ГОСТ ISO/TS 22600-3—2013
Приложение В
(справочное)
Расширения структуры сертификата атрибута
Для структуры сертификата атрибута определен ряд расширений. Полную информацию можно найти в
ISO/IEC 9594-8.
В.1 Базовые расширения для управления привилегиями
С помощью расширения timeSpecIficatton(спецификация времени)задаются конкретные периоды времени, в
течение которых сертификат атрибута может быть использован.
В расширении targetinglnformatlon (целевая информация) перечисляются конкретные серверы или сервисы,
которые могут использовать сертификат атрибута.
Расширение userNotice (уведомление пользователя)содержиттекст, который может бытьпрочитан владель
цем сертификата или доверяющей стороной.
Расширение acceptablePrlvIlegePolicies (приемлемые политики привилегий) накладывает ограничение на
политики привилегий, с которыми может использоваться сертификат атрибута.
В.2 Расширения для отзыва привилегии
8 расширении cRLDtstrlbubonPoints (точка распределения списковотозванных сертификатов)можно указать,
какие точки распределениясписков отозванныхсертификатов будутсодержатьинформацию об отзывесертифика
та атрибута.
Врасширении noRevAvail (отсутствие информации оботзыве) может бытьуказано, что информацияо статусе
сертификата атрибута не предоставляется. Обычнотакоерасширение используется а сертификатах сочень корот
ким сроком действия.
8.3 Расширения для источников полномочий
Расширение sOAIdentifier (идентификатор источника полномочий) указывает, является ли владелец серти
фиката источником полномочий. Эта информация может также предоставляться другими средствами.
С помощью расширения attributeDescriptor (описатель атрибута) источник полномочий может публиковать
определения атрибутов привилегий и правила доминирования domination rules.
8.4 Расширения для ролей
Расширение roJeSpecCertldentifier (сертификат спецификации роли) содержит ссылку на сертификат, кото
рый описывает привилегии, назначенные роли. Сама роль может быть идентифицирована с помощью атрибута
роли role, указанном в сертификате атрибута пользователя.
В.5 Расширения для делегирования
С помощью расширения basicAttConstramts (базовые ограничения атрибута) можно указать, могут ли быть
делегированы привилегии, указанные в сертификате атрибута.
Если делегирование разрешено, то может быть также указано расширение pathLenConstratnt (ограничение
длины пути).
С помощью расширения detegatedNameConstralnts (ограничение имен делегатов) можно указать простра
нство имен, которому должны соответствовать все имена владельцев сертификатов атрибута в пути делегиро
вания.
Врасширении acceptableCertPolicies(приемлемые политикисертифицирования)можно указать приемлемые
политики сертификатов открытых ключей, ассоциированные ссертификатами атрибута в пути делегирования.
Расширение autborltyAttrlbuteldenUfier содержит ссылку на орган по присваиванию атрибутов, выпустивший
данный сертификат атрибута. Его можно использовать для проверки, что полномочия органа по присваиванию
атрибутовдостаточны для выпуска сертификата атрибута с таким расширением.
В.6 Расширения, предложенные организацией IETF
Расширение auditldentity (идентификатор аудита) содержит идентификатор, который может использоваться
при аудите транзакции, выполненной с предъявлением данного сертификата. Оно может использоваться, когда а
соответствии с требования законодательства о персональных данных фактическая идентификация владельца
сертификата не должна разглашаться.
48