基本介紹
- 中文名:授權憑證
- 外文名:Authorization certificate
- 縮寫:AC
- 領域:計算機安全
- 又稱:屬性憑證
簡介,屬性和公鑰證書的比較,使用方法,一個典型授權憑證的內容,套用,
簡介
授權證書與公鑰證書(PKC)一起使用。 雖然PKC由證書頒發機構(CA)頒發,並且用作持有者身份證明,如護照,但授權證書由屬性機構(AA)頒發,用於表征或授權其持有者,如 簽證。 由於身份信息很少變化且有效時間長,而屬性信息經常變化或者有效時間短,因此需要具有不同安全性,有效性和發布者的單獨證書。
屬性和公鑰證書的比較
AC類似於PKC但不包含公鑰,因為AC驗證者處於AC發行者的控制之下,因此通過預先安裝發行者的公鑰來直接信任發行者。這意味著一旦AC發行者的私鑰被泄露,發行者就必須生成新的密鑰對,並將其控制下的所有驗證者中的舊公鑰替換為新的公鑰。
AC的驗證需要存在在AC中稱為AC持有者的PKC。
與PKC一樣,AC可以連結到委託歸屬。例如,為Alice頒發的授權證書授權她使用特定服務。 Alice可以通過為Bob的PKC發布AC來將此許可權委託給她的助理Bob。當Bob想要使用該服務時,他會從他自己的AC發行的他的AC開始他的PKC和一連串AC,然後由服務信任的發行人發行的Alice的AC。以這種方式,服務可以驗證Alice已將她的特權委託給Bob並且Alice已被授權使用控制服務的發行方的服務。但是,RFC 3281不建議使用AC鏈,因為管理和處理鏈的複雜性,並且在Internet中幾乎沒有使用AC。
使用方法
為了使用AC的發布者控制的服務或資源,用戶將PKC和AC都呈現給作為AC驗證者的服務或資源的一部分。驗證者將首先使用PKC檢查用戶的身份,例如,通過要求用戶解密由PKC中的用戶的公鑰加密的訊息。如果驗證成功,驗證者將使用AC發行者的預安裝公鑰來檢查所呈現的AC的有效性。如果AC有效,驗證者將檢查AC中指定的PKC是否與提供的PKC匹配。如果匹配,驗證者將檢查AC的有效期。如果AC仍然有效,則驗證者可以在根據AC中包含的屬性向用戶提供特定級別的服務或資源使用之前執行附加檢查。
例如,已經擁有PKC的軟體開發人員希望將其軟體部署在採用DRM(如iPad)的計算設備中,其中軟體只能在設備製造商批准軟體後才能在設備中運行。軟體開發人員使用PKC的私鑰對軟體進行簽名,並將簽名的軟體傳送給設備製造商進行審批。在使用PKC驗證開發人員並查看軟體之後,製造商可以決定發布AC,授予軟體自身安裝和執行的基本能力以及遵循最小原則使用Wi-Fi設備的附加能力。特權。在該示例中,AC不將開發者的PKC稱為持有者,而是指軟體,例如,通過將開發者的軟體簽名存儲在AC的持有者欄位中。當將軟體放入計算設備時,設備將在檢查AC的有效性並授予軟體訪問設備功能之前使用開發者的PKC驗證軟體的完整性。
用戶還可能需要從不同的發行者獲得幾個AC以使用特定服務。例如,公司為其員工之一提供公司範圍的AC,將工程部門指定為工作區域。但是,要訪問工程數據,員工還需要工程部門負責人的安全許可AC。在此示例中,工程數據資源需要預先安裝公司範圍和工程部門AC發布者的公鑰。
一個典型授權憑證的內容
Version:證書的版本。
Holder:證書持有人。
Issuer:證書的發行人。
Signature algorithm:證書籤名的算法。
Serial number:發行人給出的單獨發行號。
Validity period:證書的有效期。
Attributes:與證書持有者關聯的屬性。
Signature value:發行人對上述整個數據的簽名。
套用
基於授權憑證的跨域授權技術
1.建立了關注於多信任域工作模式的憑證隱私保護框架。該框架包括多域工作模式下憑證隱私信息的分類、分散式平台之間信任根的建立、平台間的憑證收集與互動方式。通過多域工作模式下憑證隱私保護框架的建立,總結出憑證隱私保護的一般研究內容。
2.研究了信任域內部的授權模型。針對當前傳統模型在描述能力方面的不足和隱私保護技術對授權模型的改進需求,提出了一個基於屬性的信任域內授權模型,通過結合主體與客體屬性實現靈活的域內許可權分配與判定,提供了一個防主體隱私泄露的域內授權框架,並可容納多種現有的訪問控制策略;實現了對本域內多層次多維度的屬性繼承和授權模式的形式化表達,支持域管理員精確描述域內資源受到的策略保護。
3.研究了前後向憑證的隱私保護方法。首先利用可信計算技術提供的安全封裝功能保護帶有隱私敏感信息的憑證,以硬體晶片TPM/TCM為信任根確保各平台中運行的計算單元安全、未被篡改。然後將收集憑證的模式改變為以憑證鏈中的多個相關憑證推演組合為基本單位。各個參與方通過對收集到的憑證推演組合進行邏輯計算實現憑證鏈的收集與擴展,有效防止了前後向憑證隱私泄露的發生。
4.提出了一個防路徑隱私泄露的授權委託模型PPP_ADM。該模型以屬性集合作為實體自身的代表進行授權,將許可權的傳遞與權力的委託均建立於實體所具有的屬性集合的基礎之上,有效克服了傳統跨域模型中基於實體標識的授權方式會暴露資源請求者授權路徑的缺陷,為授權路徑隱私保護研究提供了良好的模型基礎。
5.基於多信任域憑證隱私保護框架和PPP_ADM模型,提出了基於可信計算的授權路徑隱私保護框架,利用憑證鏈生成單元CCCU作為各平台憑證運算的基本單元,實現了對憑證鏈中具有憑證路徑隱私關聯性的所有憑證進行推演組合與邏輯計算的功能;利用可信計算晶片為信任根確保憑證鏈生成單元的完整可信,保證了多信任域環境下隱私保護機制的安全性和有效性。
2.研究了信任域內部的授權模型。針對當前傳統模型在描述能力方面的不足和隱私保護技術對授權模型的改進需求,提出了一個基於屬性的信任域內授權模型,通過結合主體與客體屬性實現靈活的域內許可權分配與判定,提供了一個防主體隱私泄露的域內授權框架,並可容納多種現有的訪問控制策略;實現了對本域內多層次多維度的屬性繼承和授權模式的形式化表達,支持域管理員精確描述域內資源受到的策略保護。
3.研究了前後向憑證的隱私保護方法。首先利用可信計算技術提供的安全封裝功能保護帶有隱私敏感信息的憑證,以硬體晶片TPM/TCM為信任根確保各平台中運行的計算單元安全、未被篡改。然後將收集憑證的模式改變為以憑證鏈中的多個相關憑證推演組合為基本單位。各個參與方通過對收集到的憑證推演組合進行邏輯計算實現憑證鏈的收集與擴展,有效防止了前後向憑證隱私泄露的發生。
4.提出了一個防路徑隱私泄露的授權委託模型PPP_ADM。該模型以屬性集合作為實體自身的代表進行授權,將許可權的傳遞與權力的委託均建立於實體所具有的屬性集合的基礎之上,有效克服了傳統跨域模型中基於實體標識的授權方式會暴露資源請求者授權路徑的缺陷,為授權路徑隱私保護研究提供了良好的模型基礎。
5.基於多信任域憑證隱私保護框架和PPP_ADM模型,提出了基於可信計算的授權路徑隱私保護框架,利用憑證鏈生成單元CCCU作為各平台憑證運算的基本單元,實現了對憑證鏈中具有憑證路徑隱私關聯性的所有憑證進行推演組合與邏輯計算的功能;利用可信計算晶片為信任根確保憑證鏈生成單元的完整可信,保證了多信任域環境下隱私保護機制的安全性和有效性。
