертификатов, связывающих данный сертификат PKI с каким-либо набором привилегий и/или полномочий.

PMI является инфраструктурой, которая существует наряду PKI, а не как часть PKI.

Главным отличием PMI от PKI состоит в том, что PKI управляет сертификатами открытых ключей, а PMI — атрибутными сертификатами. Сертификат открытого ключа можно сравнить с паспортом субъекта, а атрибутный сертификат — с визой, первый обеспечивает идентификацию личности, а второй дает определенное разрешение. Кроме того, атрибутные сертификаты обычно имеют меньший срок действия, чем личные сертификаты.

Объекты PMI:

  1. Атрибутный сертификат (АС, или AC — Attribute Certificate) — сертификат специального формата, который используется для связывания дополнительной информации с сертификатом открытого ключа. Атрибутные сертификаты позволяют управлять доступом на основе определенных принципов, ролей, должностей. АС представляет собой структуру данных, заверенных цифровой подписью, и содержащую ссылку на один или несколько сертификатов открытых ключей одного и того же субъекта.
  2. Атрибутный центр (АЦ) — издатель атрибутных сертификатов. Выпускает и аннулирует атрибутные сертификаты.

Необходимость появления атрибутных сертификатов связывается с более частым изменением прав/полномочий субъекта сертификата, чем данных о нем (смена должности, изменение круга должностных обязанностей, временная авторизация на веб-сервере и т. д.). Благодаря наличию атрибутных сертификатов есть возможность менять полномочия субъекта без перевыпуска сертификата субъекта (перевыпускаются и отзываются только атрибутные сертификаты).

Важный момент: так как связь атрибутного сертификата и сертификата открытого ключа определяется ссылкой именно в атрибутном сертификате, а не наоборот, то атрибутные центры можно создавать по необходимости отдельно от удостоверяющего центра и реестра сертификатов. Таким образом, компания, использующая внешний PKI, может создать свой АЦ для указания ролей и полномочий лицам, зарегистрированных в PKI.

PMI описывается в стандартах X.509, ISO/IEC 9594-8:2005. Архивировано из первоисточника 19 мая 2012.