属性证书和访问管理

Question

我最近遇到了属性证书 (RFC 5755)，它可以作为授权的一种手段。

我喜欢这个想法，但是我花了很多时间去寻找这个在现实生活中是如何工作的信息。我理解属性证书的用途，但我不知道如何使用它。

例如，我有一个web应用程序。如何在web应用程序中使用属性证书进行访问管理？web应用程序的授权层中必须有可以处理属性证书的内容。这是如何实现的？我无法在真实的web应用程序中找到任何例子。

此外，是否有任何访问管理工具支持属性证书，可以提供属性证书和属性授权？我可以找到PERMIS项目，但它似乎过时了，不再有用了。

我希望看到属性证书在访问管理中的实际应用，而不是理论或可能的用例。

Answer 1

在现实生活中，属性证书不起作用。没有人真正支持他们。其中一个原因是，根据定义，证书是一种异步信息分发方法:证书将一些值绑定在一起(对于“普通”证书，这是一个名称和一个公钥；对于属性证书，持卡人名称绑定到属性值)，并且绑定是可验证的，而无需与中央联机存储库交谈。这就是证书上的加密签名的意义所在:允许脱机或至少半脱机验证。

离线验证的另一面是无法立即取消证书。有撤销，但它在本质上是异步的:当证书被撤销时，这在几个小时或几天内生效(取决于CRL产生的频率)。异步正是您不想获得授权的地方:如果您想因为怀疑是恶意活动而阻止某人，那么您现在就想这样做，而不是下周。

可以通过让所有客户端每次通过与OCSP服务器对话获得新的吊销信息来进行同步吊销，但这使得您首先需要证书的原因是无效的。使用证书的全部目的是避免每次您需要一些授权信息时都要与在线服务器对话。

因此，基本上，证书和授权不能很好地结合在一起。这使得用于授权的RFC 5755属性证书非常无用。相应地，它们的使用也不多。

Answer 2

RFC 5755中的介绍解释了属性证书的预期用途。我在这里复制了一些文本：

有些人经常混淆PKCs和ACs。用类比可以清楚地区分这一点。PKC可以被看作是护照:它识别持卡人，往往持续很长时间，不应该是微不足道的获得。AC更像是入境签证:它通常是由不同的机构签发的，不会持续很长时间。由于获得入境签证通常需要出示护照，因此获得签证可能是一个更简单的过程。

在web应用程序中，用户身份验证仍然需要PK证书，属性证书将提供授权/访问管理。为了连接到应用程序，用户必须同时呈现这两种情况。

阅读RFC 5755将揭示其他一些用例。诚然，采用的速度很慢，通过在线搜索可以找到的例子不多，但是安全应用程序正在使用属性证书。