标准解读

《GB/T 16264.8-2005 信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架》与《GB/T 16264.8-1996 信息技术 开放系统互连 目录 第8部分:鉴别框架》相比,主要差异和更新体现在以下几个方面:

  1. 主题内容变化:最显著的变化在于关注点的转移。1996版标准主要聚焦于鉴别框架,即如何在开放系统互连环境中实现实体的身份验证。而2005版标准则专门针对公钥和属性证书框架进行了规定,这表明了从传统的身份验证方法向基于公钥加密技术和属性证书的安全机制的转变,以适应网络环境中的安全需求升级。

  2. 技术进步的反映:2005版标准引入了公钥基础设施(PKI)和属性证书的概念,这些是在1996年标准中未详细探讨的技术。公钥证书用于验证实体身份和提供安全服务,如数据加密和数字签名,而属性证书则扩展了证书的功能,不仅验证主体身份,还携带关于主体的额外属性信息,增强了证书的灵活性和应用场景。

  3. 安全性增强:随着对公钥技术和属性证书的支持,2005版标准在安全性和信任模型上有了显著提升。它提供了更细致的规范来处理证书的生命周期管理,包括证书的颁发、撤销、更新和验证流程,确保了在开放系统环境中数据传输的完整性和非否认性。

  4. 标准化与兼容性:新标准旨在促进不同系统间的安全互操作性,定义了证书结构、编码规则及证书路径验证等关键环节的标准格式,这有助于跨组织、跨平台的安全认证和数据交换,提升了信息技术系统的整体兼容性和协同工作能力。

  5. 法律和技术环境的适应:考虑到自1996年至2005年间,信息技术领域法律法规、安全威胁及技术应用的快速发展,2005版标准也适时地融入了新的法律遵从要求和技术最佳实践,以更好地适应当时的行业需求和挑战。

综上,2005版标准是对原有鉴别框架的深化和扩展,重点转向了更为现代和复杂的公钥及属性证书体系,旨在提升信息系统的安全性和互操作性,反映出信息技术领域安全标准随技术进步和社会需求变化的动态发展。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2005-05-25 颁布
  • 2005-12-01 实施
©正版授权
GB/T 16264.8-2005信息技术开放系统互连目录第8部分:公钥和属性证书框架_第1页
GB/T 16264.8-2005信息技术开放系统互连目录第8部分:公钥和属性证书框架_第2页
GB/T 16264.8-2005信息技术开放系统互连目录第8部分:公钥和属性证书框架_第3页
GB/T 16264.8-2005信息技术开放系统互连目录第8部分:公钥和属性证书框架_第4页
GB/T 16264.8-2005信息技术开放系统互连目录第8部分:公钥和属性证书框架_第5页
已阅读5页,还剩139页未读 继续免费阅读

下载本文档

GB/T 16264.8-2005信息技术开放系统互连目录第8部分:公钥和属性证书框架-免费下载试读页

文档简介

ICS35.100.70L79中华人民共和国国家标准GB/T16264.8-2005/ISO/IEC9594-8:2001代替GB/T16264.8-1996信息技术开放系统互连目录第8部分:公钥和属性证书框架Informationtechnology-OpenSystemsInterconneetion-TheDirectory-Part8:Public-keyandattributecertificateframeworks(ISO/IEC9594-8:2001,IDT)2005-05-25发布2005-12-01实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会

GB/T16264.8-2005/ISO/IEC9594-8:2001次前言引言第一篇综述1范围2规范性引用文件2.1等同标准·…2.2技术内容等效的标准3术语和定义……………3.1SI参考模型安全体系结构定义3.2目录模型定义3.3定义4缩略语·······5约定6框架概要6.1数字签名·.第二篇公钥证书框架7公钥和公钥证书·7.1密钥对的生成……16公钥证书的创建·7.2167.3证书有效性……………168公钥证书和CRL扩展18策略处理……………8.119密钥和策略信息扩展……8.28.3主体和颁发者信息扩展………….58.4认证路径限制扩展……基本CRL扩展8.58.6CRL分布点和-CRL扩展9-CRL与基础的关系10证书认证路径处理过程10.1路径处理的输入10.2路径处理的输出路径处理的变量10.3初始化步骠10.4·····10.5证书处理···…·……······…··11IPKI日录模式11.1PKI目录对象类和命名形式48PKI目录属性11.24911.3,PKI日录匹配规则52

GB/T16264.8-2005/ISO/IEC9594-8:2001第三篇属性证书框架12属性证书……12.1属性证书结构12.2属性证书路径3属性权威、SOA和证书认证机构的关系135913.1属性证书中的特权13.2公钥证书中的特权6014PMI模型6014.1一般模型6014.2控制模型62委托模型14.36214.4角色模型68,特权管理证书扩展156415.1基本特权管理扩展64侍特权撤销扩展15.26815.3授权扩展源6715.4角色扩展6915.5授权扩展7016特权路径处理过程16.1本处理过程角色处理过程16.216.3授权处理过程17PMI目录模式17.1PMI目录对象类17.2PMI目录属性17.3PMI普通目录匹配规则第四篇公钥目录的使用和属性证书框架187018.1弱鉴别规程18.2强鉴别81访问控制19SO目录操作的保护2087附录A(资料性附录)用ASN.1描述的鉴别框架88附录B(规范性附录)CRL的产生和处理规则附录C(资料性附录)增量CRL发布实例·附录D(资料性附录)特权策略和特权属性定义实例125附录E(资料性附录)公钥密码学介绍……附录F(规范性附录)算法对象标识符的参考定义132附录G(资料性附录)认证路径约柬的使用实例附录H(资料性附录)信息术语定义字母表135

GB/T16264.8-2005/ISO/IEC9594-8:2001前GB/T16264《信息技术开放系统互连目录》分为十个部分:第1部分:概念、模型和服务的概述第2部分:模型第3部分:抽象服务定义第4部分:分布式操作规程第5部分:协议规范第6部分.选择属性类型第7部分:选择客体类第8部分:公钥和属性证书框架第9部分:重复(尚未制定)第10部分:用于日录行政管理的系统管理用法(尚未制定)本部分为GB/T16264的第8部分,等同采用ISO/IEC9594-8:2001《信息技术开放系统互连目录第8部分:公钥和属性证书框架》。本部分代替GB/T16264.8—1996《信息技术开放系统互连目录第8部分:鉴别框架》。本部分与GB/T16264.8—1996相比,主要变化如下:-本部分描述了一套作为所有安全服务基础的框架,并规定了在鉴别及其他服务方面的安全要求。本部分还特别规定了以下三种框架:·公钥证书框架;·属性证书框架;·鉴别服务框架-定义各种应用使用该鉴别信息执行鉴别的三种方法,并描述如何通过鉴别来支持其他安全服务本部分的附录A、附录C、附录D、附录E、附录G和附录H为资料性附录,附录B和附录F为规范性附录。本部分由中华人民共和国信息产业部提出。本部分由全国信息安全标准化技术委员会归口本部分主要起草单位:中国电子技术标准化研究所。本部分主要起草人;吴志刚、赵菁华、王颜尊、黄家英、郑洪仁、李丹、高能

GB/T16264.8-2005/ISO/IEC9594-8:2001GB/T16264的本部分连同其他几部分一起.用于提供目录服务的信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息,可以看作一个整体,称为“目录"。目录中收录的信息在总体上称为目录信息库(DIB),它可用于简化诸如OSI应用实体、人、终端,以及分布列表等客体之间的通信。目录在开放系统互连中起着极其重要的作用.其目的是允许在互连标准之下使用最少的技术协定,完成下列各类信息处理系统的互连:·来自不同厂家的信息处理系统:·处在不同机构的信息处理系统;·具有不同复杂程度的信息处理系统;·不同年代的信息处理系统。许多应用都有保护信息的通信免受威胁的安全要求。实际上.所有的安全服务都依赖于通信各方的身份被可靠地认知,即,鉴别本部分定义了一个公钥证书框架。这个框架包括了用于描述证书本身和撤销发布证书不再被信任的通知的数据对象规范。本部分中定义的公钥证书框架虽然定义了一些公钥基础设施(PKI)的关键组件,但却不是PKI的全部组件。本部分提供了用于建立所有的PKI及其规范的基础同样的.本部分定义了属性证书的框架。这个框架包括了用于描述证书本身和撤销发布证书不再被信任的通知的数据对象规范。本部分中定义的属性证书框架虽然定义了一些特权管理基础设施(PMI)的关键组件.但却不是PMI的全部组件。本部分提供了用于建立所有的PMI及其规范的基础。本部分还定义了目录中的PKI和PMI对象的持有者信息及存储值和现有值之间的比较本部分定义了用于日录向其用户提供鉴别服务的框架本部分提供了能被其他标准制定组织和行业论坛定义的行业的基础框架。在这些框架中,许多特性定义为可选的,可以在特定环境中通过描述委托使用。此版为标准的第四版,是在第三版基础上的技术性的修订和增强,但它并不替代第三版。目前实现时仍可使用第三版。然而.在某些方面本部分不支持第三版(即.所报告的缺陷不再予以解决)。推荐尽快执行第四版。本部分凡涉及密码算法相关内容,按国家有关法规实施。本部分中所引用的MD5、SHA-1.RSA.DES、DH和DSA密码算法为举例性说明,具体使用时均须采用国家商用密码管理委员会批准的相应算法

GB/T16264.8一2005/ISO/IEC9594-8:2001信息技术开放系统互连日录第8部分:公钥和属性证书框架第一篇综范围本部分描述了一套作为所有安全服务基础的框架,并规定了在鉴别及其他服务方面的安全要求本部分特别规定了以下三种框架:·公钥证书框架;·属性证书框架;。鉴别服务框架本部分中的公钥证书框架包含了公钥基础设施(PKI)信息对象(如公钥证书和证书撤销列表(CRL)等)的定义。属性证书框架包含了特权管理基础设施(PMI)信息对象(如属性证书和属性撤销列表(ACRL)等)的定义。该部分还提供了用于发布证书、管理证书、使用证书以及撤销证书的框架。在规定的证书类型格式和撤销列表模式格式中都包括了扩展机制。本部分同时还分别包括这两种格式一套标准的扩展项,这些扩展项在PKI和PMI的应用中是普遍实用的。本部分包括了模式构件(如对象类、属性类型和用于在目录中存储PKI对象和PMI对象的匹配规则)。超出这些框架的其他PKI和PMI要素(如密钥和证书管理协议、操作协议、附加证书和CRL扩展)将由其他标准机构(如ISOTC68.IETF等)制定本部分定义的鉴别模式具有普遍性,并可应用于不同类型的应用程序和环境中。对目录使用公钥证书和属性证书,本部分还规定了目录使用这两种证书的使用框架。目录使用公钥技术(如证书)实现强鉴别,签名操作和/或加密操作,以及签名数据和/或加密的数据在目录中存储目录利用属性证书能够实现基于规则的访问控制。本部分只规定框架方面的内容,但有关目录使用这些框架的完整规定、目录所提供的相关服务及其构件在目录系列标准中进行规定,本部分还涉及鉴别服务框架方面的如下内容。具体说明了目录拥有的鉴别信息的格式;·描述如何从目录中获得鉴别信息:·说明如何在目录中构成和存放鉴别信息的假设;·定义各种应用使用该鉴别信息执行鉴别的三种方法,并描述如何通过鉴别来支持其他安全服务。本部分描述了两级鉴别:使用口令作为自称身份验证的弱鉴别:包括使用密码技术形成凭证的强鉴别。弱鉴别只提供一些有限的保护,以避免非授权的访问.只有强鉴别才可用作提供安全服务的基础。本部分不准备为鉴别建立一个通用框架,但对于那些技术已经

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论