GB/T 16264.8-2005 信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架

内容简介

国家标准《信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架》由TC28（全国信息技术标准化技术委员会）归口，主管部门为国家标准化管理委员会。
本部分描述了一套作为所有安全服务基础的框架，并规定了在鉴别及其他服务方面的安全要求。本部分特别规定了以下三种框架：●公钥证书框架；●属性证书框架；●鉴别服务框架。本部分中的公钥证书框架包含了公钥基础设施(PKI)信息对象(如公钥证书和证书撤销列表(CRL)等)的定义。属性证书框架包含了特权管理基础设施(PMI)信息对象(如属性证书和属性撤销列表(ACRL)等)的定义。该部分还提供了用于发布证书、管理证书、使用证书以及撤销证书的框架。在规定的证书类型格式和撤销列表模式格式中都包括了扩展机制。本部分同时还分别包括这两种格式一套标准的扩展项，这些扩展项在PKI和PMI的应用中是普遍实用的。本部分包括了模式构件(如对象类、属性类型和用于在目录中存储PKI对象和PMI对象的匹配规则)。超出这些框架的其他PKI和PMI要素(如密钥和证书管理协议、操作协议、附加证书和CRL扩展)将由其他标准机构(如ISO TC68，IETF等)制定。本部分定义的鉴别模式具有普遍性，并可应用于不同类型的应用程序和环境中。对目录使用公钥证书和属性证书，本部分还规定了目录使用这两种证书的使用框架。目录使用公钥技术(如证书)实现强鉴别，签名操作和/或加密操作，以及签名数据和/或加密的数据在目录中存储。目录利用属性证书能够实现基于规则的访问控制。本部分只规定框架方面的内容，但有关目录使用这些框架的完整规定、目录所提供的相关服务及其构件在目录系列标准中进行规定。本部分还涉及鉴别服务框架方面的如下内容：●具体说明了目录拥有的鉴别信息的格式；●描述如何从目录中获得鉴别信息；●说明如何在目录中构成和存放鉴别信息的假设；●定义各种应用使用该鉴别信息执行鉴别的三种方法，并描述如何通过鉴别来支持其他安全服务。本部分描述了两级鉴别：使用口令作为自称身份验证的弱鉴别；包括使用密码技术形成凭证的强鉴别。弱鉴别只提供一些有限的保护，以避免非授权的访问，只有强鉴别才可用作提供安全服务的基础。本部分不准备为鉴别建立一个通用框架，但对于那些技术已经成熟的应用来说本部分可能是通用的，因为这些技术对它们已经足够了。在一个已定义的安全策略上下文中仅能提供鉴别(和其他安全服务)。因标准提供的服务而受限制的用户安全策略，由一个应用的用户自己来定义。由使用本鉴别框架定义的应用标准来指定必须执行的协议交换，以便根据从目录中获取的鉴别信息来完成鉴别。应用从目录中获取凭证的协议称作目录访问协议(DAP)，由ITU-T X.519｜ISO/IEC 9594-5规定。

起草单位

起草人

相近标准

GB/T 16264.6-2008 信息技术 开放系统互连 目录 第6部分: 选定的属性类型
GB/T 17143.8-1997 信息技术 开放系统互连 系统管理 第8部分:安全审计跟踪功能
GB/T 32392.8-2018 信息技术 互操作性元模型框架(MFI) 第8部分：角色和目标模型注册元模型
GB/T 18794.7-2003 信息技术 开放系统互连 开放系统安全框架 第7部分:安全审计和报警框架
YD/T 3499-2019 互联网码号资源公钥基础设施（RPKI）安全运行技术要求 证书策略与认证业务框架
GB/T 18794.2-2002 信息技术 开放系统互连 开放系统安全框架 第2部分:鉴别框架
GB/T 18794.3-2003 信息技术 开放系统互连 开放系统安全框架 第3部分:访问控制框架
GB/T 18794.4-2003 信息技术 开放系统互连 开放系统安全框架 第4部分:抗抵赖框架
GB/T 18794.5-2003 信息技术 开放系统互连 开放系统安全框架 第5部分:机密性框架
GB/T 18794.6-2003 信息技术 开放系统互连 开放系统安全框架 第6部分:完整性框架