في مجال أمان الكمبيوتر، تعد شهادة الترخيص ، أو شهادة التفويض مستندًا رقميًا يحتوي على سمات مرتبطة بالمالك من قبل المُصدر. عند استخدام السمات المرتبطة بشكل رئيسي لغرض الترخيص، تسمى AC شهادة الترخيص . حيث تندرج هذه الشهادة تحت الوضع القياسي X.509 . يحدد RFC 5755 كذلك الاستخدام لغرض الترخيص في الإنترنت.
تعمل شهادة الترخيص جنبًا إلى جنب مع شهادة المفتاح العام (PKC). بينما يتم إصدار PKC من قبل سلطة إصدار الشهادات (CA) ويستخدم كدليل على هوية صاحبها مثل جواز السفر ، يتم إصدار شهادة التفويض من قبل سلطة المستندات ( attribute authority AA) ، وتستخدم لتوصف أو تأهيل صاحبها مثل تأشيرة السفر (visa) . نظرًا لأن معلومات الهوية نادراً ما تتغير ولديها فترة صلاحية طويلة في حين تتغير معلومات السمة في كثير من الأحيان أو يكون لها وقت صلاحية قصير، فمن الضروري وجود شهادات منفصلة مع مختلف درجات الأمان وأوقات الصلاحية والمصّدرين. [1]
مقارنة بين السمة وشهادات المفتاح العام
AC يشبه PKC ولكنه لا يحتوي على مفتاح عام لأن مدقق AC يخضع لسيطرة مُصّدر AC ، وبالتالي، يثق في المُصدر مباشرةً من خلال تثبيت المفتاح العام للمصدر مسبقًا. هذا يعني أنه بمجرد اختراق المفتاح الخاص لمصدر AC ،يتوجب على المصدر إنشاء زوج مفاتيح جديد واستبدال المفتاح العام القديم في جميع أجهزة التحقق التي تخضع لتحكمها بالمفتاح الجديد.
التحقق من AC يتطلب وجود لل PKC الذي يشار إليه باسم حامل AC في AC.
مع PKC ، يمكن ربط سلاسل AC بتفويض السمات (delegate attributions ). على سبيل المثال، شهاده الترخيص تنشر لAlice الاذن في استخدام خدمة معينة. تستطيع أليس تفويض هذا الامتياز إلى مساعدها بوب من خلال إرسال AC لPKC بوب. عندما يريد بوب استخدام الخدمة، فإنه يقدم PKC وسلسلة من ACs تبدأ من AC الخاص به الصادر من Alice وبعدها AC Alice's الصادرة عن المُصدر ان الخدمة تثق بها. وبهذه الطريقة، يمكن للخدمة التحقق من قيام Alice بتفويض امتيازها لـ Bob وأن Alice ماذون له باستخدام الخدمة من قبل المُصدر الذي يتحكم في الخدمة. ومع ذلك، لا يوصي RFC 3281 باستخدام سلاسل AC بسبب التعقيد في اداره السلسه ومعالجتها ويوجد استخدام قليل للAC في الانترنت.
استعمال
لاستخدام خدمة أو مصدر يتحكم فيه مصدرAC ، يقدم المستخدم كلاً من PKC و AC إلى جزء من الخدمة أو المصدر وظيفته كمدقق AC. يتحقق المدقق أولاً من هوية المستخدم باستخدام PKC ، على سبيل المثال، عن طريق الطلب من المستخدم فك تشفير رسالة مشفرة بواسطة المفتاح العام للمستخدم في PKC. إذا نجحت المصادقة، المدقق سيستخدم المفتاح العام المثبت مسبقًا لمصدرAC للتحقق من صلاحيه AC المقدَّمة. إذا كانت AC صالحة، المدقق سيقوم بالتحقق من مطابقة PKC المحددة في AC أو عدم تطابقها مع PKC المقدم. إذا تطابق، فسيقوم المدقق بالتحقق من فترة صلاحية AC. إذا كانت AC لا تزال صالحة، المدقق يستطيع اجراء عمليات فحص إضافية قبل تقديم المستخدم مستوى معين من الخدمة أو استخدام المصادر تبعا للسمات الموجودة في AC.
على سبيل المثال، مطوربرامج لديه PKC سابقا يريد نشر برنامجه في جهاز حوسبة استخدم DRM مثل iPad حيث ان البرنامج يمكن تشغيله في الجهاز بعد ما يتم الموافقة عليه من قبل الشركة المصنعة للجهاز. يقوم مطوالبرنامج بتوقيع البرنامج بالمفتاح الخاص لـ PKC ويرسل البرنامج الموقع إلى الشركة المصنعة للجهاز للموافقة عليه. بعد مصادقة المطور باستخدام PKC ومراجعة البرنامج، صاحب العمل قد يقرر إصدار AC يمنح البرنامج القدرة الأساسية على تثبيت نفسه وتنفيذه بالإضافة إلى إمكانية إضافية لاستخدام جهاز Wi-Fi تبعا لمبدأ الأقل امتياز. في هذا المثال، لا تشير AC إلى PKC للمطور كمالك بل إلى البرنامج، على سبيل المثال، عن طريق تخزين توقيع المطور للبرنامج في مجال صاحب AC. عند وضع البرنامج في جهاز الحوسبة، سيتحقق الجهاز من سلامة البرنامج باستخدام PKC للمطور قبل التحقق من صلاحية AC ومنح البرنامج إمكانية الوصول إلى وظائف الجهاز
قد يحتاج المستخدم أيضًا إلى الحصول على العديد من AC من جهات إصدار مختلفة لاستخدام خدمة معينة. على سبيل المثال، الشركة تعطي أحد موظفيها AC على مستوى الشركة يحدد القسم الهندسي كمساحه عمل. للوصول إلى البيانات الهندسية، ومع ذلك، يحتاج الموظف أيضًا إلى تصريح امني AC من رئيس قسم الهندسة. في هذا المثال، مصدر البيانات الهندسية يحتاج ان يكون مثبت مسبقًا بالمفاتيح العامة لكل من نطاق الشركة والجهة المصدرة AC قسم الهندسة.
محتويات شهادة السمة النموذجية
الإصدار : إصدار الشهادة.
المالك : صاحب الشهادة.
المُصدر : مُصدر الشهادة.
خوارزمية التوقيع : الخوارزمية التي يتم بها توقيع الشهادة
الرقم التسلسلي : رقم الإصدار الفريد الذي قدمه المُصدر.
فترة الصلاحية : فترة صلاحية الشهادة.
السمات : السمات المرتبطة بصاحب الشهادة.
قيمة التوقيع : توقيع المُصدرعلى كامل البيانات اللي فوق.
فوائد
باستخدام شهادة الترخيص (AC)، الخدمة أو مضيف المصدر لا تحتاج إلى الاحتفاظ بقائمة تحكم الوصول التي يحتمل أن تكون كبيرة أو تكون متصلاً دائمًا بشبكة من اجل الوصول إلى خادم مركزي مثل عند استخدام Kerberos . هي تشبه فكرة القدرات في الإذن (أو الأذونات) لاستخدام خدمة أومصدرغير مخزنه في الخدمة أو المصدر نفسه ولكن في المستخدمين الذين يستخدمون آلية tamper resistance .
مقالات ذات صلة
- شهادة المفتاح العام
- لغة ترميز التأكيد الأمني
- لغو
- Voms
المراجع
- Farrell, S.; Housley, R. "An Internet Attribute Certificate Profile or Authorization".
روابط خارجية
- وثائق شهادة SPKI / SDSI
- e-sign ، e-imza ، tr أيضا لشهادة اللغة الإنجليزية المؤهلة الإلكترونية