Zum Hauptinhalt springen

5.1. Passmodell (Passport Model)

5.1. Passmodell (Passport Model)

Das Passmodell ist so benannt, weil es der Art und Weise ähnelt, wie Nationen ihren Bürgern Pässe ausstellen. Die Art der Nachweise (Evidence), die eine Person ihrer lokalen Behörde vorlegen muss, ist spezifisch für das betreffende Land. Der Bürger behält die Kontrolle über das resultierende Passdokument und präsentiert es anderen Entitäten, wenn er eine Staatsbürgerschafts- oder Identitätsbehauptung (Claim) geltend machen muss, beispielsweise am Einwanderungsschalter eines Flughafens. Der Pass gilt als ausreichend, weil er für die Staatsbürgerschafts- und Identitätsbehauptungen bürgt und von einer vertrauenswürdigen Behörde ausgestellt wurde.

In dieser Analogie des Einwanderungsschalters ist der Bürger also der Attester (Attester), die Passausstellungsbehörde ist ein Verifier (Verifier), und der Passantrag und die Identifikationsinformationen (z. B. Geburtsurkunde) sind die Nachweise (Evidence). Der Pass ist ein Attestierungsergebnis (Attestation Result) und der Einwanderungsschalter ist eine Relying Party (Relying Party).

In diesem Modell übermittelt ein Attester Nachweise an einen Verifier, der die Nachweise mit seiner Bewertungsrichtlinie vergleicht. Der Verifier gibt dann ein Attestierungsergebnis zurück, das der Attester als opake Daten behandelt.

Der Attester konsumiert das Attestierungsergebnis nicht, kann es aber zwischenspeichern. Der Attester kann dann das Attestierungsergebnis (und möglicherweise zusätzliche Behauptungen) einer Relying Party präsentieren, die diese Informationen dann mit ihrer eigenen Bewertungsrichtlinie vergleicht. Der Attester kann dasselbe Attestierungsergebnis auch anderen Relying Parties präsentieren.

Der Prozess kann auf drei Arten fehlschlagen:

  • Erstens gibt der Verifier möglicherweise kein positives Attestierungsergebnis aus, da die Nachweise die Bewertungsrichtlinie für Nachweise (Appraisal Policy for Evidence) nicht bestehen.
  • Die zweite Art, wie der Prozess fehlschlagen kann, ist, wenn das Attestierungsergebnis von der Relying Party geprüft wird und basierend auf der Bewertungsrichtlinie für Attestierungsergebnisse (Appraisal Policy for Attestation Results) das Ergebnis nicht der Richtlinie entspricht.
  • Die dritte Art ist, wenn der Verifier nicht erreichbar oder nicht verfügbar ist.

Wie jede andere Information, die die Relying Party benötigt, um eine Autorisierungsentscheidung zu treffen, kann ein Attestierungsergebnis in einem Ressourcenzugriffsprotokoll zwischen dem Attester und der Relying Party übertragen werden. In diesem Modell schränken die Details des Ressourcenzugriffsprotokolls das Serialisierungsformat des Attestierungsergebnisses ein. Andererseits wird das Format der Nachweise nur durch das Remote-Attestierungsprotokoll zwischen Attester und Verifier eingeschränkt. Dies bedeutet, dass Interoperabilität und Standardisierung für Attestierungsergebnisse relevanter sind als für Nachweise.

    .------------.
    |            | Compare Evidence
    |  Verifier  | against appraisal policy
    |            |
    '--------+---'
        ^    |
Evidence |    | Attestation
        |    | Result
        |    v
    .---+--------.              .-------------.
    |            +------------->|             | Compare Attestation
    |  Attester  | Attestation  |   Relying   | Result against
    |            | Result       |    Party    | appraisal policy
    '------------'              '-------------'

                    Figure 5: Passport Model
Letztes Update am