Infraestructura de administración de privilegios ( PMI ) : métodos que le permiten asociar certificados de infraestructura de clave pública ( PKI ) con la provisión de privilegios y autorizaciones . PMI utiliza la emisión de certificados de atributo que asocian un certificado PKI determinado con algún conjunto de privilegios y/o autoridades.
La Infraestructura de gestión de privilegios existe junto con la Infraestructura de clave pública ( PKI ), no como parte de ella .
La infraestructura de clave pública se estandarizó por primera vez en la cuarta enmienda al estándar X.509 , que fue adoptado por ITU-T en 2001.
En las organizaciones se utilizan mecanismos basados en PKI para acceder al servidor, mientras que PMI controla el acceso de un usuario ya autorizado a información específica. Como ejemplo de uso, podemos citar el algoritmo RBAC (Role Based Access Controll), según el cual el usuario, al identificarse, recibe los derechos necesarios, según el rol que desempeña en la organización.
Certificado de atributo (AC o AC - Certificado de atributo): un certificado de formato especial que se utiliza para asociar información adicional con un certificado de clave pública. Los certificados de atributos le permiten controlar el acceso en función de ciertos principios, roles, posiciones. AS es una estructura de datos certificada por una firma digital y que contiene un enlace a uno o más certificados de clave pública del mismo sujeto.
Por regla general, un certificado de atributo contiene información sobre el usuario, los grupos de acceso de los que es miembro, así como su clave pública.
La presencia de dichos certificados no solo le permite aumentar la vida útil de las claves públicas, sino que también simplifica significativamente el trabajo con PKI . Por ejemplo, el titular de una clave pública puede tener múltiples derechos de acceso. Además, al cambiar los derechos de acceso, solo se debe volver a emitir el certificado de atributo sin cambiar el certificado de clave pública.
PMI [1] Objetos de infraestructura de gestión de privilegios :
La necesidad de aparición de certificados de atributos está asociada a un cambio más frecuente en los derechos/autoridades del titular del certificado que en los datos sobre él (cambio de cargo, cambio de ámbito de funciones, autorización temporal en el servidor web, etc.) . Debido a la presencia de certificados de atributo, es posible cambiar la autoridad del sujeto sin volver a emitir el certificado de sujeto (solo se vuelven a emitir y revocar los certificados de atributo).
Punto importante : dado que la relación entre un certificado de atributo y un certificado de clave pública está determinada por un enlace en el certificado de atributo, y no al revés, los centros de atributos pueden crearse, si es necesario, por separado de la autoridad de certificación y el registro de certificados. Por lo tanto, una empresa que utiliza una clave externa de infraestructura de clave pública (PKI) puede crear su propia autoridad de atributos para especificar funciones y permisos para las personas registradas en la PKI.
La principal diferencia entre PMI y PKI es que PKI administra certificados de clave pública, mientras que PMI administra certificados de atributos. PMI es más un complemento de la infraestructura de clave pública que una parte de ella. El certificado de clave pública es responsable de la autenticación del usuario , confirmación de identidad (se puede comparar con el pasaporte del sujeto), y el certificado de atributo es para su autorización , confirmación de derechos (se puede comparar con una visa). Además, las CA suelen tener un período de validez más corto que los certificados personales.
En general, los objetos que componen estas dos infraestructuras son de naturaleza similar, como se puede apreciar en el cuadro de correspondencia:
| Infraestructura de gestión de privilegios | Infraestructura de Clave Pública |
|---|---|
| Certificado de atributo | certificado de clave pública |
| Fuente de confianza | CA raíz |
| centro de atributos | Centro de verificación |
| Usuarios de certificados de atributo | Usuarios de certificados de clave pública |
| fiesta de confianza | fiesta de confianza |
| Clientela | Clientela |
| Repositorios
(CARL-Lista de Revocación de Autoridad Certificadora) |
Repositorios
(CRL-Lista de Revocación de Certificados) |
Por el momento, existen varios esquemas para usar PMI para la autorización de usuarios
El propietario del archivo configura listas de acceso para un recurso en particular. Esto se puede hacer, por ejemplo, usando listas de control de acceso.En el concepto de PMI, estas listas se especifican usando un AS, cada atributo del cual describe una serie de derechos de usuario. Al acceder posteriormente a este recurso, el sistema lee el AS del usuario, comprobando si tiene privilegios de lectura/edición/ejecución, y dependiendo de si el usuario tiene derechos de acceso, permite o prohíbe la acción.
Cada recurso tiene una etiqueta que determina el nivel de acceso al mismo (importancia especial, alto secreto, secreto...). Cada usuario tiene un AS. El sistema permite al usuario el acceso a la información, cuyo nivel de secreto a la hora de trabajar no supere el nivel de acceso prescrito en el SA.
El modelo de control de acceso más avanzado. Según ella, hay dos tipos de hablantes:
Cuando se accede, el sistema analiza qué roles tiene el usuario, en función de los ASNR que tiene. Cada ANSR está asociado con un ASOR, que define explícitamente los derechos de acceso a un recurso en particular.
PERMIS ( Estándares de infraestructura de administración de roles y privilegios en inglés ): estándares para la infraestructura para administrar roles y privilegios.
Es un sistema que utiliza políticas de acceso basadas en certificados de atributos basados en el modelo RBAC.
PERMIS consta de 3 partes principales:
Un sistema que determina si un usuario tiene derechos para acceder a un recurso dado y bajo qué condiciones.
Utiliza el modelo RBAC jerárquico. Esto significa que hay un árbol de grupos, cada una de las hojas tiene sus propios derechos de acceso. El nodo del árbol delega sus derechos a grupos que son hijos en relación con él. Esto simplifica enormemente la administración de la red en su conjunto.
Funciones principales:
Otorga derechos de acceso a usuarios y aplicaciones. Utilizado por una fuente de confianza o una autoridad de atributos. Responsable de emitir nuevos y revocar certificados de atributos antiguos. También asume la responsabilidad de mantener el repositorio de certificados revocados y válidos.
La API fue desarrollada por The Open Group.
Se llama API de Autorización (AZN).
Escrito en lenguaje C.
Basado en la norma ISO 10181-3 .
En una infraestructura de clave pública, si no se puede validar un certificado, el usuario experimenta problemas porque el sistema no lo autentica.
En el caso de la infraestructura de control de acceso, el sistema estará en riesgo. Por ejemplo, incluso si un programa para abrir un documento solicita permisos cuando se ejecuta en la máquina local del usuario, puede abrir el archivo, ignorando estas solicitudes.
En el caso de que un atacante tenga acceso completo al entorno en el que se ejecutan los procesos del sistema, puede obtener acceso al archivo incluso en el caso de un sistema protegido contra copia .
PMI, en ausencia de un canal directo con el usuario, puede delegar derechos para abrir y usar el archivo. Por lo tanto, un atacante puede organizar un ataque en un canal de comunicación o ejecutar una solicitud desde un terminal final con software antivirus instalado .
El AC generalmente está vinculado a un certificado de clave pública, por lo que existe una amenaza de clave pública que compromete la PKI.
La gestión de acceso e identidad es un conjunto de métodos de software y hardware para controlar la información del usuario en una computadora. Esta información son datos que identifican al usuario y describen las acciones que está autorizado a realizar. También contiene controles para cambiar esta información. Por regla general, los objetos de control de este sistema son recursos de red y hardware, así como software.
El objeto de este sistema es la identidad digital . Este es algún tipo de representación de red que incluye datos personales , así como información auxiliar. Hay muchas maneras de proteger y administrar esta información. Por ejemplo, se utilizan ampliamente métodos para cifrar estos datos. El segundo método es un método basado en el almacenamiento de algunos atributos distintivos de los objetos que se procesan. El marco PMI es una implementación privada de este método.
El PMI se describe en los siguientes estándares:
| Certificado | Nombre | Primero adoptado | Última modificación | Válido |
|---|---|---|---|---|
| X.509 | Infraestructura de clave pública (PKIX) [3] | febrero de 2001 | julio de 2006 | Sí |
| ISO/CEI 9594-8 :2014 | Marcos de certificados de atributo y clave pública [4] | agosto de 2001 | Marzo del 2014 | Sí |
| RFC 5755 | Un perfil de certificado de atributo de Internet para la autorización [5] | abril de 2002 | enero 2010 | Sí |
Polyanskaya O. Yu., Gorbatov VS "Infraestructuras de clave pública"
John R. Vacca "Infraestructura de clave pública: creación de aplicaciones y servicios web de confianza"
Carlisle Adams y Robert Zuccherato "Un PMI global para la distribución de contenido electrónico"
Pi-Ju Tsai, Dwen-Ren Tsai, Wen-Pin Tai "Seguridad de intranet mediante certificados de atributo en la infraestructura de gestión de privilegios"
David W Chadwick "Una infraestructura de administración de privilegios basada en roles X.509"
Tadayoshi Kohno y Mark McGovern "Sobre el PMI de contenido global: distribución mejorada de contenido de Internet protegido contra copias"