授权凭证(英语:Authorization certificate,缩写为 AC),又称属性凭证(attribute certificate)是一种数位文件,其中的内容,包括了由发行者签署,赋与凭证所有者的属性资料。当相关属性资料都是与授权有关时,这类文件就称为授权凭证。这类文件由X.509进行标准化。RFC 5755则特别规范了在互联网上使用的授权凭证标准。
简介授权证书与公钥证书(PKC)一起使用。 虽然PKC由证书颁发机构(CA)颁发,并且用作持有者身份证明,如护照,但授权证书由属性机构(AA)颁发,用于表征或授权其持有者,如 签证。 由于身份信息很少变化且有效时间长,而属性信息经常变化或者有效时间短,因此需要具有不同安全性,有效性和发布者的单独证书。
属性和公钥证书的比较AC类似于PKC但不包含公钥,因为AC验证者处于AC发行者的控制之下,因此通过预先安装发行者的公钥来直接信任发行者。这意味着一旦AC发行者的私钥被泄露,发行者就必须生成新的密钥对,并将其控制下的所有验证者中的旧公钥替换为新的公钥。
AC的验证需要存在在AC中称为AC持有者的PKC。
与PKC一样,AC可以链接到委托归属。例如,为Alice颁发的授权证书授权她使用特定服务。 Alice可以通过为Bob的PKC发布AC来将此权限委托给她的助理Bob。当Bob想要使用该服务时,他会从他自己的AC发行的他的AC开始他的PKC和一连串AC,然后由服务信任的发行人发行的Alice的AC。以这种方式,服务可以验证Alice已将她的特权委托给Bob并且Alice已被授权使用控制服务的发行方的服务。但是,RFC 3281不建议使用AC链,因为管理和处理链的复杂性,并且在Internet中几乎没有使用AC。1
使用方法为了使用AC的发布者控制的服务或资源,用户将PKC和AC都呈现给作为AC验证者的服务或资源的一部分。验证者将首先使用PKC检查用户的身份,例如,通过要求用户解密由PKC中的用户的公钥加密的消息。如果验证成功,验证者将使用AC发行者的预安装公钥来检查所呈现的AC的有效性。如果AC有效,验证者将检查AC中指定的PKC是否与提供的PKC匹配。如果匹配,验证者将检查AC的有效期。如果AC仍然有效,则验证者可以在根据AC中包含的属性向用户提供特定级别的服务或资源使用之前执行附加检查。
例如,已经拥有PKC的软件开发人员希望将其软件部署在采用DRM(如iPad)的计算设备中,其中软件只能在设备制造商批准软件后才能在设备中运行。软件开发人员使用PKC的私钥对软件进行签名,并将签名的软件发送给设备制造商进行审批。在使用PKC验证开发人员并查看软件之后,制造商可以决定发布AC,授予软件自身安装和执行的基本能力以及遵循最小原则使用Wi-Fi设备的附加能力。特权。在该示例中,AC不将开发者的PKC称为持有者,而是指软件,例如,通过将开发者的软件签名存储在AC的持有者字段中。当将软件放入计算设备时,设备将在检查AC的有效性并授予软件访问设备功能之前使用开发者的PKC验证软件的完整性。
用户还可能需要从不同的发行者获得几个AC以使用特定服务。例如,公司为其员工之一提供公司范围的AC,将工程部门指定为工作区域。但是,要访问工程数据,员工还需要工程部门负责人的安全许可AC。在此示例中,工程数据资源需要预先安装公司范围和工程部门AC发布者的公钥。
一个典型授权凭证的内容Version:证书的版本。
Holder:证书持有人。
Issuer:证书的发行人。
Signature algorithm:证书签名的算法。
Serial number:发行人给出的单独发行号。
Validity period:证书的有效期。
Attributes:与证书持有者关联的属性。
Signature value:发行人对上述整个数据的签名。
应用基于授权凭证的跨域授权技术
1.建立了关注于多信任域工作模式的凭证隐私保护框架。该框架包括多域工作模式下凭证隐私信息的分类、分布式平台之间信任根的建立、平台间的凭证收集与交互方式。通过多域工作模式下凭证隐私保护框架的建立,总结出凭证隐私保护的一般研究内容。
2.研究了信任域内部的授权模型。针对当前传统模型在描述能力方面的不足和隐私保护技术对授权模型的改进需求,提出了一个基于属性的信任域内授权模型,通过结合主体与客体属性实现灵活的域内权限分配与判定,提供了一个防主体隐私泄露的域内授权框架,并可容纳多种现有的访问控制策略;实现了对本域内多层次多维度的属性继承和授权模式的形式化表达,支持域管理员精确描述域内资源受到的策略保护。
3.研究了前后向凭证的隐私保护方法。首先利用可信计算技术提供的安全封装功能保护带有隐私敏感信息的凭证,以硬件芯片TPM/TCM为信任根确保各平台中运行的计算单元安全、未被篡改。然后将收集凭证的模式改变为以凭证链中的多个相关凭证推演组合为基本单位。各个参与方通过对收集到的凭证推演组合进行逻辑计算实现凭证链的收集与扩展,有效防止了前后向凭证隐私泄露的发生。
4.提出了一个防路径隐私泄露的授权委托模型PPP_ADM。该模型以属性集合作为实体自身的代表进行授权,将权限的传递与权力的委托均建立于实体所具有的属性集合的基础之上,有效克服了传统跨域模型中基于实体标识的授权方式会暴露资源请求者授权路径的缺陷,为授权路径隐私保护研究提供了良好的模型基础。
5.基于多信任域凭证隐私保护框架和PPP_ADM模型,提出了基于可信计算的授权路径隐私保护框架,利用凭证链生成单元CCCU作为各平台凭证运算的基本单元,实现了对凭证链中具有凭证路径隐私关联性的所有凭证进行推演组合与逻辑计算的功能;利用可信计算芯片为信任根确保凭证链生成单元的完整可信,保证了多信任域环境下隐私保护机制的安全性和有效性。2
本词条内容贡献者为:
王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所