ГОСТ Р ИСО 17090-2-2016; Страница 9

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 57365-2016 Стены шпунтовые. Правила производства работ Sheet-pile walls. Rules of execution of works (Настоящий стандарт устанавливает общие требования для устройства постоянных или временных шпунтовых подпорных стенок в соответствии с ENV 1991-1:1994) ГОСТ Р 57374-2016 Глобальная навигационная спутниковая система. Методы и технологии выполнения геодезических работ. Пункты фундаментальной астрономо-геодезической сети (ФАГС). Технические условия Global navigation satellite system. Methods and technologies of geodetic works. Items of basic astronomical and geodetic network (BAGN). Specifications (Настоящий стандарт распространяется на методы и технологии выполнения геодезических работ на пунктах фундаментальной астрономо-геодезической сети (ФАГС) и устанавливает технические условия к ним) ГОСТ Р 57378-2016 Штанги заземляющие переносные для контактной сети железной дороги. Технические условия Earthing rod for railway overhead contact system. Specifications (Настоящий стандарт распространяется на заземляющие переносные штанги для контактной сети железной дороги (далее - штанги))

Страница 9

Страница 1

Untitled document

ГОСТ Р ИСО 17090-2—2016

5.4.5 СА

СА представляет собой сертифицированную или заверенную цифровой подписью совокупность

атрибутов. Структура СА похожа на структуру СОК; основное отличие в том. что СА не содержит откры

тый ключ. СА может содержать атрибуты, специфицирующие членство в группе, категорию допуска к

информации и другие сведения о владельце сертификата, которые могут быть использованы для кон

троля доступа. Структура САдолжна соответствовать спецификации IETF/RFC 3281 «Ап Internet Attribute

Certificate Profile for Authorization» (профиль сертификата атрибута для авторизации в сети Интернет).

В системе здравоохранения СА могут выполнять существенную роль носителя сведений об авто

ризации. Сведения об авторизации отличаются от информации о роли работника в системе здравоох

ранения или от лицензий, которая может быть передана в сертификате открытого ключа. Наличие роли

или лицензии влияет на авторизацию, но само ло себе не обязательно идентично авторизации. Важно

отметить, что детальная спецификация АС еще не устоялась и будет уточняться по мере более широкого

применения разработчиками информационных систем.

Синтаксис СА описан в спецификации IETF/RFC 3281 «Ап Internet Attribute Certificate Profile for

Authorization».

Компоненты СА используются следующим образом.

Разные версии СА отличаются по номеру версии vorsion. Если в СА присутствует поле свертки

objectOigestlnfo или если поле baseCertificatelD идентифицирует издателя сертификата, то номер

версии version должен быть v2.

Поле owner задает идентичность владельца СА. Обязательно должны бытьуказаны наименование

издателя исерийный номер конкретного СОК. Может бытьуказано одно или несколько общихнаименова

ний. а указание сверткиобъекта запрещено. Использование общих наименований GeneralName самих по

себе вкачестве идентификации владельца представляет тот риск, чтоони могутне обеспечить достаточно

точной привязки наименования к открытому ключу, что затруднит применение СА для аутентификации

идентичности владельца. Кроме того, некоторые формы общих наименований GeneralName (например.

IPAddress) не годятся для именования владельца СА. которого скорее можно отнести к роли, нежели к

конкретному объекту. Необходимо ограничиться применением таких форм общего наименования, как

отличительные имена, адреса, соответствующие спецификации ETF/RFC 822 (электронная почта), и

(для имен ролей) объектные идентификаторы.

Поле issuer содержит идентификацию УЦ, выпустившего сертификат. Наименование издателя и

серийный номер СОКдолжны быть указаны обязательно. Общие наименования указыватьнеобязательно.

Поле signature идентифицирует криптографический алгоритм, используемый для цифровой под

писи СА.

Поле serialNumber содержит серийный номер, уникально идентифицирующий СА среди всех

сертификатов, выпущенных его издателем.

Поле attrCertValidityPeriod задает срок действия СА. представленный в формате генерализован

ного времени GeneralizedTime

Поле attributes содержит атрибуты владельца сертификата, которые заверяются этим сертифика

том (например, привилегии доступа).

Поле issuerllniquelD может быть использовано для идентификации издателя СА в инстанциях,

которым одного имени издателя не достаточно.

Поле extensions позволяет добавлять новые поля к СА.

Детали использования СА в здравоохранении описаны в ИСО 17090-1, подраздел 8.3.

5.4.6 Сертификаты роли

СА пользователя может содержать ссылку на другой СА. содержащий сведения о дополнительных

привилегиях. Это является эффективным механизмом реализации привилегированных ролей.

Вряде организаций для выполнения определенных работтребуется авторизация на основе привиле

гий. назначенных ролям (обычно всочетании с индивидуально назначенными привилегиями). Претендент

на привилегии может представить контролеру нечто, демонстрирующее наличие у него определенной

роли (например, роли «продавца» или роли «покупателя»). Контролер может знать априори или узнать

с помощью каких-либо средств, какие привилегии связаны с этой ролью, и принять положительное или

отрицательное решение об авторизации.

Возможны все следующие ситуации;

- любой СА может определять любое число ролей;

- сама роль иее обладатели могут определяться иуправляться раздельно с помощьюотдельных СА;

- привилегии, назначенные данной роли, могут быть записаны в одном или нескольких СА;