GB/T 16264.8-2005信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架

ICS35.100.70L79中華人民共和國國家標(biāo)準(zhǔn)GB/T16264.8-2005/ISO/IEC9594-8：2001代替GB/T16264.8-1996信息技術(shù)開放系統(tǒng)互連目錄第8部分:公鑰和屬性證書框架Informationtechnology-OpenSystemsInterconneetion-TheDirectory-Part8:Public-keyandattributecertificateframeworks(ISO/IEC9594-8:2001,IDT)2005-05-25發(fā)布2005-12-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布中國國家標(biāo)準(zhǔn)化管理委員會

GB/T16264.8-2005/ISO/IEC9594-8:2001次前言引言第一篇綜述1范圍2規(guī)范性引用文件2.1等同標(biāo)準(zhǔn)·…2.2技術(shù)內(nèi)容等效的標(biāo)準(zhǔn)3術(shù)語和定義……………3.1SI參考模型安全體系結(jié)構(gòu)定義3.2目錄模型定義3.3定義4縮略語·······5約定6框架概要6.1數(shù)字簽名·.第二篇公鑰證書框架7公鑰和公鑰證書·7.1密鑰對的生成……16公鑰證書的創(chuàng)建·7.2167.3證書有效性……………168公鑰證書和CRL擴展18策略處理……………8.119密鑰和策略信息擴展……8.28.3主體和頒發(fā)者信息擴展………….58.4認(rèn)證路徑限制擴展……基本CRL擴展8.58.6CRL分布點和-CRL擴展9-CRL與基礎(chǔ)的關(guān)系10證書認(rèn)證路徑處理過程10.1路徑處理的輸入10.2路徑處理的輸出路徑處理的變量10.3初始化步驃10.4·····10.5證書處理···…·……······…··11IPKI日錄模式11.1PKI目錄對象類和命名形式48PKI目錄屬性11.24911.3，PKI日錄匹配規(guī)則52

GB/T16264.8-2005/ISO/IEC9594-8:2001第三篇屬性證書框架12屬性證書……12.1屬性證書結(jié)構(gòu)12.2屬性證書路徑3屬性權(quán)威、SOA和證書認(rèn)證機構(gòu)的關(guān)系135913.1屬性證書中的特權(quán)13.2公鑰證書中的特權(quán)6014PMI模型6014.1一般模型6014.2控制模型62委托模型14.36214.4角色模型68，特權(quán)管理證書擴展156415.1基本特權(quán)管理擴展64侍特權(quán)撤銷擴展15.26815.3授權(quán)擴展源6715.4角色擴展6915.5授權(quán)擴展7016特權(quán)路徑處理過程16.1本處理過程角色處理過程16.216.3授權(quán)處理過程17PMI目錄模式17.1PMI目錄對象類17.2PMI目錄屬性17.3PMI普通目錄匹配規(guī)則第四篇公鑰目錄的使用和屬性證書框架187018.1弱鑒別規(guī)程18.2強鑒別81訪問控制19SO目錄操作的保護2087附錄A（資料性附錄)用ASN.1描述的鑒別框架88附錄B（規(guī)范性附錄）CRL的產(chǎn)生和處理規(guī)則附錄C（資料性附錄）增量CRL發(fā)布實例·附錄D（資料性附錄）特權(quán)策略和特權(quán)屬性定義實例125附錄E（資料性附錄)公鑰密碼學(xué)介紹……附錄F（規(guī)范性附錄）算法對象標(biāo)識符的參考定義132附錄G（資料性附錄)認(rèn)證路徑約柬的使用實例附錄H（資料性附錄)信息術(shù)語定義字母表135

GB/T16264.8-2005/ISO/IEC9594-8：2001前GB/T16264《信息技術(shù)開放系統(tǒng)互連目錄》分為十個部分：第1部分：概念、模型和服務(wù)的概述第2部分：模型第3部分：抽象服務(wù)定義第4部分：分布式操作規(guī)程第5部分：協(xié)議規(guī)范第6部分.選擇屬性類型第7部分：選擇客體類第8部分：公鑰和屬性證書框架第9部分：重復(fù)(尚未制定)第10部分：用于日錄行政管理的系統(tǒng)管理用法(尚未制定)本部分為GB/T16264的第8部分，等同采用ISO/IEC9594-8:2001《信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架》。本部分代替GB/T16264.8—1996《信息技術(shù)開放系統(tǒng)互連目錄第8部分：鑒別框架》。本部分與GB/T16264.8—1996相比,主要變化如下:-本部分描述了一套作為所有安全服務(wù)基礎(chǔ)的框架,并規(guī)定了在鑒別及其他服務(wù)方面的安全要求。本部分還特別規(guī)定了以下三種框架：·公鑰證書框架；·屬性證書框架;·鑒別服務(wù)框架-定義各種應(yīng)用使用該鑒別信息執(zhí)行鑒別的三種方法,并描述如何通過鑒別來支持其他安全服務(wù)本部分的附錄A、附錄C、附錄D、附錄E、附錄G和附錄H為資料性附錄,附錄B和附錄F為規(guī)范性附錄。本部分由中華人民共和國信息產(chǎn)業(yè)部提出。本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口本部分主要起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究所。本部分主要起草人；吳志剛、趙菁華、王顏尊、黃家英、鄭洪仁、李丹、高能

GB/T16264.8-2005/ISO/IEC9594-8:2001GB/T16264的本部分連同其他幾部分一起.用于提供目錄服務(wù)的信息處理系統(tǒng)的互連。所有這樣的系統(tǒng)連同它們所擁有的目錄信息，可以看作一個整體,稱為“目錄"。目錄中收錄的信息在總體上稱為目錄信息庫(DIB),它可用于簡化諸如OSI應(yīng)用實體、人、終端,以及分布列表等客體之間的通信。目錄在開放系統(tǒng)互連中起著極其重要的作用.其目的是允許在互連標(biāo)準(zhǔn)之下使用最少的技術(shù)協(xié)定，完成下列各類信息處理系統(tǒng)的互連：·來自不同廠家的信息處理系統(tǒng)：·處在不同機構(gòu)的信息處理系統(tǒng)；·具有不同復(fù)雜程度的信息處理系統(tǒng)；·不同年代的信息處理系統(tǒng)。許多應(yīng)用都有保護信息的通信免受威脅的安全要求。實際上.所有的安全服務(wù)都依賴于通信各方的身份被可靠地認(rèn)知，即，鑒別本部分定義了一個公鑰證書框架。這個框架包括了用于描述證書本身和撤銷發(fā)布證書不再被信任的通知的數(shù)據(jù)對象規(guī)范。本部分中定義的公鑰證書框架雖然定義了一些公鑰基礎(chǔ)設(shè)施（PKI)的關(guān)鍵組件，但卻不是PKI的全部組件。本部分提供了用于建立所有的PKI及其規(guī)范的基礎(chǔ)同樣的.本部分定義了屬性證書的框架。這個框架包括了用于描述證書本身和撤銷發(fā)布證書不再被信任的通知的數(shù)據(jù)對象規(guī)范。本部分中定義的屬性證書框架雖然定義了一些特權(quán)管理基礎(chǔ)設(shè)施（PMI)的關(guān)鍵組件.但卻不是PMI的全部組件。本部分提供了用于建立所有的PMI及其規(guī)范的基礎(chǔ)。本部分還定義了目錄中的PKI和PMI對象的持有者信息及存儲值和現(xiàn)有值之間的比較本部分定義了用于日錄向其用戶提供鑒別服務(wù)的框架本部分提供了能被其他標(biāo)準(zhǔn)制定組織和行業(yè)論壇定義的行業(yè)的基礎(chǔ)框架。在這些框架中，許多特性定義為可選的，可以在特定環(huán)境中通過描述委托使用。此版為標(biāo)準(zhǔn)的第四版,是在第三版基礎(chǔ)上的技術(shù)性的修訂和增強,但它并不替代第三版。目前實現(xiàn)時仍可使用第三版。然而.在某些方面本部分不支持第三版(即.所報告的缺陷不再予以解決)。推薦盡快執(zhí)行第四版。本部分凡涉及密碼算法相關(guān)內(nèi)容，按國家有關(guān)法規(guī)實施。本部分中所引用的MD5、SHA-1.RSA.DES、DH和DSA密碼算法為舉例性說明,具體使用時均須采用國家商用密碼管理委員會批準(zhǔn)的相應(yīng)算法

GB/T16264.8一2005/ISO/IEC9594-8:2001信息技術(shù)開放系統(tǒng)互連日錄第8部分：公鑰和屬性證書框架第一篇綜范圍本部分描述了一套作為所有安全服務(wù)基礎(chǔ)的框架，并規(guī)定了在鑒別及其他服務(wù)方面的安全要求本部分特別規(guī)定了以下三種框架：·公鑰證書框架；·屬性證書框架;。鑒別服務(wù)框架本部分中的公鑰證書框架包含了公鑰基礎(chǔ)設(shè)施（PKI)信息對象(如公鑰證書和證書撤銷列表（CRL)等)的定義。屬性證書框架包含了特權(quán)管理基礎(chǔ)設(shè)施（PMI)信息對象(如屬性證書和屬性撤銷列表（ACRL)等)的定義。該部分還提供了用于發(fā)布證書、管理證書、使用證書以及撤銷證書的框架。在規(guī)定的證書類型格式和撤銷列表模式格式中都包括了擴展機制。本部分同時還分別包括這兩種格式一套標(biāo)準(zhǔn)的擴展項,這些擴展項在PKI和PMI的應(yīng)用中是普遍實用的。本部分包括了模式構(gòu)件(如對象類、屬性類型和用于在目錄中存儲PKI對象和PMI對象的匹配規(guī)則)。超出這些框架的其他PKI和PMI要素（如密鑰和證書管理協(xié)議、操作協(xié)議、附加證書和CRL擴展)將由其他標(biāo)準(zhǔn)機構(gòu)（如ISOTC68.IETF等)制定本部分定義的鑒別模式具有普遍性，并可應(yīng)用于不同類型的應(yīng)用程序和環(huán)境中。對目錄使用公鑰證書和屬性證書，本部分還規(guī)定了目錄使用這兩種證書的使用框架。目錄使用公鑰技術(shù)(如證書)實現(xiàn)強鑒別,簽名操作和/或加密操作,以及簽名數(shù)據(jù)和/或加密的數(shù)據(jù)在目錄中存儲目錄利用屬性證書能夠?qū)崿F(xiàn)基于規(guī)則的訪問控制。本部分只規(guī)定框架方面的內(nèi)容，但有關(guān)目錄使用這些框架的完整規(guī)定、目錄所提供的相關(guān)服務(wù)及其構(gòu)件在目錄系列標(biāo)準(zhǔn)中進行規(guī)定，本部分還涉及鑒別服務(wù)框架方面的如下內(nèi)容。具體說明了目錄擁有的鑒別信息的格式；·描述如何從目錄中獲得鑒別信息：·說明如何在目錄中構(gòu)成和存放鑒別信息的假設(shè)；·定義各種應(yīng)用使用該鑒別信息執(zhí)行鑒別的三種方法，并描述如何通過鑒別來支持其他安全服務(wù)。本部分描述了兩級鑒別：使用口令作為自稱身份驗證的弱鑒別：包括使用密碼技術(shù)形成憑證的強鑒別。弱鑒別只提供一些有限的保護,以避免非授權(quán)的訪問.只有強鑒別才可用作提供安全服務(wù)的基礎(chǔ)。本部分不準(zhǔn)備為鑒別建立一個通用框架，但對于那些技術(shù)已經(jīng)