ICS35.100.70L79中華人民共和國國家標準GB/T16264.8-2005/ISO/IEC9594-8：2001代替GB/T16264.8-1996信息技術開放系統互連目錄第8部分:公鑰和屬性證書框架Informationtechnology-OpenSystemsInterconneetion-TheDirectory-Part8:Public-keyandattributecertificateframeworks(ISO/IEC9594-8:2001,IDT)2005-05-25發布2005-12-01實施中華人民共和國國家質量監督檢驗檢疫總局發布中國國家標準化管理委員會

GB/T16264.8-2005/ISO/IEC9594-8:2001次前言引言第一篇綜述1范圍2規范性引用文件2.1等同標準·…2.2技術內容等效的標準3術語和定義……………3.1SI參考模型安全體系結構定義3.2目錄模型定義3.3定義4縮略語·······5約定6框架概要6.1數字簽名·.第二篇公鑰證書框架7公鑰和公鑰證書·7.1密鑰對的生成……16公鑰證書的創建·7.2167.3證書有效性……………168公鑰證書和CRL擴展18策略處理……………8.119密鑰和策略信息擴展……8.28.3主體和頒發者信息擴展………….58.4認證路徑限制擴展……基本CRL擴展8.58.6CRL分布點和-CRL擴展9-CRL與基礎的關系10證書認證路徑處理過程10.1路徑處理的輸入10.2路徑處理的輸出路徑處理的變量10.3初始化步驃10.4·····10.5證書處理···…·……······…··11IPKI日錄模式11.1PKI目錄對象類和命名形式48PKI目錄屬性11.24911.3，PKI日錄匹配規則52

GB/T16264.8-2005/ISO/IEC9594-8:2001第三篇屬性證書框架12屬性證書……12.1屬性證書結構12.2屬性證書路徑3屬性權威、SOA和證書認證機構的關系135913.1屬性證書中的特權13.2公鑰證書中的特權6014PMI模型6014.1一般模型6014.2控制模型62委托模型14.36214.4角色模型68，特權管理證書擴展156415.1基本特權管理擴展64侍特權撤銷擴展15.26815.3授權擴展源6715.4角色擴展6915.5授權擴展7016特權路徑處理過程16.1本處理過程角色處理過程16.216.3授權處理過程17PMI目錄模式17.1PMI目錄對象類17.2PMI目錄屬性17.3PMI普通目錄匹配規則第四篇公鑰目錄的使用和屬性證書框架187018.1弱鑒別規程18.2強鑒別81訪問控制19SO目錄操作的保護2087附錄A（資料性附錄)用ASN.1描述的鑒別框架88附錄B（規范性附錄）CRL的產生和處理規則附錄C（資料性附錄）增量CRL發布實例·附錄D（資料性附錄）特權策略和特權屬性定義實例125附錄E（資料性附錄)公鑰密碼學介紹……附錄F（規范性附錄）算法對象標識符的參考定義132附錄G（資料性附錄)認證路徑約柬的使用實例附錄H（資料性附錄)信息術語定義字母表135

GB/T16264.8-2005/ISO/IEC9594-8：2001前GB/T16264《信息技術開放系統互連目錄》分為十個部分：第1部分：概念、模型和服務的概述第2部分：模型第3部分：抽象服務定義第4部分：分布式操作規程第5部分：協議規范第6部分.選擇屬性類型第7部分：選擇客體類第8部分：公鑰和屬性證書框架第9部分：重復(尚未制定)第10部分：用于日錄行政管理的系統管理用法(尚未制定)本部分為GB/T16264的第8部分，等同采用ISO/IEC9594-8:2001《信息技術開放系統互連目錄第8部分：公鑰和屬性證書框架》。本部分代替GB/T16264.8—1996《信息技術開放系統互連目錄第8部分：鑒別框架》。本部分與GB/T16264.8—1996相比,主要變化如下:-本部分描述了一套作為所有安全服務基礎的框架,并規定了在鑒別及其他服務方面的安全要求。本部分還特別規定了以下三種框架：·公鑰證書框架；·屬性證書框架;·鑒別服務框架-定義各種應用使用該鑒別信息執行鑒別的三種方法,并描述如何通過鑒別來支持其他安全服務本部分的附錄A、附錄C、附錄D、附錄E、附錄G和附錄H為資料性附錄,附錄B和附錄F為規范性附錄。本部分由中華人民共和國信息產業部提出。本部分由全國信息安全標準化技術委員會歸口本部分主要起草單位：中國電子技術標準化研究所。本部分主要起草人；吳志剛、趙菁華、王顏尊、黃家英、鄭洪仁、李丹、高能

GB/T16264.8-2005/ISO/IEC9594-8:2001GB/T16264的本部分連同其他幾部分一起.用于提供目錄服務的信息處理系統的互連。所有這樣的系統連同它們所擁有的目錄信息，可以看作一個整體,稱為“目錄"。目錄中收錄的信息在總體上稱為目錄信息庫(DIB),它可用于簡化諸如OSI應用實體、人、終端,以及分布列表等客體之間的通信。目錄在開放系統互連中起著極其重要的作用.其目的是允許在互連標準之下使用最少的技術協定，完成下列各類信息處理系統的互連：·來自不同廠家的信息處理系統：·處在不同機構的信息處理系統；·具有不同復雜程度的信息處理系統；·不同年代的信息處理系統。許多應用都有保護信息的通信免受威脅的安全要求。實際上.所有的安全服務都依賴于通信各方的身份被可靠地認知，即，鑒別本部分定義了一個公鑰證書框架。這個框架包括了用于描述證書本身和撤銷發布證書不再被信任的通知的數據對象規范。本部分中定義的公鑰證書框架雖然定義了一些公鑰基礎設施（PKI)的關鍵組件，但卻不是PKI的全部組件。本部分提供了用于建立所有的PKI及其規范的基礎同樣的.本部分定義了屬性證書的框架。這個框架包括了用于描述證書本身和撤銷發布證書不再被信任的通知的數據對象規范。本部分中定義的屬性證書框架雖然定義了一些特權管理基礎設施（PMI)的關鍵組件.但卻不是PMI的全部組件。本部分提供了用于建立所有的PMI及其規范的基礎。本部分還定義了目錄中的PKI和PMI對象的持有者信息及存儲值和現有值之間的比較本部分定義了用于日錄向其用戶提供鑒別服務的框架本部分提供了能被其他標準制定組織和行業論壇定義的行業的基礎框架。在這些框架中，許多特性定義為可選的，可以在特定環境中通過描述委托使用。此版為標準的第四版,是在第三版基礎上的技術性的修訂和增強,但它并不替代第三版。目前實現時仍可使用第三版。然而.在某些方面本部分不支持第三版(即.所報告的缺陷不再予以解決)。推薦盡快執行第四版。本部分凡涉及密碼算法相關內容，按國家有關法規實施。本部分中所引用的MD5、SHA-1.RSA.DES、DH和DSA密碼算法為舉例性說明,具體使用時均須采用國家商用密碼管理委員會批準的相應算法

GB/T16264.8一2005/ISO/IEC9594-8:2001信息技術開放系統互連日錄第8部分：公鑰和屬性證書框架第一篇綜范圍本部分描述了一套作為所有安全服務基礎的框架，并規定了在鑒別及其他服務方面的安全要求本部分特別規定了以下三種框架：·公鑰證書框架；·屬性證書框架;。鑒別服務框架本部分中的公鑰證書框架包含了公鑰基礎設施（PKI)信息對象(如公鑰證書和證書撤銷列表（CRL)等)的定義。屬性證書框架包含了特權管理基礎設施（PMI)信息對象(如屬性證書和屬性撤銷列表（ACRL)等)的定義。該部分還提供了用于發布證書、管理證書、使用證書以及撤銷證書的框架。在規定的證書類型格式和撤銷列表模式格式中都包括了擴展機制。本部分同時還分別包括這兩種格式一套標準的擴展項,這些擴展項在PKI和PMI的應用中是普遍實用的。本部分包括了模式構件(如對象類、屬性類型和用于在目錄中存儲PKI對象和PMI對象的匹配規則)。超出這些框架的其他PKI和PMI要素（如密鑰和證書管理協議、操作協議、附加證書和CRL擴展)將由其他標準機構（如ISOTC68.IETF等)制定本部分定義的鑒別模式具有普遍性，并可應用于不同類型的應用程序和環境中。對目錄使用公鑰證書和屬性證書，本部分還規定了目錄使用這兩種證書的使用框架。目錄使用公鑰技術(如證書)實現強鑒別,簽名操作和/或加密操作,以及簽名數據和/或加密的數據在目錄中存儲目錄利用屬性證書能夠實現基于規則的訪問控制。本部分只規定框架方面的內容，但有關目錄使用這些框架的完整規定、目錄所提供的相關服務及其構件在目錄系列標準中進行規定，本部分還涉及鑒別服務框架方面的如下內容。具體說明了目錄擁有的鑒別信息的格式；·描述如何從目錄中獲得鑒別信息：·說明如何在目錄中構成和存放鑒別信息的假設；·定義各種應用使用該鑒別信息執行鑒別的三種方法，并描述如何通過鑒別來支持其他安全服務。本部分描述了兩級鑒別：使用口令作為自稱身份驗證的弱鑒別：包括使用密碼技術形成憑證的強鑒別。弱鑒別只提供一些有限的保護,以避免非授權的訪問.只有強鑒別才可用作提供安全服務的基礎。本部分不準備為鑒別建立一個通用框架，但對于那些技術已經