本标准按抽象方法定义了目录所提供的外部可视服务。本标准并不规定具体实现或产品。 GB/T 16264.3-1996 信息技术 开放系统互连 目录 第3部分:抽象服务定义 GB/T16264.3-1996 标准下载解压密码：www.bzxz.net

GB/T 16264.3--1996
本标准等同采用国际标准ISO/IEC9594-3：1990《信息技术开放系统互连目录第3部分：抽象服务定义》和ISO/IEC9594-3：1990/Cor.1：1990《信息技术开放系统互连目录第3部分：抽象服务定义技术修改1》、ISO/IEC9594-3：1990/Cor.2：1990《信息技术开放系统互连目录第3部分：抽象服务定义技术修改2》、IS0/IEC9594-3：1990/Cor.3：1990《信息技术开放系统互连目录第3部分：抽象服务定义技术修改3》，以及ISO/IEC9594-3：1990/Cor.4：1990《信息技术开放系统互连目录第3部分：抽象服务定义技术修改4》。根据ISO/IEC9594-3:1990/Cor.1:1990,本标准对7.6.2.1、7.8.2、7.8.3.2、8.1.1.1、8.1.2.1.2、12.9.2和附录A作了修改。
根据ISO/IEC9594-3:1990/Cor.2：1990，本标准对7.3.1,9.3.4、9.3.6和附录A作了修改。根据ISO/IEC9594-3：1990/Cor.3：1990，本标准对7.3.1、7.3.2.6和附录A作了修改。根据ISO/IEC9594-3:1990/Car.4:1990,本标准对7.8.3.4、8.1.1、8.1.2.1.2、12.1.2和附录A作了修改。
通过制定本标准，为用户定义了目录所提供的外部可视服务。GB/T16264在《信息技术开放系统互连目录》总标题下，目前包括以下8个部分：第1部分（即GB/T16264.1)：概念、模型和服务的概述；第2部分（即GB/T16264.2）：模型；第3部分（即GB/T16264.3）：抽象服务定义；第4部分（即GB/T16264.4）：分布操作过程；第5部分（即GB/T16264.5）：协议规范；第6部分（即GB/T16264.6）：选择属性类型；第7部分（即GB/T16264.7）：选择客体类；第8部分（即GB/T16264.8）：鉴别框架。本标准的附录 A和附录B均是标准的附录。本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位：电子工业部标准化研究所、华北计算技术研究所。本标准主要起草人：冯惠、李卫国、黄家英、郑洪仁。248
GB/T 16264.3-1996
ISO/IEC 前言
ISO（国际标准化组织）和IEC（国际电工委员会）是世界性的标准化专门机构。国家成员体（它们都是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1，由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准至少需要75%的参与表决的国家成员体投票赞成。
国际标准ISO/IEC9594~3是由ISO/IECJTC1信息技术”联合技术委员会制定的。ISO/IEC9594在《信息技术开放系统目录》总标题下包括以下8个部分：第1部分：概念、模型和服务的概述第2部分：模型
第3部分：抽象服务定义
第4部分：分布式操作规程
第5部分：协议规范
第6部分：选择属性类型
-第7部分：选择客体类
第8部分：鉴别框架
本部分包含2个附录：
附录A和附录B构成了ISO/IEC9594-3的一部分。249
GB/T 16264.3--1996
0.1本标准连同本系列标准的其他部分一起，便于提供目录服务的各类信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息，可以看作一个整体，称为“目录”。目录中收录的信息总称为目录信息库（DIB），并用于简化诸如OSI应用实体、人、终端，以及分布列表等客体之间的通信。0.2目录在开放系统互连中具有极其重要的作用，其目的是允许在互连标准之外使用最少的技术协定，完成下列各类信息处理系统的互连：来自不同厂家的信息处理系统；处于不同管理的信息处理系统；．具有不同复杂程度的信息处理系统；不同年代的信息处理系统。
0.3本标准定义了目录为其用户提供的能力。0.4附录A给出了包含所有与抽象服务有关的定义的ASN.1表示模块。250
1范围
中华人民共和国国家标准
信息技术
开放系统互连
第3部分：抽象服务定义
Information technology—
Open systems
interconnection--The directoryPart 3:Abstract service definition第一篇综
1.1本标准按抽象方法定义了目录所提供的外部可视服务。1.2本标准并不规定具体实现或产品。2引用标准
GB/T 16264.3-—1996
idt ISO/1EC 9594-3:1990
下列标准中所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。GB9387--88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)GB/T16264.1一1996信息技术开放系统互连目录第1部分：概念、模型和服务的概述(idt ISO/IEC 9594-1:1990)
GB/T 16264.2-1996
GB/T 16264. 4-—1996
GB/T 16264.5--1996
信息技术开放系统互连
目录第2部分：模型（idtISO/IEC9594-2:1990)
信息技术开放系统互连
IEC 9594-4:1990)
信息技术开放系统互连
9594-5:1990)
GB/T 16264.6—1996
信息技术开放系统互连
IEC 9594-6:1990)
GB/T 16264.7—1996
GB/T 16264. 8-1996
信息技术开放系统互连
9594-7:1990)
信息技术开放系统互连
9594-8:1990)
星(idtISO/
第4部分：分布式操作规程
目录第5部分：协议规范（idtISO/IEC目录
第6部分：选择属性类型
目录第7部分：选择客体类
(idt ISO/
(idt ISO/IEC
目录第8部分：鉴别框架
(idt ISO/IEC
GB/T16262——1996信息处理系统开放系统互连抽象语法记法—（ASN.1)规范(idt ISO/
IEC 8824:1990)
GB/T16284.3-1996信息技术文本通信面向信报的文本交换系统（MOTIS）1第3部分：
抽象服务定义约定（idtISO/IEC10021-3：1990）ISO/IEC9072-1：1989信息处理系统文本通信远程操作第1部分：模型、记法和服务定义国家技术监督局1996-03-22批准1996-10-01实施
GB/T16264.3-1996
ISO/IEC9072-2：1989信息处理系统文本通信远程操作第2部分：协议规范3定义
3.1基本目录定义
本标准使用GB/T16264.1中定义的下列术语：a）目录Directory
b）百录信息库(DIB）Directory Information Basec）（目录)用户(Directory)User3.2目录模型定义
本标准使用GB/T16264.2中定义的下列术语：a）目录系统代理(DSA）Directory System Agentb）自录用户代理(DUA）DirectoryUser Agent3.3国录信息库定义
本标准使用GB/T16264.2中定义的下列术语：a）别名项alias
b）目录信息树(DIT）Directory Information Treec）（目录)项（Directory）entryd）直接上级immediate superiore）直接上级项/客体immediatelysuperiorentry/objectf）客体object
g）客体类object class
h）客体项objectentry
i）下级subordinate
j）级superior
3.4目录项定义
本标准使用GB/T16264.2中定义的下列术语：a）属性attribute
b）属性类型attribute type
c）属性值attribute value
d）属性值断定attribute value assertion3.5名字定义
本标准使用GB/T16264.2中定义的下列术语：a）别名alias,alias name
b）可辨别名distingushed namec）（目录)名（directory）named）声称名purported name
e）相关可辨别名relative distinguished name3.6分布式操作定义
本标准使用GB/T16264.4中定义的下列术语：a）链接chaining
b）参照指示referral
3.7抽象服务定义
本标准定义下列术语：
3.7.1筛选器filter
GB/T16264.3—1996
对-个目录项的某些属性的值是否出现的断定，以便限制搜索的范围。3.7.2服务控制service controls作为抽象操作的一部分被运送的参数，它限制其性能的各个方面。3.7.3始发者originator
发起操作的用户。
4缩略语
本标准使用下列缩略语：
5约定
属性值断定
目录信息库
目录信息树
目录管理域
目录系统代理
目录用户代理
相关可辨别名
本标准使用GB/T16284.3中定义的抽象服务定义约定。第二篇抽象服务
6目录服务概述
6.1正如GB/T16264.2中所述，目录服务是通过DUA的服务访问点来提供的，每一个访问动作代表··个用户，其原理如图1所示。访问点
目录用户
图1 对目录的访问
6.2原则上说，目录的访问点可以具有不同的类型，提供不同的服务组合。重要的是可以将目录看成是个客体，并支持多个类型的端口。每个端口定义目录与DUA之间一类特定的交互（作用），而每个访间点则负责…组特定的端口类型的组合6.3使用ISO/IEC8505-3中定义的记法可将目录定义如下：directory
OBJECT
(readPort[s]
searchPort[S]
GB/T16264.3—1996
modifyPort[s]]
:: -id-ot-direcrory
目录通过以下各种端口提供操作：读端口（Read ports），支持从DIB中某个特定命名的项中读信息，：搜索端口（Search ports），允许对DIB进行探查：修改端口（Modifyports），允许对DIB中的项进行修改。注：可望未来有其他类型的目录端口。6.4与此类似，（从目录的角度来看），可将DUA定义如下：dua
OBJECT
PORTS (readPort[C]
searchPort[C]
modifyPort[C]]
:: --id-ot-dua
DUA使用目录所提供的服务。
6.5可将6.2到6.4中援引的端口定义如下：readPort
CONSUMERINVOKES (Read,Compare,Abandon):: -id-pt-read
searchPort
CONSUMER INVOKES (List,Search):: id-pt-Search
modify Port
CONSUMER INVOKES (AddEntry,RemoveEntryModifyEntry,ModifyRDN)
:: -id-pt-modify
6.6readPort、searchPort以及modifyPart的操作分别在第9、第10和第11章中定义。6.7这些端口只作为目录服务描述的个构造方法来使用。与目录操作的一致性在GB/T16264.5中予以规定。
7信感类型
7.1综述
7.1.1本章标识和在某些情况下定义后面的目录操作定义中使用的若干信息类型，这里所涉及的信息类型是那些用于多种操作，或在将来用于多种操作的通用信息类型，或者使用这些信息类型定义更复杂的或自包含的信息类型。
7.1.2某些用于定义目录的信息类型在其他地方定义。7.2中标识这些类型并指出其定义的来源，其他各条（7.3到7.10)则分别标识和定义信息类型。7.2在其他标准中定义的信息类型。7.2.1以下信息类型在GB/T16264.2中定义：a）属性；
b）属性类型；
c）属性值；
d）属性值断定；
e）可辨别名；
f）名字；
g）相关可辩别名。
GB/T16264.3—1996
7.2.2下面信息类型在GB/T16264.6中定义：a）表示地址。
7.2.3下面信息类型在GB/T16264.8中定义：a）凭证；
b）签名；
c）证明路径。
7.2.4下面信息类型在ISO/IEC9072-1中定义：a）调用ID。
7.2.5下面信息类型在GB/T16264.4中定义：a）操作进展；
b）连续引用。
7.3公共自变量
7.3.1公共自变量信息可以出现，以限定目录能执行的每一个操作的调用。CommonArguments ::=SET(
[3o] ServiceControls DEFAULT( },[29] SecurityParameters OPTIONALrequestor [28] DistinguishedName OPTIONAL,[27] OperationProgress DEFAULT(notStarted),aliasedRDNs E26J INTEGER OPTIONAL,criticalExtensions ［25] BIT STRINGSET OPTIONAL7.3.2以上各个成分的含义分别在7.3.2.1到7.3.2.4中定义。7.3.2.1ServiceControls成分在7.5中规定，缺省时表示控制为空集。7.3.2.2SecurityParameters成分在7.9中规定，缺省时表示安全参数为空集。7.3.2.3requestor可辨别名标识某个抽象操作的始发者，它包含用户与目录建立联编时使用的用户名字。当要对请求签名（见7.10)时，可以要求这个成分，并且包含发起请求的用户的名字。7.3.2.4OperationProgress定义DSA在请求的分布式评价中所扮演的角色。详见GB/T16264.4中的定义。
7.3.2.5aliasedRDNs成分指示一个DSA，其操作的客体成分是以前的操作在企图没有引用别名时建立的，整数值指明客体中RDN的数量，它来自没有引用的别名。（该值必须在以前操作的参照指示响应中设置）。
7.3.2.6CriticalExtensions成分提供了一种机制，以列出一组相对目录抽象操作的执行来说是临界的扩展。似乎扩展抽象操作的始发者希望指明该操作必须和一个或多个扩展一起执行（即没有这些扩展的操作是不能接收的)这种执行是通过设置与该扩展相对应的CriticalExtensions位而进行的。如果目录和目录的某部分不能执行一个临界扩展，它返回一个UnavailableCriticalExtersion指示（作为一个serviceError或一个PartialoutcomeQualifier）。如果该目录不能报告一个非临界的扩展，则它忽略扩展的存在。
7.4公共结果
GB/T16264.3—1996
7.4.1CommonResults信息必须出现，以限定目录所执行的每个恢复操作的结果。CommonResults :: - SET
[30J SecurityParameters OPTIONAL,performer [29] DistinguishedName OPTIONAL,aliasDereferenced [28J BOOLEAN DEFAULT FALSE)7.4.2以上各成分的含义在7.4.2.1到7.4.2.3中定义。7.4.2.1SecurityParameters成分在7.9中规定，缺省时表示安全参数为空集。7.4.2.2Performer可辨别名标识某个特定操作的执行者。当要对结果签名时（见7.10),可以要求该成分，并包含签名该结果的DSA的名字。7.4.2.3当某个客体作为该操作的目标的基客体的声称名，并包括没有引用的别名时，aliasDerefer-enced成分置为TRUE。
7.5服务控制
7.5.1ServiceControls参数包含指导或限制提供服务的控制信息。ServiceControls :: -SET(
options[o]
BIT STRING
preferChaining(0),
chainingProhibited(1),
localScope(2)，
dontUseCopy(3),
dontDereferenceAliases(4))
DEFAULT ,
priority[1} INTEGER(
low(0)，
medium()，
high(2)) DEFAULT medium,
timeLimitL2]INTEGER OPTIONAL，sizeLimit[3I INTEGER OPTIONAL,scopeOfReferralL4J INTEGER (dmd(o)，country(1))
OPTIONAL)
7.5.2以上各成分的含义在7.5.2.1到7.5.2.5中定义。7.5.2.1Options成分包含一组指示，对于其中每个指示，如果设置，则确立所建议的条件。因此：a）preferChaining指示优选链接，而非参照指示，用于提供目录服务。不要求目录遵循这种优选；b）chainingProhibited指示禁止链接和其他在目录中分布请求的方法；c）localScope指示操作只局限于本地范围。本选项的定义本身属于本地事件。例如，该指示操作只属于单个DSA或单个DMD；
d）dontUseCopy指示不用（GB/T16264.4中定义的）信息拷贝来提供服务；e）dontDereferenceAliases指示用来标识由操作所涉及的项所用的别名是不被还原的。注：必需允许引用别名项本身，而不是混名项，例如为了读别名项。如果该成分缺省，则采用下面假定：不优选链接，但也不禁止链接，不限制操作的范围，允许使用拷贝，并且也可以还原别名(除非决不还原别名的修改操作)。7.5.2.2提供服务的优先级（低、中、高）。应注意，这样不保证基本上不实现排队的目录的服务。不隐含与低层使用“优先级”的关系。256
GB/T 16264.3-1996
7.5.2.3timeLimit指示最大持续时间，以秒计数，服务只在规定的时间内提供。如果不能满足限制，则报告差错。如果该成分缺省，则不隐含时间限制。如果List或Search超过时限，则结果是已累计结果的任意选择。
注：该元案并不隐含在持续时间内，请求处理所花费的时间：在持续时间内的请求处理可以包含多个DSA。7.5.2.4sizel.imit仅可用于List和Search操作。它指示返回的客体的最大数目。当超出这个限制时，List 和Search的结果可以是已累计结果的任意选择，数目等于该限制；废弃任何更多的结果。7.5.2.5scopeOfReferral指示由一个DSA返回的参照指示的范围。根据所选的dmd或country的值，只返回所选定范围内的对其他DSA的参照指示。它适用于List和Search结果中的Referral差错和unexplored参数两者。7.5.3priority，timeLimit和SizeLimit的某些组合可能导致矛盾。例如，短时间限制可能与低优先权矛盾；高数目限制可能与短时间限制矛盾。7.6项信息选择
7.6.1EntryInformationSelection参数指示在恢复服务中某个项所请求的哪些信息。EntryInformationSelection :: -SETtattributeTypes
CHOICE
allAttributes[o] NULL,
select [i] SET OF AttributeType空集隐含不要求属性请求——！DEFAULT all Attributes NULL,infoTypes [2] INTEGER
attributeTypesOnly(0),
attributeTypesAndValues(1))
DEFAULT attribiteTypesAndValues)7.6.2以上各个成分的含义在7.6.2.1和7.6.2.2中定义。7.6.2.1attributeTypes成分规定请求信息的属性：a）如果选择select选项，则列出所包含的属性，如果列表为空，则不返回属性；如果属性存在，则返回所选属性的有关信息；如果没有所选的属性存在，则返回AttributeError，并指明差错原因为no-SuchAttribute;
b）如果选择allAttributes选项，则请求项中的全部属性的有关信息。如果满足访问权限要求，则只返回属性信息。如果请求不能满足读全部属性的权限要求，则返回SecurityError，并指明差错原因为insufficientAccessRights.7.6.2.2InfoTypes成分规定是请求属性类型和属性组信息（缺省情况下）还是只请求属性类型信息，如果attributeTypes成分为不请求属性，则该成分无意义。7.7项信息
7.7.1EntryInformation参数运送从项中选择的信息。EntryInformation :: =-SEQUENCEDistinguishedName,
fromEntry BOOLEAN DEFAULT TRUE,SET OF CHOICEI
AttributeType，免费标准下载网bzxz
Attribute)OPTIONAL)
7.7.2通常应包括项的DistinguishedName。257
GB/T 16264.3--1996
7.7.3fromEntry参数为TRUE时，则指示从项中取得信息，否则为项的拷贝（即该参数为FALSE）。7.7.4如果要求包括AttributeTypes和Attributes 的集合，则其中每个属性类型既可以独立存在，又可以与多个属性值-起存在。
7.8．筛选器
7.8.1Filter参数提供一个测试，该测试或被特定项满足或不被满足。筛选器参数根据项的某些属性或属性值是否存在的断定来表示，当且仅当判断为TRUE时，Filter才能满足。注：筛选器可以为TRUE、FALSE或未定义。Filter :: =CHOICE
[o] FilterItem,
［1] SET OF Filter，
[2] SET OF Filter，
[3] Filter]
FilterItem :: =CHOICE(
equality
substrings
strings
greaterOrEqual
lessOrEqual
present
[o] AttributeValueAssertion,[1] SEQUENCE
AttributeType,
SEQUENCE OF CHOICE
Initial
[o] AttributeValue,
[i] AttributeValue,
[2] AttributeValue]],
[2] Attribute Value Assertion,[3] AttributeValue Assertion,[4] Attribute Type
approximateMatch[5] AttributeValue Assertion)7.8.2Filter或为一个FilterItem或为由简单Filters通过逻辑操作符and,or和not构成的一个表达式。
-一个Filter，它是具有 Filteritem 值的 Filteritem(即，TRUE、FALSE或未定义)(见7.8.3)。一个Filter，如果该集合为空或如果每个筛选器为TRUE，则该Filter是筛选器集合为TRUE的and;如果至少有一个筛选器为FALSE，则该Filter是FALSE。7.8.2.3一个Filter，如果该集合为空或如果每个筛选器为FALSE，则该Filter是筛选器集合为FALSE的or；如果至少有一个筛选器为TRUE，则该Filter是FALSE；否则该Filter是未定义的（即，如果至少有一个筛选器是未定义的以及没有筛选器为TRUE)。7.8.2.4一个Filter，如果筛选器为FALSE，则该Filter是筛选器为TRUE的not；如果筛选器为TRUE，则该Filter是FALSE；如果筛选器为未定义的，则该Filter是未定义的。7.8.3FilterItem为关于被测项中某个特定类型的属性或属性值是否存在的一个断定，每个这样的断定可以为TRUE、FALSE或未定义。7.8.3.1每个Filterltem都包含一个AttributeType，用于标识所涉及的特定属性。7.8.3.2只有当AttributeType被判断机制已知，并且其相应AttributeValue符合该属性类型定义的属性语法时，则关于这样一个属性值的任何断定才予以定义。注
1当上述条件不成立时，Filterltem为未定义。2访问控制限制可能要求将Filterltem看作是未定义的。7.8.3.3对一个属性的值的断定，使用与为这种属性类型定义的属性语法相关的匹配规则来评价。未258
GB/T16264.3--1996
对某个特定的属性语法定义的匹配规则不能用来对该属性作出断定。注：如果该条件不能满足，则Filter为未定义。7.8.3.4FilterItem可以是未定义的（见7.8.3.2和7.8.3.3），否则，FilterItem确定如下规则：a）equality，当且仅当属性值与确定的相等时，其为真；b）substrings，当且仅当属性值划分成如下几部分时，其为真：按照串序列的顺序，规定的子串(initial,any，final)与值不同部分匹配；一inital，如果存在，则匹配值的第1部分；final，如果存在，则匹配值的最后部分；any，如果存在，则匹配值的任意部分。串中最多只有一个initial,也最多只有一个final。如果 inital存在，它应是串的第一个元素。如果 fi-nal存在，它应是串的最后一个元素。串中的any应是零个或多个。c）greaterOrEqual，当且仅当相关排序（由适当的排序算法定义）将提供的值置于属性的任意值之前或至少等于属性的一个值时，它为 TRUE。d）lessOrEqual，当且仅当相关排序（由适当的排序算法定义）将提供的值置于属性的任意值之后或至少等于属性的一个值时，它为TRUE。e）present，当且仅当项中出现这种属性时，它为TRUE。f）approximateMatch，当且仅当有一个属性值与本地定义的逼近匹配算法（例如，拼写变化、语音匹配等）确定的属性值匹配时，则它为TRUE。在本标准的该版本中没有逼近匹配的专门指南。如果不支持逼近匹配，则将该FilterItem看作equality匹配来处理。7.9安全参数
7.9.1SecurityParameters控制与目录操作有关的各种安全特性的操作。注；安全参数由发送方运送给接收方。当这些参数作为抽象操作的自变量出现时，请求方为发送方，执行方为接收方。反之亦然。
SecurityParameters :: -SETI
Certification-Path [o] CertificationPath OPTIONAL,name ［i] DistinguishedName OPTIONAL,time ［2] UTCTime OPTIONAL,
random [3] BIT STRING OPTIONAL,target [4] ProtectionRequest OPTIONAL]ProtectionRequest ::=INTEGER (none (o),signed （1)）
7.9.2以上各成分在7.9.2.1到7.9.2.5中定义。7.9.2.1CertificationPath成分包含发送方凭证，也可有选择地包含凭证对的序列。该凭证用于与发送方的公开密钥和可辨别名建立联系，并可用于对自变量或结果的签名进行验证。如果自变量或结果被签名，则该参数应出现。凭证对的序列由凭证机构的交叉凭证组成，它用来使发送方的凭证有效。如果接收方共享与发送方同一凭证机构，则不要求凭证对的序列。如果接收方要求一组有效的凭证对，而该参数又没有出现，则接收方是接收还是拒绝关于自变量或结果的签名，或试图生成凭证路径属本地的事件。7.9.2.2name是指自变量或结果的第一个预期接收方的可辨别名。例如,如果一个DUA产生一个签名的自变量，则该名字为操作所递交的DSA的可辨别名。7.9.2.3当使用签名的自变量时，time为签名有效的期满时间，它与一个随机数一起用来检测“重操作”攻击。
7.9.2.4randomnumber是每个未期满权标的不同数，它和时间参数一起在自变量或结果被签名时用于检测重操作”攻击。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。