Инфраструктура Открытого Ключа (часть 5)

Входы

Данный алгоритм предполагает наличие следующих семи входов:

1. Ожидаемый сертификационный путь длиной n.
2. Текущие дата и время.
3. User-initial-policy-set: множество идентификаторов политик сертификации, принимаемых пользователем сертификата. User-initial-policy-set имеет специальное значение anyРolicy, если пользователю политика сертификации не важна.
4. Информация о доверенном начальном сертификате в сертификационном пути. Информация о доверенном начальном сертификате включает:
   1. Имя выпускающего.
   2. Алгоритм открытого ключа.
   3. Открытый ключ.
   4. Необязательно – параметры данного открытого ключа.
   Информация доверенного начального сертификата может быть предоставлена процедуре обработки пути в форме самоподписанного сертификата. Информации начального сертификата можно доверять, так как она предоставлена процедуре обработки пути некоторой внешней надежной процедурой. Если алгоритм доверенного открытого ключа требует параметров, то эти параметры предоставляются вместе с доверенным открытым ключом.
5. Initial-policy-mapping-inhibit, который определяет, является ли отображение политики допустимым в сертификационном пути.
6. Initial-explicit - policy, который определяет, что путь должен быть действительным для, по крайней мере, одной сертификационной политики в user-initial-policy-set.
7. Initial-any-policy-inhibit, который определяет, должен ли OID anyPolicy обрабатываться, если он включен в сертификат.

Рис. 17.1. Диаграмма потока при обработке сертификационного пути

Инициализация

Данная фаза инициализации устанавливает одиннадцать переменных состояния на основании семи входов:

1. Valid_policy_tree: дерево политик сертификации с соответствующими необязательными квалификаторами; каждый из листьев дерева является действительной политикой на данной стадии в проверке действительности сертификационного пути. Если действительная политика существует на данной стадии в проверке действительности сертификационного пути, глубина дерева равна числу сертификатов в цепочке, которые обработаны. Если действительная политика не существует на данной стадии в проверке действительности сертификационного пути, дерево устанавливается в NULL. После того как дерево установлено в NULL, обработка политики прекращается.

   Каждый узел в valid_policy_tree включает четыре объекта данных: действительную политику, множество соответствующих квалификаторов политики, множество из одного или более ожидаемых значений политики и индикатор критичности. Если узел имеет глубину х, компоненты узла имеют следующую семантику:

   1. Valid_policy есть единственный OID политики, представляющий действительную политику для пути длиной х.
   2. Qualifier_set является множеством квалификаторов политики, связанных с действительной политикой в сертификате х.
   3. Criticality_indicator определяет, было ли расширение политики в сертификате х маркировано как критичное.

   4. Expected_policy_set содержит один или более OIDs политик, которые должны соответствовать данной политике в сертификате х+1.

      Начальным значением valid_policy_tree является единственный узел с valid_policy anyPolicy, пустым qualifier_set, expected_policy_set с единственным значением anyPolicy и criticality_indicator FALSE. Считается, что данный узел имеет глубину ноль.

      Рис. 17.2 графически представляет начальное состояние valid_policy_tree. Дополнительные рисунки будут использовать данный формат для описания изменений в valid_policy_tree при обработке пути.
2. Permitted_subtrees: множество корневых имен для каждого типа имени (например, Х.500 уникальные имена, e-mail адреса или IP-адреса), определяющее множество поддеревьев, в которых все имена субъектов в последующих сертификатах в сертификационном пути должны считаться действительными. Данная переменная включает множество для каждого типа имени: начальное значение для множества Distinguished Names является множеством всех уникальных имен; начальное значение множества имен RFC822 является множеством всех RFC822 имен и т.д.
3. Excluded_subtrees: множество корневых имен для каждого типа имени (например, Х.500 уникальное имя, email адреса или IP-адреса), определяющее множество поддеревьев, в которых имя субъекта в последующих сертификатах в сертификационном пути не может считаться действительным. Данная переменная включает множество для каждого типа имени, и начальное значение для каждого множества является пустым.
4. Explicit_policy: целое, которое определяет требуемое ненулевое valid_policy_tree. Данное число определяет число несамовыпущенных сертификатов, которые будут обработаны до того, как данное требование должно быть выполнено. Однажды установленная, данная переменная может только уменьшаться, возрастать не может. Это означает, что если сертификат в пути требует ненулевого valid_policy_tree, следующие сертификаты данное требование удалить не могут. Если initial-explicit-policy установлено, то начальное значение есть 0, в противном случае начальное значение есть n+1.
   

   
   Рис. 17.2. Начальное значение переменной состояния valid_policy_tree
5. Inhibit_any-policy: целое, которое определяет, можно ли считать идентификатор политики anyPolicy принимаемым. Целое определяет число игнорируемых несамовыпущенных сертификатов, обрабатываемых до OID anyPolicy, если он присутствует в сертификате. Однажды установленная, данная переменная может уменьшаться, но не может возрастать. Это означает, что если сертификат в пути не допускает обработку anyPolicy, последующие сертификаты не могут разрешить принимать данную политику. Если initial-any-policy-inhibit установлено, то начальное значение есть 0, в противном случае начальное значение есть n+1.
6. Policy_mapping: целое, которое определяет, допустимо ли отображение политики. Целое определяет число несамовыпущенных сертификатов, которые могут быть обработаны до запрещения отображения политики. Однажды установленная, данная переменная может уменьшаться, но не может возрастать. Таким образом, если сертификат в пути указывает, что отображение политики недопустимо, это не может быть перекрыто следующим сертификатом. Если initial-policy-mapping-inhibit установлено, то начальное значение есть 0, в противном случае начальное значение есть n+1.
7. Working_public_key_algorithm: алгоритм цифровой подписи, используемый для проверки подписи сертификата. Working_public_key_algorithm инициализируется из алгоритма доверенного открытого ключа, указанного в информации доверенного начального сертификата.
8. Working_public_key: открытый ключ, используемый для проверки подписи сертификата. Working_public_key инициализируется из доверенного открытого ключа, указанного в информации доверенного начального сертификата.
9. Working_public_key_parameters: параметры, связанные с текущим открытым ключом, который может требоваться для проверки подписи (в зависимости от алгоритма). Переменная working_public_key_parameters инициализируется из параметров доверенного открытого ключа, указанных в информации доверенного начального сертификата.
10. Working_issuer_name: уникальное имя выпускающего, ожидаемое в следующем сертификате в цепочке. Working_issuer_name инициализируется доверенным выпускающим, указанным в информации доверенного начального сертификата.
11. Max_path_length: данное целое инициализируется в n, уменьшается для каждого несамовыпущенного сертификата в пути и может быть уменьшено до значения в поле ограничения длины пути с расширением базовых ограничений сертификата СА.

После завершения шагов инициализации выполняются основные шаги обработки, описываемые ниже.