«Введение Сертификаты открытого ключа X.509 (PKC) [X.509-1997] [X.509-2000] [PKIXPROF] связывают личность и открытый ключ. Сертификат атрибута (AC) представляет собой структуру, аналогичную PKC; основное отличие состоит в том, что AC не содержит открытого ключа. AC может содержать атрибуты, которые определяют членство в группе@роль@допуск безопасности@или другую авторизационную информацию, связанную с держателем AC.Синтаксис для AC определен в Рекомендации X.509@ что делает термин «сертификат X.509» двусмысленным. Некоторые люди постоянно путают PKC и AC. Аналогия может прояснить различие. PKC можно рассматривать как паспорт: он идентифицирует владельца @, как правило, действует в течение некоторого времени. длительный срок@, и его получение не должно быть простым. ВС больше похоже на въездную визу: обычно он выдается другим органом и действует не так долго. Поскольку для получения въездной визы обычно требуется предъявить паспорт@, получение визы может быть более простым процессом.Информацию об авторизации можно поместить в расширение PKC или в отдельный сертификат атрибута (AC). Размещение авторизационной информации в PKC обычно нежелательно по двум причинам. Информация авторизации First@ часто не имеет того же срока действия, что и привязка личности и открытого ключа. Когда информация об авторизации помещается в расширение PKC, общим результатом является сокращение полезного срока службы PKC. Во-вторых, эмитент PKC обычно не является авторитетным в отношении авторизационной информации. Это приводит к дополнительным шагам для эмитента PKC для получения авторизационной информации из авторитетного источника. По этим причинам@ часто лучше отделить информацию об авторизации от PKC. Однако @ авторизационная информация также должна быть привязана к личности. AC обеспечивает эту привязку; это просто удостоверение личности с цифровой подписью (или сертифицированное) и набор атрибутов. AC может использоваться с различными службами безопасности@, включая контроль доступа@ аутентификацию источника данных@ и неотказуемость. PKC могут предоставлять идентификаторы для функций принятия решений по управлению доступом. Однако@ во многих контекстах@ личность не является критерием, используемым для принятия решений по управлению доступом; скорее @ роль или членство в группе средства доступа является используемым критерием. Такие схемы управления доступом называются управлением доступом на основе ролей. При принятии решения по управлению доступом на основе AC@ функции принятия решения по управлению доступом может потребоваться гарантировать, что соответствующий держатель AC является объектом, который запросил доступ. Одним из способов достижения связи между запросом или идентификатором и AC является включение ссылки на PKC в AC и использование закрытого ключа, соответствующего PKC, для аутентификации в запросе доступа. AC также могут использоваться в контексте службы аутентификации источника данных и службы неотказуемости. В этих контекстах атрибуты, содержащиеся в AC, предоставляют дополнительную информацию о подписывающем объекте. Эту информацию можно использовать, чтобы убедиться, что объект имеет право подписывать данные. Этот вид проверки зависит либо от контекста, в котором происходит обмен данными, либо от данных, имеющих цифровую подпись. Этот документ устарел [RFC3281]. Изменения, внесенные после [RFC3281], перечислены в Приложении D».
RFC 5755-2010 История
2010RFC 5755-2010 Профиль сертификата атрибутов Интернета для авторизации (устарело: 3281)