Механизмы создания и обработки политики полномочий

Механизмы создания и обработки политики полномочий

Поддерживаемый PKI сервис управления полномочиями зависит от существования политик, которые описывают определенные полномочия отдельных индивидов, групп или ролей (должностей). Простой пример - список управления доступом, который перечисляет решения по предоставлению или лишению полномочий в соответствии с именами субъектов или ролями. В основном политики полномочий задаются при помощи логических выражений, определяющих точные условия, в соответствии с которыми предъявляющий права может их реализовать под контролем проверяющего. Эти выражения могут включать временные ограничения любой сложности (например, последний вторник каждого второго месяца от 9⁰⁰ до 13⁰⁰), а также любые другие условия использования полномочий. Такие сложные выражения для политики полномочий требуют наличия соответствующих механизмов их формирования и редактирования.

Политика полномочий должна быть не только разработана и отредактирована, но и обработана и воспринята механизмом верификации некоторого вида (иногда называемым точкой принятия решений о политике ) в момент запроса субъектом доступа к некоторому ресурсу. То есть точка принятия решения о политике использует политику полномочий как закон, согласно которому принимается или отвергается запрос субъекта на доступ к ресурсу или сервису. Для восприятия политики полномочий компьютером необходим формальный язык спецификации политики (например, язык eXtensible Access Control Markup Language - XACML или Annex D стандарта X.509) [44]. Важным требованием общих инфраструктур управления полномочиями являются механизмы, которые могут интерпретировать закодированные политики и действовать в соответствии с ними.