GB/T 16264.1-1996
基本信息
标准号: GB/T 16264.1-1996
中文名称:信息技术 开放系统互连 目录 第1部分:概念、模型和服务的概述
标准类别:国家标准(GB)
标准状态:已作废
发布日期:1996-03-22
实施日期:1996-10-01
作废日期:2009-01-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:583089
标准分类号
标准ICS号:信息技术、办公机械设备>>35.100开放系统互连(OSI)
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
出版信息
出版社:中国标准出版社
书号:155066.1-13558
页数:平装16开, 页数:19, 字数:34千字
标准价格:14.0 元
出版日期:1996-10-01
相关单位信息
首发日期:1996-03-22
复审日期:2004-10-14
起草人:冯惠、李卫国、黄家英、郑洪仁
起草单位:电子工业部标准化研究所
归口单位:全国信息技术标准化技术委员会
提出单位:中华人民共和国电子工业部
发布部门:国家技术监督局
主管部门:国家标准化管理委员会
标准简介
内容请见本标准。 GB/T 16264.1-1996 信息技术 开放系统互连 目录 第1部分:概念、模型和服务的概述 GB/T16264.1-1996 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
GB/T 16264.1--1996
本标准等同采用国际标准ISO/IEC9594-1:1990《信息技术开放系统互连目录第1部分:概念、模型和服务的概述》。
本标准无论在技术内容上,还是在编排格式上均与国际标准保持一致。仅在6.7的示例中,根据国情将人名和地名作了编辑性修改。通过制定本标准,为信息处理的目录服务提供了概念、模型和服务之概述。GB/T16264在《信息技术开放系统互连目录》总标题下,目前包括以下8个部分:第1部分(即GB/T16264.1):概念、模型和服务的概述;第2部分(即GB/T16264.2):模型,第3部分(即GB/T16264.3):抽象服务定义,;第4部分(即GB/T16264.4):分布操作过程,第5部分(即GB/T16264.5):协议规范;第6部分(即GB/T16264.6):选择属性类型;第7部分(即GB/T16264.7):选择客体类;第8部分(即GB/T16264.8):鉴别框架本标准的附录 A是提示的附录。本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位:电子工业部标准化研究所、华北计算技术研究所。本标准主要起草人:冯惠、李卫国、黄家英、郑洪仁。203
GB/T16264.11996
ISO/IEC 前言
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标的制定工作。对于信息技术,ISO和IEC建立了一个联合技术委员会,即ISO/IEC JTC1,由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布项国际标准至少需要75%的参与表决的国家成员体投票赞成。
国际标准ISO/IEC9594-1是由ISO/IECJTC1\信息技术”联合技术委员会制定的。ISO/IEC9594在《信息技术开放系统目录》总标题下包括以下8个部分:第1部分:概念、模型和服务的概述第2部分:模型
第3部分:抽象服务定义
一第4部分:分布式操作规程
第5部分:协议规范
一第6部分:选择属性类型
一第7部分:选择客体类
第8部分:鉴别框架
附录A仅提供参考信息。
GB/T16264.1—1996
0.1本标准,连同本系列标准的其他部分一起,便于提供目录服务的各类信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息,可以看作为一个整体,称为“目录”。目录中收录的信息总称为目录信息库(DIB),可用于简化诸如OSI应用实体、人,终端、以及分布列表等客体之间的通信。0.2目录在开放系统互连中具有极其重要的作用,其目的是允许在互连标准之外使用最少的技术协定,完成下列各类信息处理系统的互连:·来自不同厂家的信息处理系统,·处于不同管理的信息处理系统,:具有不同复杂程度的信息处理系统,·不同年代的信息处理系统。
0.3本标准引入了目录及DIB的概念,并将其模型化,概述了目录和DIB所提供的服务和能力。而本系列标准的其他部分则使用该模型来定义目录所提供的抽象服务,并规定获得或传播该服务的协议。205
1范围
中华人民共和国国家标准
信息技术开放系统互连目录
第1部分:概念、模型和服务的概述Information technology-Open systemsInterconnection-The directoryPart 1:Overview of concepts,models and servicesGB/T 16264.1—1996
idt ISO/IEC 9594-1:1990
1.1目录提供OSI 应用进程、OSI 管理进程、其他OSI层实体,以及远程通信服务所要求的目录能力。这些能力一般具有“用户友好的命名”,通过这种命名,人们可以方便地确定客体(并非所有的客体都需要有用户友好的命名)。同时,“名字-地址映射”则允许在客体与其位置之间建立动态联系。例如,后者允许OSI网络进行“自配置”,此时,增加、删除以及修改客体位置均不会影响OSI的网络操作。1.2尽管目录可以建立在通用的数据库管理系统之上,但目录本身并不表示一种通用的数据库系统。例如,对于一个典型的通信目录来说,一般假定“查询”操作比“更新”操作具有更高的频度。“更新”速度则由人和组织而非网络来动态管理。同时,也无需同时发生全球更新的许诺:即可用的同信息其新旧版本两者的过渡情况是完全可以接受的。1.3目录系统具有这样一种特性:除区分访问权限或不传播的更新的结果以外,目录查询的结果与查询者的身份和所处的位置无关,该特性就使得目录系统不适合于某些远程通信的应用,例如,某些类型的路由选择。
2引用标准
下列标准所包含的条文,通过在本标推中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标推最新版本的可能性。GB9387--88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)GB/T16264.2--1996信息技术开放系统互连目录第2部分:模型(idtISO/IEC9594-2:1990)
GB/T 16264.3--1996f
信息技术开放系统互连,目录第3部分:抽象服务定义(idtISO/IEC9594—3:1990)
GB/T 16264.4—19961
信息技术开放系统互连目录第4部分:分布式操作规程(idtISO/IEC 9594—4:1990)
GB/T16264.5--1996
信息技术开放系统互连
9594--5:1990)
目录第5部分:协议规范(idtISO/IECGB/T 16264.6—19961
信息技术开放系统互连目录第6部分:选择属性类型(idtISO/IEC9594—6:1990)
GB/T 16264. 7--1996↑
信息技术开放系统互连
国家技术监督局1996-03-22批准206
第7部分:选择客体类(idtISO/IEC1996-10-01实施
GB/T 16264.1--1996
9594—7:1990)
GB/T 16264.8—1996
信息技术开放系统互连
9594-8:1990)
GB/T16262—1996
信息技术开放系统互连
8824:1990)
目录第8部分:鉴别框架(idtISO/IEC抽象语法记法-(ASN.1)规范(idtISO/IECISO/IEC 9072-
—1:1989
信息处理系统
文本通信
远程操作第1部分:模型、记法及服务定ISO/IEC 9072-2:19891
信息处理系统
远程操作第2部分:协议规范
文本通信
3定义
本章中所包含的定义使用第4章中的缩略语。3.1OSI参考模型定义
本标准依据GB9387中提出的概念,并使用其中定义的下列术语:a)应用实体application entityb)应用层application layer
c)应用进程application processd)应用协议数据单元application protocol data unite)应用服务元素application service element3.2基本目录定义
3.2.1自录the directory
用以提供目录服务的一组协作的开放系统。3.2.2自录信息库(DIB)directory information base(DIB)由目录管理的信息的集合。
3.2.3(目录)用户(directory)user目录的端用户,即访问目录的实体或个人。3.3目录模型定义
本标准使用GB/T16264.2中定义的下列术语:a)公用机构的目录管理域administration directory management domain;b)别名 alias;
c)属性,attribute;
d)属性类型 attribute type;
e)属性值attribute value
f)目录信息树(DIT)Directory Information Tree(DIT);;g)目录管理域(DMD) Directory Management Domain(DMD);h)目录系统代理(DSA)Directory System Agent(DSA);i)昌录用户代理(DUA)Directory User Agent(DUA);j)可辨别名distinguished name;k)项entry;
I)名 name;
m)(相关的)客体object(of interest),n)专用的目录管理域private directory management domain;o)相关可辨别名relative distinguished name;p)根root;
schema;
g)目录模式
GB/T 16264.1—1996
r)下级客体subordinate object;s)上级项superior entry;
t)上级客体superior object;u)树tree。
3.4分布式操作定义
本标准使用GB/T16264.4中定义的下列术语:1)链接chaining
multicasting
2)组播
referral
3)参照指示
4缩略语
5目录概述
公用机构的目录管理域
目录访问点
目录信息库
目录信息树
目录管理域
目录系统代理
目录系统协议
目录用户代理
开放系统互连
专用的目录管理域
相关可辨别名
5.1目录是一组协作的开放系统,这些开放系统包含描述现实世界中的客体集合信息的逻辑数据库。目录用户,包括个人和计算机程序,如果得到许可,可以“阅读”和“修改”信息或部分信息。访问目录的每个用户都由一个可被看作是应用进程的目录用户代理(DUA)来表示。以上概念见图1所示。访问点
目录用户
图 1 对目录的访问
注:本系列标准只讨论单一目录,并考虑到以后通过单个统一的名字空间来创建一个包含多个系统,并为多种应用服务的逻辑目录。在这些系统之间是否要互工作则依赖于他们所支持的应用程序的需求。而对客体的无意义的应用则无此需要。单一的名字空间可以简化将来需要变化的互工作。5.2目录中的信息集中在一起称作目录信息库(DIB)。本标准的第6章概述其结构。5.3目录为用户提供了严格定义的访问能力集合,即目录的抽象服务。该服务将在本标准的第7章中208
GB/T16264.1--1996
概述,它提供了一种简单的修故和检素能力。该服务可以与本地DUA功能一起提供端用户所要求的能力。
5.4目录可能是分布的,甚至可能是分布很广的,这主要取决于功能和组织要求。第8章中将概述与目录相应的模型。其目的就是为各个成份提供合作框架以保证其完整性。5.5目录服务的提供和消费要求用户(实际为DUA)与目录的各个功能部件应能相互协作。在多数情况下,还要求不同的开放系统中的应用进程间的协作,并要求标准化的应用协议来管理这种协作,这些将在第9章中概述。
5.6设计的目录系统可以支持来源广泛的多种应用。而由所支持的应用自身性质来管理:哪个客体列在目录中,哪个用户访问信息,以及他们将执行哪类访问。应用可以是特殊的,例如,为电子邮件提供分布列表;也可以是通用的,例如,“个人间通信目录”应用。目录提供了在各应用间发挥其通用性的可能性
,单个客体可以与多个应用相关,甚至有关同一客体的同一条信息也可能与多个应用相关。·为此,GB/T16264.6和GB/T16264.7定义了许多客体类和属性类型以满足这种广泛的应用。·使用目录的某些模式能适用于各种应用。有关该领域的内容详见附录A。6目录信息库(DIB)
注:DIB及其结构在GB/T16264.2中定义。6.1DIB由有关客体的信息所构成的(目录)项组成,其中每一项都包含一组与某个客体有关的信息。而每项则由包含一一个属性类型以及一个或多个属性值的属性构成。在一个特定项中出现的属性的类型依赖于该项所描述的客体类。
6.2DIB中的项按树形排列,在目录信息树(DIT)中,顶点代表项;较高层(靠近根)的项通常代表诸如国家或组织的客体,而较低的项则代表人或应用进程。注:在本系列标准中定义的服务仅对树结构的DIT进行操作;但并不排除将来可能存在于其他结构之中。6.3每-一项都有一个可辨别名,用以唯一而明确地标识这个客体。可辨别名的这种特性来源于信息的树形结构。一个项的可辨别名由其上级项的可辨别名,以及由该项特别指定的属性值(可辨别值)一起构成。
6.4树中的有些叶片所代表的项为别名项,而所有其他项则为客体项。别名项指向客体项,并为相应的客体项使用可替换名提供了基础。6.5目录执行一组规则,以便在修改时,能够保证DIB仍然具有严格的格式。这些规则,即目录模式,用以防止目录项可能出现这样的差错:属性类型不符合客体类的要求,属性值的格式不符合属性类型的要求,甚至目录项包含了错误客体类的下级项。6.6图2说明了上述有关DIT的概念及其成份。6.7图3给出了DIT的一个示例。该树给出了一些用于标识不同客体的属性类型的例子,例如,名字:(C=CN,L=成都,O=电子所,CN=激光打印机)标识了应用实体*光打印机”,它在可辨别名中具有定位的地理属性。再如,居民张三,其名字为
ICCN,L=成都,CN张三}
在其辨别名中有一个同样的地理属性。6.8DIT的生成和形式、目录模式的定义、以及在增加项时为其选择可辨别名等,均由各个管理机构负责,各个管理机构之间的分级关系反映在树的形状中。这些管理机构必须保证,例如,通过对出现在这些名中的属性类型和属性值进行细心管理,使其在职责权限内的所有项都有清晰的可辨别名。这种职责是根据目录模式从树的上级管理机构到下级管理机构逐级实施的。注:目录的抽象服务在GB/T16264.3中定义。209
7目录服务
7.1综述
GB/T16264.1—1996
别名项
图2DIT及其项的结构
O- Microtech
OU一研究
CN-传真机
OU=销售
CNBill
L=成都
CN张三
客体项
O=电子所
CN一激光打印机
假设的目录信息树
7.1.1本章概述了目录向代表用户的DUA提供的服务,所有这些服务都用于响应来自DUA对目录的请求,在这些请求中,包括与目录查询有关的请求(见7.3所述)以及与目录修改有关的请求(见7.4所述)。此外,还可以限定对服务的请求,见7.2。目录必须报告每一个目录请求的结果,正常结果的格式为该目录请求专有,并且直接来源于请求的说明。大多数异常结果为几个请求所共有。在7.5中描述了这种可能性。
7.1.2目录服务的许多方面目前并不由本系列标准中规定的标准来提供,因此其相应的能力在未实现210
GB/T16264.1--1996
标准化之前应作为本地功能来提供。这些能力包括:,任意项的增加和删除,因此允许建立一分布式目录;:访问控制的管理(即,授权或禁止一个特殊用户对一段特殊信息执行某种特殊访问);·目录模式的管理;
·知识信息的管理;
·DIB部分信息的复制。
注:以上列表不一定完整。
7.1.3不论是由于目录服务请求的结果,还是由于通过其他本地方法而使DIB发生改变,目录都应保证新生成的DIB仍然服从目录模式中的规则。7.1.4用户在访问目录期间通过目录服务访问点与目录建立联系,在此期间,用户和目录可以有选择地相互鉴定彼此的身份。
7.2服务限定
7.2.1服务控制
可对各种服务请求实施多种服务控制,其目的主要是限制用户对资源的使用,以使目录服务不能超出权限。这种控制是指:对时间量、结果大小,搜索范围、交互作用方式以及请求的优先级的限制。7.2.2安全参数
每一个请求都可以带有支持安全机制的信息,以保护目录信息。这种信息可以包括用于各种保护的用户请求,请求的数字签名与信息一起帮助校验方鉴别该签名。7.2.3筛选器
有许多请求可带有筛选器,而这些请求的结果包含与许多项有关的信息,筛选器表示了目录项必须满足的一个或多个条件,以便能正确地返回符合这些条件的操作结果。通过使用筛选器,可以使得返回的项的集合最小。
7.3目录查询
读请求是针对一个特定的项,其结果是返回该项的部分或全部属性值,如果DUA提供其感兴趣的属性类型列表,则只返回部分属性。7.3.2比较
比较请求是针对一个特定项的一个特定的属性,引起目录检验所提供的值是否与指定的属性值匹配。
注:例如,该请求可以用来执行口令检验,尽管目录中的口令不可读,但可作比较。7.3.3列表
列表请求使目录返回DIT中某个特定命名项的直接下级项的列表。7.3.4搜索
搜索请求使目录返回满足某筛选器的DIT的某个特定部分中的所有项的信息。同读请求样,从每一个项返回的信息由该项的部分或全部信息组成。7.3.5丢弃
丢弃请求,作为一个尚未完成的查询请求,通知目录请求的始发方已不再对正在执行的请求感兴趣。例如,目录此时可以终止对请求的处理,也可以丢弃到目前为止已得到的任何结果。7.4目录修改
7.4.1增加项bzxZ.net
增加项请求使DIT增加一个新的叶项,该项可以是客体项,也可以是别名项。注:该服务用于增加叶项,例如人或应用实体,并非通过重复应用该服务来增加所有的子树。该服务可望在将来得以增强,以适应更为通用的情况。211
7.4.2删除项
GB/T 16264. 1--1996
删除项使得一个叶项从DIT中被删除。注:同增加项请求那样该服务目前只针对“真叶”项进行操作,可望在将来得以增强,以适应更为通用的情况。7.4.3修改项
修改项请求使目录对一个特殊项执行一系列改变;不论是目录被全部改变了,或是一点未变;所遗留的DIB仍然符合目录模式的要求。可以允许的变化包括:增加、删除、或替代属性或属性值。7.4.4修改相关可辨别名
修改相关可辨别名(RDN)请求使得DIT中叶项(既可以是客体项,也可以是别名项)的相关可辨别名通过不同的可辨别属性值的命名来修改。7.5其他结果
7.5.1差错
任何服务都可能失败,例如由用户提供的参数有问题,在这种情况下,则报告差错。在可能的地方,返回差错信息,以帮助用户改正错误问题。然而,通常只报告目录所遇到的第一一个问题。除了上面提到的用户提供的参数问题(包括非法名或非法属性值)的举例外,差错也可能由于违反安全策略、机制规则、以及服务控制而引起。
7.5.2参照指示
一个服务可能因为连接到某个DUA的特定的访问点不适于执行该服务请求,例如,因为受请求影响的信息(逻辑上)远离该服务访问点。在这种情况下,目录可以返回一个参照指示,建议该DUA可以在其上发出其请求的替换访问点。注,目录和DUA各自都有权要求是否使用参照指示,或者要求是否链接这些请求,(见8.3.3.2)。DUA可以通过服务控制的方法来表示其意愿,而采用哪一种方法由目录进行最终判定。8分布式目录
注:目录的模型在GB/T16264.2中定义,而分布式目录的操作规程在GB/T16264.4中规定。8.1功能模型
目录的功能模型见图4所示。
图4目录的功能模型
目录系统代理(DSA)是OSI的一个应用进程,作为目录的一部分,其作用是提供对DIB、DUA和/或其他DSA的访问。DSA可以使用存储在本地数据库中的信息,或与其他DSA交互作用,以执行请求。作为一种替换手段,DSA也可以将请求引导到可以帮助执行该请求的其他DSA。本地数据库完全212
依赖于实现。
8.2组织模型
GB/T16264.1-1996
8.2.1单个组织管理的一个或多个DSA以及零个或多个DUA的集合可以构成目录管理域(DMD)。有关的组织可以选用或不选用GB/T16264来管理DMD内的各功能成分之间的通信。8.2.2GB/T16264后面的几部分规定DSA行为的某些方面。为此,某个DMD内的一组DSA,如果设置了选项:管理DMD的组织,则按单个的DSA来操作。8.2.3DMD既可以是公用机构的DMD(ADDMD),也可以是专用的DMD(PRDMD),这取决于是否由公共远程通信组织来管理。
注:应该知道,提供由CCITT成员支持的专用目录系统应符合国家规则的框架。因此,提供目录服务的公用机构既可以给出也可以不给出上述的技术可能性。专用的DMD内部的操作和配置不属于CCITT考虑的范围。8.3模型的操作
8.3.1通过与一个或多个DSA的通信,DUA与目录交互作用。一个DUA不必连接到任何特定的DSA。它可以与多个DSA直接交互作用进行请求。由于某些公用机构方面的原因,该DUA并不总要与执行请求的DSA直接交互作用,例如,返回某些目录信息。该DUA也可能通过单个DSA来访问目录。为此,各DSA间也需要相互作用。8.3.2DSA与执行DUA的请求,以及获得它未必需要的信息有关。它也可以通过与代表该DUA的其他DSA交互作用来负责获得这种信息。8.3.3处理多种情况的请求,如图5~图7所示,并分述如下。8.3.3.1在图5a中,DSA C从DSAA收到一个参照指示,并负责或者将该请求运送给 DSA B(DSAB是在来自DSAA的参照指示中予以命名),或者将参照指示送回始发DUA。目录
图5a参照指示
注:如果DSAC把参照指示返回给DUA,则不产生给DSAB的请求,同样,如果DSAC把请求运送给DSAB,则不给 DUA返回一个参照指示。
参照指示
GB/T16264.1--1996
在图5b中,DUA收到来自DSAC的参照指示,并负责将请求直接重发给DSAA(DSAA是在来自DSAC的参照指示中予以命名)。8.3.3.2图6给出了DSA链接的示例,在该链上,目录请求可以在返回响应之前经过几个DSA进行传递。
图6链接
8.3.3.3图7给出了组播的示例,在这里,与DUA连接的DSA通过将请求转发给两个或多个其他DSA来执行请求,给每一个DSA转发的请求都是相同的。请求
广潮应
图7组播
8.3.4每一种方法有其自身的优点。例如,图5中所示的方法可以用于要求从本地DSA负担的情况。而在其他情况下,则可能需要将上述各种更复杂的功能交互作用方法混合起来共同满足初始者的请求,见图8所示。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
本标准等同采用国际标准ISO/IEC9594-1:1990《信息技术开放系统互连目录第1部分:概念、模型和服务的概述》。
本标准无论在技术内容上,还是在编排格式上均与国际标准保持一致。仅在6.7的示例中,根据国情将人名和地名作了编辑性修改。通过制定本标准,为信息处理的目录服务提供了概念、模型和服务之概述。GB/T16264在《信息技术开放系统互连目录》总标题下,目前包括以下8个部分:第1部分(即GB/T16264.1):概念、模型和服务的概述;第2部分(即GB/T16264.2):模型,第3部分(即GB/T16264.3):抽象服务定义,;第4部分(即GB/T16264.4):分布操作过程,第5部分(即GB/T16264.5):协议规范;第6部分(即GB/T16264.6):选择属性类型;第7部分(即GB/T16264.7):选择客体类;第8部分(即GB/T16264.8):鉴别框架本标准的附录 A是提示的附录。本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位:电子工业部标准化研究所、华北计算技术研究所。本标准主要起草人:冯惠、李卫国、黄家英、郑洪仁。203
GB/T16264.11996
ISO/IEC 前言
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标的制定工作。对于信息技术,ISO和IEC建立了一个联合技术委员会,即ISO/IEC JTC1,由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布项国际标准至少需要75%的参与表决的国家成员体投票赞成。
国际标准ISO/IEC9594-1是由ISO/IECJTC1\信息技术”联合技术委员会制定的。ISO/IEC9594在《信息技术开放系统目录》总标题下包括以下8个部分:第1部分:概念、模型和服务的概述第2部分:模型
第3部分:抽象服务定义
一第4部分:分布式操作规程
第5部分:协议规范
一第6部分:选择属性类型
一第7部分:选择客体类
第8部分:鉴别框架
附录A仅提供参考信息。
GB/T16264.1—1996
0.1本标准,连同本系列标准的其他部分一起,便于提供目录服务的各类信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息,可以看作为一个整体,称为“目录”。目录中收录的信息总称为目录信息库(DIB),可用于简化诸如OSI应用实体、人,终端、以及分布列表等客体之间的通信。0.2目录在开放系统互连中具有极其重要的作用,其目的是允许在互连标准之外使用最少的技术协定,完成下列各类信息处理系统的互连:·来自不同厂家的信息处理系统,·处于不同管理的信息处理系统,:具有不同复杂程度的信息处理系统,·不同年代的信息处理系统。
0.3本标准引入了目录及DIB的概念,并将其模型化,概述了目录和DIB所提供的服务和能力。而本系列标准的其他部分则使用该模型来定义目录所提供的抽象服务,并规定获得或传播该服务的协议。205
1范围
中华人民共和国国家标准
信息技术开放系统互连目录
第1部分:概念、模型和服务的概述Information technology-Open systemsInterconnection-The directoryPart 1:Overview of concepts,models and servicesGB/T 16264.1—1996
idt ISO/IEC 9594-1:1990
1.1目录提供OSI 应用进程、OSI 管理进程、其他OSI层实体,以及远程通信服务所要求的目录能力。这些能力一般具有“用户友好的命名”,通过这种命名,人们可以方便地确定客体(并非所有的客体都需要有用户友好的命名)。同时,“名字-地址映射”则允许在客体与其位置之间建立动态联系。例如,后者允许OSI网络进行“自配置”,此时,增加、删除以及修改客体位置均不会影响OSI的网络操作。1.2尽管目录可以建立在通用的数据库管理系统之上,但目录本身并不表示一种通用的数据库系统。例如,对于一个典型的通信目录来说,一般假定“查询”操作比“更新”操作具有更高的频度。“更新”速度则由人和组织而非网络来动态管理。同时,也无需同时发生全球更新的许诺:即可用的同信息其新旧版本两者的过渡情况是完全可以接受的。1.3目录系统具有这样一种特性:除区分访问权限或不传播的更新的结果以外,目录查询的结果与查询者的身份和所处的位置无关,该特性就使得目录系统不适合于某些远程通信的应用,例如,某些类型的路由选择。
2引用标准
下列标准所包含的条文,通过在本标推中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标推最新版本的可能性。GB9387--88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)GB/T16264.2--1996信息技术开放系统互连目录第2部分:模型(idtISO/IEC9594-2:1990)
GB/T 16264.3--1996f
信息技术开放系统互连,目录第3部分:抽象服务定义(idtISO/IEC9594—3:1990)
GB/T 16264.4—19961
信息技术开放系统互连目录第4部分:分布式操作规程(idtISO/IEC 9594—4:1990)
GB/T16264.5--1996
信息技术开放系统互连
9594--5:1990)
目录第5部分:协议规范(idtISO/IECGB/T 16264.6—19961
信息技术开放系统互连目录第6部分:选择属性类型(idtISO/IEC9594—6:1990)
GB/T 16264. 7--1996↑
信息技术开放系统互连
国家技术监督局1996-03-22批准206
第7部分:选择客体类(idtISO/IEC1996-10-01实施
GB/T 16264.1--1996
9594—7:1990)
GB/T 16264.8—1996
信息技术开放系统互连
9594-8:1990)
GB/T16262—1996
信息技术开放系统互连
8824:1990)
目录第8部分:鉴别框架(idtISO/IEC抽象语法记法-(ASN.1)规范(idtISO/IECISO/IEC 9072-
—1:1989
信息处理系统
文本通信
远程操作第1部分:模型、记法及服务定ISO/IEC 9072-2:19891
信息处理系统
远程操作第2部分:协议规范
文本通信
3定义
本章中所包含的定义使用第4章中的缩略语。3.1OSI参考模型定义
本标准依据GB9387中提出的概念,并使用其中定义的下列术语:a)应用实体application entityb)应用层application layer
c)应用进程application processd)应用协议数据单元application protocol data unite)应用服务元素application service element3.2基本目录定义
3.2.1自录the directory
用以提供目录服务的一组协作的开放系统。3.2.2自录信息库(DIB)directory information base(DIB)由目录管理的信息的集合。
3.2.3(目录)用户(directory)user目录的端用户,即访问目录的实体或个人。3.3目录模型定义
本标准使用GB/T16264.2中定义的下列术语:a)公用机构的目录管理域administration directory management domain;b)别名 alias;
c)属性,attribute;
d)属性类型 attribute type;
e)属性值attribute value
f)目录信息树(DIT)Directory Information Tree(DIT);;g)目录管理域(DMD) Directory Management Domain(DMD);h)目录系统代理(DSA)Directory System Agent(DSA);i)昌录用户代理(DUA)Directory User Agent(DUA);j)可辨别名distinguished name;k)项entry;
I)名 name;
m)(相关的)客体object(of interest),n)专用的目录管理域private directory management domain;o)相关可辨别名relative distinguished name;p)根root;
schema;
g)目录模式
GB/T 16264.1—1996
r)下级客体subordinate object;s)上级项superior entry;
t)上级客体superior object;u)树tree。
3.4分布式操作定义
本标准使用GB/T16264.4中定义的下列术语:1)链接chaining
multicasting
2)组播
referral
3)参照指示
4缩略语
5目录概述
公用机构的目录管理域
目录访问点
目录信息库
目录信息树
目录管理域
目录系统代理
目录系统协议
目录用户代理
开放系统互连
专用的目录管理域
相关可辨别名
5.1目录是一组协作的开放系统,这些开放系统包含描述现实世界中的客体集合信息的逻辑数据库。目录用户,包括个人和计算机程序,如果得到许可,可以“阅读”和“修改”信息或部分信息。访问目录的每个用户都由一个可被看作是应用进程的目录用户代理(DUA)来表示。以上概念见图1所示。访问点
目录用户
图 1 对目录的访问
注:本系列标准只讨论单一目录,并考虑到以后通过单个统一的名字空间来创建一个包含多个系统,并为多种应用服务的逻辑目录。在这些系统之间是否要互工作则依赖于他们所支持的应用程序的需求。而对客体的无意义的应用则无此需要。单一的名字空间可以简化将来需要变化的互工作。5.2目录中的信息集中在一起称作目录信息库(DIB)。本标准的第6章概述其结构。5.3目录为用户提供了严格定义的访问能力集合,即目录的抽象服务。该服务将在本标准的第7章中208
GB/T16264.1--1996
概述,它提供了一种简单的修故和检素能力。该服务可以与本地DUA功能一起提供端用户所要求的能力。
5.4目录可能是分布的,甚至可能是分布很广的,这主要取决于功能和组织要求。第8章中将概述与目录相应的模型。其目的就是为各个成份提供合作框架以保证其完整性。5.5目录服务的提供和消费要求用户(实际为DUA)与目录的各个功能部件应能相互协作。在多数情况下,还要求不同的开放系统中的应用进程间的协作,并要求标准化的应用协议来管理这种协作,这些将在第9章中概述。
5.6设计的目录系统可以支持来源广泛的多种应用。而由所支持的应用自身性质来管理:哪个客体列在目录中,哪个用户访问信息,以及他们将执行哪类访问。应用可以是特殊的,例如,为电子邮件提供分布列表;也可以是通用的,例如,“个人间通信目录”应用。目录提供了在各应用间发挥其通用性的可能性
,单个客体可以与多个应用相关,甚至有关同一客体的同一条信息也可能与多个应用相关。·为此,GB/T16264.6和GB/T16264.7定义了许多客体类和属性类型以满足这种广泛的应用。·使用目录的某些模式能适用于各种应用。有关该领域的内容详见附录A。6目录信息库(DIB)
注:DIB及其结构在GB/T16264.2中定义。6.1DIB由有关客体的信息所构成的(目录)项组成,其中每一项都包含一组与某个客体有关的信息。而每项则由包含一一个属性类型以及一个或多个属性值的属性构成。在一个特定项中出现的属性的类型依赖于该项所描述的客体类。
6.2DIB中的项按树形排列,在目录信息树(DIT)中,顶点代表项;较高层(靠近根)的项通常代表诸如国家或组织的客体,而较低的项则代表人或应用进程。注:在本系列标准中定义的服务仅对树结构的DIT进行操作;但并不排除将来可能存在于其他结构之中。6.3每-一项都有一个可辨别名,用以唯一而明确地标识这个客体。可辨别名的这种特性来源于信息的树形结构。一个项的可辨别名由其上级项的可辨别名,以及由该项特别指定的属性值(可辨别值)一起构成。
6.4树中的有些叶片所代表的项为别名项,而所有其他项则为客体项。别名项指向客体项,并为相应的客体项使用可替换名提供了基础。6.5目录执行一组规则,以便在修改时,能够保证DIB仍然具有严格的格式。这些规则,即目录模式,用以防止目录项可能出现这样的差错:属性类型不符合客体类的要求,属性值的格式不符合属性类型的要求,甚至目录项包含了错误客体类的下级项。6.6图2说明了上述有关DIT的概念及其成份。6.7图3给出了DIT的一个示例。该树给出了一些用于标识不同客体的属性类型的例子,例如,名字:(C=CN,L=成都,O=电子所,CN=激光打印机)标识了应用实体*光打印机”,它在可辨别名中具有定位的地理属性。再如,居民张三,其名字为
ICCN,L=成都,CN张三}
在其辨别名中有一个同样的地理属性。6.8DIT的生成和形式、目录模式的定义、以及在增加项时为其选择可辨别名等,均由各个管理机构负责,各个管理机构之间的分级关系反映在树的形状中。这些管理机构必须保证,例如,通过对出现在这些名中的属性类型和属性值进行细心管理,使其在职责权限内的所有项都有清晰的可辨别名。这种职责是根据目录模式从树的上级管理机构到下级管理机构逐级实施的。注:目录的抽象服务在GB/T16264.3中定义。209
7目录服务
7.1综述
GB/T16264.1—1996
别名项
图2DIT及其项的结构
O- Microtech
OU一研究
CN-传真机
OU=销售
CNBill
L=成都
CN张三
客体项
O=电子所
CN一激光打印机
假设的目录信息树
7.1.1本章概述了目录向代表用户的DUA提供的服务,所有这些服务都用于响应来自DUA对目录的请求,在这些请求中,包括与目录查询有关的请求(见7.3所述)以及与目录修改有关的请求(见7.4所述)。此外,还可以限定对服务的请求,见7.2。目录必须报告每一个目录请求的结果,正常结果的格式为该目录请求专有,并且直接来源于请求的说明。大多数异常结果为几个请求所共有。在7.5中描述了这种可能性。
7.1.2目录服务的许多方面目前并不由本系列标准中规定的标准来提供,因此其相应的能力在未实现210
GB/T16264.1--1996
标准化之前应作为本地功能来提供。这些能力包括:,任意项的增加和删除,因此允许建立一分布式目录;:访问控制的管理(即,授权或禁止一个特殊用户对一段特殊信息执行某种特殊访问);·目录模式的管理;
·知识信息的管理;
·DIB部分信息的复制。
注:以上列表不一定完整。
7.1.3不论是由于目录服务请求的结果,还是由于通过其他本地方法而使DIB发生改变,目录都应保证新生成的DIB仍然服从目录模式中的规则。7.1.4用户在访问目录期间通过目录服务访问点与目录建立联系,在此期间,用户和目录可以有选择地相互鉴定彼此的身份。
7.2服务限定
7.2.1服务控制
可对各种服务请求实施多种服务控制,其目的主要是限制用户对资源的使用,以使目录服务不能超出权限。这种控制是指:对时间量、结果大小,搜索范围、交互作用方式以及请求的优先级的限制。7.2.2安全参数
每一个请求都可以带有支持安全机制的信息,以保护目录信息。这种信息可以包括用于各种保护的用户请求,请求的数字签名与信息一起帮助校验方鉴别该签名。7.2.3筛选器
有许多请求可带有筛选器,而这些请求的结果包含与许多项有关的信息,筛选器表示了目录项必须满足的一个或多个条件,以便能正确地返回符合这些条件的操作结果。通过使用筛选器,可以使得返回的项的集合最小。
7.3目录查询
读请求是针对一个特定的项,其结果是返回该项的部分或全部属性值,如果DUA提供其感兴趣的属性类型列表,则只返回部分属性。7.3.2比较
比较请求是针对一个特定项的一个特定的属性,引起目录检验所提供的值是否与指定的属性值匹配。
注:例如,该请求可以用来执行口令检验,尽管目录中的口令不可读,但可作比较。7.3.3列表
列表请求使目录返回DIT中某个特定命名项的直接下级项的列表。7.3.4搜索
搜索请求使目录返回满足某筛选器的DIT的某个特定部分中的所有项的信息。同读请求样,从每一个项返回的信息由该项的部分或全部信息组成。7.3.5丢弃
丢弃请求,作为一个尚未完成的查询请求,通知目录请求的始发方已不再对正在执行的请求感兴趣。例如,目录此时可以终止对请求的处理,也可以丢弃到目前为止已得到的任何结果。7.4目录修改
7.4.1增加项bzxZ.net
增加项请求使DIT增加一个新的叶项,该项可以是客体项,也可以是别名项。注:该服务用于增加叶项,例如人或应用实体,并非通过重复应用该服务来增加所有的子树。该服务可望在将来得以增强,以适应更为通用的情况。211
7.4.2删除项
GB/T 16264. 1--1996
删除项使得一个叶项从DIT中被删除。注:同增加项请求那样该服务目前只针对“真叶”项进行操作,可望在将来得以增强,以适应更为通用的情况。7.4.3修改项
修改项请求使目录对一个特殊项执行一系列改变;不论是目录被全部改变了,或是一点未变;所遗留的DIB仍然符合目录模式的要求。可以允许的变化包括:增加、删除、或替代属性或属性值。7.4.4修改相关可辨别名
修改相关可辨别名(RDN)请求使得DIT中叶项(既可以是客体项,也可以是别名项)的相关可辨别名通过不同的可辨别属性值的命名来修改。7.5其他结果
7.5.1差错
任何服务都可能失败,例如由用户提供的参数有问题,在这种情况下,则报告差错。在可能的地方,返回差错信息,以帮助用户改正错误问题。然而,通常只报告目录所遇到的第一一个问题。除了上面提到的用户提供的参数问题(包括非法名或非法属性值)的举例外,差错也可能由于违反安全策略、机制规则、以及服务控制而引起。
7.5.2参照指示
一个服务可能因为连接到某个DUA的特定的访问点不适于执行该服务请求,例如,因为受请求影响的信息(逻辑上)远离该服务访问点。在这种情况下,目录可以返回一个参照指示,建议该DUA可以在其上发出其请求的替换访问点。注,目录和DUA各自都有权要求是否使用参照指示,或者要求是否链接这些请求,(见8.3.3.2)。DUA可以通过服务控制的方法来表示其意愿,而采用哪一种方法由目录进行最终判定。8分布式目录
注:目录的模型在GB/T16264.2中定义,而分布式目录的操作规程在GB/T16264.4中规定。8.1功能模型
目录的功能模型见图4所示。
图4目录的功能模型
目录系统代理(DSA)是OSI的一个应用进程,作为目录的一部分,其作用是提供对DIB、DUA和/或其他DSA的访问。DSA可以使用存储在本地数据库中的信息,或与其他DSA交互作用,以执行请求。作为一种替换手段,DSA也可以将请求引导到可以帮助执行该请求的其他DSA。本地数据库完全212
依赖于实现。
8.2组织模型
GB/T16264.1-1996
8.2.1单个组织管理的一个或多个DSA以及零个或多个DUA的集合可以构成目录管理域(DMD)。有关的组织可以选用或不选用GB/T16264来管理DMD内的各功能成分之间的通信。8.2.2GB/T16264后面的几部分规定DSA行为的某些方面。为此,某个DMD内的一组DSA,如果设置了选项:管理DMD的组织,则按单个的DSA来操作。8.2.3DMD既可以是公用机构的DMD(ADDMD),也可以是专用的DMD(PRDMD),这取决于是否由公共远程通信组织来管理。
注:应该知道,提供由CCITT成员支持的专用目录系统应符合国家规则的框架。因此,提供目录服务的公用机构既可以给出也可以不给出上述的技术可能性。专用的DMD内部的操作和配置不属于CCITT考虑的范围。8.3模型的操作
8.3.1通过与一个或多个DSA的通信,DUA与目录交互作用。一个DUA不必连接到任何特定的DSA。它可以与多个DSA直接交互作用进行请求。由于某些公用机构方面的原因,该DUA并不总要与执行请求的DSA直接交互作用,例如,返回某些目录信息。该DUA也可能通过单个DSA来访问目录。为此,各DSA间也需要相互作用。8.3.2DSA与执行DUA的请求,以及获得它未必需要的信息有关。它也可以通过与代表该DUA的其他DSA交互作用来负责获得这种信息。8.3.3处理多种情况的请求,如图5~图7所示,并分述如下。8.3.3.1在图5a中,DSA C从DSAA收到一个参照指示,并负责或者将该请求运送给 DSA B(DSAB是在来自DSAA的参照指示中予以命名),或者将参照指示送回始发DUA。目录
图5a参照指示
注:如果DSAC把参照指示返回给DUA,则不产生给DSAB的请求,同样,如果DSAC把请求运送给DSAB,则不给 DUA返回一个参照指示。
参照指示
GB/T16264.1--1996
在图5b中,DUA收到来自DSAC的参照指示,并负责将请求直接重发给DSAA(DSAA是在来自DSAC的参照指示中予以命名)。8.3.3.2图6给出了DSA链接的示例,在该链上,目录请求可以在返回响应之前经过几个DSA进行传递。
图6链接
8.3.3.3图7给出了组播的示例,在这里,与DUA连接的DSA通过将请求转发给两个或多个其他DSA来执行请求,给每一个DSA转发的请求都是相同的。请求
广潮应
图7组播
8.3.4每一种方法有其自身的优点。例如,图5中所示的方法可以用于要求从本地DSA负担的情况。而在其他情况下,则可能需要将上述各种更复杂的功能交互作用方法混合起来共同满足初始者的请求,见图8所示。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。