本部分为GB/T 16264的第8部分，等同采用ISO/IEC 9594-8:2001《信息技术 开放系统互连目录 第8部分：公钥和属性证书框架》。

ICS35.100.70
中华人民共和国国家标准
GB/T 16264.8—2005/IS0/IEC 9594-8:2001代替（B/16264.81996
信息技术
开放系统互连
第8部分：公钥和属性证书框架
Informnation technology--Open Systems Interconnection-Thc DirectoryPart 8:Public-key and attribute certificale frameworks(ISO/1EC 9594-8:2001,IDT)
2005-05-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2005-12-01实施
第一篇综述
范囤
2范性引用文件
2. 1 等同标推
2.2技术内容等效的标准
3 术语和定义
3.1OSI参考模型安全体系结构定义3. 2H录模型定义
3.3定义
1缩略语
5约定
6框架概要
6.1数字签
第二篇公朗证书架
？公钳和公钥证书
7.1密钥对的生成-
7.2公钥证书的创建
7.3证书有效性……
8公钥证书和 CRL.扩展
8.1策路处理…
8.2密朗和策略信息扩展·
8.3主体和颜发者信息护展
8.4认证路径限制扩展
8. 5 基本 CRL 扩展
8.6CRI.分布点和A-CRL扩展
9A-CRE与基础的关系
10证书认证略径处理过程
10.1路径处理的输人
路径处理的输出
路径处理的变量
10.4初始化步骤
10.5证书处理
11 PKI 且录模式
11.1PKI目录对象类和命名形式
11.2PKI目录属性
11.3PKI日录匹配规则
GB/T 16264.8-—2005/IS0/1EC 9594-8 :2001次
GB/T16264.8—2005/ISO/IEC9594-8:2001第三篇属性证书框架
12属性证书
12.1属性证书结构
12.2届性证书路径
13属性权威、S>A和证书认证机构的关系13.1属性证书中的特权
13.2公钥证书中的特权
14PMI模型
一般模型
控制模型
委托模型
角色模型
15特权管理证书扩展
15.1基本特权管理扩展
特权撤销扩展.
授权扩展源
角色扩展
授权扩展
16特权路径处理过程
16.1基本处理过程
角色处理过程·
16.3授权处理过程
17PM1目录模式
PMI目录对象类
PMI目录属性
17.3PM1普通目录匹配规则
第四篇公销口录的使用和屏性证书框架18日录鉴别
18.1弱鉴别规程
18.2强鉴别
19访问控制
20且录操作的保护
用ASN.1描述的鉴别框架
谢录A（资料性附录）
附录 B(规范性附录)
附录 C(资料性附录)
附录D（资料性附录）
附录 E（资料性附录)
CRL的产生和处理规则
增罩 CRL发布实例+
特权策略和特权屏性定义实例
公销密码学介绍
附录F（规范性附录）
算法对象标识符的参考定义
附录G（资料性闭求）认证路径约束的使用实例附录 H (资料性附录)
信息术语定义学母表
GB/T 16264.8—2005/IS0/IEC 9594-8:2001GB/T16264息技术升政系统互连
日录》分为十个部分；
第1部分：概念，模型和服务的概述第2部分：模型
第3部分：抽象服务定义
第4部分：分布式操作规程
第5部分：协设规范
第6部分：选属性类型
第7部分：选择客体类
第8部分：公钥和属性证书框架
第9部分：重复(尚末制定）
第10部分：用下目录行政管理的系统管理用法（尚未制定）本部分为GB/T16264的第8部分，等同采用ISO/IEC9594·8：2001信息技术开放系统互连月录第8部分：公钥和属性证书框渠》。本部分代替GB/T16264.8—1996&信息技术开放系统互连日录第8部分：鉴别框架》。本部分与 GB/T 16264.8一1996 相比,主要变化如下：一本部分描述厂一套作为所有要全服务基碰的框架，并规定工在蜜别及基他服务存面的安全要求。本部分还特别规定了以下三种框架：●公钥证书框架；
属性证书框架;
鉴别服务框架。
…-定义各种应用使用该鉴别息执行鉴别的三种方法，并描述如何通过鉴别来支持其他安全服务。
本部分的附录A、附录C、附录D)、附录E、附录G和附录H为资料性附录，附录B和附录F为规范性附录。
本部分由中华人共和国信息产业部提出：本部分国全国信息安全标准化技术委员会归口。本部分主要起草单位：中国电子技术标准化研究所。本部分主要起草人：吴志刚,赵菁华、王颜尊黄家英，郑洪仁，李丹.商能。m
GB/T16264.8—2005/IS0/1EC 9594-8:2001引言
G/T16264的本部分连同其他几部分一起，用于提供日录服务的信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息，可以看作一个整体，称为“日录”。月录中收录的信息在总体上称为目录信息库(DJB),它可用于简化诸如OSI应用实体、人、端，以及分布列表等客体之间的通倍。目录在开放系统互连中起者极其重要的作用，其目的是允许在互连标准之下使用最少的技术协定，完成下列各类信息处理系统的互连：来自不同家的信息处理系统，
处在不同机构的信息处理系统
兵有不同复杂程度的信息处理系统：不同年代的信息处理系统。
许率应用都有保护信息的通信免受感胁的安全要求。实际上，所有的安全服务都依赖于通信各方的身份被可靠地认知，即，鉴别本部分定义了一个公钥证书框架：这个框架包括了用于描述证书本身和撤销发布证书不再被信任的通知的数据对象规范。本部分中定义的公钥证书框架虽然定义了一些公钥基础设施（PKI>的关键组件,但却不是PKI的全部组件。本部分提供了用于建立所有的 PKI 及其规范的基础。同样的，本部分定义了属性证书的架。这个框架包括了用描述证书本身和撤销发布证书不再被信托的通知的数据对象规范。本部分中定义的性证书框架虽然定义了一此特权管理基础设施(PMI)的关键组件,但却不是PMT的全部组件。本部分提供了用手建立所有的 PMI 及其规范的基础。本部分还定义了目录中的PKI和PMI对象的持有者信息及存储值和现有值之问的比较。本部分定义了用于自录向其用户提供鉴别服务的框架。本部分提供了能被其他标推制定组织和行业论坛定义的行业的基础框架。在这些框架中，许多特性定义为可选的，可以在特定环境中通过描述委托使用。此版为标准的第四版，是在第三版基础上的技术性的修订和增强，但它并不替代第一版，目前实现时仍可使用第三版。然而,在某些方面本部分不支持第三版（，所报告的缺陷不再予以解决)。推荐尽快执行第四版。本部分凡涉及密码筛法相关内容，按国家有关法规实施。本部分中所引用的MD5，SHA·1、RSA,DES.DHI和DSA密码算法为举例性说明，具体便用时均须采用国家商用密码管理委员会批准的相应算法。1范围
GB/T$6264.B—2005/IS0/IEC9594-B:2001信息技术开放系统互连自录
第8部分：公钥和属性证书框架
第一篇综述
本部分描述了一套作为所有安全服务基础的框架，并规定了在鉴别及其他展务方面的安全要求。本部分特削规定了以下一种框架：公钥证书框架：
、属性证书框架；
鲁鉴别服务架，
本部分中的公钥证书框架包含了公钥基础设施（PKI)信息对象（如公钥证书和证书撤销列表(CRL)等）的定义。属性证书推架包合了特权管理基础设施(PMI)信息对象（如属性证书和属性撤销列表（ACRL)等）的定义。该部分还提供了用于发布证书、管理证书、使用证书以及撤销证书的框架。在规定的证书类型格式和撤销刻表模式格试中都包括广护展机制。本部分同时还分别包括这两种搭格式一套标准的扩展项这些扩展项在PKI和PMI的应用中是普遍实用的。本分包括了模式构件（如对象类.属性类型和用于在目录中存催PKI对象和PMI对象的匹配规则）。超出这些框架的其他PKI和PMI要素（如密和证书管理协，操作协议、附加证书和CRI扩展）将由其他标准机构（如IS心TC68.1ETF等>制定。
不部分定义的鉴别模式其有普遍性，并可应用于不间类型的应用程序和环境中。对日录使公钥证书和属性证书，本部分还规定广月录使用这两种证书的使用框架。日录使用公钥技术(如证书)实现强鉴别，签名操作和/或加密操作，以及签名数据和/或加密的数据在月录中存储。月录利用属性证书能够实现基于规则的访向控制。本部分只规定框架方面的内容，但有关目录使用这些框架的完整规定，目录所提供的相关服务及其构件在目录系列标准中进行规定。本部分还越及鉴别服务框架方面的如下内容：。具体说明了目求拥有的鉴别信息的格式：描述如何从斤求中获得鉴别信息：参说明如何在目录中构成和存放鉴别信息的设；定义各种应用使用该鉴刻信息执行鉴别的三种方法，并描述如何通过鉴别来支持其他安全服务。
本部分描述了两级鉴别：使用口令作为自称身份验证的弱鉴别：包括使用密码技术形成凭证的强鉴别。弱鉴别只提供一些有限的保护，以避免非授权的访问，只有强鉴别才可用作提供安全服务的基础。本部分不准备为鉴别建立一个通用框架，但对十那些技术已经成熟的应用来说本部分可能是通用的+因为这些技术对它们已经足了。
在个已定义的安全策略上下文中仪能提供鉴别（和其他安全服务）。因标准提供的股务而受限制的用户安全策略，由个碰用的用户自己来定义。由使用本鉴别架定义的应用标推米定必须执行的协议交换，以便根据从目求中获取的案别信息来完成鉴别。应从月录中获取凭证的协议称作月录访问协议(IAI),由 ITU-T X.519 ISO/[EC9594-5规定。
GB/T 16264,8--2005/IS0/IEC 9594-8,20012规范性引用文件
下列文件中的条款通过GB/T 16264 的本部分的引用而成为本部分的条款。儿是注日期的引用文件，其后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。
2.1等同标准
ITU-T X.411(1999)|IS0/IEC 10021-4：1999信息技术报文处理系统MHS）报文传送系统：抽象服务定义和规程
ITU-T X. 500(2001) IS0/IEC 9594-1:2001务的概迷
信息技术
ITU-T x. 501(2001) / IS0/IEC 9594-2:2001信息技术
开放系统互连
开放系统互连
ITU-T X.511(2001)|ISO/IEC 9594-3:2001信息技术开放系统互连
ITU-T X. 518(2001) IS0/IEC 9594-4+2001信息技术开放系统互连
ITU-T X.519(2001)IS0/IEC 9594-5:2001信息技术
开放系统互连
ITU-T X.520(2001)1S0/IEC 9594-6+2001信息技术开放系统互连
开放系统互连
ITU-T X.521(2001)|IS0/1EC 9594-7:2001信息技术ITU-T X.525(2001)|1SO/IEC9594-9,2001开放系统互连
信息技术
ITU-T X.530(2001)ISO/IEC 9594-10:2001管理的系统管理的用法
CCITT X, 660(1992) 1 ISO/IEC 9834-1:1993规程；一般舰程
ITU-T X.680(1997)/ ISO/IEC 8824-1:1998规范
信息技术开敬系统五连
信息技术
开放系统互莲
日录：念、模型和服
目录：模型
目录：抽象服务定义
目录：分布式操作规程
目录;协议规范
目录：选择的属性类型
目录；选择的客体类别
白录：重复
目录：用于目录行政
OSI登记机构的操作
信息技术
抽象语法记法1（ASN.1）：基本记法ITU-TX.681(1997)1ISO/IEC8824-2:19983宿息技术
ITU-T X. 682(1997) 1S0/TEC 8824-3:1998抽象语法记法 I(ASN.1):客体信息信息技术抽象语法记法1(ASN.1):约束规范ITU-TX.683(1997）ISO/IEC8824-4：1998息技术抽象语法记法1(ASN.1)：ASN.1规范参数化
ITU-T X. 690(1997) [ ISO/IEC 8825-1: 1998信息技术ASN,1 编码既则;基本编码规则(BER)的规范，正规编码则(CER)和可辨别编码规则(DER）ITU-T X, 812(1995)[IS0/IEC 10181-3:1996 信息技术开放系统互连：开放式系统安全框架：访间控制框架
ITU-TX.813(1996）|ISO/IEC10181-4：1996信息技术开效系统互连：开放我系统安全糖架：认可框架
ITU-T X.880(1994)「IS()/IEC13712-1:1995信息技术远程操作：概念、模型和记法ITU-TX.881(1994）【ISO/IEC13712-2：1995信息技术远程操作：OSI实现-远程操作服务元素(ROSE)服务定义
2.2技术内容等效的标准
CCITTX.800(991）CCITT应用的开放式系统互连的安全体系缔构GB/T9387.2—1995信息处理系统开放式系统互连基本参考模型、第2部分：安全体系结构(idtISO/IEC7498-2:1989)
3术语和定义
下列术语和定义适用于本部分：3. 1 OSI 参考模型安全体系结构定义下列术请在GB/T9387.2—1995中定义：a
非对称(加密）asymmctric(eneiphcment);b)
鉴别交换authentication exchanget鉴别信息authernlication information机密性confidentialityi
凭证 credentials;
密码学
cryptography;
数据原发鉴别data origin authentication:解 decipherment;
encipherment+
密朗key；
password;
对等实体鉴别peer-entityauthentication;对称（加）symmetric(eneipherment)。目录模型定义
下列术语在GB/[16264.2中定义ta)
属性attribute,
自录信息库DirertoryTnformatianBase日录信息树irectory Informatian Trec;录系统代理 Dircctory syst.em Agent;DirectoryuserAgent
目录用户代理
可辨别名
distinguished nafnet
entry:
客体object;
3.3定义
root。
本部分定义下列术语：
厚性证书Attribute certificateGB/T16264.8-—2005/LS0/IEC9594-8.2001属性授权机构进行数字签名的数据结构，把持有者的身份信息与一些廊性值绑定。3. 3.2
属性授权机构(AA）Attribate Authority(AA)通过发布属性证书来分配特权的证书认证机构。3. 3. 3
属性授权机构撤销列表（AARL）AttrlbuteAnthorityRevocationList（AARL）一种包含发布给属性授权机构的证书索引的撤销列表，发布机构认为这些证书已不再有效。3. 3. 4
属性证书撤销列表（ACRL）AttribnteCertificateRevocationList（ACRL）标识由发布机构已发布的.不再有效的属性证书的索引裁。GB/T 16264.B—2005/IS0/1EC 9594-8 :2003.3.5
鉴别令牌authenication token（token）在强鉴别交换期间传送的一种倍息，可用于鉴别其发送者。3. 3. 6
机构 Authority
负责证书发布的实体。本部分中定义了两种类型：发布公钊证书的证书认证机构和发布展性证书的属性投权机构。
机构证书authority certificate发布给机构(例如证书认证机构或者属性授权机)的证书。3. 3.8
基础 CRI base CRE
-和 CRL:用于产生增鼠 CRI.的基础。3.3.9
CA 证书 CA certificate
由一个 CA颁发给另一个 CA的证书。3.3.10
证书策略certificate polley
命名的一组规则,指山证书对具右公共安全要求的特定团体和/或应用的适用范围。例如，一个特定的证书策略表明，用于确认电子数据交换贸易证书的适用范围是价格在某一预定范围内的交易。3.3. 11
证书撤销列表(CRL）Certificate Revocation List（CRL)一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通CRL外，还定义了一些特殊的 CRL类型用于覆盖特殊领城的 CRL。3.3.12
证书用户certlflcate user
需要确切地知道另一实体的公销的某一实体。3.3.13
证书序列号certificateserialnumben为每个证书分配的唯一整数值，在CA颁发的证书范围内，此整数值与该CA所颁发的证书相关联．·对应，
证书使用系统certificateusingsystem证书用使用的、本部分定义的那些功能实现。3. 3. 15
证书确认 certificate validation确认证书在给定时间有效的过程，可能包含一个证书认证路径的构造和处理，确保该路径上的所有证书在给定时间有效（即证书没有被撤销或者过期）。3.3.16
证书认证机构（CA）Certification Authority(CA）负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密销。3. 3. 17
证书认证机构撤销列衰(CARL）CertificatioⅡAathorityRevocatiunList(CARL)-种撤销列表，它包含-系列发布给证书认证构的公钥证书，证书发布者认为这些证书不再4
有效。
证书认证路径certificationpafhCB/T 16264.8—2005/IS0/IEC 9594-8;2001一个DIT中对象证书的有序序列，通过处理该有序序列及其起始对象的公铜可以获得该踏径的末端对象的公钥。
CRL分布点，CRL distribution point一个CRL目录项或其他CRL分发源；山CRL分布点分发的CRI可以包括仪对禁CA所发证书全集某个子集的撤销条自，或者可以包括有多个A的撤销条目。3.3.20
密码体制cryptographic system ;cryptosystem从明文到密文和从密文到明文的变换规则汇总，待使用的特定变换由密钥来选定。通常用一种数学算法来定义这些变换，
数据机密性，数据保密性dateconfidentiality保护数据免受末授权泄露的服务。数据保密性服务由鉴别框架支持。它可用来防止数据被截取。3.3.22
委托delegation
持有特定权限的实体将特定权限移交给另一个实体。3.3.23
委托路径delegationpatb
一个有序的证书序列，将该序列与权限声称者标识的警别共同确认权限声称者特定权限的真实性。3. 3. 24
增量 CRL A-CRL; delta-CRL:delta CRL;dCRL部分撤销列表，在可参考的基础CRI.发布以后，这些证书更改「其撤销状态。3.3.25
终端实体end entity
不以签署证书为目的而便用其私钥的证书主体或者是依赖（证书)方，3.3.26
终端实体属性证书撤销列表（EARL）End-entityAttributeCertificateRevocationList（EARL）撤销列表，它包含一系列向持有者发布的属性证书，持有者不是AA，并且对证书发布者来说这些属性证书不再有效。
终端实体公期证书撼销列麦（EPRL）End-entityPuhlic-key CertificateRevocationList（EPRL)撤销列表，它包含发布给非CA的主体的公钥证书列表，证书发布者认为这些公钥证书不再有效：3.3.28
环境变量environmentalvariables与授权决策所需策略相关的信息，它们不包括在静态结构中，但特延权限的验证者可通过本地途径来获得（例如，当天或者当前的账目结余)。3.3.29
完全CRLfulICRL
包含在给定范围内全部已被撤销的证书列表，5
GB/T16264.8—2005/IS0/1EC9594-8;2003.3.30
散列函数，哈希函数hash function将值从一个大的(可能很大)定义域映射到一个较小值域的（数学)数。“好的\散列函数是把该函数应用到大的定义域中的若十值的（人）集合的结果可以均勾地（和随机地）被分布在该范围上。3.3.31
持有者holder
由源授权机构声接授权的或出其他属性授极批构间接授权的实体，3. 3. 32
闯接 CRL(iCRL)indirect CRL（iCRL)一个撤销列表，它至少包含不是发布此CRL的其他机构发布的证书撤销信息。3.3.33www.vv99.net
密协定key agreement
在线商密钥值的一种方法·该方法无需传送密钥甚至是师密形式的密钳，例如，迪非-赫尔曼(Diffie-Hellm8n)技术（美于密钥协定机制的更率信息参见GB/T17901.1）。3.3.34
对象方法wbjcel method
-个行为，它可在资源上调而例如，文性系统可以读写和热行对象方法），3.3.35
单向函致one-way function
易计算的（数学）函数，通常对于值域中的值来说，很难计算山满足函数f（）一的在定义域中的自变量，可能也存在少数值,计算出相应的并不困难。3.3.36
策略映射pulicymupping
当某个域中的一个CA认证另一个域中的一个CA时,在第二个域中的特是证书政策川能被第一个域中的证书认证机构认为等价(但不必在各方面均相同)于第一个域中认可的特定证书政策。3.3.37
私有密钥，私钥privatekey
(在公钥密码体制中)用广密钥对中仅为该用所知的密钥。3.3.38
特定权限privilcgc
由权威机构分派给实体的属性或特性。3.3.39
特定权限声明者privilegeasserter使用属性证书或者公销证书来声明其特定权限的权限持有者。3.3.40
特定权限管理基础设施（PMI）PrivilegeManagementInfrastructure（PMI)）支持授权服务的综合基础设施，与公钥基础设施有着密划的联系：3. 3. 41
特定权限策略privilegepolicy
种策略，它描述广特权验证者为具有资搭的特权声明者提供/执行敏感服务的条件。特权策略与服务相连的属性相关，也和与特权声明者相连的属性相关，3.3.42
特定权限验证者
privilcgt verifier
依据特定权限策略验证证书的实体。6
公开密，公钥public-key
GB/T 16264.8—2005/IS0/IEC 9594-8:2001《在公钥密码体制中)用产密钥对中公布给公众的密钥。3.3.44
公钥证书 public-key certificate用广的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。3.3.45
公钥基础设施(PKJ)Puhlic-Key Infrastructure (PKI)支持公钥管理体制的基础设施，提供鉴别、邮密、完整性和不可否认性服务。3.3.46
依赖（证书）方relyingparty
依赖证书中的数据来做决定的用户或代理。3.3.47
角色分配证书
role assignment certiflcate一个证书，它包含角色属性，为证书对象/持有者分配一个或多个角色。3.3.48
角色说明证书
rale speclfication certificate为角色分配特定权限的证书。
敏感性sensltivity
表明价值或重要性的资源特性。3.3.50
鉴别simpleauthentication
使用口令设置的简单方法进行的鉴别。3.3.51
安全策略securityplnicy
山管理使用和提供安全服务和设施的安全机构所制定的组规则。3.3.52
证书源授权机构（SOA）SourceofAuthority（SOA）为资源的特定权限验证者所信任的，位于顾层的分配特定权限的廊性授权机构。3.3.53
强鉴别 strong anthentication使用由密码技术生成的托证进行的鉴别。3,3.54
信在 trust
通常，当一个实体假设另一个实体完全按照前者的期望行动时，则称前者\信任\后者。这种“信任”可能只适用于某些特定功能。本框架中“信任\的关键作用是描述鉴别实体和权戚机构之间的关系整别实体应确信它能够“信任\权威机构仅创建有效目可靠的证书。缔略调
下列缩略语适用于本部分
属性授权机构
AARI、属性授权机构撤销列表
ACRL属性证书撤销列表
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。