Механизмы инфраструктуры управления полномочиями
Механизмы инфраструктуры управления полномочиями
Существует ряд механизмов реализации инфраструктуры управления полномочиями (Privilege Management Infrastructure - PMI). Они делятся на три категории:
* механизмы на базе Kerberos [135], такие как SESAME (a Secure European System for Applications in a Multi-vendor Environment) [125] и DCE (Distributed Computing Environment) [71];
* механизмы, базирующиеся на концепции сервера политики, то есть центрального сервера, который создает, поддерживает и проверяет политику полномочий для индивидов, групп и ролей;
* механизмы, основанные на атрибутных сертификатах, которые подобны сертификатам, определенным в стандарте X.509 и языке Security Assertion Markup Language (SAML) [111]. Атрибутный сертификат аналогичен сертификату с открытым ключом, но связывает идентификационные данные субъекта не с открытым ключом, а с информацией о полномочиях или правах субъекта.
Все три механизма имеют своих сторонников и противников, так как обладают как определенными преимуществами, так и недостатками [58]. Схемы Kerberos, основанные на симметричных ключах, характеризуются высокой производительностью, но в то же время более сложным управлением ключами и недублированной точкой возможного отказа. Схемы сервера политики сильно централизованы, имеют одну точку администрирования, но достаточно высокие издержки связи. Схемы атрибутных сертификатов могут быть полностью распределенными и поэтому обладают высокой устойчивостью к отказам, но их производительность невысока, особенно если для верификации сертификатов требуются операции с открытыми ключами.
Каждый механизм PMI может успешно применяться в одних условиях и быть неэффективным в других. Так, например, технология, основанная на Kerberos, может быть лучшим вариантом выбора в среде, где обрабатывается большое количество транзакций в режиме реального времени. Архитектура на базе сервера политики больше подходит для географически локализованных сред с сильным централизованным управлением. И, наконец, технологию атрибутных сертификатов следует предпочесть для межкорпоративной авторизации, которая необходима для поддержки сервиса неотказуемости. Иногда возможно использование двух механизмов, каждый из которых поддерживает определенный набор функций PMI.
Из всех перечисленных механизмов PMI технология атрибутных сертификатов теснее всего связана с использованием PKI, так как АС может быть подписан цифровым образом или содержать зашифрованные атрибуты. Все три механизма могут быть реализованы как дополнительные сервисы PKI, однако авторизация обычно связана с аутентификацией, и каждый механизм может работать с сервисом аутентификации PKI.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Механизмы
Механизмы Передача прав администрирования, или смена администратора домена, и есть базовый механизм, лежащий в основе вторичного рынка. Другими словами, вторичный рынок не мог бы возникнуть, если бы не существовало формально-юридических процедур, позволяющих
Будущее инфраструктуры тестирования
Будущее инфраструктуры тестирования Инфраструктура тестирования в Google все еще клиентская. Множество тестов Selenium и WebDriver, написанных на Java или Python, хранится в репозитории, собирается и разворачивается на выделенных виртуальных машинах с помощью shell-скриптов.
Инфраструктуры открытых ключей (PKI)
Инфраструктуры открытых ключей (PKI) PKI, как и простой сервер-депозитарий, имеет базу данных для хранения сертификатов, но, в то же время, предоставляет сервисы и протоколы по управлению открытыми ключами. В них входят возможности выпуска (издания), отзыва (аннулирования) и
Подготовка плана инфраструктуры SAP
Подготовка плана инфраструктуры SAP Цель планирования инфраструктуры — обеспечение минимизации простоев и оптимизация оперативности реакции для достижения идеально сбалансированного отношения между затратами и рабочей производительностью системы. Благодаря
ГЛABA 4 Механизмы управления
ГЛABA 4 Механизмы управления B этой главе описываются три фундаментальных механизма Microsoft Windows, критически важных для управления системой и ее конфигурирования:• реестр;• сервисы;• Windows Management Instrumentation (Инструментарий управления Windows).РеестрРеестр играет ключевую роль в
ГЛАВА 5 СОЗДАНИЕ И НАСТРОЙКА СИСТЕМНОЙ ИНФРАСТРУКТУРЫ
ГЛАВА 5 СОЗДАНИЕ И НАСТРОЙКА СИСТЕМНОЙ ИНФРАСТРУКТУРЫ Надежная работа производственной системы с оптимальной производительностью является одной из наиболее важных задач системного администратора. Другой жизненно важной задачей является исключение проблем, которые
Инфраструктуры открытых ключей
Инфраструктуры открытых ключей Полянская Ольга ЮрьевнаИнтернет-университет информационных технологий -
Концепция инфраструктуры безопасности
Концепция инфраструктуры безопасности Важным фундаментом доверия в сфере электронных коммуникаций является поддержка инфраструктуры безопасности. Инфраструктура может рассматриваться как базис некоторой масштабной среды. Всем известны такие инфраструктуры, как
Уровни инфраструктуры
Уровни инфраструктуры Рассмотрим уровни инфраструктуры безопасности (рис. 1.1). Простейший уровень, находящийся внизу, - это физический уровень. Принимая во внимание ограниченное число рисков, связанных с физическими атаками, этот уровень защищать проще, чем другие.
Цель и сервисы инфраструктуры безопасности
Цель и сервисы инфраструктуры безопасности Главная цель инфраструктуры безопасности состоит в обеспечении безопасной работы приложений. Если проводить аналогию с функционированием инфраструктуры электросетей, то можно сказать, что электросеть обеспечивает
Управление полномочиями
Управление полномочиями Управление полномочиями - это общий термин для таких понятий, как авторизация, контроль доступа, управление правами, управление разрешениями, управление возможностями и т.п. В определенной среде для конкретных субъектов или групп субъектов