GB/T 16264.8-1996信息技術(shù)開放系統(tǒng)互連目錄第8部分：鑒別框架

ICS35.100L79中華人民共和國國家標準SE/T16264.0-1996idtISO/IEC9594-8:1990信息技術(shù)開放系統(tǒng)互連日錄第8部分:鑒別框架Informationtechnology-Opensystemsinterconnection--ThedirectoryPart8:Authenticationframework1996-03-22發(fā)布1996-10-01實施國家技術(shù)監(jiān)督局發(fā)布

中華人民共和國國家標準信息技術(shù)開放系統(tǒng)互連日錄第8部分：鑒別框架GB/T16264.8-1996中國標準出版社出版發(fā)行北京西城區(qū)復興門外三里河北街16號郵政編碼：100045電話：63787337、637874471997年3月第一版205年1月電子版制作書號：155066·1-13557版權(quán)專有侵權(quán)必究舉報電話：（010）68533533

GB/T16264.8-1996前言000000ISO/IEC前言引言第手一篇綜述…·1范圍引用標準3記法和縮略語第二篇簡單鑒別·5簡單鑒別規(guī)程第三篇強鑒別·…………·.6強強鑒別基礎(chǔ)……用戶公開密鑰的獲得數(shù)數(shù)字簽名··…·····9強鑒別規(guī)程………10密鑰和證書的管理附錄A(提示的附錄））安全要求附錄B(提示的附錄)公開密鑰密碼體制簡介附錄C(提示的附錄）RSA公開密鑰密碼體制附錄D(提示的附錄）散列函數(shù)·…………附錄E(提示的附錄），通過強鑒別方法防護的戚脅附錄F(提示的附錄）數(shù)數(shù)據(jù)的機密性··.·.·.·….附錄G(標準的附錄)，用ASN.1描述的鑒別框架附錄H(提示的附錄）算法客體標識符的參考定義

GB/T16264.8-1996本標準等同采用國際標準ISO/IEC9594-8:199《信息技術(shù)開放系統(tǒng)互連目錄第8部分：鑒別框架》和ISO/IEC9594-8:1990/Cor.1：1991《信息技術(shù)開發(fā)系統(tǒng)互連目錄第8部分：鑒別框架技術(shù)修改1》根據(jù)ISO/IEC9594-8:1990/Cor.1:1991，本標準對7.2、7.6、9.4和C5.2作了修改，并刪去了D2章通過制定這項國家標準，以便為信息處理的目錄服務(wù)提供統(tǒng)一的鑒別框架。GB/T16264在《信息技術(shù)開放系統(tǒng)互連目錄》總標題下,目前包括以下8個部分：第1部分(即GB/T16264.1);概念、模型和服務(wù)的概述;第2部分（即GB/T16264.2):模型；第3部分(即GB/T16264.3):抽象服務(wù)定義;第4部分(即GB/T16264.4):分布操作過程;第5部分(即GB/T16264.5):協(xié)議規(guī)范,第6部分（即GB/T16264.6)：選擇屬性類型；第7部分(即GB/T16264.7):選擇客體類;第8部分(即GB/T16264.8):鑒別框架。本標準的附錄G是標準的附錄;本標準的附錄A、B、C、D、E、F和H是提示的附錄。本標準由中華人民共和國電子工業(yè)部提出。本標準由電子工業(yè)部標準化研究所歸口。本標準起草單位：電子工業(yè)部標準化研究所、華北計算技術(shù)研究所，本標準主要起草人：鄭洪仁、李衛(wèi)國、黃家英、馮惠。

GB/T16264.8-1996ISO/IEC前言ISO(國際標準化組織)和IC(國際電工委員會)是世界性的標準化專門機構(gòu)。國家成員體(它們都是ISO或IEC的成員國)通過國際組織建立的各個技術(shù)委員會參與制定針對特定技術(shù)范圍的國際標準。ISO)和IEC的各技術(shù)委員會在共同感興趣的領(lǐng)域內(nèi)進行合作。與ISO和IC有聯(lián)系的其他官方和非官方國際組織也可參與國際標準的制定工作。對于信息技術(shù),ISO和IEC建立了一個聯(lián)合技術(shù)委員會，即ISO/IECJTCl.由聯(lián)合技術(shù)委員會提出的國際標準草案需分發(fā)給國家成員體進行表決。發(fā)布一項國際標準至少需要75%的參與表決的國家成員體投票贊成。國際標準ISO/IEC9594.8是由ISO/IECJTCI"信息技術(shù)”聯(lián)合技術(shù)委員會制定的。ISO/IEC9594在《信息技術(shù)開放系統(tǒng)互連目錄》總標題下，目前包括以下8個部分第1部分：概念、模型和服務(wù)的概述·第2部分：模型第3部分：抽象服務(wù)定義-第4部分：分布式操作規(guī)程第5部分：協(xié)議規(guī)范第6部分：選擇屬性類型第7部分：選擇客體類第第8部分：鑒別框架附錄G構(gòu)成為ISO/IEC9594.8的一部分，而附錄A、B、C、D、E、F和H僅提供參考信息。

GB/T16264.8-19960.1本標準，連同本系列標準的其他幾部分一起，便于提供目錄服務(wù)的信息處理系統(tǒng)的互連。所有這樣的系統(tǒng)連同它們所擁有的目錄信息，可以看作一個整體，稱為“目錄”。目錄中收錄的信息在總體上稱為目錄信息庫(DIB),它可用于簡化諸如OSI應(yīng)用實體、人、終端,以及分布列表等客體之間的通信。0.2目錄在開放系統(tǒng)互連中起著極其重要的作用，其目的是允許在互連標準之外使用最少的技術(shù)協(xié)定，完成下列各類信息處理系統(tǒng)的互連：·來自不同廠家的信息處理系統(tǒng)；·處在不同機構(gòu)的信息處理系統(tǒng);·具有不同復雜程度的信息處理系統(tǒng)；·不同年代的信息處理系統(tǒng)。0.3許多應(yīng)用都有保護信息的通信免受威脅的安全要求。附錄A概要描述了一些常見的威脅以及可用于保護信息免受這些威脅的安全服務(wù)和安全機制。實際上，所有的安全服務(wù)都依賴于通信各方的身份被可算地認知，即，鑒別。0.4本標準借助目錄給其用戶的鑒別服務(wù)定義了一個框架。這些用戶不僅包括其他應(yīng)用和服務(wù)，還包括目錄本身。目錄常用來滿足鑒別和其他安全服務(wù)的需要，因為目錄是通信各方獲得作為相互鑒別的基礎(chǔ)的鑒別信息的一個自然場所;同時，在目錄中還保存了用于滿足通信請求并且在通信發(fā)生之前必須獲得的其他信息。用這種方法還可以從目錄中獲得一個潛在通信伙伴的鑒別信息，類似于獲得一個地址。由于以通信為目的的目錄的適用范圍很廣泛，可以預期，許多應(yīng)用都將廣泛地使用這個鑒別框架。

中華人民共和國國家標準開放系統(tǒng)互連信息技術(shù)日錄第8部分：鑒別框架GB/T16264.8-1996idtISO/IEC9594-8:1990Informationtechnology-pensystemsinterconnection-ThedirectoryPart8:4uthenticationframework第一篇綜述1范園11本標準·具體說明了目錄擁有的鑒別信息的格式：·描述如何從目錄中獲得鑒別信息；·說明如何在目錄中構(gòu)成和存放鑒別信息的假設(shè)：·定義各種應(yīng)用使用該鑒別信息執(zhí)行鑒別的三種方法，并描述鑒別如何支持其他安全服務(wù)1.2本標準描述了兩級鑒別：簡單鑒別，使用口令作為自稱身份的一個驗證;強鑒別，包括使用密碼技術(shù)形成憑證。簡單鑒別只提供一些有限的保護，以避免非授權(quán)的訪問，只有強鑒別才可用作提供安全服務(wù)的基礎(chǔ)。本標準不準備為鑒別建立一個通用框架，但本標準對于認為那些技術(shù)已經(jīng)足夠的應(yīng)用來說可能是通用的，因為這些技術(shù)對它們已經(jīng)足夠了。1.3在一個已定義的安全策略上下文中僅提供鑒別(和其他安全服務(wù))。因標準提供的服務(wù)而受限制的用戶安全策略，由一個應(yīng)用的用戶自己來定義。1.4由使用本鑒別框架定義的應(yīng)用的標準來指定必須執(zhí)行的協(xié)議交換，以便根據(jù)從目錄中獲取的鑒別信息來完成鑒別。應(yīng)用從目錄中獲取憑證的協(xié)議稱作目錄訪問協(xié)議(DAP),由GB/T16264.5規(guī)定。1.5本標準中規(guī)定的強鑒別方法以公開密鑰密碼體制為基礎(chǔ)。這種體制的主要優(yōu)點是可以將用戶證書作為目錄的屬性保存在目錄中，并允許在目錄系統(tǒng)中自由交換，目錄的用戶也可以采用與獲取其他目錄信息同樣的方法獲取用戶證書。用戶證書可以采用脫機"方式形成，并由其創(chuàng)建者置入目錄中。用戶證書的生成應(yīng)由完全獨立于目錄中的任何DSA的“證明職能機構(gòu)”負責。尤其是，不應(yīng)對目錄提供者存儲或交換用戶證書所采用的安全方法作特殊的要求。附錄B給出了公開密鑰密碼的概要介紹。1.6在通常情況下，鑒別框架應(yīng)獨立于所采用的具有6.1所描述的特性的某種加密算法，也就是說，可以采用多種不同的加密算法。然而，想要相互鑒別的兩個用戶則支持采用相同的加密算法,從而確保進行正確的鑒別。因此，在一組相關(guān)的應(yīng)用的上下文中，選擇一種單一的算法將會增強用戶進