ГОСТ ISO/TS 22600-3—2013
Как уже обсуждалось, связь между идентичностью исертификатом гарантируется с помощью использования
криптографического ключа. Сертификаты могут использоваться сервисами для установления доверительных
отношений в инфраструктуре управления привилегиями. С помощью заверенных сертификатов можно гарантиро
вать подлинность объявлений идентичности или привилегий, передаваемых доверенными сервисами доверяю
щей стороне. Информация ороли может передаваться в сертификатах идентификации. Однако такая информация
должна быть по своей природе достаточно статичной (например, информация о структурной роли), поскольку при
изменении роли, хранящейся в сертификате идентификации, его надо перевыпустить. Для передачи более дина
мичной информации о привилегиях и ролях(например,функциональных ролях)более пригодны сертификаты атри
бутов. Применение сертификатов обеспечивает конфиденциальность и неоспоримость.
А.9.5.2 Сертификаты атрибута
Сертификататрибута пользователя можетиметьссылкуна другойсертификататрибута, содержащийдопол
нительные привилегии. Тем самым обеспечивается эффективный механизм реализации привилегированных
ролей.
Для выполнения некоторыхопераций во многихсистемах. где необходима авторизация, требуется использо
вать ролевые привилегии (обычно в сочетании с привилегиями, основанными на идентичности). В этом случае зая
витель может представить контролеру нечто, свидетельствующее только о наличии у заявителя определенной
роли (например, «лицензированный медицинский работник» или «конторскийслужащий»). Контролер может апри
ори знать, какие привилегии имеет объявленная роль или каким-то образом получить информацию об этих
приви легиях. и на основании этой информации принять решение об авторизации доступа или об отказе
вдоступе.
Необходимо принять во внимание следующие факторы:
- отсутствие надежной коммуникационной системы;
- намерение не подтверждать информацию у издателя сертификатов.
- стабильность привилегий или относительная статичность ролей;
- применимость подхода к функциональным ролям.
Возможны следующие варианты реализации:
- каждый орган по присвоению атрибутов может присвоить любое число ролей.
- как роль, так и участники роли могут определяться и управляться отдельно разными органами по присвое
нию атрибутов;
- привилегии, назначенные роли, могут быть помещены в один или несколько сертификатов атрибута;
- при необходимости участнику роли может быть присвоено только подмножество привилегий, назначенных
роли:
- участие в роли может быть делегировано;
- ролям и участию в ролях могут быть заданы любые требуемые сроки жизни.
Для субъекта выпускается сертификат атрибута, в котором объявлено, что этот субъект выполняет опреде
ленную роль. Этотсертификат может иметь расширение, содержащее ссылку надругойсертификат, описывающий
роль (т. в. в этом сертификате роли в качестве владельца указаны имя роли и списокпривилегий, назначенных этой
роли). Издатель сертификата атрибута может быть независимым от издателя сертификата роли и эти типы серти
фикатов могут управляться совершенно раздельно (например, иметь разные сроки действия, отзываться ит. д.).
Не все формы общего имени GeneralName пригодны для использования в качестве имен ролей. Наиболее
полезными вариантами являются объектные идентификаторы и отличительные имена.
А.9.6 Медицинские удостоверения
Одним из общих типов носителей привилегий является удостоверение пользователя. Такие удостоверения
выпускаются доверенными органами и содержат идентифицирующую строку. Примерами могут служить лицензии на
право медицинской деятельности, выдаваемые уполномоченными органами, и номера, присваиваемые Управ
лением по борьбе с наркотиками (Drug Enforcement Agency — DEA). Удостоверение содержит тип. имя издателя и
идентификатор. В структуру имени издателя могут включаться географические указания, например, штат идругое
местонахождение. Удостоверения обычно различаются по типу (например, «врач»)или по типу и издателю (напри
мер, «врач, лицензированный в Вирджинии»).
Если имя издателя удостоверения отсутствует, то вместо него берется имя издателя сертификата атрибута
или сертификата открытого ключа. 8 котором переданоудостоверение. Если имя издателя сертификата отсутству
ет. то имя издателя удостоверения должно присутствовать. (Учтите,чтодля минимизации числа органов по присво
ению атрибутов, используемых всистеме, один сертификат может содержать несколько удостоверений, выданных
более чем одним издателем.)
Необходимо принять во внимание:
- возможность использования некритичных полей сертификата идентификации, соответствующего стандар
ту X.509, для описания медицинских удостоверений в соответствии со стандартом ASTM Е2212;
- возможность использования медицинских удостоверений (текущих, не текущих, область действия) в качес
тве дополнительных ограничений при авторизации доступа медицинских работников к медицинской информации;
- альтернативную возможность использования медицинских удостоверений врачей при защищенном предъ
явлении атрибутов пользователя в инфраструктуре управления привилегиями.
А.9.7 Объявления на языке SAML
38