Internet Engineering Task Force (IETF) S. Turner
Request for Comments: 5917 IECA
Category: Informational June 2010
ISSN: 2070-1721
Clearance Sponsor Attribute
Abstract
抽象
This document defines the clearance sponsor attribute. It indicates the entity that sponsored (i.e., granted) the clearance. This attribute is intended for use in public key certificates and attribute certificates that also include the clearance attribute.
この文書では、クリアランススポンサー属性を定義します。これは、スポンサーのエンティティ(すなわち、許可された)のクリアランスを示します。この属性は、クリアランス属性が含まれる公開鍵証明書と属性証明書での使用を意図しています。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5917.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5917で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
This document specifies the clearance sponsor attribute. It is included in public key certificates [RFC5280] and attribute certificates [RFC5755]. This attribute is only meaningful as a companion of the clearance attribute [RFC5755] [RFC5912]. The clearance sponsor is the entity (e.g., agency, department, or organization) that granted the clearance to the subject named in the certificate. For example, the clearance sponsor for a subject asserting the Amoco clearance values [RFC3114] could be "Engineering".
この文書では、クリアランススポンサー属性を指定します。これは、公開鍵証明書[RFC5280]と属性証明書[RFC5755]に含まれています。この属性は、クリアランス属性[RFC5755] [RFC5912]のコンパニオンとしてのみ意味があります。クリアランススポンサーは、証明書で指定された対象にクリアランスを付与したエンティティ(例えば、機関、部門、または組織)です。例えば、アモコのクリアランス値をアサート対象のためのクリアランススポンサーは[RFC3114]は、「工学」である可能性があります。
This attribute may be used in automated authorization decisions. For example, a web server deciding whether to allow a user access could check that the clearance sponsor present in the user's certificate is on an "approved" list. This check is performed in addition to certification path validation [RFC5280]. The mechanism for managing the "approved" list is beyond the scope of this document.
この属性は、自動化され、認可の決定に使用することができます。例えば、ユーザのアクセスを許可するかどうかを決定するWebサーバーがユーザーの証明書でのクリアランススポンサー存在は、「承認」リストに含まれていることを確認できました。このチェックは、認証パスの検証[RFC5280]に加えて行われます。 「承認」リストを管理するためのメカニズムはこのドキュメントの範囲を超えています。
NOTE: This document does not provide an equivalent Lightweight Directory Access Protocol (LDAP) schema specification as this attribute is initially targeted at public key certificates [RFC5280] and attribute certificates [RFC5755]. Definition of an equivalent LDAP schema is left to a future specification.
注:この属性は、最初は、公開鍵証明書[RFC5280]と属性証明書[RFC5755]で対象としているので、この文書では、同等のLDAP(Lightweight Directory Access Protocol)スキーマ仕様を提供していません。同等のLDAPスキーマの定義は、将来の仕様に任されています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
The attribute is defined using ASN.1 [X.680], [X.681], [X.682], and [X.683].
属性は、[X.683] [X.682]、[X.681]、[X.680] ASN.1を使用して、そして定義されています。
The clearance sponsor attribute, which is only meaningful if the clearance attribute [RFC5755] [RFC5912] is also present, indicates the sponsor of the clearance of the subject with which this attribute is associated. The clearance sponsor attribute is a DirectoryString [RFC5280], which MUST use the UTF8String CHOICE, with a minimum size of 1 character and a maximum of 64 characters.
クリアランス属性[RFC5755]、[RFC5912]はまた、存在する場合にのみ意味がありクリアランススポンサー属性は、この属性が関連付けられている被写体のクリアランスのスポンサーを示します。クリアランススポンサー属性は、1つの文字の最小サイズと最大64文字で、UTF8StringをCHOICEを使用しなければならないDirectoryString [RFC5280]、です。
The following object identifier identifies the sponsor attribute:
以下のオブジェクト識別子は、スポンサーの属性を識別します。
id-clearanceSponsor OBJECT IDENTIFIER ::= {
joint-iso-ccitt(2) country(16) us(840) organization(1) gov(101)
dod(2) infosec(1) attributes(5) 68
}
The ASN.1 syntax for the clearance sponsor attribute is as follows:
次のようにクリアランススポンサー属性のASN.1構文は次のとおりです。
at-clearanceSponsor ATTRIBUTE ::= {
TYPE DirectoryString { ub-clearance-sponsor }
( WITH COMPONENTS { utf8String PRESENT } )
EQUALITY MATCHING RULE caseIgnoreMatch
IDENTIFIED BY id-clearanceSponsor
}
ub-clearance-sponsor INTEGER ::= 64
There MUST only be one value of clearanceSponsor associated with a particular certificate. Distinct sponsors MUST be represented in separate certificates.
のみ特定の証明書に関連付けられているclearanceSponsorの一つの値があるに違いありません。個別スポンサーは、別の証明書で表現されなければなりません。
When an environment uses the Clearance Sponsor attribute, it is important that the same representation of the sponsor be used throughout the environment (e.g., using the same acronym). Further, the value in this attribute is not meant to be globally unique. When included in certificates, it is unique within the scope of the issuer.
環境クリアランススポンサー属性を使用する場合、スポンサーの同じ表現(例えば、同じ頭字語を使用して)環境全体で使用されることが重要です。さらに、この属性の値はグローバルに一意であることを意味するものではありません。証明書に含まれた場合は、発行者の範囲内で一意です。
If this attribute is used as part of an authorization process, the procedures employed by the entity that assigns each clearance sponsor value must ensure that the correct value is applied. Including this attribute in a public key certificate or attribute certificate ensures that the value for the clearance sponsor is integrity protected.
この属性は、認証プロセスの一部として使用される場合、各クリアランススポンサー値を割り当てエンティティによって使用手順は、正しい値が適用されることを保証しなければなりません。公開鍵証明書または属性証明書でこの属性を含めると、クリアランススポンサーの値は整合性が保護されることを保証します。
The certificate issuer and clearance sponsor are not necessarily the same entity. If they are separate entities, then the mechanism used by the clearance sponsor to convey to the certificate issuer that the clearance sponsor did in fact grant the clearance to the subject needs to be protected from unauthorized modification.
証明書発行者およびクリアランススポンサーは必ずしも同一のエンティティではありません。彼らは別々の実体である場合には、クリアランススポンサーが実際に被験者にクリアランスを付与しなかったことを、証明書発行者に伝えるために、クリアランススポンサーが使用するメカニズムは、不正な変更から保護する必要があります。
If two entities are verifying each other's certificates, they do not share the same issuer, and they use the same clearance sponsor value (e.g., a United Kingdom PKI includes "MoD" and a New Zealand PKI also includes "MoD"), then the relying party has two choices: 1) accept the two strings as equivalent, or 2) indicate the sponsor as well as the trust anchor. To solve this problem, a mechanism, which is outside the scope of this specification, could be developed to allow a relying party to group together issuers that share a same context within which sponsor names have a unique significance.
2つのエンティティが互いの証明書を検証している場合、それらは同じ発行者を共有していない、と彼らは同じクリアランススポンサー値を使用する(例えば、イギリスPKIは「国防省」とニュージーランドPKIはまた、「国防省」が含ま含みます)、その後、 1)と同等として2つの文字列を受け入れる、または2)スポンサーとしてだけでなく、トラストアンカーを示す:証明書利用者は、2つの選択肢があります。この問題を解決するために、この仕様の範囲外にあるメカニズムは、名前を後援し、その中に同じコンテキストを共有発行者はユニークな意義を持って一緒にグループへの証明書利用者を許可するように開発することができます。
While values of DirectoryString can include the NUL (U+0000) code point, values used to represent clearance sponsors typically would not. Implementations of the caseIgnoreMatch rule must, per X.501, consider all of the assertion value and attribute value in matching and hence protect against truncation attacks.
DirectoryStringの値はNUL(U + 0000)のコードポイントを含むことができるが、典型的にはクリアランススポンサーを表すために使用される値はないであろう。 caseIgnoreMatchルールの実装は、X.501ごとに、アサーション値のすべてを考慮し、マッチングで属性値を、したがって切り捨て攻撃から保護しなければなりません。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280]クーパー、D.、Santesson、S.、ファレル、S.、Boeyen、S.、Housley氏、R.、およびW.ポーク、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)のプロフィール」、RFC 5280、2008年5月。
[RFC5755] Farrell, S., Housley, R., and S. Turner, "An Internet Attribute Certificate Profile for Authorization", RFC 5755, January 2010.
[RFC5755]ファレル、S.、Housley氏、R.、およびS.ターナー、 "認可のためのインターネット属性証明書プロフィール"、RFC 5755、2010年1月。
[RFC5912] Schaad, J. and P. Hoffman, "New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)", RFC 5912, June 2010.
[RFC5912] Schaad、J.とP.ホフマン、RFC 5912、2010年6月 "公開鍵インフラストラクチャの使用X.509(PKIX)のための新しいASN.1モジュール"。
[X.520] ITU-T Recommendation X.520 (2002) | ISO/IEC 9594-6:2002, Information technology - The Directory:Selected Attribute Types.
[X.520] ITU-T勧告X.520(2002)| ISO / IEC 9594から6:2002、情報技術 - ディレクトリ:選択した属性タイプ。
[X.680] ITU-T Recommendation X.680 (2002) | ISO/IEC 8824-1:2002, Information technology - Abstract Syntax Notation One (ASN.1): Specification of basic notation.
[X.680] ITU-T勧告X.680(2002)| ISO / IEC 8824から1:2002、情報技術 - 抽象構文記法1(ASN.1):基本的な記法の仕様。
[X.681] ITU-T Recommendation X.681 (2002) | ISO/IEC 8824-2:2002, Information Technology - Abstract Syntax Notation One: Information Object Specification.
[X.681] ITU-T勧告X.681(2002)| ISO / IEC 8824から2:2002、情報技術 - 抽象構文記法1:情報オブジェクトの仕様。
[X.682] ITU-T Recommendation X.682 (2002) | ISO/IEC 8824-3:2002, Information Technology - Abstract Syntax Notation One: Constraint Specification.
[X.682] ITU-T勧告X.682(2002)| ISO / IEC 8824から3:2002、情報技術 - 抽象構文記法1:制約の仕様。
[X.683] ITU-T Recommendation X.683 (2002) | ISO/IEC 8824-4:2002, Information Technology - Abstract Syntax Notation One: Parameterization of ASN.1 Specifications.
[X.683] ITU-T勧告X.683(2002)| ISO / IEC 8824から4:2002、情報技術 - 抽象構文記法1:ASN.1仕様のパラメータ化。
[RFC3114] Nicolls, W., "Implementing Company Classification Policy with the S/MIME Security Label", RFC 3114, May 2002.
[RFC3114] Nicolls、W.、 "S / MIMEセキュリティラベルと実装会社の分類方針"、RFC 3114、2002年5月。
Appendix A. ASN.1 Module
付録A. ASN.1モジュール
This appendix provides the normative ASN.1 [X.680] definitions for the structures described in this specification using ASN.1 as defined in [X.680], [X.681], [X.682], and [X.683].
[X.680]で定義されるように、この付録では、[X.682]、および[X.、[X.681]、ASN.1を使用して本明細書に記載した構成のための規範的ASN.1 [X.680]の定義を提供します683]。
ClearanceSponsorAttribute-2008 { joint-iso-ccitt(2) country(16) us(840) organization(1) gov(101) dod(2) infosec(1) modules(0) id-clearanceSponsorAttribute-2008(35) }
ClearanceSponsorAttribute-2008 {関節-ISO-CCITT(2)国(16)米国(840)組織(1)GOV(101)DOD(2)INFOSEC(1)モジュール(0)ID-clearanceSponsorAttribute-2008(35)}
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
ベギン
-- EXPORTS ALL --
- すべてのエクスポート -
IMPORTS
輸入
-- Imports from New PKIX ASN.1 [RFC5912]
- 新PKIX ASN.1からの輸入[RFC5912]
DirectoryString PKIX1Explicit-2009 { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-explicit-02(51) }
DirectoryString PKIX1Explicit-2009 {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-pkix1-明示-02(51 )}
-- Imports from New PKIX ASN.1 [RFC5912]
- 新PKIX ASN.1からの輸入[RFC5912]
ATTRIBUTE FROM PKIX-CommonTypes-2009 { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkixCommon-02(57) }
PKIX-CommonTypes-2009から属性{ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-MOD-pkixCommon- 02(57)}
-- Imports from ITU-T X.520 [X.520]
- ITU-T X.520から輸入[X.520]
caseIgnoreMatch FROM SelectedAttributeTypes { joint-iso-itu-t ds(5) module(1) selectedAttributeTypes(5) 4 }
{(5)4関節イソITU-TのDS(5)モジュール(1)selectedAttributeTypes} SelectedAttributeTypes FROM caseIgnoreMatch
;
;
-- sponsor attribute OID and syntax
- スポンサーOIDと構文属性
id-clearanceSponsor OBJECT IDENTIFIER ::= {
joint-iso-ccitt(2) country(16) us(840) organization(1) gov(101)
dod(2) infosec(1) attributes(5) 68
}
}
at-clearanceSponsor ATTRIBUTE ::= {
TYPE DirectoryString { ub-clearance-sponsor }
( WITH COMPONENTS { utf8String PRESENT } )
EQUALITY MATCHING RULE caseIgnoreMatch
IDENTIFIED BY id-clearanceSponsor
}
ub-clearance-sponsor INTEGER ::= 64
END
終わり
Author's Address
著者のアドレス
Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
ショーン・ターナーIECA株式会社3057ナトリーストリート、スイート106バージニア州フェアファクス22031 USA
EMail: turners@ieca.com
メールアドレス:turners@ieca.com