GB/T 16264.2-1996
基本信息
标准号: GB/T 16264.2-1996
中文名称:信息技术 开放系统互连 目录 第2部分:模型
标准类别:国家标准(GB)
标准状态:已作废
发布日期:1996-03-02
实施日期:1996-10-01
作废日期:2009-01-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:1077969
标准分类号
标准ICS号:信息技术、办公机械设备>>35.100开放系统互连(OSI)
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
替代情况:被GB/T 16264.1-2008代替
采标情况:≡ISO/IEC 9594-2-90 ≡ISO/IEC 9594-2-90/Cor.1-90 ≡ISO/IEC 9594-2-90/Cor.2-90
出版信息
出版社:中国标准出版社
书号:155066.1-13559
页数:平装16开, 页数:32, 字数:63千字
标准价格:17.0 元
出版日期:2004-08-21
相关单位信息
首发日期:1996-03-22
复审日期:2004-10-14
起草人:冯惠、李卫国、黄家英、郑洪仁
起草单位:电子工业部标准化研究所
归口单位:全国信息技术标准化技术委员会
提出单位:中华人民共和国电子工业部
发布部门:国家技术监督局
主管部门:国家标准化管理委员会
标准简介
内容请见本标准。 GB/T 16264.2-1996 信息技术 开放系统互连 目录 第2部分:模型 GB/T16264.2-1996 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
GB/T16264.2--1996
本标准等同采用国际标准ISO/IEC9594-2:1990《信息技术开放系统互连目录第2部分:模型》和ISO/IEC9594-2:1990/Cor.1:1990《信息技术开放系统互连目录第2部分:模型技术修改1》,以及ISO/IEC9594-2:1990/Cor.2:1990《信息技术开放系统互连目录第2部分:模型技术修改2》。
根据ISO/IEC9594-2:1990/Cor.1:1990,本标准对9.4.3和9.4.6作了修改。根据ISO/IEC9594-2:1990/Cor.2:1990,本标准对5.2.4、7.1.4和7.4.3作了修改。通过制定本标准,为信息处理的目录服务提供了一组不同的模型,作为其他部分参考的框架。GB/T16264在《信息技术开放系统互连目录》总标题下,目前包括以下8个部分:第1部分(即GB/T16264.1):概念、模型和服务的概述;第2部分(即GB/T16264.2):模型;第3部分(即GB/T16264.3):抽象服务定义,第4部分(即GB/T16264.4):分布操作过程;第5部分(即GB/T16264.5):协议规范;第6部分(即GB/T16264.6):选择属性类型,第7部分(即GB/T16264.7):选择客体类;第8部分(即GB/T16264.8):鉴别框架。本标准的附录 A、附录 B、附录 C、附录 D、附录 E和附录 F均为提示的附录。本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位:电子工业部标准化研究所、华北计算技术研究所。本标准主要起草人:玛惠、李卫国、黄家英、郑洪仁。219
GB/T16264.2-1996
ISO/IEC 前
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO 和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO 和 IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术,ISO和IEC建立了个联合技术委员会,即ISO/IECJTC1,由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准至少需要75%的参与表决的国家成员体投票赞成。
国际标准ISO/IEC9594-2是由ISO/IECJTC1\信息技术”联合技术委员会制定的。ISO/IEC9594在《信息技术开放系统目录》总标题下包括以下8个部分:一第1部分:概念、模型和服务的概述第2部分:模型
第3部分:抽象服务定义
第4部分:分布式操作规程
第5部分:协议规范
第6部分:选择属性类型
第7部分:选择客体类
一第8部分:鉴别框架
本部分包含6个附录:
附录A、附录B、附录C、附录D、附录E和附录F仅提供参考信息。220
GB/T 16264.2-1996
0.1本标准连同本系列标准的其他部分一起,便于提供目录服务的各类信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息,可以看作一个整体,称为“目录”。目录中收录的信息总称为目录信息库(DIB),或用于简化诸如OSI应用实体、人、终端、以及分布列表等客体之间的通信。0.2目录服务在开放系统互连中具有极其重要的作用,其目的是允许在互连标准之外使用最少的技术协定,完成下列各类信息处理系统的互连:,来自不同厂家的信息处理系统;·处于不同管理的信息处理系统;·具有不同复杂程度的信息处理系统;·不同年代的信息处理系统。
0.3本标准为目录提供一组不同的模型,作为其他部分参考的框架。这里所说的模型是指总的功能模型、组织模型、安全模型以及信息模型。信息模型描述了目录对其拥有的信息的管理方法。例如,它描述如何组织与客体有关的信息并为客体构造目录项,以及如何为这些信息提供客体名。0.4附录A简要介绍了与树结构有关的数学术语。0.5附录B简要介绍了本系列标准中使用的ASN.1客体标识符。0.6附录C给出了包含与信息框架有关的所有定义的ASN.1模块。0.7附录D按字母顺序列出了本文件中定义的术语。0.8附录E描述了应在名字设计中考虑的一些准则。0.9附录F描述了访问控制的指南。221
1范围
中华人民共和国国家标准
信息技术开放系统互连
第2部分:模型
Information technology--Open systemsinterconnection-The directoryPart 2:Models
第一篇综述
GB/T 16264.2-1996
idt IS0/IEC 9594-2:1990
1.1本标准中定义的模型为本系列标准的其他部分提供了有关概念和术语框架,以便定义目录的各种概念。
1.2功能和组织模型定义了可将目录在功能上和管理上分布的方法。1.3安全模型定义了一个框架,在这个框架中,目录可以提供诸如访问控制等安全特性。1.4信息模型描述DIB的逻辑结构。根据这种观点,目录事实上应该是分布的、不可见的,而不应是集中的。本系列标准中的其他部分使用信息框架概念。尤其是:a)目录提供的服务按信息框架的概念(在GB/T16264.3中)描述,这就允许所提供的服务可以独立于DIB的物理分布。
b)规定目录的分布式操作(在GB/T16264.4中)并提供服务,维护由事实上高度分布的DIB给出的逻辑信息结构。
2引用标准
下列标准中所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB9387—88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)GB/T16264.1一1996信息技术开放系统互连目录第1部分:概念、模型和服务的概述(idtISO/IEC 9594-1:1990)
GB/T16264.3—1996信息技术开放系统互连目录第3部分:抽象服务定义(idtISO/IEC9594-3.1990)
GB/T16264.4--1996信息技术开放系统互连IEC 9594-4:1990)
GB/T16264.5--1996信息技术开放系统互连9594-5:1990)
GB/T 16264. 6—1996
信息技术开放系统互连
9594-6:1990)
GB/T16264.7--1996信息技术开放系统互连国家技术监督局1996-03-22批准222
目录第4部分:分布式操作规程(idtISO/目录第5部分:协议规范(idtISO/IEC目录第6部分:选择属性类型(idtISO/IFC目录
第7部分:选择客体类(idtISO/IEC1996-10-01实施
GB/T16264.8-1996
GB/T 16264.2-1996
9594-7:1990)
信息技术开放系统互连
目录第8部分:鉴别框架(idt ISO/IEC9594-8:1990)
GB/T 16262—1996f
信息处理系统开放系统互连
IEC 8824:1990)
3定义
抽象语法记法一(ASN.1)的规范(idtISO/各术语在其相应的各章开头定义。为了方便引用,在附录D中给出了这些术语的索引。4缩略语
5目录模型
5.1定义
公用机构的目录管理域
属性值断定
目录信息库
目录信息树
目录管理域
目录系统代理
目录用户代理
专用的甘录管理域
相关可辨别名
目录模型
第二篇「
5.1.1访问点access point
获得抽象服务的点。
5.1.2公用机构的目录管理域(ADDMD)(ADDMD)
由公共管理机构管理的DMD。
Administration Directory Management Domain注:术语“公用机构”是指公用的远程通信曾理机构,或指提供公用的远程通信服务的其他组织。5.1.3公用管理机构administrative authority对一个单一的目录系统代理内存储的所有客体进行公共管理控制的实体。5.1.4目录the directory
是一个关于客体的信息库,它为其用户访问信息提供目录服务。5. 1.5 目录管理域(DMD) Directory Management Domain(DMD)由单个的组织管理的包含一个或多个DSA以及零个或多个DUA的集合。5.1.6目录系统代理(DSA) Directory System Agent(DSA)一个OSI应用进程,它是目录的一部分。5.1.7(目录)用户(directory)user目录的端用户,即,访问目录的实体或个人。5. 1.8目录用户代理(DUA) Directory User Agent(DUA)一个OSI 应用进程,它代表一个正在访问目录的用户。注:DUA也可以提供一些本地设施,帮助用户编辑查询和解释响应。223
GB/T 16264.2--1996
5.1.9专用的目录管理域(PRDMD)PrivateDirectoryManagementDomain(PRDMD)一个由某个组织管理的而不是由公用管理机构管理的DMD。5.2目录及其用户
5.2.1目录用户(例如,一个人或个应用进程)通过访问目录得到目录服务。更确切地说,实际上是目录用户代理(DUA)访问目录,并与之交互使用,为这个特定用户取得所要求的服务。目录提供可以进行访问的一个或多个服务访问点。见图1所示。访问点
用户目录
图1对目录的访问
5.2:2在GB/T16264.3中定义了目录所提供的服务。目录
5.2.3目录是一个与客体有关的信息库,它所提供给用户的目录服务涉及访问这些信息的各个种类,通常将这些信息收集在“目录信息库”(DIB)中。本标准的第三篇中定义了DIB的模型。5.2.4DUA表示为一个应用进程,在任何通信实例中,每一个DUA明确地代表一个目录用户。注
有些开放系统可以为实际用户(例如,应用进程,人等等)检索信息提供集中式DUA功能。但对目录来说,这应该是透明的。
2DUA功能和一个DSA(见5.3.1)可以共存于同一个开放系统,并且,在实现时,可以选择是否将一个或多个DUA 作为 OSI 环境的应用实体。3DUA的本地行为和结构可能超出本系列标准讨论的范围。例如,表示个人目录用户的DUA可以提供许多本地服务来帮助用户编辑查询和解释响应。5.3功能模型
5.3.1目录表示为由一个或多个称为“目录系统代理”(DSA)的应用进程构成的集合;其中,每一个DSA都提供零个、一个或多个服务访问点。目录的这种功能模型见图2所示。在这个图例中,目录由多个DSA构成,即“分布”式目录。分布式目录操作规程由GB/T16264.4规定。注:DSA的本地行为和结构可能超出本系列标准讨论的范畴。例如,DSA可以通过数据库来实现和维护DIB的部分或全部信息这由本地来负责其接口。目录
图2多个DSA提供的目录
5.3.2在提供目录服务(一个DUA和一个DSA,或两个DSA)时,需要交互作用的一对特定的应用进224
GB/T 16264.2--1996
程可位于不同的开放系统中。这种交互作用通过GB/T16264.5规定的OSI目录协议的方法来执行。5.4组织模型
5.4.1由单个组织管理的一个或多个DSA和零个或多个DUA的集合可以构成一个目录管理域(DMD)。
注:管理DMD的组织可以是一个公用机构(即,公用远程通信管理或其他提供公用远程通信服务的组织),此时的DMD称作公用机构的 DMD(ADDMD)相反,由专门组织管理的DMD则称为专用的DMD(PRDMD)。但是,由CCITT成员提供支持的专用的目录系统必须符合其国家规定的框架。因此,提供自录服务的公用机构梅既可以提供,也可以不提供上述技术可能性。专用的 DMD内部的操作和配置不属于CCITT考虑的范围。5.4.2由 DMD对 DUA实施的管理是指由DMD对该DUA的服务实施的实时管理,例如,由 DMD实施的对DUA维护、或某些情况下的所有权管理,5.4.3目录所涉及的组织可以自己决定是否选择使用本系列标准来管理DUA和在DMD内所有DSA之间的交互作用。
5.4.4每-个DSA都由一个公用管理机构来管理。该客体对这个DSA存储的所有客体项和别名项进行控制。其中包括负责用于指导自录项的创建和修改的目录模式(见第9章)。名字的结构和分配由一个命名机构负责(见8.1.6),而公用管理机构的作用则是按照目录模式实现这种命名结构。第三篇信息模型
6目录信息库
6.1定义
6.1.1 别名项alias entry
一个包含用于为客体提供可替换名信息的“别名”类的项。6.1.2录信息库(DIB)Directory Information Base(DIB)目录所提供访问的信息的完整集合,其中包含所有可通过目录操作阅读和操纵的信息段。6.1.3目录信息树(DIT)DirectoryInformation Tree(DIT)DIB可被看作是一棵树,树的若干顶点(根除外)为目录项。注:只有在相关信息树结构的上下文中,术语“DIT”才可用来代替DIB。6.1.4(目录)项(Directory)entryDIB的一部分,包含与客体有关的信息。6.1.5直接上级immediate superior(noun)与一个特定的项或客体(该客体必须在预期上下文中清晰可辩)相关的直接上级项或客体。6.1.6直接上级的immediately superior(项)(entry)
与一个特定项相关的项,它是DIT中的某一弧的起点项,该 DIT的终点就是该特定项的终点。(客体)object)
与一个特定客体相关的客体,其客体项是第二个客体若干项(客体或别名项)的任何直接上级。6.1.7(有意义的)客体object (of interest)某一“世界”中的任何事物,这里所说的“世界”通常是指远程通信和信息处理或是它们的某一部分,并且它们是可标识的(即,可以命名的),在DIB中保持的信息应是有意义的。6.1.8客体类objectclass
具有共享某些特性的已可标识的客体(或可以设想的客体)族。6.1.9 客体项 object entry
~个关于客体的项,它在DIB中具有最基本的信息集合,并且在DIB中可以表示这个客体。225
6.1.10 子类subclass
与一个“超类”相关一
GB/T16264.2—1996
由一个超类导出的客体类。子类的各成员都可共享另-一个客体类(它的超类)的特性,以及其超类成员所没有的附加特性。6.1.11 下级 subordinate/inferior与“上级”相反。
6.1.12超类superclass
与一个子类相关的客体类,从中可以派生一个子类。6.1.13上级superior
(适用于-个项或客体的)直接上级,或为某个直接上级的递归上级。6.2客体
6.2.1目录的目的是收录某个“世界”中存在的有关客体的信息,并提供对该信息的访问。一个客体可以是这个可标识的(可命名的)“世界”中的任何事物。注
1这里所说的“世界”通常是指远程通信和信息处理,或是它们的某一部分。2自录中所说的“客体”,可以不必完全与现实世界中的某一组实际事物相对应,例如,一个现实世界中的个人可以被看作两类不同的客体:商业事务上的个人和作为居民的个人,远非目录所关心。本系列标准不定义二者之间的映射,这属于是目录的用户和提供者在其应用上下文中的事情。6.2.2月录所提供访问的信息完整集合称作目录信息库(DIB)。可通过目录操作阅读或操纵的每条信息都应包含在DIB中。
6.2.3客体类是一个已标识的共享某些特性的客体(或可设想的客体)族。每一个客体至少应属于一个类。个客体类可以是另一个客体类的子类,在这种情况下,前一类(子类)的成员也是后者(超类)的成员。一个子类可以是另一个子类的子类,等等,依次类推,可以有任意多个子类。6.3目录项
6.3.1DIB由目录项(或称“项”)组成,而每个目录项都包含与单个客体有关(描述的)的信息。6.3.2对于任意的特定客体,在DIB中都有一个明确的客体项,这就是有关该客体的最基本的信息集合。该客体项表示了该客体。
6.3.3对于任意特定客体,除有与之对应的客体项外,可能还有一个或多个与之对应的别名项,用于提供可替换名(见8.5)。
6.3.4目录项的结构见图3,并在7.2中描述。6.3.5每一个项包含一个与该项有关的客体类及其超类的指示。在一个客体项的情况下,它指示该客体所属的客体类。在一个别名项的情况下,它指示一个特殊的客体类,即“别名”(见9.4.8.2中定义),事实上这个“别名”是一个别名项,并且它也可以指示该项所属的别名客体类的子类。6.4目录信息树(DIT)
6.4.1为满足一个庞大的DIB的分布和管理要求,保证在DIB中无歧义性地命名这些客体(见第8章),并建立其客体项,平级结构不可能做到。因此,可以利用在各个客体(例如,在某个部门工作的个人,而该部门又属于一个作为一个国家的总部的组织)之间的公共建立的一种分级关系,并将这些项安排进一个称作目录信息树(DIT)的树中来实现。注:关于树结构的概念的术语见附录A。6.4.2对DIT中的各成分解释如下:a)顶点代表项,客体项既可以是叶顶点,也可以是非叶顶点,别名项通常为叶顶点。根不代表项,但方便起见【例如,下面定义b)和c)】,可将其看作是一个空客体项【见d)】。b)弧定义了顶点(即项)之间的关系。一条从顶点A到顶点B的孤的涵义是:A项为B项的直接上级项(直接上级),相反,B项为A项的直接下级项(直接下级)。一个特定项的上级项(上级)是指其直接226
GB/T 16264.2—1996
上级项和其递归上级项。一个特定项的下级项(下级)是指其直接下级项和其递归下级项。c)一个项所表示的客体与其下级项的命名机构(见第8章)密切相关。d)根代表DIB的命名机构的最高级别。6.4.3客体间的上级/下级关系可从项之间的关系派生。当且仅当第-一一个客体的客体项是第二个客体任何项的直接上级时,则前一个客体是后一个客体的直接上级客体(直接上级)。术语“直接下级客体”,“直接下级”、“上级”和“下级”(适应于客体)都具有其类似含义。6.4.4客体间允许的上级/下级关系由DIT结构定义来控制。7目录项
7.1定义
7.1.1 属性 attribute
与一个客体有关的某个特定类型的信息,它存在于DIB的项中,并用于描述这个客体。7.1.2属性类型attribute typebzxZ.net
属性的成分,指示由该属性给出的信息类。7.1.3属性值attribute value
由属性类型指示的信息类的一个实例。7.1.4属性值断定attribute value assertion根据为类型规定的匹配规则,一个命题可以为真、假或未定义,并与特定类型的属性值(或可辨别值)的一个项中的显现有关。
注:在本文件中,记法”串1=串2”用于写下记录属性值断定的示例。在这个记法中,“串1是一个属性类型的“名字”的缩写,而串2*则是一个恰当的值的正文表示。尽管在这些示例中属性类型常常依赖于GB/T16264.7中定义的实际类型(例如,“C\代表“国家”,\CN”代表“公共名”),但这并不防碍本文件的目的,因为,目录本身并不需知道所用的属性类型的含义。7.1.5可辨别值distinguished value项中的一个指定出现在该项中的相关可辨别名的属性值。7.2总体结构
7.2.1如图3所示,项由一组属性构成。7.2.2每一个属性都提供关于与该项对应的客体的信息,或描述与该项对应的客体的特定特性。注:可以在项中出现的属性示例包含客体的个人名字等命名信息,以及电话号码等寻址信息。7.2.3属性由属性类型及相应属性值构成,其中,属性类型标识属性给出的信息类,而属性值则为项中出现的该类属性的特例。
Attribute:: --
SEQUENCE!
type Attribute Type
values SET OF Attribute Value至少要求一个值—
7.3属性类型
GB/T 16264.2-—1996
属性类型
属性值
可辨别属性值
属性值
属性值
图3项的结构
属性值
7.3.1某些属性类型在国际上是标准化的。其他属性类型则由国家公用管理机构或专门组织定义。也就是说,各个独立的管理机构将负责以某种方式分配属性类型,并保证所分配的属性类型能够相互区别。这是通过在定义类型(如9.5描述)时用客体标识符标识每个属性类型来完成的。Attribute Type:: -OBJECT IDENTIFIER7.3.2项中的所有属性都必须具有可以区别的属性类型。7.3.3目录可以拥有和使用多种属性类型,其中包括:a)Objectclass一-每--个项中都包含这种类型的属性,并指示客体所属的客体类及其超类。b) Aliased Object Name—
的客体的可辨别名(见8.5)。
每一个别名项中都包含这种类型的属性,并且具有这个别名项所描述这些属性(部分地)在9.5.4中定义。7.3.4必须(或可以)在一个项(除7.3.3中提及的项以外)中出现的属性类型由适用于指定客体类的规则来控制。
7.4属性值
7.4.1属性类型的定义(见9.5)也包括规定该属性中的每一个值都必须遵循的语法,以及此后的数据类型。这可以是任意数据类型,Attribute Value:: - ANY
7.4.2在属性的各个属性值中,至多只能有-个属性值可被指定为可辨别值,在这种情况下,这个属性值则出现在该项的相关可辨别名中(见8.3)。7.4.3一个属性值断定是一个命题,根据为类型规定的匹配规则,它可以为真、假或者未定义,并与特定类型的属性值(或可辨别值)的一个项中的显现有关。AVA包含一个属性类型和一个属性值。Attribute Value Assertion:: -SEQUENCE(Attribute Type,Attribute Value}该属性值断定可以是:
GB/T 16264.2—1996
a)未定义的,如果是下面任何一种情况:1)属性类型是未知的;
2)用于该类型的属性语法没有等价的匹配规则;3)属性值不符合该属性语法的数据类型;注:2)和3)通常指示一个错误的AVA;1)可以作为--种本地情况出现(例如,一个特定的DSA没有登记这个特定的属性类型)。
b)真,如果该项包含这个类型的一个属性,其中有一个值与该值匹配(如果该判定只与可辨别值有关,则被匹配的值必须是可辨别的那一个);注:值的匹配是为了寻求等价,并且包含与属性语法有关的匹配规则。c)假,其他情况。
8名字
8.1定义
8.1.1别名或备用名(8.5.1中有两者)alias,alias name客体的一个名字,由DIT中的个或多个别名项提供。8.1.2还原引用dereferencing
使用客体的可辨别名来取代客体的别名。8.1.3(一个客体的)可辨别名distinguished name(of an object)客体名字之一,由该客体项以及它的每个上级项的RDN序列组成。8.1.4(目录)名(directory)name可从所有其他客体中提取一个特殊客体的一种结构。(目录)名必须是无歧义性的(即,它只能表示一个客体),但不必是唯一的(即,无歧义性地表示客体的只是名字)。8.1.5 声称名 purported name
一种属于语法上的目录名结构,不作为合法名使用。8.1.6命名机构nameauthority
负责目录名分配的机构。客体项位于DIT中的非叶顶点的每一个客体都与一个命名机构密切相关。
8.1.7 相关可辩别名(RDN) relative distinguished name(RDN)由关于某个特定项的可辨别值的属性值断定构成的一个集合,并且每一个属性值断定都为真。8.2通用名
8.2.1(目录)名是一种结构,它从所有客体的集合中标识一个特定的客体名字必须是无歧义性的,它只能表示个客体。但名字并不一定是唯一的,无歧义性的表示该客体的只是名字。8.2.2从语法上讲,表示客体的每一个名字都是一个相关可辨别名的有序序列(见8.3)。Name:::
CHOICE -
一目前只有一种可能性-
RDN Sequence)
RDNSequence:: =SEQ UEN CE OF Relative Distingushed NameDistinguished Name:: - RDNSequence注:以其他方法构成的名字可能在将来扩充。8.2.3树根的名字为空序列。
8.2.4客体名的每一个初始下级序列也是客体名。这样标识的(从根顶点开始到被命名的客体结束)的客体序列中的每一…个客体都是其后一个客体的直接上级。8.2.5声称名为语法上的一种名字结构,不作为一个合法名使用。229
8.3相关可辨别名
GB/T 16264.2--1996
8.3.1每一个项都有一个唯一的相关可辨别名(RDN)。而每一个RDN都是一个由关于这个项的可辨别值的属性值断定所构成的集合,并且每一个属性值断定都为真。Relative Distinguished Name:: --SET OF Attribute Value Assertion集合含有对项中的每一个可辨别值的恰当的断定。8.3.2具有一个特定直接上级所有项的RDN都是不同的。它由与该项的相关命名机构负责,并通过恰当地分配可辨别属性值来保证。注:个项通常包含单个可辨别值(并且RDN只由单个AVA组成),但在某些特定的情况下(为区别起见),可以使用附加的属性值(和AVA)。
8.3.3在建立一个项时,选择该项的RDN。任何属性类型的一个单值实例都可作为该RDN的一部分,这主要取决于所表示的客体类的性质。RDN的分配由公用管理机构考虑,并自行决定是否要求与所涉及的组织或公用管理机构进行协商。本标准并不提供这样的协商机制,也不设想如何进行协商。如果必要,RDN可以通过完全取代的方式进行修改。注:一般假定,RDN具有较长的有效期,这样,目录用户可以在目录中存储客体的可辨别名而不必考虑它的过期作废情况。因此,改变RDN必须小心。8.4可辨别名
一个给定客体的可辨别名由表示该客体的项及其所有的上级项的RDN按递减次序构成的序列加以定义。由于客体与客体项之间的关系是一一对应的,也可考虑用客体的可辨别名来标识这个客体项。
1人们应优先选择用户友好的客体可辨别名。2GB9387.3定义了基本名的概念。一个可辨别名可被用作它所标识的客体的基本名,这是因为:(a)它是明确的,(b)它是唯一的,(c)目录用户不必(当然可以)了解其内部结构(即,RDN序列)的语义。3因为客体的可辨别名只包含客体项和其上级项,所以决不会包含别名项。8.4.2可以方便地定义根和别名项的可辨别名,尽管在这两种情况下,它们都不是任何一个客体的名字,也不是任何一一个客体的可辨别名。根的可辨别名可被定义成一个空序列。而别名项的可辨别名可以(按递减的方式)定义成别名项及其所有的上级项的RDN序列。8.4.3图4给出了RDN和可辨别名概念的示例。RDN
O-Telecom
组织单位
可辨别名
(C-GB)
(C=GB,O=Telecom)
(OU- Sales, (C-GB,O-Telecom,L=lpswich)
(OU- Sales,L- lpswich))
(C-GB,O-Telecom,
I CN= Smith (OU- Sales,L=lpswich),CN-Smith!
图4可辨辩别名的判定
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
本标准等同采用国际标准ISO/IEC9594-2:1990《信息技术开放系统互连目录第2部分:模型》和ISO/IEC9594-2:1990/Cor.1:1990《信息技术开放系统互连目录第2部分:模型技术修改1》,以及ISO/IEC9594-2:1990/Cor.2:1990《信息技术开放系统互连目录第2部分:模型技术修改2》。
根据ISO/IEC9594-2:1990/Cor.1:1990,本标准对9.4.3和9.4.6作了修改。根据ISO/IEC9594-2:1990/Cor.2:1990,本标准对5.2.4、7.1.4和7.4.3作了修改。通过制定本标准,为信息处理的目录服务提供了一组不同的模型,作为其他部分参考的框架。GB/T16264在《信息技术开放系统互连目录》总标题下,目前包括以下8个部分:第1部分(即GB/T16264.1):概念、模型和服务的概述;第2部分(即GB/T16264.2):模型;第3部分(即GB/T16264.3):抽象服务定义,第4部分(即GB/T16264.4):分布操作过程;第5部分(即GB/T16264.5):协议规范;第6部分(即GB/T16264.6):选择属性类型,第7部分(即GB/T16264.7):选择客体类;第8部分(即GB/T16264.8):鉴别框架。本标准的附录 A、附录 B、附录 C、附录 D、附录 E和附录 F均为提示的附录。本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位:电子工业部标准化研究所、华北计算技术研究所。本标准主要起草人:玛惠、李卫国、黄家英、郑洪仁。219
GB/T16264.2-1996
ISO/IEC 前
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO 和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO 和 IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术,ISO和IEC建立了个联合技术委员会,即ISO/IECJTC1,由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准至少需要75%的参与表决的国家成员体投票赞成。
国际标准ISO/IEC9594-2是由ISO/IECJTC1\信息技术”联合技术委员会制定的。ISO/IEC9594在《信息技术开放系统目录》总标题下包括以下8个部分:一第1部分:概念、模型和服务的概述第2部分:模型
第3部分:抽象服务定义
第4部分:分布式操作规程
第5部分:协议规范
第6部分:选择属性类型
第7部分:选择客体类
一第8部分:鉴别框架
本部分包含6个附录:
附录A、附录B、附录C、附录D、附录E和附录F仅提供参考信息。220
GB/T 16264.2-1996
0.1本标准连同本系列标准的其他部分一起,便于提供目录服务的各类信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息,可以看作一个整体,称为“目录”。目录中收录的信息总称为目录信息库(DIB),或用于简化诸如OSI应用实体、人、终端、以及分布列表等客体之间的通信。0.2目录服务在开放系统互连中具有极其重要的作用,其目的是允许在互连标准之外使用最少的技术协定,完成下列各类信息处理系统的互连:,来自不同厂家的信息处理系统;·处于不同管理的信息处理系统;·具有不同复杂程度的信息处理系统;·不同年代的信息处理系统。
0.3本标准为目录提供一组不同的模型,作为其他部分参考的框架。这里所说的模型是指总的功能模型、组织模型、安全模型以及信息模型。信息模型描述了目录对其拥有的信息的管理方法。例如,它描述如何组织与客体有关的信息并为客体构造目录项,以及如何为这些信息提供客体名。0.4附录A简要介绍了与树结构有关的数学术语。0.5附录B简要介绍了本系列标准中使用的ASN.1客体标识符。0.6附录C给出了包含与信息框架有关的所有定义的ASN.1模块。0.7附录D按字母顺序列出了本文件中定义的术语。0.8附录E描述了应在名字设计中考虑的一些准则。0.9附录F描述了访问控制的指南。221
1范围
中华人民共和国国家标准
信息技术开放系统互连
第2部分:模型
Information technology--Open systemsinterconnection-The directoryPart 2:Models
第一篇综述
GB/T 16264.2-1996
idt IS0/IEC 9594-2:1990
1.1本标准中定义的模型为本系列标准的其他部分提供了有关概念和术语框架,以便定义目录的各种概念。
1.2功能和组织模型定义了可将目录在功能上和管理上分布的方法。1.3安全模型定义了一个框架,在这个框架中,目录可以提供诸如访问控制等安全特性。1.4信息模型描述DIB的逻辑结构。根据这种观点,目录事实上应该是分布的、不可见的,而不应是集中的。本系列标准中的其他部分使用信息框架概念。尤其是:a)目录提供的服务按信息框架的概念(在GB/T16264.3中)描述,这就允许所提供的服务可以独立于DIB的物理分布。
b)规定目录的分布式操作(在GB/T16264.4中)并提供服务,维护由事实上高度分布的DIB给出的逻辑信息结构。
2引用标准
下列标准中所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB9387—88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)GB/T16264.1一1996信息技术开放系统互连目录第1部分:概念、模型和服务的概述(idtISO/IEC 9594-1:1990)
GB/T16264.3—1996信息技术开放系统互连目录第3部分:抽象服务定义(idtISO/IEC9594-3.1990)
GB/T16264.4--1996信息技术开放系统互连IEC 9594-4:1990)
GB/T16264.5--1996信息技术开放系统互连9594-5:1990)
GB/T 16264. 6—1996
信息技术开放系统互连
9594-6:1990)
GB/T16264.7--1996信息技术开放系统互连国家技术监督局1996-03-22批准222
目录第4部分:分布式操作规程(idtISO/目录第5部分:协议规范(idtISO/IEC目录第6部分:选择属性类型(idtISO/IFC目录
第7部分:选择客体类(idtISO/IEC1996-10-01实施
GB/T16264.8-1996
GB/T 16264.2-1996
9594-7:1990)
信息技术开放系统互连
目录第8部分:鉴别框架(idt ISO/IEC9594-8:1990)
GB/T 16262—1996f
信息处理系统开放系统互连
IEC 8824:1990)
3定义
抽象语法记法一(ASN.1)的规范(idtISO/各术语在其相应的各章开头定义。为了方便引用,在附录D中给出了这些术语的索引。4缩略语
5目录模型
5.1定义
公用机构的目录管理域
属性值断定
目录信息库
目录信息树
目录管理域
目录系统代理
目录用户代理
专用的甘录管理域
相关可辨别名
目录模型
第二篇「
5.1.1访问点access point
获得抽象服务的点。
5.1.2公用机构的目录管理域(ADDMD)(ADDMD)
由公共管理机构管理的DMD。
Administration Directory Management Domain注:术语“公用机构”是指公用的远程通信曾理机构,或指提供公用的远程通信服务的其他组织。5.1.3公用管理机构administrative authority对一个单一的目录系统代理内存储的所有客体进行公共管理控制的实体。5.1.4目录the directory
是一个关于客体的信息库,它为其用户访问信息提供目录服务。5. 1.5 目录管理域(DMD) Directory Management Domain(DMD)由单个的组织管理的包含一个或多个DSA以及零个或多个DUA的集合。5.1.6目录系统代理(DSA) Directory System Agent(DSA)一个OSI应用进程,它是目录的一部分。5.1.7(目录)用户(directory)user目录的端用户,即,访问目录的实体或个人。5. 1.8目录用户代理(DUA) Directory User Agent(DUA)一个OSI 应用进程,它代表一个正在访问目录的用户。注:DUA也可以提供一些本地设施,帮助用户编辑查询和解释响应。223
GB/T 16264.2--1996
5.1.9专用的目录管理域(PRDMD)PrivateDirectoryManagementDomain(PRDMD)一个由某个组织管理的而不是由公用管理机构管理的DMD。5.2目录及其用户
5.2.1目录用户(例如,一个人或个应用进程)通过访问目录得到目录服务。更确切地说,实际上是目录用户代理(DUA)访问目录,并与之交互使用,为这个特定用户取得所要求的服务。目录提供可以进行访问的一个或多个服务访问点。见图1所示。访问点
用户目录
图1对目录的访问
5.2:2在GB/T16264.3中定义了目录所提供的服务。目录
5.2.3目录是一个与客体有关的信息库,它所提供给用户的目录服务涉及访问这些信息的各个种类,通常将这些信息收集在“目录信息库”(DIB)中。本标准的第三篇中定义了DIB的模型。5.2.4DUA表示为一个应用进程,在任何通信实例中,每一个DUA明确地代表一个目录用户。注
有些开放系统可以为实际用户(例如,应用进程,人等等)检索信息提供集中式DUA功能。但对目录来说,这应该是透明的。
2DUA功能和一个DSA(见5.3.1)可以共存于同一个开放系统,并且,在实现时,可以选择是否将一个或多个DUA 作为 OSI 环境的应用实体。3DUA的本地行为和结构可能超出本系列标准讨论的范围。例如,表示个人目录用户的DUA可以提供许多本地服务来帮助用户编辑查询和解释响应。5.3功能模型
5.3.1目录表示为由一个或多个称为“目录系统代理”(DSA)的应用进程构成的集合;其中,每一个DSA都提供零个、一个或多个服务访问点。目录的这种功能模型见图2所示。在这个图例中,目录由多个DSA构成,即“分布”式目录。分布式目录操作规程由GB/T16264.4规定。注:DSA的本地行为和结构可能超出本系列标准讨论的范畴。例如,DSA可以通过数据库来实现和维护DIB的部分或全部信息这由本地来负责其接口。目录
图2多个DSA提供的目录
5.3.2在提供目录服务(一个DUA和一个DSA,或两个DSA)时,需要交互作用的一对特定的应用进224
GB/T 16264.2--1996
程可位于不同的开放系统中。这种交互作用通过GB/T16264.5规定的OSI目录协议的方法来执行。5.4组织模型
5.4.1由单个组织管理的一个或多个DSA和零个或多个DUA的集合可以构成一个目录管理域(DMD)。
注:管理DMD的组织可以是一个公用机构(即,公用远程通信管理或其他提供公用远程通信服务的组织),此时的DMD称作公用机构的 DMD(ADDMD)相反,由专门组织管理的DMD则称为专用的DMD(PRDMD)。但是,由CCITT成员提供支持的专用的目录系统必须符合其国家规定的框架。因此,提供自录服务的公用机构梅既可以提供,也可以不提供上述技术可能性。专用的 DMD内部的操作和配置不属于CCITT考虑的范围。5.4.2由 DMD对 DUA实施的管理是指由DMD对该DUA的服务实施的实时管理,例如,由 DMD实施的对DUA维护、或某些情况下的所有权管理,5.4.3目录所涉及的组织可以自己决定是否选择使用本系列标准来管理DUA和在DMD内所有DSA之间的交互作用。
5.4.4每-个DSA都由一个公用管理机构来管理。该客体对这个DSA存储的所有客体项和别名项进行控制。其中包括负责用于指导自录项的创建和修改的目录模式(见第9章)。名字的结构和分配由一个命名机构负责(见8.1.6),而公用管理机构的作用则是按照目录模式实现这种命名结构。第三篇信息模型
6目录信息库
6.1定义
6.1.1 别名项alias entry
一个包含用于为客体提供可替换名信息的“别名”类的项。6.1.2录信息库(DIB)Directory Information Base(DIB)目录所提供访问的信息的完整集合,其中包含所有可通过目录操作阅读和操纵的信息段。6.1.3目录信息树(DIT)DirectoryInformation Tree(DIT)DIB可被看作是一棵树,树的若干顶点(根除外)为目录项。注:只有在相关信息树结构的上下文中,术语“DIT”才可用来代替DIB。6.1.4(目录)项(Directory)entryDIB的一部分,包含与客体有关的信息。6.1.5直接上级immediate superior(noun)与一个特定的项或客体(该客体必须在预期上下文中清晰可辩)相关的直接上级项或客体。6.1.6直接上级的immediately superior(项)(entry)
与一个特定项相关的项,它是DIT中的某一弧的起点项,该 DIT的终点就是该特定项的终点。(客体)object)
与一个特定客体相关的客体,其客体项是第二个客体若干项(客体或别名项)的任何直接上级。6.1.7(有意义的)客体object (of interest)某一“世界”中的任何事物,这里所说的“世界”通常是指远程通信和信息处理或是它们的某一部分,并且它们是可标识的(即,可以命名的),在DIB中保持的信息应是有意义的。6.1.8客体类objectclass
具有共享某些特性的已可标识的客体(或可以设想的客体)族。6.1.9 客体项 object entry
~个关于客体的项,它在DIB中具有最基本的信息集合,并且在DIB中可以表示这个客体。225
6.1.10 子类subclass
与一个“超类”相关一
GB/T16264.2—1996
由一个超类导出的客体类。子类的各成员都可共享另-一个客体类(它的超类)的特性,以及其超类成员所没有的附加特性。6.1.11 下级 subordinate/inferior与“上级”相反。
6.1.12超类superclass
与一个子类相关的客体类,从中可以派生一个子类。6.1.13上级superior
(适用于-个项或客体的)直接上级,或为某个直接上级的递归上级。6.2客体
6.2.1目录的目的是收录某个“世界”中存在的有关客体的信息,并提供对该信息的访问。一个客体可以是这个可标识的(可命名的)“世界”中的任何事物。注
1这里所说的“世界”通常是指远程通信和信息处理,或是它们的某一部分。2自录中所说的“客体”,可以不必完全与现实世界中的某一组实际事物相对应,例如,一个现实世界中的个人可以被看作两类不同的客体:商业事务上的个人和作为居民的个人,远非目录所关心。本系列标准不定义二者之间的映射,这属于是目录的用户和提供者在其应用上下文中的事情。6.2.2月录所提供访问的信息完整集合称作目录信息库(DIB)。可通过目录操作阅读或操纵的每条信息都应包含在DIB中。
6.2.3客体类是一个已标识的共享某些特性的客体(或可设想的客体)族。每一个客体至少应属于一个类。个客体类可以是另一个客体类的子类,在这种情况下,前一类(子类)的成员也是后者(超类)的成员。一个子类可以是另一个子类的子类,等等,依次类推,可以有任意多个子类。6.3目录项
6.3.1DIB由目录项(或称“项”)组成,而每个目录项都包含与单个客体有关(描述的)的信息。6.3.2对于任意的特定客体,在DIB中都有一个明确的客体项,这就是有关该客体的最基本的信息集合。该客体项表示了该客体。
6.3.3对于任意特定客体,除有与之对应的客体项外,可能还有一个或多个与之对应的别名项,用于提供可替换名(见8.5)。
6.3.4目录项的结构见图3,并在7.2中描述。6.3.5每一个项包含一个与该项有关的客体类及其超类的指示。在一个客体项的情况下,它指示该客体所属的客体类。在一个别名项的情况下,它指示一个特殊的客体类,即“别名”(见9.4.8.2中定义),事实上这个“别名”是一个别名项,并且它也可以指示该项所属的别名客体类的子类。6.4目录信息树(DIT)
6.4.1为满足一个庞大的DIB的分布和管理要求,保证在DIB中无歧义性地命名这些客体(见第8章),并建立其客体项,平级结构不可能做到。因此,可以利用在各个客体(例如,在某个部门工作的个人,而该部门又属于一个作为一个国家的总部的组织)之间的公共建立的一种分级关系,并将这些项安排进一个称作目录信息树(DIT)的树中来实现。注:关于树结构的概念的术语见附录A。6.4.2对DIT中的各成分解释如下:a)顶点代表项,客体项既可以是叶顶点,也可以是非叶顶点,别名项通常为叶顶点。根不代表项,但方便起见【例如,下面定义b)和c)】,可将其看作是一个空客体项【见d)】。b)弧定义了顶点(即项)之间的关系。一条从顶点A到顶点B的孤的涵义是:A项为B项的直接上级项(直接上级),相反,B项为A项的直接下级项(直接下级)。一个特定项的上级项(上级)是指其直接226
GB/T 16264.2—1996
上级项和其递归上级项。一个特定项的下级项(下级)是指其直接下级项和其递归下级项。c)一个项所表示的客体与其下级项的命名机构(见第8章)密切相关。d)根代表DIB的命名机构的最高级别。6.4.3客体间的上级/下级关系可从项之间的关系派生。当且仅当第-一一个客体的客体项是第二个客体任何项的直接上级时,则前一个客体是后一个客体的直接上级客体(直接上级)。术语“直接下级客体”,“直接下级”、“上级”和“下级”(适应于客体)都具有其类似含义。6.4.4客体间允许的上级/下级关系由DIT结构定义来控制。7目录项
7.1定义
7.1.1 属性 attribute
与一个客体有关的某个特定类型的信息,它存在于DIB的项中,并用于描述这个客体。7.1.2属性类型attribute typebzxZ.net
属性的成分,指示由该属性给出的信息类。7.1.3属性值attribute value
由属性类型指示的信息类的一个实例。7.1.4属性值断定attribute value assertion根据为类型规定的匹配规则,一个命题可以为真、假或未定义,并与特定类型的属性值(或可辨别值)的一个项中的显现有关。
注:在本文件中,记法”串1=串2”用于写下记录属性值断定的示例。在这个记法中,“串1是一个属性类型的“名字”的缩写,而串2*则是一个恰当的值的正文表示。尽管在这些示例中属性类型常常依赖于GB/T16264.7中定义的实际类型(例如,“C\代表“国家”,\CN”代表“公共名”),但这并不防碍本文件的目的,因为,目录本身并不需知道所用的属性类型的含义。7.1.5可辨别值distinguished value项中的一个指定出现在该项中的相关可辨别名的属性值。7.2总体结构
7.2.1如图3所示,项由一组属性构成。7.2.2每一个属性都提供关于与该项对应的客体的信息,或描述与该项对应的客体的特定特性。注:可以在项中出现的属性示例包含客体的个人名字等命名信息,以及电话号码等寻址信息。7.2.3属性由属性类型及相应属性值构成,其中,属性类型标识属性给出的信息类,而属性值则为项中出现的该类属性的特例。
Attribute:: --
SEQUENCE!
type Attribute Type
values SET OF Attribute Value至少要求一个值—
7.3属性类型
GB/T 16264.2-—1996
属性类型
属性值
可辨别属性值
属性值
属性值
图3项的结构
属性值
7.3.1某些属性类型在国际上是标准化的。其他属性类型则由国家公用管理机构或专门组织定义。也就是说,各个独立的管理机构将负责以某种方式分配属性类型,并保证所分配的属性类型能够相互区别。这是通过在定义类型(如9.5描述)时用客体标识符标识每个属性类型来完成的。Attribute Type:: -OBJECT IDENTIFIER7.3.2项中的所有属性都必须具有可以区别的属性类型。7.3.3目录可以拥有和使用多种属性类型,其中包括:a)Objectclass一-每--个项中都包含这种类型的属性,并指示客体所属的客体类及其超类。b) Aliased Object Name—
的客体的可辨别名(见8.5)。
每一个别名项中都包含这种类型的属性,并且具有这个别名项所描述这些属性(部分地)在9.5.4中定义。7.3.4必须(或可以)在一个项(除7.3.3中提及的项以外)中出现的属性类型由适用于指定客体类的规则来控制。
7.4属性值
7.4.1属性类型的定义(见9.5)也包括规定该属性中的每一个值都必须遵循的语法,以及此后的数据类型。这可以是任意数据类型,Attribute Value:: - ANY
7.4.2在属性的各个属性值中,至多只能有-个属性值可被指定为可辨别值,在这种情况下,这个属性值则出现在该项的相关可辨别名中(见8.3)。7.4.3一个属性值断定是一个命题,根据为类型规定的匹配规则,它可以为真、假或者未定义,并与特定类型的属性值(或可辨别值)的一个项中的显现有关。AVA包含一个属性类型和一个属性值。Attribute Value Assertion:: -SEQUENCE(Attribute Type,Attribute Value}该属性值断定可以是:
GB/T 16264.2—1996
a)未定义的,如果是下面任何一种情况:1)属性类型是未知的;
2)用于该类型的属性语法没有等价的匹配规则;3)属性值不符合该属性语法的数据类型;注:2)和3)通常指示一个错误的AVA;1)可以作为--种本地情况出现(例如,一个特定的DSA没有登记这个特定的属性类型)。
b)真,如果该项包含这个类型的一个属性,其中有一个值与该值匹配(如果该判定只与可辨别值有关,则被匹配的值必须是可辨别的那一个);注:值的匹配是为了寻求等价,并且包含与属性语法有关的匹配规则。c)假,其他情况。
8名字
8.1定义
8.1.1别名或备用名(8.5.1中有两者)alias,alias name客体的一个名字,由DIT中的个或多个别名项提供。8.1.2还原引用dereferencing
使用客体的可辨别名来取代客体的别名。8.1.3(一个客体的)可辨别名distinguished name(of an object)客体名字之一,由该客体项以及它的每个上级项的RDN序列组成。8.1.4(目录)名(directory)name可从所有其他客体中提取一个特殊客体的一种结构。(目录)名必须是无歧义性的(即,它只能表示一个客体),但不必是唯一的(即,无歧义性地表示客体的只是名字)。8.1.5 声称名 purported name
一种属于语法上的目录名结构,不作为合法名使用。8.1.6命名机构nameauthority
负责目录名分配的机构。客体项位于DIT中的非叶顶点的每一个客体都与一个命名机构密切相关。
8.1.7 相关可辩别名(RDN) relative distinguished name(RDN)由关于某个特定项的可辨别值的属性值断定构成的一个集合,并且每一个属性值断定都为真。8.2通用名
8.2.1(目录)名是一种结构,它从所有客体的集合中标识一个特定的客体名字必须是无歧义性的,它只能表示个客体。但名字并不一定是唯一的,无歧义性的表示该客体的只是名字。8.2.2从语法上讲,表示客体的每一个名字都是一个相关可辨别名的有序序列(见8.3)。Name:::
CHOICE -
一目前只有一种可能性-
RDN Sequence)
RDNSequence:: =SEQ UEN CE OF Relative Distingushed NameDistinguished Name:: - RDNSequence注:以其他方法构成的名字可能在将来扩充。8.2.3树根的名字为空序列。
8.2.4客体名的每一个初始下级序列也是客体名。这样标识的(从根顶点开始到被命名的客体结束)的客体序列中的每一…个客体都是其后一个客体的直接上级。8.2.5声称名为语法上的一种名字结构,不作为一个合法名使用。229
8.3相关可辨别名
GB/T 16264.2--1996
8.3.1每一个项都有一个唯一的相关可辨别名(RDN)。而每一个RDN都是一个由关于这个项的可辨别值的属性值断定所构成的集合,并且每一个属性值断定都为真。Relative Distinguished Name:: --SET OF Attribute Value Assertion集合含有对项中的每一个可辨别值的恰当的断定。8.3.2具有一个特定直接上级所有项的RDN都是不同的。它由与该项的相关命名机构负责,并通过恰当地分配可辨别属性值来保证。注:个项通常包含单个可辨别值(并且RDN只由单个AVA组成),但在某些特定的情况下(为区别起见),可以使用附加的属性值(和AVA)。
8.3.3在建立一个项时,选择该项的RDN。任何属性类型的一个单值实例都可作为该RDN的一部分,这主要取决于所表示的客体类的性质。RDN的分配由公用管理机构考虑,并自行决定是否要求与所涉及的组织或公用管理机构进行协商。本标准并不提供这样的协商机制,也不设想如何进行协商。如果必要,RDN可以通过完全取代的方式进行修改。注:一般假定,RDN具有较长的有效期,这样,目录用户可以在目录中存储客体的可辨别名而不必考虑它的过期作废情况。因此,改变RDN必须小心。8.4可辨别名
一个给定客体的可辨别名由表示该客体的项及其所有的上级项的RDN按递减次序构成的序列加以定义。由于客体与客体项之间的关系是一一对应的,也可考虑用客体的可辨别名来标识这个客体项。
1人们应优先选择用户友好的客体可辨别名。2GB9387.3定义了基本名的概念。一个可辨别名可被用作它所标识的客体的基本名,这是因为:(a)它是明确的,(b)它是唯一的,(c)目录用户不必(当然可以)了解其内部结构(即,RDN序列)的语义。3因为客体的可辨别名只包含客体项和其上级项,所以决不会包含别名项。8.4.2可以方便地定义根和别名项的可辨别名,尽管在这两种情况下,它们都不是任何一个客体的名字,也不是任何一一个客体的可辨别名。根的可辨别名可被定义成一个空序列。而别名项的可辨别名可以(按递减的方式)定义成别名项及其所有的上级项的RDN序列。8.4.3图4给出了RDN和可辨别名概念的示例。RDN
O-Telecom
组织单位
可辨别名
(C-GB)
(C=GB,O=Telecom)
(OU- Sales, (C-GB,O-Telecom,L=lpswich)
(OU- Sales,L- lpswich))
(C-GB,O-Telecom,
I CN= Smith (OU- Sales,L=lpswich),CN-Smith!
图4可辨辩别名的判定
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。