Untitled Document

RELAÇÕES ENTRE AUTORIDADE DE ATRIBUTOS, FONTE DE AUTORIDADE E AUTORIDADE CERTIFICADORA

As Recomendações X.509 especificam de maneira simplificada as diferentes maneiras em que as entidades se relacionam e os ambientes em que podem ser encontradas. A Autoridade de Atributos (AA) e Autoridade de Certificação (CA) são logicamente (e, em muitos casos, fisicamente) completamente independentes. Como elas são independentes e a responsabilidade pela criação e manuntenção das "identidades" é através de uma ICP, então para que haja o estabelecimento de uma IGP é necessário que tenha uma ICP estabelecida e em funcionamento num mesmo dominio.

A AC, embora seja a fonte de autoridade para a identidade dentro do seu domínio, não é automaticamente a fonte de autoridade para o privilégio. A AC, portanto, não necessariamente é uma AA e, por conseqüência, não será necessariamente responsável pela decisão sobre quais outras entidades serão capazes de funcionar como AA (por exemplo, incluindo tal designação em seus certificados de identidade).

A Fonte de Autoridade (FA) é a entidade que tem a confiança de um verificador de privilégios como a entidade final que tem a responsabilidade para a atribuição de um conjunto de privilégios. Uma FA é em si uma AA, uma vez que emite certificados a outras entidades no qual os privilégios são atribuídos a essas entidades. É a entidade raiz em um sistema hierárquico de entidades.

Relação entre Autoridades

Estas entidades podem estar relacionadas de diferentes maneiras:

Em muitos casos, todos os privilégios serão atribuídos diretamente a uma entidade individual por uma única AA, ou seja, a FA.
Em algumas situações pode ser necessário para uma AA emitir privilégios para um grupo de entidades que compartilham uma propriedade comum, por exemplo, um conjunto de servidores web ou de uma equipe de pessoas, ao invés de uma única entidade.
Outra característica opcional é o apoio da delegação do privilégio. Se a delegação for feita, a FA atribui privilégio a uma entidade que é permitida para atuar também como uma AA e ainda delegar privilégio. A delegação pode continuar através de várias AAs intermediárias até que seja finalmente atribuído a uma entidade final que não pode mais delegar esse privilégio.
Em alguns ambientes, a mesma entidade física pode atuar como AA e AC. Este duplo papel para a mesma entidade física é sempre quando o privilégio é transmitido dentro de uma extensão de um certificado de chave pública (subjectDirectoryAttributes). Em outros ambientes, entidades separadas fisicamente atuando como ACs e AAs, o privilégio é atribuído através de certificados de atributo em vez de certificados de chave pública.

Infraestrutura de Gerenciamento de Privilégios || Relações entre Autoridades || Conclusão