"Introducción Los certificados de clave pública (PKC) X.509 [X.509-1997] [X.509-2000] [PKIXPROF] vinculan una identidad y una clave pública. Un certificado de atributo (AC) es una estructura similar a un PKC; la principal diferencia es que el AC no contiene clave pública. Un AC puede contener atributos que especifican membresía en el grupo@rol@autorización de seguridad@u otra información de autorización asociada con el titular del AC.La sintaxis para el AC se define en la Recomendación X.509@ haciendo que el término "certificado X.509" sea ambiguo. Algunas personas confunden constantemente las PKC y las AC. Una analogía puede aclarar la distinción. Una PKC puede considerarse como un pasaporte: identifica al titular@ tiende a durar un "Es mucho tiempo" y no debería ser fácil de obtener. Una AC es más como una visa de entrada: generalmente es emitida por una autoridad diferente y no dura tanto tiempo. Como adquirir una visa de entrada generalmente requiere presentar un pasaporte @ para obtener una visa puede ser un proceso más simple. La información de autorización se puede colocar en una extensión PKC o en un certificado de atributos (AC) separado. La colocación de información de autorización en las PKC suele ser indeseable por dos razones. La información de autorización de First@ a menudo no tiene la misma vida útil que la vinculación de la identidad y la clave pública. Cuando la información de autorización se coloca en una extensión PKC@, el resultado general es el acortamiento de la vida útil de la PKC. Segundo@, el emisor de la PKC no suele tener autoridad para la información de autorización. Esto da como resultado pasos adicionales para que el emisor de PKC obtenga información de autorización de la fuente autorizada. Por estos motivos@, a menudo es mejor separar la información de autorización de la PKC. La información de autorización de Yet@ también debe estar vinculada a una identidad. Un AC proporciona esta vinculación; es simplemente una identidad firmada (o certificada) digitalmente y un conjunto de atributos. Un AC se puede utilizar con varios servicios de seguridad@ incluido el control de acceso@ autenticación del origen de datos@ y el no repudio. Las PKC pueden proporcionar una identidad para acceder a funciones de decisión de control. Sin embargo@ en muchos contextos@ la identidad no es el criterio que se utiliza para las decisiones de control de acceso; más bien @ el rol o pertenencia al grupo del acceso es el criterio utilizado. Estos esquemas de control de acceso se denominan control de acceso basado en roles. Al tomar una decisión de control de acceso basada en un AC@, una función de decisión de control de acceso puede necesitar garantizar que el titular de AC apropiado sea la entidad que ha solicitado el acceso. Una forma en la que se puede lograr el vínculo entre la solicitud o identidad y la AC es la inclusión de una referencia a una PKC dentro de la AC y el uso de la clave privada correspondiente a la PKC para la autenticación dentro de la solicitud de acceso. Los AC también pueden usarse en el contexto de un servicio de autenticación del origen de datos y un servicio de no repudio. En estos contextos@ los atributos contenidos en el AC proporcionan información adicional sobre la entidad firmante. Esta información se puede utilizar para asegurarse de que la entidad esté autorizada a firmar los datos. Este tipo de control depende del contexto en el que se intercambian los datos o de los datos que han sido firmados digitalmente. Este documento queda obsoleto [RFC3281]. Los cambios desde [RFC3281] se enumeran en el Apéndice D."
RFC 5755-2010 Historia
2010RFC 5755-2010 Un perfil de certificado de atributos de Internet para autorización (Obsoletos: 3281)