Призначення та формат сертифікату атрибутів

Date: 2015-10-07; view: 395.

Неважко зрозуміти, що, в принципі, сертифікат відкритого ключа можна застосувати і для автентифікації і для авторизації користувачіа.

Але в багатьох випадках автентичность користувача не є критерієм щодо прийняття рішення відносно його прав доступу, оскільки це залежить від ролі користувача, категорії допуска, платежеспроможності, тобто залежить від обмежень у конкретній ситуації. Крім того, спектр повноважень є надзвичайно різноманітним та нестійким. Так само ясно, що зв'язок між відкритим ключем і користувачем який встановлено сертифікатом, має бути більш-менш довготерміновим.

Як правило, надання інформації щодо авторизації користувача у розширеннях сертифікату відкритого ключа не є доцільним, оскільки при зміні повноважень сертифікат має скасовуватися, а термін більшості повноважень є порівняно коротким. Більш того, ЦС, що випускає сертифікати відкритих ключів, зазвичай, не уповноважений підписувати умови авторизації, скажимо, дозволяти виплати у великих розмірах, а має звертатися щодо прав доступу користувача до іншого джерела інформації.

З цих міркувань, для керування повноваженнями в ІВК застосовуються, так звані, сертифікати атрибутів.

Сертифікат атрибутів Х.509 (завжди використовується версія 2) пов'язує атрибути з власником сертифікату. Сертифікат атрибутів використовується разом з сертифікатом відкритого ключа, оскільки сам по собі відкритого ключа не містить. У полі «атрибути» сертифіката та в розширеннях надається інформація щодо повноважень його власника. Для випуску сертифікатів атрибутів може створюється окремий орган - центр сертифікації атрибутів.

Таблиця 11.1 Сертифікат атрибутів Х.509 версії 2