ГОСТ ISO/TS 22600-3—2013
- расширяемое совпадение (extensibleMatch): объявленные значения атрибута сравниваются со значениями
атрибута документа, используя макросы модуля MATCHING-RULE, описанные в стандарте X.500.
Объявления простого значения позволяют выполнять авторизацию на основесравнения содним значением.
Например, значение атрибута lessOrEqual может задавать предельную сумму платежного поручения. Семантика
каждого варианта такова:
- равенство (equality): значение атрибута документа должно быть равно значению атрибута в объявлении.
Равенство может применяться к атрибутам любого типа,для сравнения атрибутов с комплексными типами данных
их значения должны быть записаны в кодировке DER.
- подстроки (substrings): значение атрибута документа должно содержать объявленные подстроки в задан
ном порядке; начальная подстрока значения должна совпадать с начальным компонентом объявления (если тако
вой есть), любые компоненты (если они есть) должны появляться в значении в заданном порядке: последняя
подстрока значения должна совпадать с последним компонентом объявления (если таковой есть). Подстроки не
должны пересекаться в атрибуте документа. В таком объявлении могут использоваться строки любого типа,
опре деленного в синтаксисе ASN.1 (например. IA5. UTF8n т.д.);
- больше или равно (greaterOrEqual): значение атрибута документа должно быть больше объявленного зна
чения атрибута или равно ему. Такое объявление может содержать числа, перечислимые данные и двоичные
строки;
- меньше или равно (lessOrEqual): значение атрибута документа должно быть меньше объявленного значе
ния атрибута или равно ему. Такоеобъявление может содержатьчисла, перечислимыеданныеидвоичныестроки;
- подчинено (subordinate): объявленное значение совпадает с ведущими компонентами значения атрибута
документа. Такое объявление может содержать только объектные идентификаторы и имена (последовательность
относительных отличительных имен).
Совокупность проверенных объявлений включает в себя все значения атрибута, которые найдены вцелевом
объекте. Например, встандартной военной процедуре ограничения доступа кдокументам может быть предписано,
что совокупность кодовых слов, приписанных документу, должна быть подмножеством (subsetOf) кодовых слов,
указанных в сертификате заявителя. Аналогичным образом механизм предоставления доступа, если есть необхо
димость знания, может использовать объявление с непустым пересечением (nonNullIntersection). Атрибуты таких
объявлений должны иметь тип данных SEQUENCE OF или SET OF. Используется следующая семантика:
- подмножество (subsetOf): все значения атрибута документа должны присутствовать в объявленном атри
буте;
- надмножество (supersetOf): все значения объявленного атрибута должны присутствовать в атрибуте доку
мента;
- непустое пересечение (nonNullIntersection): хотя бы одно значение атрибутадокументадолжны присутство
вать в объявленном атрибуте.
В предикате могут быть указаны специфичные значения, сравниваемые со значениями атрибута документа.
Предикат может также содержатьссылку на атрибут, передаваемый в сертификате атрибута заявителя исодержа
щий значения, которые должны сравниваться со значениями атрибута документа. В этом случае объявление
должно иметьэлементе типомданных PrIvllegelDPalr. содержащийдва типа атрибутов: первый относится кцелево
му объекту, второй — к заявителю.
Поддерживаются смешанныесинтаксисы описания атрибутов. В настоящее время они включают в себя син
таксис ASN.1 и язык XML. Посколькупривилегии заявителя передаются ватрибутах, описанных спомощью синтак
сиса ASN.1. в идентификаторе привилегии должен быть указан тип атрибута; связь с XML-данными (указывающая на
соответствующий элемент содержания целевогоXML-документа)необязательна. Связь структурируется в соот
ветствии с правилами конструирования XLtnk. XPoInter и XPath придополнительном ограничении, чтоона указыва ет
на один элемент XML или связную группу элементов (атрибутов).
А.9.19 Требования «электронной подписи
Для лиц. подписывающихданные, выпускаются сертификаты атрибута, в которых указаны разрешаемые им
цели подписи. При подписании документа цель подписи включается в него как подписанный атрибут (см. PS 100).
Политика представляется, используя, кпримеру,синтаксис SignatureRequirements всоответствии с рекомендация
ми ASTM Е1762.
Контролер может выполнить следующие действия:
a) проверитьсертификат атрибута каждоголица, подписавшегоданные,чтобы убедиться, что им разрешена
цель подписи;
b
) проверить, что в соответствии с политикой привилегий документсодержит все необходимые подписи.
Несколько подписей можно передать в форме повторяющихся структур Stgnerlnfo. включенных в экземпляр
класса SignedData. Подписи, заверяющие другие подписи, могут быть присоединены, используя (неподписанный)
атрибут заверяющей подписи. Требования к подписанию передаются в форме политики привилегий, ассоцииро
ванной с конкретным целевым объектом иконкретной операцией.
Каждая подписьдокумента содержит или идентификацию подписавшего лица (имя роли или лицалибо иден
тификатор сертификата), илисписоктребуемых целей подписи, или и то. идругое. Если указана роль, то удокумен та
должна быть подпись с этой ролью (указанной в атрибуте подписи), и подписывающеелицо должно иметь право
участвовать в этой роли (это должно быть указано в атрибуте роли сертификата авторизации, выданного этому
44