Инфраструктура управления привилегиями

Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI) — методы, позволяющие связать сертификаты инфраструктуры открытых ключей (PKI) с предоставлением каких-либо привилегий и полномочий. Для PMI используется выпуск атрибутных сертификатов, связывающих данный сертификат PKI с каким-либо набором привилегий и/или полномочий.

Инфраструктура управления привилегиями является существует наряду c инфраструктурой открытых ключей (PKI), а не как её часть.

История править

Впервые инфраструктура открытых ключей была стандартизирована в четвертом дополнении к стандарту X.509, которое было принято ITU-T в 2001 г.

Основные задачи править

Основная информация править

В организациях механизмы на основе PKI используется для доступа в серверу, тогда как PMI управляет доступом уже авторизованного пользователя к конкретной информации. В качестве примера использования можно привести алгоритм RBAC(Role Based Access Controll), согласно которому пользователь при идентификации получает необходимые права, согласно той роли, которую он играет в организации.

Атрибутный сертификат править

Атрибутный сертификат (АС, или AC — Attribute Certificate) — сертификат специального формата, который используется для связывания дополнительной информации с сертификатом открытого ключа. Атрибутные сертификаты позволяют управлять доступом на основе определенных принципов, ролей, должностей. АС представляет собой структуру данных, заверенных цифровой подписью, и содержащую ссылку на один или несколько сертификатов открытых ключей одного и того же субъекта.

Как правило, атрибутный сертификат содержит информацию о пользователе, группах доступа, в которых он состоит, а так же его открытом ключе.

Наличие таких сертификатов не только позволяет увеличить срок службы открытых ключей, а так же существенно упростить работу с PKI. Например, держатель одного публичного ключа может иметь множественные права доступа. Кроме того, при смене прав доступа требуется перевыпустить только атрибутный сертификат, не изменяя сертификат открытого ключа.

Объекты PMI править

Объекты инфраструктуры управления привилегиями PMI[1]:

  1. Источник доверия (Source of Authority (SOA)) — некоторый орган, которому доверяют владельцы сертификатов, как органу несущему всю полноту ответственности за выдачу и управление наборами привилегий. В некоторых случаях может быть включен в атрибутный центр.
  2. Атрибутный центр (Attribute Authoritiy(AA) или Attribute Certificate Issuer(ACI)) — издатель атрибутных сертификатов. Выпускает и аннулирует атрибутные сертификаты.
  3. Пользователи сертификатов (Attribute Certificate Users) — органы и лица являющиеся владеющие и использующие атрибутные сертификаты.
  4. Доверенная сторона (Attribute Certificate Verifier) — орган, проверяющий действительность сертификата.
  5. Клиенты — органы и лица, запрашивающие подтверждение привилегий на выполнение требуемых действий.
  6. Репозитории — хранилище списков действительных и отозванных сертификатов.

Необходимость появления атрибутных сертификатов связывается с более частым изменением прав/полномочий субъекта сертификата, чем данных о нем (смена должности, изменение круга должностных обязанностей, временная авторизация на веб-сервере и т. д.). Благодаря наличию атрибутных сертификатов есть возможность менять полномочия субъекта без перевыпуска сертификата субъекта (перевыпускаются и отзываются только атрибутные сертификаты).

Важный момент: так как связь атрибутного сертификата и сертификата открытого ключа определяется ссылкой именно в атрибутном сертификате, а не наоборот, то атрибутные центры можно создавать по необходимости отдельно от удостоверяющего центра и реестра сертификатов. Таким образом, компания, использующая внешний ключ инфраструктуры открытых ключей (PKI), может создать свой атрибутный центр для указания ролей и полномочий лицам, зарегистрированных в PKI.

PMI и PKI править

Главным отличием PMI от PKI состоит в том, что PKI управляет сертификатами открытых ключей, а PMI — атрибутными сертификатами. PMI является скорее надстройкой над инфраструктурой открытых ключей, а не ее частью. Сертификат открытого ключа отвечает за аутентификацию пользователя, подтверждение личности (его можно сравнить с паспортом субъекта), а атрибутный сертификат — за его авторизацию, подтверждение прав(можно сравнить с визой). Кроме того, АС обычно имеют меньший срок действия, чем личные сертификаты.

В целом, объекты, составляющие две этих инфраструктуры имеют сходную природу, что видно из таблицы соответствий:

Инфраструктура управления привилегиями Инфраструктура открытых ключей
Атрибутный сертификат Сертификат открытого ключа
Источник доверия Корневой удостоверяющий центр
Атрибутный центр Удостоверяющий центр
Пользователи атрибутных сертификатов Пользователи сертификата открытого ключа
Доверенная сторона Доверенная сторона
Клиенты Клиенты
Репозитории

(CARL- Certificate Authority Revocation List)

Репозитории

(CRL- Certificate Revocation List)

Реализации править

На настоящий момент существует насколько схем использования PMI для авторизации пользователя

Избирательное управление доступом (DAC) править

Владелец файла настраивает списки доступа к конкретному ресурсу. Это можно сделать, например, использую списки контроля доступа В концепции PMI эти списки задаются c помощью АС, каждый атрибут которого описывает некоторое количество прав пользователя. При обращении к данному ресурсу впоследствии, система читает АС пользователя, проверяя наличие у него привилегий на чтение/редактирование/запуск, и в зависимости он наличия у данного пользователя прав доступа разрешает или запрещает действие.

Мандатное управление доступом (MAC) править

Каждый ресурс имеет метку, которая определяет уровень доступа к нему (особой важности, совершенно секретно, секретно…). Каждый же пользователь имеет АС. Система разрешает пользователю доступ к информации, уровень секретности при работе с которым не превышает уровень допуска, прописанный в АС.

Управление доступом на основе ролей (RBAC) править

Наиболее современная модель управления доступом. Согласно ей, существует два типа АС:

  • Атрибутный сертификат описания роли (АСОР)
  • Атрибутный сертификат назначения роли (АСНР)

При обращении система смотрит, какими ролями обладает пользователь, основываясь на имеющихся у него АСНР. Каждому АНСР ставится в соответствие АСОР, который явным образом определяет права доступа к конкретному ресурсу.

PERMIS[2] править

PERMIS (англ. PrivilEge and Role Management Infrastructure Standards) — стандарты инфраструктуры управления ролями и привилегиями.

Это система использующая политики доступа на основе атрибутных сертификатов основывающаяся на модели RBAC.

PERMIS состоит из 3 основных частей:

  1. Система авторизации (Authorisation Policy)
  2. Система распределения привилегий (Privilege Allocator)
  3. Интерфейс создания приложений с PMI (The PMI API)

Система авторизации править

Система, определяющая, имеет ли пользователь права для доступа к данному ресурсу и при каких условиях.

Использует иерархическую модель RBAC. Это значит, что существует дерево групп, каждый из листов имеет свои права доступа. Узел же дерева делегирует свои права группам, являющимися дочерними, по отношению к нему. Это позволяет существенно упростить администрирование сети в целом.

Основные функции:

  • Проверка прав пользователя
  • Определяет роли и их взаимоотношения
  • Определяет список источников доверия
  • Определяет требуемые права доступа к файлу
  • Сопоставляет права пользователя и файла
  • Разрешает или запрещает доступ к файлу

Система распределения привилегий править

Предоставляет права доступа для пользователей и приложений. Используется источником доверия или атрибутным центром. Отвечает за эмиссию новый и отзыв старых атрибутивных сертификатов. Так же берет на себя обязанности по содержанию репозитория отозванных и действительных сертификатов.

Интерфейс создания приложений с PMI править

API было разработано The Open Group.

Носит название Authorization (AZN) API.

Написано на языке Си.

Основано на стандарте ISO 10181-3.

Недостатки и уязвимости править

PKI & PMI править

В инфраструктуре управления открытыми ключами в случае невозможности подтверждения сертификата проблемы испытывает пользователь, потому что система его не аутентифицирует.

В случае же с инфраструктурой управления правами доступа под угрозой окажется система. Например, даже если программа для открытия документа просит подтверждения прав, будучи запущенной на локальной машине пользователя, она может открыть файл, игнорируя эти запросы.

Среда выполнения править

В случае когда атакующий имеет полный доступ к среде, в которой выполняются системные процессы, он может получить доступ к файлу даже в случае системы с защитой от копирования.

Атаки на уровне протокола править

PMI при отсутствии непосредственного канала до пользователя может делегировать права для открытия и использования файла. Таким образом злоумышленник может организовать атаку на канал связи или же выполнить запрос с конечного терминала с установленным на нем вирусным ПО.

Идентификация править

АС обычно привязан к сертификату открытого ключа, так что имеет место угроза раскрытия открытого ключа, что ставит под угрозу PKI.

Управление учётными данными править

Управление учетными данными (Identity and access management) — комплекс программных и аппаратных методом контроля пользовательской информации на компьютере. Эта информация представляет собой данные, идентифицирующие пользователя и описывающие действия, которые ему разрешено исполнить. Также она содержит управляет изменением этой информации. Объектами управления данной системы, как правило, являются аппаратные и сетевые ресурсы, а также программное обеспечение

Объектом этой системы является цифровая идентичность[en]. Это некоторое сетевое представление, включающее в себя персональные данные а также вспомогательную информацию. Существует множество способов защиты и управления этой информацией. Например, широко применяются методы шифрования этих данных. Вторым методом является метод, основанный на хранении некоторых отличительных атрибутов, обрабатываемых объектов. Инфраструктура PMI является частной реализацией этого метода.

Нормативные акты править

PMI описывается в следующих стандартах:

Сертификат Название Впервые принят Последнее изменение Действителен
X.509 Public-Key Infrastructure (PKIX)[3] Февраль 2001 Июль 2006 Да
ISO/IEC 9594-8:2014 Public-key and attribute certificate frameworks[4] Август 2001 Март 2014 Да
RFC 5755 An Internet Attribute Certificate Profile for Authorization[5] Апрель 2002 Январь 2010 Да

Литература править

Полянская О. Ю., Горбатов В.С «Инфраструктуры открытых ключей»

John R. Vacca «Public Key Infrastructure: Building Trusted Applications and Web Services»

Carlisle Adams and Robert Zuccherato «A Global PMI for Electronic Content Distribution»

Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai «Intranet Security using Attribute Certificates under the Privilege Management Infrastructure»

David W Chadwick «An X.509 Role-based Privilege Management Infrastructure»

Tadayoshi Kohno and Mark McGovern «On the Global Content PMI: Improved Copy-Protected Internet Content Distribution»

Примечания править

  1. Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai. Intranet Security using Attribute Certificates under the Privilege Management Infrastructure // Proceedings 39th Annual 2005 International Carnahan Conference on Security Technology. — 2005-10-01. — С. 1–4. — doi:10.1109/CCST.2005.1594859. Архивировано 18 августа 2017 года.
  2. Modular PERMIS Project. sec.cs.kent.ac.uk. Дата обращения: 7 ноября 2016. Архивировано 9 июля 2016 года.
  3. Public-Key Infrastructure (X.509) (pkix) -. datatracker.ietf.org. Дата обращения: 7 ноября 2016. Архивировано 7 ноября 2016 года.
  4. ISO/IEC 9594-8:2014 - Информационные технологии. Взаимосвязь открытых систем. Директория. Часть 8. Структура сертификата на открытый ключ и атрибуты. ISO. Дата обращения: 7 ноября 2016. Архивировано 7 ноября 2016 года.
  5. Turner, Sean, Housley, Russ, <UNKNOWN>, Stephen Farrell. An Internet Attribute Certificate Profile for Authorization. tools.ietf.org. Дата обращения: 7 ноября 2016. Архивировано 22 декабря 2016 года.