ГОСТ ISO/TS 22600-3—2013
IssuerUniqueldentifier
subJectUnlquetdentifier
extensions
ны. Затем контролер находит сертификаты атрибута спецификации роли для каждой роли, назначенной
пользователю. Существует несколько способов оптимизации этого процесса, сохраняющих общий подход.
Ролевая модель инфраструктуры управления привилегиями,основанная на стандарте Х.509. может исполь
зовать такие языки описания политик как Ponder. Keynote или XACML. Использование контролером политики авто
ризации. распространяющейся на всю зону безопасности, обеспечивает безопасный, централизованно
управляемый подход.
Местный источникполномочий в зоне безопасности создает политику авторизации, распространяющуюся на
всю зону. Сервисы размещения привилегий (РА — Privilege allocator) используют политики, подписанные источни
ком полномочий, возможно, даже из другой зоны безопасности, чтобы сгенерировать сертификаты атрибутов
поли тик и аутентифицировать их с помощью электронной подписи. Источник полномочий или орган по
присвоению атрибутов использует результат работы этих сервисовдля подписи и публикации сертификатов
атрибута назначе ния роли в каталоге LDAP. Этисертификаты используютсяконтролером для принятия решения о
контроледоступа.
Приведенные далее реализуемые спецификации взяты из существующих официальных стандартов или из
стандартов де-факто и включены в настоящий документдля удобства чтения, что является общим подходом в ана
логичных спецификациях. Поэтому они представлены с использованием абстрактной синтаксической нотации
ASN.1.
Внастоящем документе представлены спецификации, разработанные независимо от формальных моделей,
описанных в стандарте ISO/TS 22600-2.
А.3.1.2 Сертификаты аутентичности
Сертификат аутентичности соответствует спецификации X.S09V3.
Certificate ::* SIGNED SEQUENCE
version(0)Version DEFAULT v1.
serialNumber
signature
issuer
validity
subject
CertificateSerialNumber.
Algorlthmldentlfler.
Name,
Validity,
Name,
subJectPublicKeylnfoSubJectPubllcKeylnfo.
(1)IMPLICIT Uniqueldentlfier OPTIONAL.
(2)IMPLICIT UniqueldentlfierOPTIONAL
|3) Extensions MANDATORY
Поле version указывает версию закодированного сертификата. Версия сертификата ДОЛЖНА быть v3.
Существует несколькоспособов привязки сертификатов идентификации,использующих ключи,с сертифика
тами атрибута, не содержащими ключей: монолитный, автономный и цепочка связанных подписей.
При монолитном способе сертификат атрибута является часть сертификата идентификации.
При автономном способе для привязки сертификата атрибута к сертификату идентификации в сертификат
атрибута включается некоторая релевантная информация изсертификата идентификации.
При применении цепочки связанных подписей для привязки сертификата атрибута ксертификату идентифи
кации используется подпись центра сертификации, издавшего сертификат идентификации. Встандарте ISO 17090
зафиксирован первый способ.
А.3.1.3 Сертификаты атрибута
А.3.1.3.1 Общие сведения
Привилегии заявителя передаются как атрибуты либо в сертификате открытого ключа (в расширении поля
subjectDIrectoryAttributes), либо (что чаще) в сертификате атрибута.
Синтаксис сертификата атрибута описан встандарте Х.509:
AttributeCertlficate ::= SIGNED {AttnbuteCertificatelnfo} AttrlbuteCertlficatelnto ::* SEQUENCE
AttCertVersion DEFAULT v1.
Holder.
AttCertlssuer,
Algorlthmldentlfler.
CertificateSerialNumber.
AttCertValidityPeriod.
SEQUENCE OF Attribute.
UniqueldentlfierOPTIONAL.
Extensions OPTIONAL
INTEGER {v1(0). v2(1)}
SEQUENCE
<
Version
holder
issuer
signature
serialNumber
attrCertValidityPeriod
attributes
IssuerUniquelD
extensions
)
AttCertVersion::*
Holder::*
{
baseCertificatelD
(0) IssuerSerial OPTIONAL.
- - Издатель и серийный номер сертификата открытого ключа владельца
23