Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI) — инфраструктура, позволяющая связать сертификаты PKI с предоставлением каких-либо привилегий и полномочий. Для PMI используется выпуск атрибутных сертификатов, связывающих данный сертификат PKI с каким-либо набором привилегий и/или полномочий.
PMI является инфраструктурой, которая существует наряду PKI, а не как часть PKI.
Главным отличием PMI от PKI состоит в том, что PKI управляет сертификатами открытых ключей, а PMI — атрибутными сертификатами. Сертификат открытого ключа можно сравнить с паспортом субъекта, а атрибутный сертификат — с визой, первый обеспечивает идентификацию личности, а второй дает определенное разрешение. Кроме того, атрибутные сертификаты обычно имеют меньший срок действия, чем личные сертификаты.
Объекты PMI:
Необходимость появления атрибутных сертификатов связывается с более частым изменением прав/полномочий субъекта сертификата, чем данных о нем (смена должности, изменение круга должностных обязанностей, временная авторизация на веб-сервере и т. д.). Благодаря наличию атрибутных сертификатов есть возможность менять полномочия субъекта без перевыпуска сертификата субъекта (перевыпускаются и отзываются только атрибутные сертификаты).
Важный момент: так как связь атрибутного сертификата и сертификата открытого ключа определяется ссылкой именно в атрибутном сертификате, а не наоборот, то атрибутные центры можно создавать по необходимости отдельно от удостоверяющего центра и реестра сертификатов. Таким образом, компания, использующая внешний PKI, может создать свой АЦ для указания ролей и полномочий лицам, зарегистрированных в PKI.
PMI описывается в стандартах ISO/IEC 9594-8:2005. Архивировано из первоисточника 19 мая 2012.
Это заготовка статьи по криптографии. Вы можете помочь проекту, исправив и дополнив её. |
Инфраструктура управления привилегиями.