ГОСТ ISO/TS 22600-3—2013
Если сертификаты атрибута содержат ссылки на сертификаты открытого ключа, вылущенные для их издате
лей и владельцев, то для аутентификации владельцев (заявителей привилегий)и проверки электронных подписей
издателей может исопльзоваться инфраструктура открытого ключа.
А.5.6 Описание стратегий управления привилегиями с помощью сертификатов
А.5.6.1 Указание привилегий в сертификатах атрибута
Субъекты могут получить привилегии двумя способами:
- орган по присвоению атрибутов может назначить субъекту привилегии с помощью выпуска сертификата
(может быть полностью по своей инициативе или с помощью запроса к некоторой третьей стороне). Сертификат
может храниться в общедоступном хранилище и может затем обрабатываться одним или несколькими контролера ми
привилегий для принятия решения об авторизации. При этом субъект, получающий полномочия, может оста ваться
в неведении о назначении полномочий либо получать уведомление об этом факте;
- субъектможетнаправить вОА запросна получение привилегий. Будучисозданным, сертификат можетбыть
возвращен (только) запросившей стороне, которая явным образом включает его в запрос доступа к некоторому
защищенному ресурсу.
Обратите внимание, что 8 обоих вариантах для выполнения своей обязанности ОА должен удостовериться,
что субъектудействительнодолжна быть назначена данная привилегия. Этот процесс может включать в себя неко
торые сторонние механизмы, аналогичные сертификации пары идентификация/ключ. создаваемой ЦС.
Управление привилегиями с помощью сертификатов атрибута применимо в тех случаях, когда выполняется
одно из следующих условий:
- за выпуск сертификата открытого ключа для определенного владельца привилегии отвечает один субъект,
а за назначение конкретной привилегии — другой;
- владельцу назначается несколько атрибутов привилегий более чем одним органом.
- срок жизни привилегии отличается от срока действия сертификата открытого ключа владельца привилегии
(обычно срокжизни привилегии гораздо короче);
- привилегиядействительна только в течение определенных периодов времени, асинхронных по отношению
к сроку действия открытого ключа пользователя или к срокужизни других его привилегий.
А.5.6.2 Указание привилегий в сертификатах открытого ключа
В некоторых реализациях назначение субъекту привилегий осуществляет ЦС. Такие привилегии могут быть
указаны непосредственно в сертификатах открытого ключа (подобный подход обеспечивает повторное использо
вание уже развернутой инфраструктуры) вместо выпуска сертификатов атрибута. В этих случаях привилегии дол
жны быть указаны в поле расширения сертификата открытого ключа subjectDirectoryAttrlbutes.
Этот способ применим в тех случаях, когда выполняется одно из следующих условий.
- один и тот же физический субъект действует и как ЦС. и как ОА;
- срок жизни привилегии и срокдействия открытого ключа, содержащегося в сертификате, одинаковы;
- делегирование привилегий не разрешено;
- делегирование привилегий разрешено, но при каждом делегировании все привилегии, указанные в серти
фикате (в поле расширения subjectDirectoryAttrlbutes), имеют одинаковые параметры делегирования и все расши
рения. релевантные делегированию, применяются к этим привилегиям одинаковым образом.
А.5.7 Инфраструктура управления привилегиями
Объект может быть защищаемым ресурсом, например, для приложения, контролирующегодоступ. Защища
емый ресурс можно рассматривать как объект. У объектов этого типа есть методы, которые могут быть вызваны
(например, объект представляет собой межсетевой экран, имеющий метод «разрешить вход», или файл в файло
вой системе, имеющий методы «читать», «записать» или «выполнить»). Другим примером моделируемого объекта
может служить объект, подписанный приложением, отвечающим за неоспоримость.
Заявителем привилегии является субъект, который обладает конкретной привилегией и заявляет свои при
вилегии в конкретном контексте использования.
Контролером привилегии является субъект, определяющий, достаточны ли заявленные привилегиидля дан
ного контекста использования.
Вследствие обязанности определения достаточности привилегий контролер зависитот следующих четырех
объектов:
- привилегия заявителя;
- применяемая политика привилегий;
- текущие значения переменных среды, относящихся к запросу;
- чувствительность релевантных методов объекта.
Привилегия, имеющаяся у ее владельца, отражаетстепеньдоверия, оказанного этому владельцу издателем
сертификата в том. что владелец будет следовать тем требованиям политики, которые не могут быть проверены
техническими средствами. Эта привилегия инкапсулируется в сертификат(ы)атрибута. выпущенные для владель
ца. либо в поле расширения subjectDirectoryAttrlbutes его сертификата открытого ключа, которые могут быть пред
оставлены контролеру привилегий при вызове метода объекта, или могут распространяться другими средствами,
например, с помощью каталога. Кодирование привилегии осуществляется с помощью конструкции Attribute, содер
жащейся в объекте AttributeType или во множестве SET OF AttributeValue. Некоторые типы атрибутов, используе
мых для указания привилегии, могут иметь очень простой синтаксис, например, могут быть представлены
31