Центр сертифікації ключів з розробкою станції генерації ключів, страница 12

Основні положення сертифікації відкритого ключа, які визначені в цьому національному стандарті, містять визначення інформаційних об'єктів для інфраструктури відкритого ключа (ІВК), у тому числі сертифікати відкритого ключа та списки скасування сертифікатів (ССС). Основні положення сертифікації атрибутів містять визначення інформаційних об'єктів для інфраструктури управління повноваженнями (ІУП), у тому числі сертифікати атрибутів і списки скасування сертифікатів атрибутів (СССА). У цій Специфікації також визначаються основні положення для випуску, управління, використання і скасування сертифікатів. Для обох типів сертифікатів і для всіх схем списків скасування також включається механізм розширення. Цей національний стандарт містить також набір стандартних розширень для всіх типів сертифікатів та схем списків скасування, що вважаються корисними у багатьох застосуваннях ІВК та ІУП. Цей національний стандарт містить компоненти схеми, у тому числі класи об'єктів, типи атрибутів і правила зіставлення для збереження об'єктів ІВК та ІУП у Каталозі. Інші елементи ІВК та ІУП, такі як протоколи управління ключами та сертифікатами, операційні протоколи, додаткові розширення сертифіката та ССС, виходять за рамки цих основних положень і передбачається визначати їх додатково.

Схема аутентифікації,  яка визначена в цьому національному стандарті, є універсальною і може бути застосована у різноманітних додатках та середовищах.

Каталог дозволяє використовувати сертифікати відкритого ключа і сертифікати атрибутів. В цьому національному стандарті визначено основи для використання Каталогом таких засобів. Технологія відкритого ключа, що включає сертифікати відкритого ключа, використовується Каталогом для виконання суворої аутентифікації, операцій підпису та/або зашифровування і для збереження підписаних та/або зашифрованих даних у Каталозі. Сертифікати атрибутів можуть використовуватися Каталогом для здійснення управління доступом на базі правил. Основні положення для цього визначаються в цій Специфікації. Повне визначення використання цих основних положень в Каталозі, і пов'язаних послуг, які надаються Каталогом і його компонентами, надаються в повному комплекті Специфікацій Каталогу.

Цей національний стандарт в основних положеннях щодо надання послуг аутентифікації також:

визначає форму подання інформації аутентифікації, яка зберігається Каталогом;

описує, як інформація аутентифікації може бути отримана з Каталогу;

встановлює припущення, які зроблено щодо способу формування та розміщення інформації аутентифікації у Каталозі;

визначає три способи використання додатками такої інформації аутентифікації для виконання аутентифікації та описує, як шляхом аутентифікації можуть підтримуватися інші послуги захисту.

У цьому національному стандарті описано два рівні аутентифікації: проста аутентифікація з використанням пароля для перевірки особи, що надіслала запит на аутентифікацію; і сувора аутентифікація, що включає посвідчення особи, яке сформовано з використанням криптографічних перетворень. Оскільки проста аутентифікація надає лише обмежений захист від несанкціонованого доступу, то в якості основи для забезпечення послуг захисту рекомендується використовувати виключно сувору аутентифікація. Цей національний стандарт не вимагає встановлювати її в якості загальної основи для аутентифікації, але рекомендується використовувати її для додатків, у яких такі методи вважаються адекватними.

Аутентифікація (та інші послуги захисту) може забезпечуватися тільки в контексті визначеної політики безпеки. Користувачі додатків мають визначити політику, яка може бути обмежена послугами, що надаються цим національним стандартом.

Стандарти, що визначають додатки, які використовують ці основні положення аутентифікації, мають визначити обміни протоколів аутентифікація, що здійснюються на базі інформації аутентифікації, отриманої з Каталогу. Протоколом, яким користуються додатки для отримання посвідчень особи із Каталогу, є  протокол доступу до Каталогу (DAP), визначений в ITU-T Rec. X.519 | ISO/IEC 9594-5.