شهادة ترخيص

في مجال أمان الكمبيوتر، تعد شهادة الترخيص، أو شهادة التفويض مستندًا رقميًا يحتوي على سمات مرتبطة بالمالك من قبل المُصدر. عند استخدام السمات المرتبطة بشكل رئيسي لغرض الترخيص، تسمى AC شهادة الترخيص. حيث تندرج هذه الشهادة تحت الوضع القياسي X.509. يحدد RFC 5755 كذلك الاستخدام لغرض الترخيص في الإنترنت.

تعمل شهادة الترخيص جنبًا إلى جنب مع شهادة المفتاح العام (PKC). بينما يتم إصدار PKC من قبل سلطة إصدار الشهادات (CA) ويستخدم كدليل على هوية صاحبها مثل جواز السفر، يتم إصدار شهادة التفويض من قبل سلطة المستندات (attribute authority AA)، وتستخدم لتوصف أو تأهيل صاحبها مثل تأشيرة السفر (visa). نظرًا لأن معلومات الهوية نادراً ما تتغير ولديها فترة صلاحية طويلة في حين تتغير معلومات السمة في كثير من الأحيان أو يكون لها وقت صلاحية قصير، فمن الضروري وجود شهادات منفصلة مع مختلف درجات الأمان وأوقات الصلاحية والمصّدرين.^[1]

مقارنة بين السمة وشهادات المفتاح العام عدل

AC يشبه PKC ولكنه لا يحتوي على مفتاح عام لأن مدقق AC يخضع لسيطرة مُصّدر AC، وبالتالي، يثق في المُصدر مباشرةً من خلال تثبيت المفتاح العام للمصدر مسبقًا. هذا يعني أنه بمجرد اختراق المفتاح الخاص لمصدر AC، يتوجب على المصدر إنشاء زوج مفاتيح جديد واستبدال المفتاح العام القديم في جميع أجهزة التحقق التي تخضع لتحكمها بالمفتاح الجديد.

التحقق من AC يتطلب وجود لل PKC الذي يشار إليه باسم حامل AC في AC.

مع PKC، يمكن ربط سلاسل AC بتفويض السمات (delegate attributions). على سبيل المثال، شهاده الترخيص تنشر لAlice الاذن في استخدام خدمة معينة. تستطيع أليس تفويض هذا الامتياز إلى مساعدها بوب من خلال إرسال AC لPKC بوب. عندما يريد بوب استخدام الخدمة، فإنه يقدم PKC وسلسلة من ACs تبدأ من AC الخاص به الصادر من Alice وبعدها AC Alice's الصادرة عن المُصدر ان الخدمة تثق بها. وبهذه الطريقة، يمكن للخدمة التحقق من قيام Alice بتفويض امتيازها لـ Bob وأن Alice ماذون له باستخدام الخدمة من قبل المُصدر الذي يتحكم في الخدمة. ومع ذلك، لا يوصي RFC 3281 باستخدام سلاسل AC بسبب التعقيد في اداره السلسه ومعالجتها ويوجد استخدام قليل للAC في الإنترنت.

استعمال عدل

لاستخدام خدمة أو مصدر يتحكم فيه مصدرAC، يقدم المستخدم كلاً من PKC و AC إلى جزء من الخدمة أو المصدر وظيفته كمدقق AC. يتحقق المدقق أولاً من هوية المستخدم باستخدام PKC، على سبيل المثال، عن طريق الطلب من المستخدم فك تشفير رسالة مشفرة بواسطة المفتاح العام للمستخدم في PKC. إذا نجحت المصادقة، المدقق سيستخدم المفتاح العام المثبت مسبقًا لمصدرAC للتحقق من صلاحيه AC المقدَّمة. إذا كانت AC صالحة، المدقق سيقوم بالتحقق من مطابقة PKC المحددة في AC أو عدم تطابقها مع PKC المقدم. إذا تطابق، فسيقوم المدقق بالتحقق من فترة صلاحية AC. إذا كانت AC لا تزال صالحة، المدقق يستطيع إجراء عمليات فحص إضافية قبل تقديم المستخدم مستوى معين من الخدمة أو استخدام المصادر تبعا للسمات الموجودة في AC.

على سبيل المثال، مطوربرامج لديه PKC سابقا يريد نشر برنامجه في جهاز حوسبة استخدم DRM مثل iPad حيث ان البرنامج يمكن تشغيله في الجهاز بعد ما يتم الموافقة عليه من قبل الشركة المصنعة للجهاز. يقوم مطوالبرنامج بتوقيع البرنامج بالمفتاح الخاص لـ PKC ويرسل البرنامج الموقع إلى الشركة المصنعة للجهاز للموافقة عليه. بعد مصادقة المطور باستخدام PKC ومراجعة البرنامج، صاحب العمل قد يقرر إصدار AC يمنح البرنامج القدرة الأساسية على تثبيت نفسه وتنفيذه بالإضافة إلى إمكانية إضافية لاستخدام جهاز Wi-Fi تبعا لمبدأ الأقل امتياز. في هذا المثال، لا تشير AC إلى PKC للمطور كمالك بل إلى البرنامج، على سبيل المثال، عن طريق تخزين توقيع المطور للبرنامج في مجال صاحب AC. عند وضع البرنامج في جهاز الحوسبة، سيتحقق الجهاز من سلامة البرنامج باستخدام PKC للمطور قبل التحقق من صلاحية AC ومنح البرنامج إمكانية الوصول إلى وظائف الجهاز

قد يحتاج المستخدم أيضًا إلى الحصول على العديد من AC من جهات إصدار مختلفة لاستخدام خدمة معينة. على سبيل المثال، الشركة تعطي أحد موظفيها AC على مستوى الشركة يحدد القسم الهندسي كمساحه عمل. للوصول إلى البيانات الهندسية، ومع ذلك، يحتاج الموظف أيضًا إلى تصريح أمني AC من رئيس قسم الهندسة. في هذا المثال، مصدر البيانات الهندسية يحتاج ان يكون مثبت مسبقًا بالمفاتيح العامة لكل من نطاق الشركة والجهة المصدرة AC قسم الهندسة.

محتويات شهادة السمة النموذجية عدل

الإصدار: إصدار الشهادة.
المالك: صاحب الشهادة.
المُصدر: مُصدر الشهادة.
خوارزمية التوقيع: الخوارزمية التي يتم بها توقيع الشهادة
الرقم التسلسلي: رقم الإصدار الفريد الذي قدمه المُصدر.
فترة الصلاحية: فترة صلاحية الشهادة.
السمات: السمات المرتبطة بصاحب الشهادة.
قيمة التوقيع: توقيع المُصدر على كامل البيانات اللي فوق.

فوائد عدل

باستخدام شهادة الترخيص (AC)، الخدمة أو مضيف المصدر لا تحتاج إلى الاحتفاظ بقائمة تحكم الوصول التي يحتمل أن تكون كبيرة أو تكون متصلاً دائمًا بشبكة للوصول إلى خادم مركزي مثلاً عند استخدام كيربيروس. هي تشبه فكرة القدرات في الأذونات لاستخدام خدمة أو مصدر غير مخزن في الخدمة أو المصدر نفسه ولكن في المستخدمين الذين يستخدمون آلية التلاعب بالحسابات.

انظر أيضاً عدل

شهادة المفتاح العام

المراجع عدل

^ Farrell, S.؛ Housley, R. "An Internet Attribute Certificate Profile or Authorization". RFC 3281. {{استشهاد بدورية محكمة}}: الاستشهاد بدورية محكمة يطلب |دورية محكمة= (مساعدة)

روابط خارجية عدل

وثائق شهادة SPKI / SDSI
e-sign، e-imza، tr أيضا لشهادة اللغة الإنجليزية المؤهلة الإلكترونية

بوابة علم الحاسوب

[1] Farrell, S.؛ Housley, R. "An Internet Attribute Certificate Profile or Authorization". RFC 3281. {{استشهاد بدورية محكمة}}: الاستشهاد بدورية محكمة يطلب |دورية محكمة= (مساعدة)

[1]