GB/T 16264.8-2005信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架

ICS35.100.70L79中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T16264.8-2005/ISO/IEC9594-8：2001代替GB/T16264.8-1996信息技術(shù)開放系統(tǒng)互連目錄第8部分:公鑰和屬性證書框架Informationtechnology-OpenSystemsInterconneetion-TheDirectory-Part8:Public-keyandattributecertificateframeworks(ISO/IEC9594-8:2001,IDT)2005-05-25發(fā)布2005-12-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T16264.8-2005/ISO/IEC9594-8:2001次前言引言第一篇綜述1范圍2規(guī)范性引用文件2.1等同標(biāo)準(zhǔn)·…2.2技術(shù)內(nèi)容等效的標(biāo)準(zhǔn)3術(shù)語(yǔ)和定義……………3.1SI參考模型安全體系結(jié)構(gòu)定義3.2目錄模型定義3.3定義4縮略語(yǔ)·······5約定6框架概要6.1數(shù)字簽名·.第二篇公鑰證書框架7公鑰和公鑰證書·7.1密鑰對(duì)的生成……16公鑰證書的創(chuàng)建·7.2167.3證書有效性……………168公鑰證書和CRL擴(kuò)展18策略處理……………8.119密鑰和策略信息擴(kuò)展……8.28.3主體和頒發(fā)者信息擴(kuò)展………….58.4認(rèn)證路徑限制擴(kuò)展……基本CRL擴(kuò)展8.58.6CRL分布點(diǎn)和-CRL擴(kuò)展9-CRL與基礎(chǔ)的關(guān)系10證書認(rèn)證路徑處理過(guò)程10.1路徑處理的輸入10.2路徑處理的輸出路徑處理的變量10.3初始化步驃10.4·····10.5證書處理···…·……······…··11IPKI日錄模式11.1PKI目錄對(duì)象類和命名形式48PKI目錄屬性11.24911.3，PKI日錄匹配規(guī)則52

GB/T16264.8-2005/ISO/IEC9594-8:2001第三篇屬性證書框架12屬性證書……12.1屬性證書結(jié)構(gòu)12.2屬性證書路徑3屬性權(quán)威、SOA和證書認(rèn)證機(jī)構(gòu)的關(guān)系135913.1屬性證書中的特權(quán)13.2公鑰證書中的特權(quán)6014PMI模型6014.1一般模型6014.2控制模型62委托模型14.36214.4角色模型68，特權(quán)管理證書擴(kuò)展156415.1基本特權(quán)管理擴(kuò)展64侍特權(quán)撤銷擴(kuò)展15.26815.3授權(quán)擴(kuò)展源6715.4角色擴(kuò)展6915.5授權(quán)擴(kuò)展7016特權(quán)路徑處理過(guò)程16.1本處理過(guò)程角色處理過(guò)程16.216.3授權(quán)處理過(guò)程17PMI目錄模式17.1PMI目錄對(duì)象類17.2PMI目錄屬性17.3PMI普通目錄匹配規(guī)則第四篇公鑰目錄的使用和屬性證書框架187018.1弱鑒別規(guī)程18.2強(qiáng)鑒別81訪問(wèn)控制19SO目錄操作的保護(hù)2087附錄A（資料性附錄)用ASN.1描述的鑒別框架88附錄B（規(guī)范性附錄）CRL的產(chǎn)生和處理規(guī)則附錄C（資料性附錄）增量CRL發(fā)布實(shí)例·附錄D（資料性附錄）特權(quán)策略和特權(quán)屬性定義實(shí)例125附錄E（資料性附錄)公鑰密碼學(xué)介紹……附錄F（規(guī)范性附錄）算法對(duì)象標(biāo)識(shí)符的參考定義132附錄G（資料性附錄)認(rèn)證路徑約柬的使用實(shí)例附錄H（資料性附錄)信息術(shù)語(yǔ)定義字母表135

GB/T16264.8-2005/ISO/IEC9594-8：2001前GB/T16264《信息技術(shù)開放系統(tǒng)互連目錄》分為十個(gè)部分：第1部分：概念、模型和服務(wù)的概述第2部分：模型第3部分：抽象服務(wù)定義第4部分：分布式操作規(guī)程第5部分：協(xié)議規(guī)范第6部分.選擇屬性類型第7部分：選擇客體類第8部分：公鑰和屬性證書框架第9部分：重復(fù)(尚未制定)第10部分：用于日錄行政管理的系統(tǒng)管理用法(尚未制定)本部分為GB/T16264的第8部分，等同采用ISO/IEC9594-8:2001《信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架》。本部分代替GB/T16264.8—1996《信息技術(shù)開放系統(tǒng)互連目錄第8部分：鑒別框架》。本部分與GB/T16264.8—1996相比,主要變化如下:-本部分描述了一套作為所有安全服務(wù)基礎(chǔ)的框架,并規(guī)定了在鑒別及其他服務(wù)方面的安全要求。本部分還特別規(guī)定了以下三種框架：·公鑰證書框架；·屬性證書框架;·鑒別服務(wù)框架-定義各種應(yīng)用使用該鑒別信息執(zhí)行鑒別的三種方法,并描述如何通過(guò)鑒別來(lái)支持其他安全服務(wù)本部分的附錄A、附錄C、附錄D、附錄E、附錄G和附錄H為資料性附錄,附錄B和附錄F為規(guī)范性附錄。本部分由中華人民共和國(guó)信息產(chǎn)業(yè)部提出。本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口本部分主要起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所。本部分主要起草人；吳志剛、趙菁華、王顏?zhàn)?、黃家英、鄭洪仁、李丹、高能

GB/T16264.8-2005/ISO/IEC9594-8:2001GB/T16264的本部分連同其他幾部分一起.用于提供目錄服務(wù)的信息處理系統(tǒng)的互連。所有這樣的系統(tǒng)連同它們所擁有的目錄信息，可以看作一個(gè)整體,稱為“目錄"。目錄中收錄的信息在總體上稱為目錄信息庫(kù)(DIB),它可用于簡(jiǎn)化諸如OSI應(yīng)用實(shí)體、人、終端,以及分布列表等客體之間的通信。目錄在開放系統(tǒng)互連中起著極其重要的作用.其目的是允許在互連標(biāo)準(zhǔn)之下使用最少的技術(shù)協(xié)定，完成下列各類信息處理系統(tǒng)的互連：·來(lái)自不同廠家的信息處理系統(tǒng)：·處在不同機(jī)構(gòu)的信息處理系統(tǒng)；·具有不同復(fù)雜程度的信息處理系統(tǒng)；·不同年代的信息處理系統(tǒng)。許多應(yīng)用都有保護(hù)信息的通信免受威脅的安全要求。實(shí)際上.所有的安全服務(wù)都依賴于通信各方的身份被可靠地認(rèn)知，即，鑒別本部分定義了一個(gè)公鑰證書框架。這個(gè)框架包括了用于描述證書本身和撤銷發(fā)布證書不再被信任的通知的數(shù)據(jù)對(duì)象規(guī)范。本部分中定義的公鑰證書框架雖然定義了一些公鑰基礎(chǔ)設(shè)施（PKI)的關(guān)鍵組件，但卻不是PKI的全部組件。本部分提供了用于建立所有的PKI及其規(guī)范的基礎(chǔ)同樣的.本部分定義了屬性證書的框架。這個(gè)框架包括了用于描述證書本身和撤銷發(fā)布證書不再被信任的通知的數(shù)據(jù)對(duì)象規(guī)范。本部分中定義的屬性證書框架雖然定義了一些特權(quán)管理基礎(chǔ)設(shè)施（PMI)的關(guān)鍵組件.但卻不是PMI的全部組件。本部分提供了用于建立所有的PMI及其規(guī)范的基礎(chǔ)。本部分還定義了目錄中的PKI和PMI對(duì)象的持有者信息及存儲(chǔ)值和現(xiàn)有值之間的比較本部分定義了用于日錄向其用戶提供鑒別服務(wù)的框架本部分提供了能被其他標(biāo)準(zhǔn)制定組織和行業(yè)論壇定義的行業(yè)的基礎(chǔ)框架。在這些框架中，許多特性定義為可選的，可以在特定環(huán)境中通過(guò)描述委托使用。此版為標(biāo)準(zhǔn)的第四版,是在第三版基礎(chǔ)上的技術(shù)性的修訂和增強(qiáng),但它并不替代第三版。目前實(shí)現(xiàn)時(shí)仍可使用第三版。然而.在某些方面本部分不支持第三版(即.所報(bào)告的缺陷不再予以解決)。推薦盡快執(zhí)行第四版。本部分凡涉及密碼算法相關(guān)內(nèi)容，按國(guó)家有關(guān)法規(guī)實(shí)施。本部分中所引用的MD5、SHA-1.RSA.DES、DH和DSA密碼算法為舉例性說(shuō)明,具體使用時(shí)均須采用國(guó)家商用密碼管理委員會(huì)批準(zhǔn)的相應(yīng)算法

GB/T16264.8一2005/ISO/IEC9594-8:2001信息技術(shù)開放系統(tǒng)互連日錄第8部分：公鑰和屬性證書框架第一篇綜范圍本部分描述了一套作為所有安全服務(wù)基礎(chǔ)的框架，并規(guī)定了在鑒別及其他服務(wù)方面的安全要求本部分特別規(guī)定了以下三種框架：·公鑰證書框架；·屬性證書框架;。鑒別服務(wù)框架本部分中的公鑰證書框架包含了公鑰基礎(chǔ)設(shè)施（PKI)信息對(duì)象(如公鑰證書和證書撤銷列表（CRL)等)的定義。屬性證書框架包含了特權(quán)管理基礎(chǔ)設(shè)施（PMI)信息對(duì)象(如屬性證書和屬性撤銷列表（ACRL)等)的定義。該部分還提供了用于發(fā)布證書、管理證書、使用證書以及撤銷證書的框架。在規(guī)定的證書類型格式和撤銷列表模式格式中都包括了擴(kuò)展機(jī)制。本部分同時(shí)還分別包括這兩種格式一套標(biāo)準(zhǔn)的擴(kuò)展項(xiàng),這些擴(kuò)展項(xiàng)在PKI和PMI的應(yīng)用中是普遍實(shí)用的。本部分包括了模式構(gòu)件(如對(duì)象類、屬性類型和用于在目錄中存儲(chǔ)PKI對(duì)象和PMI對(duì)象的匹配規(guī)則)。超出這些框架的其他PKI和PMI要素（如密鑰和證書管理協(xié)議、操作協(xié)議、附加證書和CRL擴(kuò)展)將由其他標(biāo)準(zhǔn)機(jī)構(gòu)（如ISOTC68.IETF等)制定本部分定義的鑒別模式具有普遍性，并可應(yīng)用于不同類型的應(yīng)用程序和環(huán)境中。對(duì)目錄使用公鑰證書和屬性證書，本部分還規(guī)定了目錄使用這兩種證書的使用框架。目錄使用公鑰技術(shù)(如證書)實(shí)現(xiàn)強(qiáng)鑒別,簽名操作和/或加密操作,以及簽名數(shù)據(jù)和/或加密的數(shù)據(jù)在目錄中存儲(chǔ)目錄利用屬性證書能夠?qū)崿F(xiàn)基于規(guī)則的訪問(wèn)控制。本部分只規(guī)定框架方面的內(nèi)容，但有關(guān)目錄使用這些框架的完整規(guī)定、目錄所提供的相關(guān)服務(wù)及其構(gòu)件在目錄系列標(biāo)準(zhǔn)中進(jìn)行規(guī)定，本部分還涉及鑒別服務(wù)框架方面的如下內(nèi)容。具體說(shuō)明了目錄擁有的鑒別信息的格式；·描述如何從目錄中獲得鑒別信息：·說(shuō)明如何在目錄中構(gòu)成和存放鑒別信息的假設(shè)；·定義各種應(yīng)用使用該鑒別信息執(zhí)行鑒別的三種方法，并描述如何通過(guò)鑒別來(lái)支持其他安全服務(wù)。本部分描述了兩級(jí)鑒別：使用口令作為自稱身份驗(yàn)證的弱鑒別：包括使用密碼技術(shù)形成憑證的強(qiáng)鑒別。弱鑒別只提供一些有限的保護(hù),以避免非授權(quán)的訪問(wèn).只有強(qiáng)鑒別才可用作提供安全服務(wù)的基礎(chǔ)。本部分不準(zhǔn)備為鑒別建立一個(gè)通用框架，但對(duì)于那些技術(shù)已經(jīng)