ICS 35. 100. 70 L 79 GB 中华人民共和国国家标准 GB/T 16264.8—2005/IS0/IEC 9594-8 :2001 代替GB/T16264.8—1996 信息技术 开放系统互连 目录 第8部分：公钥和属性证书框架 Information technology--Open Systems Interconnection--The Directory- Part 8 :Public-key and attribute certificate frameworks (ISO/IEC9594-8:2001,IDT) 2005-05-25发布 2005-12-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 16264.8-2005/IS0/IEC 9594-8:2001 目 次 前言 引言 IV 第一篇综述 范围… 2 规范性引用文件 2.1等同标准 2.2技术内容等效的标准 3术语和定义 3.1OSI参考模型安全体系结构定义 3.2 目录模型定义 3.3定义 4缩略语 5 约定 6 框架概要 6.1数字签名 第二篇公钥证书框架 7 公钥和公钥证书. 11 7.1 密钥对的生成· 16 7. 2 公钥证书的创建· 16 7. 3 证书有效性 8 公钥证书和CRL扩展 18 8.1 策略处理· 19 8.2 密钥和策略信息扩展 21 8.3 主体和颁发者信息扩展… 27 8.4 认证路径限制扩展· 29 8.5 基本CRL扩展 32 8.6 CRL分布点和△-CRL扩展 39 9 △-CRL与基础的关系 43 10 证书认证路径处理过程 44 10.1 路径处理的输人 44 10.2 路径处理的输出 45 10.3 路径处理的变量 45 10.4 初始化步骤 45 10.5 证书处理 45 11 PKI目录模式 47 11.1 PKI目录对象类和命名形式 11.2 PKI目录属性 49 11.3PKI目录匹配规则 52 I GB/T16264.8—2005/ISO/IEC 9594-8:2001 第三篇 属性证书框架 56 12属性证书 56 12.1 属性证书结构 56 12.2 属性证书路径 59 13属性权威、SOA和证书认证机构的关系 59 13.1 属性证书中的特权 13.2 公钥证书中的特权 60 14 PMI模型 60 14.1 一般模型 60 14.2 控制模型 62 14.3 委托模型 14. 4 角色模型 63 15 特权管理证书扩展 ：64 15.1 基本特权管理扩展 64 15.2 特权撤销扩展 .66 15.3 授权扩展源 67 15.4 角色扩展 69 15.5 授权扩展 70 16特权路径处理过程 73 16.1 基本处理过程 73 16.2 角色处理过程 74 16.3 授权处理过程 74 17 PMI目录模式 17.1 PMI目录对象类 75 17.2 PMI目录属性 77 17.3 PMI普通目录匹配规则 78 第四篇 公钥目录的使用和属性证书框架 79 目录鉴别 79 18.1 弱鉴别规程 79 18.2 强鉴别 ..81 19 访问控制 86 20 目录操作的保护 87 附录A（资料性附录) 用ASN.1描述的鉴别框架 88 附录B（规范性附录） CRL的产生和处理规则 117 附录C（资料性附录） 增量CRL发布实例. 123 附录D(资料性附录) 特权策略和特权属性定义实例 125 附录E（资料性附录) 公钥密码学介绍 131 附录F（规范性附录) 算法对象标识符的参考定义 132 附录G（资料性附录） 认证路径约束的使用实例 133 附录H(资料性附录) 信息术语定义字母表 135 Ⅱ GB/T 16264.8—2005/IS0/IEC 9594-8:2001 前言 GB/T16264《信息技术开放系统互连 目录》分为十个部分： 第1部分：概念、模型和服务的概述 第2部分：模型 第3部分：抽象服务定义 第4部分：分布式操作规程 第5部分：协议规范 第6部分：选择属性类型 第7部分：选择客体类 第8部分：公钥和属性证书框架 第9部分：重复（尚未制定） 第10部分：用于目录行政管理的系统管理用法（尚未制定） 本部分为GB/T16264的第8部分，等同采用ISO/IEC9594-8：2001《信息技术开放系统互连 目录第8部分：公钥和属性证书框架》。 本部分代替GB/T16264.8--1996《信息技术 开放系统互连 目录第8部分：鉴别框架》。本部 分与GB/T16264.8--1996相比，主要变化如下： 一本部分描述了一套作为所有安全服务基础的框架，并规定了在鉴别及其他服务方面的安全要 求。本部分还特别规定了以下三种框架： ·公钥证书框架； ●属性证书框架； ·鉴别服务框架。 定义各种应用使用该鉴别信息执行鉴别的三种方法，并描述如何通过鉴别来支持其他安全 服务。 本部分的附录A、附录C、附录D、附录E、附录G和附录H为资料性附录，附录B和附录F为规范 性附录。 本部分由中华人民共和国信息产业部提出。 本部分由全国信息安全标准化技术委员会归口。 本部分主要起草单位：中国电子技术标准化研究所。 本部分主要起草人：吴志刚、赵菁华、王颜尊、黄家英、郑洪仁、李丹、高能。 GB/T16264.8—2005/IS0/IEC9594-8:2001 引言 GB/T16264的本部分连同其他几部分一起，用于提供目录服务的信息处理系统的互连。所有这 样的系统连同它们所拥有的目录信息，可以看作一个整体，称为“目录”。目录中收录的信息在总体上称 为目录信息库（DIB)，它可用于简化诸如OSI应用实体、人、终端，以及分布列表等客体之间的通信。 目录在开放系统互连中起着极其重要的作用，其目的是允许在互连标准之下使用最少的技术协定， 完成下列各类信息处理系统的互连： ●来自不同厂家的信息处理系统； ·处在不同机构的信息处理系统； ·具有不同复杂程度的信息处理系统； ·不同年代的信息处理系统。 许多应用都有保护信息的通信免受威胁的安全要求。实际上，所有的安全服务都依赖于通信各方 的身份被可靠地认知，即，鉴别。 本部分定义了一个公钥证书框架。这个框架包括了用于描述证书本身和撤销发布证书不再被信任 的通知的数据对象规范。本部分中定义的公钥证书框架虽然定义了一些公钥基础设施（PKI)的关键组 件，但却不是PKI的全部组件。本部分提供了用于建立所有的PKI及其规范的基础。 同样的，本部分定义了属性证书的框架。这个框架包括了用于描述证书本身和撤销发布证书不再 被信任的通知的数据对象规范。本部分中定义的属性证书框架虽然定义了一些特权管理基础设施 (PMI)的关键组件，但却不是PMI的全部组件。本部分提供了用于建立所有的PMI及其规范的基础。 本部分还定义了自录中的PKI和PMI对象的持有者信息及存储值和现有值之间的比较。 本部分定义了用于目录向其用户提供鉴别服务的框架。 本部分提供了能被其他标准制定组织和行业论坛定义的行业的基础框架。在这些框架中，许多特 性定义为可选的，可以在特定环境中通过描述委托使用。此版为标准的第四版，是在第三版基础上的技 术性的修订和增强，但它并不替代第三版。目前实现时仍可使用第三版。然而，在某些方面本部分不支 持第三版（即，所报告的缺陷不再予以解决）。推荐尽快执行第四版。 本部分凡涉及密码算法相关内容，按国家有关法规实施。 本部分中所引用的MD5、SHA-1、RSA、DES、DH和DSA密码算法为举例性说明，具体使用时均 须采用国家商用密码管理委员会批准的相应算法。 N GB/T16264.8—2005/IS0/IEC9594-8:2001 引言 GB/T16264的本部分连同其他几部分一起，用于提供目录服务的信息处理系统的互连。所有这 样的系统连同它们所拥有的目录信息，可以看作一个整体，称为“目录”。目录中收录的信息在总体上称 为目录信息库（DIB)，它可用于简化诸如OSI应用实体、人、终端，以及分布列表等客体之间的通信。 目录在开放系统互连中起着极其重要的作用，其目的是允许在互连标准之下使用最少的技术协定， 完成下列各类信息处理系统的互连： ●来自不同厂家的信息处理系统； ·处在不同机构的信息处理系统； ·具有不同复杂程度的信息处理系统； ·不同年代的信息处理系统。 许多应用都有保护信息的通信免受威胁的安全要求。实际上，所有的安全服务都依赖于通信各方 的身份被可靠地认知，即，鉴别。 本部分定义了一个公钥证书框架。这个框架包括了用于描述证书本身和撤销发布证书不再被信任 的通知的数据对象规范。本部分中定义的公钥证书框架虽然定义了一些公钥基础设施（PKI)的关键组 件，但却不是PKI的全部组件。本部分提供了用于建立所有的PKI及其规范的基础。 同样的，本部分定义了属性证书的框架。这个框架包括了用于描述证书本身和撤销发布证书不再 被信任的通知的数据对象规范。本部分中定义的属性证书框架虽然定义了一些特权管理基础设施 (PMI)的关键组件，但却不是PMI的全部组件。本部分提供了用于建立所有的PMI及其规范的基础。 本部分还定义了自录中的PKI和PMI对象的持有者信息及存储值和现有值之间的比较。 本部分定义了用于目录向其用户提供鉴别服务的框架。 本部分提供了能被其他标准制定组织和行业论坛定义的行业的基础框架。在这些框架中，许多特 性定义为可选的，可以在特定环境中通过描述委托使用。此版为标准的第四版，是在第三版基础上的技 术性的修订和增强，但它并不替代第三版。目前实现时