标准号:GB/T 16264.8-2005
标准名称:信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架
代替标准:GB/T 16264.8-1996
发布日期:2005-05-25
实施日期:2005-12-01
批准发布部门:国家标准化管理委员会
归口单位:全国信息技术标准化技术委员会
本部分描述了一套作为所有安全服务基础的框架,并规定了在鉴别及其他服务方面的安全要求。
本部分特别规定了以下三种框架:
●公钥证书框架;
●属性证书框架;
●鉴别服务框架。
本部分中的公钥证书框架包含了公钥基础设施(PKI)信息对象(如公钥证书和证书撤销列表(CRL)等)的定义。属性证书框架包含了特权管理基础设施(PMI)信息对象(如属性证书和属性撤销列表(ACRL)等)的定义。该部分还提供了用于发布证书、管理证书、使用证书以及撤销证书的框架。在规定的证书类型格式和撤销列表模式格式中都包括了扩展机制。本部分同时还分别包括这两种格式一套标准的扩展项,这些扩展项在PKI和PMI的应用中是普遍实用的。本部分包括了模式构件(如对象类、属性类型和用于在目录中存储PKI对象和PMI对象的匹配规则)。超出这些框架的其他PKI和PMI要素(如密钥和证书管理协议、操作协议、附加证书和CRL扩展)将由其他标准机构(如ISO TC68,IETF等)制定。
本部分定义的鉴别模式具有普遍性,并可应用于不同类型的应用程序和环境中。
对目录使用公钥证书和属性证书,本部分还规定了目录使用这两种证书的使用框架。目录使用公钥技术(如证书)实现强鉴别,签名操作和/或加密操作,以及签名数据和/或加密的数据在目录中存储。目录利用属性证书能够实现基于规则的访问控制。本部分只规定框架方面的内容,但有关目录使用这些框架的完整规定、目录所提供的相关服务及其构件在目录系列标准中进行规定。
本部分还涉及鉴别服务框架方面的如下内容:
●具体说明了目录拥有的鉴别信息的格式;
●描述如何从目录中获得鉴别信息;
●说明如何在目录中构成和存放鉴别信息的假设;
●定义各种应用使用该鉴别信息执行鉴别的三种方法,并描述如何通过鉴别来支持其他安全服务。
本部分描述了两级鉴别:使用口令作为自称身份验证的弱鉴别;包括使用密码技术形成凭证的强鉴别。弱鉴别只提供一些有限的保护,以避免非授权的访问,只有强鉴别才可用作提供安全服务的基础。本部分不准备为鉴别建立一个通用框架,但对于那些技术已经成熟的应用来说本部分可能是通用的,因为这些技术对它们已经足够了。
在一个已定义的安全策略上下文中仅能提供鉴别(和其他安全服务)。因标准提供的服务而受限制的用户安全策略,由一个应用的用户自己来定义。
由使用本鉴别框架定义的应用标准来指定必须执行的协议交换,以便根据从目录中获取的鉴别信息来完成鉴别。应用从目录中获取凭证的协议称作目录访问协议(DAP),由ITU-T X.519|ISO/IEC 9594-5规定。
