標準號：GB/T 16264.8-2005
中文標準名稱：信息技術 開放系統互連 目錄 第8部分;公鑰和屬性證書框架
英文標準名稱：Information technology.Open Systems Interconnection.The Directory.Part 8:Public-key and attribute certificate frameworks
標準類型：L79
發布日期：2005/5/25 12:00:00
實施日期：2005/12/1 12:00:00
中國標準分類號：L79
國際標準分類號：35.100.70
引用標準：GB/T 9387.2-1995;ITU-T X.518-2001;ITU-T X.411-1999;ITU-T X.500-2001;ITU-T X.511-2001
適用范圍： 本部分描述了一套作為所有安全服務基礎的框架，并規定了在鑒別及其他服務方面的安全要求。本部分特別規定了以下三種框架： ●公鑰證書框架； ●屬性證書框架； ●鑒別服務框架。 本部分中的公鑰證書框架包含了公鑰基礎設施(PKI)信息對象(如公鑰證書和證書撤銷列表(CRL)等)的定義。屬性證書框架包含了特權管理基礎設施(PMI)信息對象(如屬性證書和屬性撤銷列表(ACRL)等)的定義。該部分還提供了用于發布證書、管理證書、使用證書以及撤銷證書的框架。在規定的證書類型格式和撤銷列表模式格式中都包括了擴展機制。本部分同時還分別包括這兩種格式一套標準的擴展項，這些擴展項在PKI和PMI的應用中是普遍實用的。本部分包括了模式構件(如對象類、屬性類型和用于在目錄中存儲PKI對象和PMI對象的匹配規則)。超出這些框架的其他PKI和PMI要素(如密鑰和證書管理協議、操作協議、附加證書和CRL擴展)將由其他標準機構(如ISO TC68，IETF等)制定。 本部分定義的鑒別模式具有普遍性，并可應用于不同類型的應用程序和環境中。 對目錄使用公鑰證書和屬性證書，本部分還規定了目錄使用這兩種證書的使用框架。目錄使用公鑰技術(如證書)實現強鑒別，簽名操作和/或加密操作，以及簽名數據和/或加密的數據在目錄中存儲。目錄利用屬性證書能夠實現基于規則的訪問控制。本部分只規定框架方面的內容，但有關目錄使用這些框架的完整規定、目錄所提供的相關服務及其構件在目錄系列標準中進行規定。 本部分還涉及鑒別服務框架方面的如下內容： ●具體說明了目錄擁有的鑒別信息的格式； ●描述如何從目錄中獲得鑒別信息； ●說明如何在目錄中構成和存放鑒別信息的假設； ●定義各種應用使用該鑒別信息執行鑒別的三種方法，并描述如何通過鑒別來支持其他安全服務。 本部分描述了兩級鑒別：使用口令作為自稱身份驗證的弱鑒別；包括使用密碼技術形成憑證的強鑒別。弱鑒別只提供一些有限的保護，以避免非授權的訪問，只有強鑒別才可用作提供安全服務的基礎。本部分不準備為鑒別建立一個通用框架，但對于那些技術已經成熟的應用來說本部分可能是通用的，因為這些技術對它們已經足夠了。 在一個已定義的安全策略上下文中僅能提供鑒別(和其他安全服務)。因標準提供的服務而受限制的用戶安全策略，由一個應用的用戶自己來定義。 由使用本鑒別框架定義的應用標準來指定必須執行的協議交換，以便根據從目錄中獲取的鑒別信息來完成鑒別。應用從目錄中獲取憑證的協議稱作目錄訪問協議(DAP)，由ITU—T X.519｜ISO/IEC 9594-5規定。