ГОСТ ISO/TS 22600-3—2013
credType
Issuer
Identifier
OBJECT IDENTIFIER.
GeneralName OPTIONAL.
UTF8Stnng)
credentials ATTRIBUTE
{
«idId-credentials.
«SEQUENCE OF Credential}
Если имя издателя удостоверения отсутствует, то используется имя издателя из атрибута, в который вложе
но удостоверение, или из сертификата открытого ключа. Если отсутствует имя издателя сертификата, то имя изда
теля удостоверения должно быть указано. (Учтите, что в целях минимизации в системе числа органов
по присвоению атрибутов в сертификате может быть явным образом указано более одного удостоверения от
более чем одного издателя).
А.3.2 Допуск
Атрибут допуска сопоставляется с меткой безопасности целевого объекта. С его помощью обеспечиваются
тонкие механизмы авторизации и контроля доступа.
ClearanceSEQUENCE
{
policyld
classList
OBJECT IDENTIFIER.
ClassLIst DEFAULT {unclassified}.
secuntyCategorles SET OF SecurltyCategory OPTIONAL)
ClassListBIT STRING
{
unmarked
(0).
unclassified
(Vi.
restricted
(2).
confidential
(Л.
secret
(4).
topSecret
(5)}
SECURITY-CATEGORYTYPE-IDENTIFIER
SecurityCategorySEQUENCE
{
type|0]
value[1]
SECURlTY-CATEGORY.«ld({Categories}),
SECURITY-CATEGORY.«Syntax({Categories}{@type})}
Идентификатор политики безопасности идентифицируетсемантику метки (допустимые грифы секретности и
категории безопасности). Идентификаторполитикидолжен бытьодним итемжекакудопуска, таки уметки безопас
ности целевого объекта, чтобы их можно было сравнивать. Поле classList идентифицирует список иерархических
грифов секретности. Грифы секретности а допуске сравниваются с грифом секретности целевого объекта: как
минимум, один гриф допуска должен быть не ниже грифа секретности целевого объекта. Категории безопасности
содержатдругую, не иерархическую информацию. Значение категории вдопускедолжно «доминировать» надсоот
ветствующей категорией метки безопасности целевого объекта; значение понятия «доминировать» задается при
определении категории. К примеру, в военных применениях метка безопасности может содержать набор кодовых
слов или разделов. Чтобы доминировать над меткой,допускдолжен содержать все кодовые слова (разделы)метки
(и возможно, дополнительные к ним). Другие сведения о метках безопасности можно найти в разделах А.3.4.3 и
А.9.17.
А.3.3 Механизмы заявителя
Текущие подходы к управлению привилегиями пользователя включают в себя следующие варианты:
а) централизованное хранилище привилегий (например, каталог LDAP), из которого они могут быть легко
извлечены.
б) хранение привилегий а расширении subjectDIrectoryAttriPutes сертификата открытого ключа пользова
теля;
c) хранение привилегий в сертификатахатрибута.
Последние два подхода представляют собой механизм хранения привилегии пользователя в удостоверени
ях. заверенных электронной подписью.
Вариант а) легко реализовать, но при этом сервер привилегий должен быть постоянно доступен. Другие два
варианта позволяют передавать информацию об авторизации в сертификатах, что исключает необходимость е
оперативном доступе к серверу. Существует несколько причин, почему отдельному органу присвоения атрибутов
более предпочтительно помещать привилегии в сертификаты атрибута, а не всертификаты открытого ключа. Кним
относятся:
d) различие всроках жизни привилегий и открытых ключей;
e) разделение обязанностей (центр сертификации не является субъектом, отвечающим за управление при-
вилегиями);
26