GB/T 18794.2-2002
基本信息
标准号: GB/T 18794.2-2002
中文名称:信息技术 开放系统互连开放系统安全框架 第2部分:鉴别框架
标准类别:国家标准(GB)
标准状态:现行
发布日期:2002-07-18
实施日期:2002-12-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:1696202
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.01开放系统互连(OSI)综合
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:ISO/IEC 10181-2:1996
出版信息
出版社:中国标准出版社
页数:平装16开, 页数:43, 字数:78千字
标准价格:19.0 元
出版日期:2002-12-01
相关单位信息
首发日期:2002-07-18
复审日期:2004-10-14
起草人:张莺、王雨晨、杜春燕、周珍妮
起草单位:信息产业部电子第十五研究所
归口单位:全国信息技术标准化技术委员会
提出单位:中华人民共和国信息产业部
发布部门:中华人民共和国国家质量监督检验检疫总局
主管部门:国家标准化管理委员会
标准简介
关于开放系统安全框架的本标准系列涉及在开放系统环境中的安全服务应用,术语“开放系统”系指包括诸如数据库、分布式应用、开放分布式处理和OSI一类的领域。安全框架主要用来提供在系统内和系统间交互时对系统和客体的保护方法。安全框架不考虑用于构造系统或者机制的方法学。安全框架涉及用于获取具体安全服务所使用的数据素和操作序列(但不是协议素)。这些安全服务可适用于系统的通信实体,也可以用于系统间交换的数据和由系统管理的数据。本标准:——定义鉴别的基本概念;——确定可能的鉴别机制类;——定义用于这些鉴别机制类的服务;——确定为支持这些鉴别机制类的协议的功能需求;——确定鉴别的通用管理需求。能够使用本框架的标准类型包括:1)符合鉴别概念的标准;2)提供鉴别服务的标准;3)使用鉴别服务的标准;4)规定在开放系统体系结构内提供鉴别手段的标准;5)规定鉴别机制的标准。上述标准能以下列方式使用本框架:——标准类型1)、2)、3)、4)和5)能够使用这个框架的术语;——标准类型2)、3)、4)和5)能够使用本框架第7章定义的服务;——标准类型5)能够基于本框架第8章定义的机制。正如其他安全服务一样,鉴别只能够在为特定应用所定义的安全政策的上下文中被提供。安全政策的定义不属于本标准的范围。本标准的范围不包括为取得鉴别所需执行的协议交换细节的规范。本标准不规定用于支持这些鉴别服务的特定机制。其他标准(如GB/T 15843)更详细地制定了具体的鉴别方法。此外,这类方法的例子被收编在其他标准中(如GB/T 16264.8)以便涉及具体的鉴别需求。本框架中所描述的某些规程通过应用密码学技术来达到安全性。尽管某些鉴别机制类可以依赖于特定的算法特性,例如非对称特性,但本框架的使用不依赖于特定密码或者其他算法。 GB/T 18794.2-2002 信息技术 开放系统互连开放系统安全框架 第2部分:鉴别框架 GB/T18794.2-2002 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
IC5 35- 100. C1
中华人民共和国国家标道
GR/T18794.2-2002
id1 1S0/IEC 10181 2:1996
信息技术
开放系统互连
开放系统安全框架
第2部分:鉴别框架
Informationtcchnology-Open SystemsIntercannection-Security frameworks forupen systems Fart 2:Authenticatinn framework2002 - 07 - 18 发布
中华人民托和调
闻家质量监督检验检热总局
2002-12-01实施
8/F8794.22002
ISOEC言
引用标非
来语宗义
继格谱
紫别能账连性讨论
整剧估息求设施
整别机特证
整则拟制
9上其他安全服务/机制交互
附求A(提示的限录)
阅录B按源然附录)
附亲心长示的谢录)
附录提示的附求!
附求!小的录!
附录提示的附求)
人资广监
使用唯一潮号盘问米附止重发政士r
根据针对监员,的儿种攻定供相应保扩葵考宽糕
鉴制机制特例
鉴别设施刻查
E KAN KAca
GnT: 18754. 2---2002
本标准等间采用回际标准[SO:信点发术开政系统立本开收系统安全框
架:鉴别推架多。
G/T1F791在信息投术
开放系统五连
开效要统安全柜紫3总标整一,日前起括以下儿个部分:
等部1!4.1频述
第2部分(即(3/187(4.2):鉴别懂架在1%3E:111中缺3.3内比将原标准的,.2.1--2.H条分制收为本标准的5.2.-5.2. 7条
本求随的对录人等附录都是示的附。本标准自中华人民共和国信息产业部提凸本你准中中国心广技术标雅化而究斯旧口。本环洋学单疗:信良产业部电千第十九研究所本标准上要起性人:张实、土雨晨,杜咨燃、周诊祝:GH.T18791.2—2007
ISO/EC前言
乐标化组织)和以国际要员会世界性的家雅化专祖格:国家成员你(他们都是[或的员下通过用际组织班立的各人技术委员会意与制宁计对持宇技大范国的国际标注:S和IE的各技术委员会在同然兴趣的领域内进行合作。与S和E有联系的其他力和非有方国际组制也叫参与因际际没的制定三作,对信总技术,S()和1L建立一个联合技术要员会,即1S)/IEC:T1。出送含技术委员会制出的间际探催中案需分发治用家成员体进行表次。按布项国际标准,至少再要必的参与表次的国家成员怀投典费成
国际款注SO/HC1CR2足目ISOIFC1T1\信息装卡联合效术要会的SC会1\元效系统止许数据但代处理“分技要会门共同制完的等同定为50/:1814信息检术开放系统产开系统实全施架总题下,口前包括以下个部分,
第邵分:概述
第2部分:整抵架
管3部分问控带料
一旁4部分:抗抵恢准架
一实5部分:保密性证票
第6部分:完整件中熟
第了部分安全车汁和告整柜架
太标范附示A玺所录仅提供参专信息TKAN KA
GT18794.22002
但多查用只有安全需求以陷范信急通信中遇实的减胁。一些其识的魔股及测传这些感时叫以快用的安全聚务和机制在7.2中述。
温家开放系统用兵有安全需求,只体需求依额山鸣识则点用所包的丰角试带求可能包功山不经投权书访间以保护财产和资源,于济向整制机制的身份鉴别可用下这冲情.利/或还制实题惊持相关活动的市计志·以用于记录和告诚日的,确认点受内过程称为整剧。木标准定义整别账范规定的一批相架1范围
中华人民共和国国家标准
信息技术开放系统互连
开放系统安全框架
第2部分鉴别框架
Infarmalinn technology- Open Systensatercaanection-Security Tramrworks lornpen xystens-Pari 2:Authenilcatinn frameworkGB/T18794.7—2002
idi[S0/EC10181-2:1996
戈」开放系统安全框架的本标注系列梦在效系统环培中的安全服务月·术语“开放系统“系悄包新华如数期床,分布式递用并欧分布代处型和(1类的领成:安全据架主要来提供在系统内润系统间交上.时对系统和弃体的保护方达。安全整巢不考患而于构造系统或占机例的方法学。安全框需涉及用然收具体安全聚务所使用的数据元素和慢作序列(似不是拟改元系)。这些安全服务可追用丁系练通危变牛出可以用于系统间空换的数抵利系统管理的效册木标游:
定义监别的本概念:
确定可能书盗别机制炎
一定义用!这共签别制类的务。确定步支持这些变别机制类的协权的攻量带求:悄是将别的通剂管理需求。
能够使用衣极深的标乱带型活
1)行合监别恒念的坏准:
2)提供监乐限务的标准
3!快格别成务的乐准:
4!规定在并放系统体系结均内授供鉴别;于段的标准:3期定监别机制的怀准。
计:,和>中的服冬可以包括整别们可具有不的讨表,上述标准准以列方式便们样架,标准类型1、23:、1和>能感使用这个准势的术语标证类型“,3:,11和能使用本框架第章是义然服务一标准岁型能基于木求架策B章定义的机制。作如其他安全眼务样,鉴则只凿谢立为定广用所定义的费全政策的让下文中被供。安全政第的定义不同于本标准的也用。
本标准的范国不也指为取得鉴联所布执行的协议交预细节的现范。本标准千现完用十支持这些监别傲务的特定机制.比他标准(如315843}更详池制定了具悼的览罚方法:此外,这类方法的例子额收编在其他标准(GB/T16261.%)以便涉及具体的整别需求。中华人民共和国国家质量监督检验检疫总局2002-018批准2002-12-01实构
B/T18794.2—2J02
会拒婴所质述的光此想程通过应感评学持术案法到实车性。营基些鉴别规尝可以依频于守定的算法特性·例如非本称特性·不非架书使用不袋赖于等定案码成者其他算法,往:公音宿性学进行标准化中法世算法的池共行了准,2引用标准
下列标准所包含的条文,通过在本标准十引用而为虑为本标准美条文。本标准出版村,所小版本动为有效:所有杯准帮宏被整订-使用本标准的各方应操讨使用下死标准展新版本的可能性Gn/T3名7199斤信总划是系统川单系统互连考本参考模型弟2部分安全体系结效(id[S0/1Et:7498-2:1989)
(B7!64200性息技术安企技术比步块密码算法的操作支式(iltIS/IEC16116:19)
GT13741200?信总技术开收系统互连改系统安全架第1部分:述(1S01EC 0151-_:19953
[SO/RCSU?!,1!!L
3术语和定义
信品技术妞密技本密码算法登说即程本标推录用心93.2中定文的下划术语:市di
计踪dit;
鉴别息
auihrniralinainnrmticn免费标准下载网bzxz
鼎密性conicentiality
--学crypagraphy
校验值ryugupbicrlikan!
数据源鉴别l la raigin Aaihenticatinn:数据完整:dataintegrity
-解deciph-menr
微器名isiraligairr
一enheir
牢钥keyi
率管理kemanagemeenEt
-实充rtede;
含PERawOn:
对等实库鉴别pcecntityauthentication;宽会策scrurily poliry:
本疱英用在GH17561中定义的下列来语:块钮格hlnkl:iri
本惊准采HGB17S1.中定义的下列术逆:效字猎段digitelfinga:prirt;
教列函数lasafuectiun
.一单可函源
cn way fedi!
\程有密销FlivaTe key
公开案凯rublickey:
一封印l
秘密普钙serrelkey:
桃gccurityauthority
全证卡xary lifr ;
安全城ecuritydmaia:
安全投标seurytoken:
- 信任:st;
GB/I' 18794. 2 2002
可信英一方r.,mlairy。
本标准实义下测术书:
3.1非对稳鉴法asymmerrir autheriicalianmcthod产非所有鉴出信点部由方实体其享的一种鉴别方云。3.2口些药身份amhliliden
证过则保证上的可区登你识为。3.3整别aueeann
提供时」米个实体自称身的保证。3.4别正书ihenticatinncerliiaie白整创机均扭保的并日叫以被用于保和采个实体身设的案全帖:。3.5鉴交换authcnTiceTinrcxhange个或者案个而于执行鉴别日的的交换鉴别信息(A1的传送序列。3.6鉴另信息anthenticstictinEarraatinn用于鉴别月的的信应
3.7鉴别方uthentiretier.iaror发起些交换的实外。
3.8盘司hallengc
山验证咨生成的时变参数。
3.9中请监别信息(申请AI)eluinuthentintiun inforanaliun(elalirAI山中南者出于生成为鉴别荣人主角所需要的变换AI的信息,3.10小许者:laimant
木身就是或十鉴则H能芒主角的实体车满名包活为代表主角从率将别交换所必刻均函教3.11可区分标识等disinguishiagidentifier在鉴别过程中店技义地区分害体范数据,本标准要求这炎标识符至少在常全域内是歧文的3-2交换将别常总交换Al)excharge aitteniicatian info:matior(exchungeAl监别主角过我中在中净者和验证者之间交兼的信息。3.13离线鉴别证f rut:Fie
关联了可尺分标识待到验证A1闪监卵证书,可能对所有实许部可用。3.14在线别证书on-line autherticatiuuer:ficaie出申请者直接从指保产施制构获得的十监别交换射将别证书.3.15角[inc-μa1
其息发够谈鉴别的实件
3.6对称别法yattrieauthenticationmethod改方实达共享公共鉴别信息的种监别方法。3.7间量参款ltium
心实运用于验证求个握文不足一个更发报文的效均项,3.16编号uaikjutunber
EKANKAca
自尽请老牛成的时间变参数。
GB/T 18794.2—2002
3-19验证鉴别信息(验FA1)verifitinr:amher1icatian ialnrnat nn(verifiea1inn AT)日验证者用丁验证迪斗交控A1所卢称的身份的信。3.20验i者verif.er
产片就或多代表要求将别等盘的实体:验证必事些别多换所必须的两数4缩略语
不标准定义下列缩略语:
AI别花息(AuhentientionTferualicm)(sT效系统生连peuSyetrmeleterconnectian)5鉴别的述性讨论
5.鉴别的基本概忘
鉴别提快了对某下实位自称身份为伴通。监制仅帝主和验证者关案的上下文中小有总义,两个或费拍案阅上
一主角由某个与验证者其有案种其体通供关系的中请名所代表(实依鉴别):主角是验证者可用的数据项,的源(激据源些别)。本标非区分这两种培出的监:
实休鉴别在涌信戈系的上下义心提供十角身偿的适。上角的可整别身份仅当这程股务敬引用时小保证:鉴别连欲性的保证可以接5.2.7所描违的万式获取.如/T987.2的(5对实体装别
数期源鉴别提供负资具林效据单元的主角身份的证账,注
尔川款影证整时,近必领民有关士数据未查能接改以的近当保正、这可以通过使击完带性恶务案说,变川数斯不能政摄改的孙境;
>1途证所案收的效培匹配所发送数的数字抢效:使汇子签名快制:
山)他用对辞穿剂学算运
2定文实内学别中使用的术这信关乐可以战广义也解开能够祝引用例汇心违接,进理回通问川产终m的交H.
5.1.1学份和整别
上布是其身份能够额监求的实述。丰角具有感彩个与其相关联的可区分标识符:将别抵务可以迹实保用股证主角身份,三被验证的巨身份赖为已案别的身份:能够被识别并已此能够被签别的主单的例侧子他括:人类册广,
进程;
安万收系统:
OSI层实体!
余业。
川区牙标认符必须给定的安全域内无垃义性.可区分尔识符以下列两种方式之一,区分在一个同的域中的不司主角与在相同坡中的基其他主角:一在粗粒度然别上依在整别方面被伙为是等价内一组实体的成贞关系(在此情记下个组糖认为是一个主准且是有可区分你以符);+
GB/T18794.22002
在民细控成芸效上,只标识·个实林.当鉴别发生在不司的安全或实位之间时,可区分标识符叫包不足以元歧义地你只一个买述,因为衣向安域机控叫能使相同的可区分标让符,齐此情说下,可这外标认料必须与安全域的标识符联舍使用以使处实体据供·个无歧义性的标医符.可区分标识料的典型到子有:
白录名:6R11214.8)
网络地G:
A标题和AE标B/T17176;
客述标款符L/T1662:
::人名在域的「.文内歧义!
一护顺社会安全与。
5. 1. 2 鉴到文体
术语“目请者”被出小错法其本身录或者代表用十鉴别日的的守有的案体,得若包拓代表角必以变监购交换所必领的函数
术语“觉证老“被用于达其术身就是或者代表县求别身份的实体,验证者应拦从事签别交按所必娠的密效。
与双问鉴别:正5.2.1>为实体将被以为既组当自情者文和当验证者存色,边“可位第·:为短压十述安会机构或者其代理,这此安全机碍或者共少别尺出参与安全关范动的他实体新信任的。在木标准的工下文中,可错第三力足自用,鉴刻上的的中请者,成验证若新倍证的:
:或让可以化多动能件可能不的统,5.-3鉴别信息
鉴信总的影型有:
实换鉴别信息交换A:
中请监别信息申巧AI:
验证器别片息(验证AI):
术语鉴别交换数用工述一或者案个用多行监别月的为交换逐别倍早“AI的传这库划,1说时中清者、验|音和叫信第一方的关系以及鉴出信息的冲类型。弃当情况下,为生成交换A.中请者可能两要与川怡第二方交立,数域池,为会证交换AI.验证当可能需要与可信第一疗必互。在这情况下,可第三方川以保存主第相关的验证AI:可信带一方还可能锁用了交换A的件送,体上可能案要保存将能月于器别可信第一方的整信自一种类型紧划倍总的例一弃5.1中验出-以为治您证在其能标产中女非品是以一我的年用.间此本安个推好不使月这六语。333?.2所发老先让成成当作交放1的划子
5.2流别服务的有文力
5.2、1监别的
别日在」提供主商点资的保证,提供势别拍机制通常必须尚除日充和虽发感热。日充系老一人实体作为导一个不同的实体出我,也就是说,实仁以得定的式到如:通过效地源或过题信关系装作与验证老料的个实体,这些炎型包括发,中继中请露。充宽协发与在书计者或恢训者发起的币动(例如通过数据游或新过通信美系的上下文中.所止列十某个活动的充成助要求恒用关膜落此数据项与鉴别交族的完性录务,为灯抗与充扫关的疏临则必须与呆种形式的完燃性务起快局,这样就被鉴划的牙份与这个活关联起来。汁
1在毕情况中不也护可信第,
GB/T 18794.2·2002
可第一方
A[可主的I或老可信带方的1计.
交快人
持示—个减
在的情总所
图:中请者、验证者和可倍第一方之间关系以及签别治息类型的说切重发系指交换能平复,以产牛授控的效总,直发通常与其他女击组合使月,者如数拟能收。并非听有忘别机制部同等能抗御车发:电发能移或脐其地安全服务,鉴能够用于对拉重发,因步它择供了确定被交换值息的米添的于段:5.2.2资别转发
企某些情形下,主第可以具有在荣个系统之内问接行非为要求,在此情汉一,十月红该系统内的衣示将必须被创残。此外,土而在该系统内的表示被创建之前,上们必兼监别。当代表该主角行争时,状替主育身份的表示将被案划。由工主负的表示好似其作为±作卡身一样行出,内而士带的行为能够在诊系象内被热行面成上加主接签与,其千出附求A。当上价是人奖用时,业以使月这样的机制,制把该表示的斗命剂限制车该压户在持实位晋实压回的叫回拍内。
在代志主中中,中请者可以访问与个年整则之后创味了其白己的用示的系统这个长示的到栏截之火鉴则转发
以这冲式节发鉴,的能力可能故安全收策所增响5.2.单间和双向将
紧别可以是向孕可的,单向些别仅据谢一个土用启学的是证,双问别共恶点主角守的探证
实体整别时以尽单可或效的。就其本质面言,数据游鉴别总是单问片5.2.4鉴别交换书发起
鉴别交换可以由中请老或验证者发起。正始受换的实体被之为些步发趋者,5.7.5整则信息.的撤消
账别信息求做消系指验部A1的水久性尖效:政策可以要求在特定情修下的账别信忘消:做消签别信良的快定以基于检谢划安个违划事件股的也收或其他综因。鉴别信息的始消叫以或不叫以偿会有方问的播消,具有其报出效果GB/T 18794-22002
此多,以采取下列与用相的动作:在市限踪中录事件:
:)事件的本他报;
)求件的想池报算:
排欧通信文系的连接
对小年个事件所案收的其体动作依赖行所缺行的安全限策和与通偿美系状态制关的其风素证:当土字登录为活动时是否发生出新.5.2.E整则逆就性的保
实体整别仪势供展网的身保证,我收鉴别连续业必保证的和力式是通过链换监卡,求务和效据括性正务。
当土村用鉴别服等来被奖差,儿使用完整件吸为使更零节代:表1.角被发送的那与交英A1被必联在一起-紧步1聚备却宝整件服齐则除之为敏铬接,这谢保【后米的信息不被在何其他实件丝改,用此必质灾自十战初被态别的工伤,更要的足完整性服务是信息从该上所到验证肾经过为整个路径上提供例如:妇果其中其些信息能够自人被鉴别的主角产生则能后充。长吸后来压现的钻然是网的远地实体保补的另一种方支层术断热选·少的鉴别交换.然,这详不华队止间款期间节入使、内此尤法获收连续性首保证,刻如:下列收击是川能的:某个人促者,当H进进市鉴时,未效均方进行鉴制实作这些动作完成之原,该人径次接管。果完格性机制取求出们,液案朝可以从在鉴别交抛期间所愿定的繁教中源生市来,出十六了将们与已龄别主角相关联的,其在完格性机制中的迪H将用于链接妇上准提供的两个服务,为完整性源医钓的方式能够作为华定属和方法和弹运应该敏用于热个鉴制义资的参微第·部分微定
净:当H价安个收务时,4可施整交免期指证好数累生出取务有息供保出性券额,5.2.7跨多重或将组件的分布
有川能使安会战运人·种这的关系使浮一个域的中消者能够拉见个域的验证名所将尔:多重安官域可以史实错约,包括:
安者注解为安全就:
-一证省留的安全减:
可代学三为娃留的支全或。
这此城需要各不相同。
在鉴别能移在小同的安全减进行之前,有:不费建安全交互收策.5.2用」些的卵对
一股而声,特定的资别方法将依于与一个或象个谅谢相关的“系列假议或划架。快用原包括:
)采些!的东国,创令
呆华已的有能东西,:您卡或智能!其此永远不变的东州例:生韵标还:1)变受第三为(可俏第一为只等确点的整别;)上下文到如:上余的地.
成该注就红所有凉则辅固有的零点,例如,一拥有些尔西的紧通常测有客体血非H等有置的别。在其情记下,这些可以由家原训的组合点。例如,当使用料其有的乐西)时通过增加P来实现月户到下的监别(某当!知的东四这样就可以末吸判点:比多,原则心特制弱关立实乐上总处与其他原州起过用.汗意有两种炎的速
KAN KAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标道
GR/T18794.2-2002
id1 1S0/IEC 10181 2:1996
信息技术
开放系统互连
开放系统安全框架
第2部分:鉴别框架
Informationtcchnology-Open SystemsIntercannection-Security frameworks forupen systems Fart 2:Authenticatinn framework2002 - 07 - 18 发布
中华人民托和调
闻家质量监督检验检热总局
2002-12-01实施
8/F8794.22002
ISOEC言
引用标非
来语宗义
继格谱
紫别能账连性讨论
整剧估息求设施
整别机特证
整则拟制
9上其他安全服务/机制交互
附求A(提示的限录)
阅录B按源然附录)
附亲心长示的谢录)
附录提示的附求!
附求!小的录!
附录提示的附求)
人资广监
使用唯一潮号盘问米附止重发政士r
根据针对监员,的儿种攻定供相应保扩葵考宽糕
鉴制机制特例
鉴别设施刻查
E KAN KAca
GnT: 18754. 2---2002
本标准等间采用回际标准[SO:信点发术开政系统立本开收系统安全框
架:鉴别推架多。
G/T1F791在信息投术
开放系统五连
开效要统安全柜紫3总标整一,日前起括以下儿个部分:
等部1!4.1频述
第2部分(即(3/187(4.2):鉴别懂架在1%3E:111中缺3.3内比将原标准的,.2.1--2.H条分制收为本标准的5.2.-5.2. 7条
本求随的对录人等附录都是示的附。本标准自中华人民共和国信息产业部提凸本你准中中国心广技术标雅化而究斯旧口。本环洋学单疗:信良产业部电千第十九研究所本标准上要起性人:张实、土雨晨,杜咨燃、周诊祝:GH.T18791.2—2007
ISO/EC前言
乐标化组织)和以国际要员会世界性的家雅化专祖格:国家成员你(他们都是[或的员下通过用际组织班立的各人技术委员会意与制宁计对持宇技大范国的国际标注:S和IE的各技术委员会在同然兴趣的领域内进行合作。与S和E有联系的其他力和非有方国际组制也叫参与因际际没的制定三作,对信总技术,S()和1L建立一个联合技术要员会,即1S)/IEC:T1。出送含技术委员会制出的间际探催中案需分发治用家成员体进行表次。按布项国际标准,至少再要必的参与表次的国家成员怀投典费成
国际款注SO/HC1CR2足目ISOIFC1T1\信息装卡联合效术要会的SC会1\元效系统止许数据但代处理“分技要会门共同制完的等同定为50/:1814信息检术开放系统产开系统实全施架总题下,口前包括以下个部分,
第邵分:概述
第2部分:整抵架
管3部分问控带料
一旁4部分:抗抵恢准架
一实5部分:保密性证票
第6部分:完整件中熟
第了部分安全车汁和告整柜架
太标范附示A玺所录仅提供参专信息TKAN KA
GT18794.22002
但多查用只有安全需求以陷范信急通信中遇实的减胁。一些其识的魔股及测传这些感时叫以快用的安全聚务和机制在7.2中述。
温家开放系统用兵有安全需求,只体需求依额山鸣识则点用所包的丰角试带求可能包功山不经投权书访间以保护财产和资源,于济向整制机制的身份鉴别可用下这冲情.利/或还制实题惊持相关活动的市计志·以用于记录和告诚日的,确认点受内过程称为整剧。木标准定义整别账范规定的一批相架1范围
中华人民共和国国家标准
信息技术开放系统互连
开放系统安全框架
第2部分鉴别框架
Infarmalinn technology- Open Systensatercaanection-Security Tramrworks lornpen xystens-Pari 2:Authenilcatinn frameworkGB/T18794.7—2002
idi[S0/EC10181-2:1996
戈」开放系统安全框架的本标注系列梦在效系统环培中的安全服务月·术语“开放系统“系悄包新华如数期床,分布式递用并欧分布代处型和(1类的领成:安全据架主要来提供在系统内润系统间交上.时对系统和弃体的保护方达。安全整巢不考患而于构造系统或占机例的方法学。安全框需涉及用然收具体安全聚务所使用的数据元素和慢作序列(似不是拟改元系)。这些安全服务可追用丁系练通危变牛出可以用于系统间空换的数抵利系统管理的效册木标游:
定义监别的本概念:
确定可能书盗别机制炎
一定义用!这共签别制类的务。确定步支持这些变别机制类的协权的攻量带求:悄是将别的通剂管理需求。
能够使用衣极深的标乱带型活
1)行合监别恒念的坏准:
2)提供监乐限务的标准
3!快格别成务的乐准:
4!规定在并放系统体系结均内授供鉴别;于段的标准:3期定监别机制的怀准。
计:,和>中的服冬可以包括整别们可具有不的讨表,上述标准准以列方式便们样架,标准类型1、23:、1和>能感使用这个准势的术语标证类型“,3:,11和能使用本框架第章是义然服务一标准岁型能基于木求架策B章定义的机制。作如其他安全眼务样,鉴则只凿谢立为定广用所定义的费全政策的让下文中被供。安全政第的定义不同于本标准的也用。
本标准的范国不也指为取得鉴联所布执行的协议交预细节的现范。本标准千现完用十支持这些监别傲务的特定机制.比他标准(如315843}更详池制定了具悼的览罚方法:此外,这类方法的例子额收编在其他标准(GB/T16261.%)以便涉及具体的整别需求。中华人民共和国国家质量监督检验检疫总局2002-018批准2002-12-01实构
B/T18794.2—2J02
会拒婴所质述的光此想程通过应感评学持术案法到实车性。营基些鉴别规尝可以依频于守定的算法特性·例如非本称特性·不非架书使用不袋赖于等定案码成者其他算法,往:公音宿性学进行标准化中法世算法的池共行了准,2引用标准
下列标准所包含的条文,通过在本标准十引用而为虑为本标准美条文。本标准出版村,所小版本动为有效:所有杯准帮宏被整订-使用本标准的各方应操讨使用下死标准展新版本的可能性Gn/T3名7199斤信总划是系统川单系统互连考本参考模型弟2部分安全体系结效(id[S0/1Et:7498-2:1989)
(B7!64200性息技术安企技术比步块密码算法的操作支式(iltIS/IEC16116:19)
GT13741200?信总技术开收系统互连改系统安全架第1部分:述(1S01EC 0151-_:19953
[SO/RCSU?!,1!!L
3术语和定义
信品技术妞密技本密码算法登说即程本标推录用心93.2中定文的下划术语:市di
计踪dit;
鉴别息
auihrniralinainnrmticn免费标准下载网bzxz
鼎密性conicentiality
--学crypagraphy
校验值ryugupbicrlikan!
数据源鉴别l la raigin Aaihenticatinn:数据完整:dataintegrity
-解deciph-menr
微器名isiraligairr
一enheir
牢钥keyi
率管理kemanagemeenEt
-实充rtede;
含PERawOn:
对等实库鉴别pcecntityauthentication;宽会策scrurily poliry:
本疱英用在GH17561中定义的下列来语:块钮格hlnkl:iri
本惊准采HGB17S1.中定义的下列术逆:效字猎段digitelfinga:prirt;
教列函数lasafuectiun
.一单可函源
cn way fedi!
\程有密销FlivaTe key
公开案凯rublickey:
一封印l
秘密普钙serrelkey:
桃gccurityauthority
全证卡xary lifr ;
安全城ecuritydmaia:
安全投标seurytoken:
- 信任:st;
GB/I' 18794. 2 2002
可信英一方r.,mlairy。
本标准实义下测术书:
3.1非对稳鉴法asymmerrir autheriicalianmcthod产非所有鉴出信点部由方实体其享的一种鉴别方云。3.2口些药身份amhliliden
证过则保证上的可区登你识为。3.3整别aueeann
提供时」米个实体自称身的保证。3.4别正书ihenticatinncerliiaie白整创机均扭保的并日叫以被用于保和采个实体身设的案全帖:。3.5鉴交换authcnTiceTinrcxhange个或者案个而于执行鉴别日的的交换鉴别信息(A1的传送序列。3.6鉴另信息anthenticstictinEarraatinn用于鉴别月的的信应
3.7鉴别方uthentiretier.iaror发起些交换的实外。
3.8盘司hallengc
山验证咨生成的时变参数。
3.9中请监别信息(申请AI)eluinuthentintiun inforanaliun(elalirAI山中南者出于生成为鉴别荣人主角所需要的变换AI的信息,3.10小许者:laimant
木身就是或十鉴则H能芒主角的实体车满名包活为代表主角从率将别交换所必刻均函教3.11可区分标识等disinguishiagidentifier在鉴别过程中店技义地区分害体范数据,本标准要求这炎标识符至少在常全域内是歧文的3-2交换将别常总交换Al)excharge aitteniicatian info:matior(exchungeAl监别主角过我中在中净者和验证者之间交兼的信息。3.13离线鉴别证f rut:Fie
关联了可尺分标识待到验证A1闪监卵证书,可能对所有实许部可用。3.14在线别证书on-line autherticatiuuer:ficaie出申请者直接从指保产施制构获得的十监别交换射将别证书.3.15角[inc-μa1
其息发够谈鉴别的实件
3.6对称别法yattrieauthenticationmethod改方实达共享公共鉴别信息的种监别方法。3.7间量参款ltium
心实运用于验证求个握文不足一个更发报文的效均项,3.16编号uaikjutunber
EKANKAca
自尽请老牛成的时间变参数。
GB/T 18794.2—2002
3-19验证鉴别信息(验FA1)verifitinr:amher1icatian ialnrnat nn(verifiea1inn AT)日验证者用丁验证迪斗交控A1所卢称的身份的信。3.20验i者verif.er
产片就或多代表要求将别等盘的实体:验证必事些别多换所必须的两数4缩略语
不标准定义下列缩略语:
AI别花息(AuhentientionTferualicm)(sT效系统生连peuSyetrmeleterconnectian)5鉴别的述性讨论
5.鉴别的基本概忘
鉴别提快了对某下实位自称身份为伴通。监制仅帝主和验证者关案的上下文中小有总义,两个或费拍案阅上
一主角由某个与验证者其有案种其体通供关系的中请名所代表(实依鉴别):主角是验证者可用的数据项,的源(激据源些别)。本标非区分这两种培出的监:
实休鉴别在涌信戈系的上下义心提供十角身偿的适。上角的可整别身份仅当这程股务敬引用时小保证:鉴别连欲性的保证可以接5.2.7所描违的万式获取.如/T987.2的(5对实体装别
数期源鉴别提供负资具林效据单元的主角身份的证账,注
尔川款影证整时,近必领民有关士数据未查能接改以的近当保正、这可以通过使击完带性恶务案说,变川数斯不能政摄改的孙境;
>1途证所案收的效培匹配所发送数的数字抢效:使汇子签名快制:
山)他用对辞穿剂学算运
2定文实内学别中使用的术这信关乐可以战广义也解开能够祝引用例汇心违接,进理回通问川产终m的交H.
5.1.1学份和整别
上布是其身份能够额监求的实述。丰角具有感彩个与其相关联的可区分标识符:将别抵务可以迹实保用股证主角身份,三被验证的巨身份赖为已案别的身份:能够被识别并已此能够被签别的主单的例侧子他括:人类册广,
进程;
安万收系统:
OSI层实体!
余业。
川区牙标认符必须给定的安全域内无垃义性.可区分尔识符以下列两种方式之一,区分在一个同的域中的不司主角与在相同坡中的基其他主角:一在粗粒度然别上依在整别方面被伙为是等价内一组实体的成贞关系(在此情记下个组糖认为是一个主准且是有可区分你以符);+
GB/T18794.22002
在民细控成芸效上,只标识·个实林.当鉴别发生在不司的安全或实位之间时,可区分标识符叫包不足以元歧义地你只一个买述,因为衣向安域机控叫能使相同的可区分标让符,齐此情说下,可这外标认料必须与安全域的标识符联舍使用以使处实体据供·个无歧义性的标医符.可区分标识料的典型到子有:
白录名:6R11214.8)
网络地G:
A标题和AE标B/T17176;
客述标款符L/T1662:
::人名在域的「.文内歧义!
一护顺社会安全与。
5. 1. 2 鉴到文体
术语“目请者”被出小错法其本身录或者代表用十鉴别日的的守有的案体,得若包拓代表角必以变监购交换所必领的函数
术语“觉证老“被用于达其术身就是或者代表县求别身份的实体,验证者应拦从事签别交按所必娠的密效。
与双问鉴别:正5.2.1>为实体将被以为既组当自情者文和当验证者存色,边“可位第·:为短压十述安会机构或者其代理,这此安全机碍或者共少别尺出参与安全关范动的他实体新信任的。在木标准的工下文中,可错第三力足自用,鉴刻上的的中请者,成验证若新倍证的:
:或让可以化多动能件可能不的统,5.-3鉴别信息
鉴信总的影型有:
实换鉴别信息交换A:
中请监别信息申巧AI:
验证器别片息(验证AI):
术语鉴别交换数用工述一或者案个用多行监别月的为交换逐别倍早“AI的传这库划,1说时中清者、验|音和叫信第一方的关系以及鉴出信息的冲类型。弃当情况下,为生成交换A.中请者可能两要与川怡第二方交立,数域池,为会证交换AI.验证当可能需要与可信第一疗必互。在这情况下,可第三方川以保存主第相关的验证AI:可信带一方还可能锁用了交换A的件送,体上可能案要保存将能月于器别可信第一方的整信自一种类型紧划倍总的例一弃5.1中验出-以为治您证在其能标产中女非品是以一我的年用.间此本安个推好不使月这六语。333?.2所发老先让成成当作交放1的划子
5.2流别服务的有文力
5.2、1监别的
别日在」提供主商点资的保证,提供势别拍机制通常必须尚除日充和虽发感热。日充系老一人实体作为导一个不同的实体出我,也就是说,实仁以得定的式到如:通过效地源或过题信关系装作与验证老料的个实体,这些炎型包括发,中继中请露。充宽协发与在书计者或恢训者发起的币动(例如通过数据游或新过通信美系的上下文中.所止列十某个活动的充成助要求恒用关膜落此数据项与鉴别交族的完性录务,为灯抗与充扫关的疏临则必须与呆种形式的完燃性务起快局,这样就被鉴划的牙份与这个活关联起来。汁
1在毕情况中不也护可信第,
GB/T 18794.2·2002
可第一方
A[可主的I或老可信带方的1计.
交快人
持示—个减
在的情总所
图:中请者、验证者和可倍第一方之间关系以及签别治息类型的说切重发系指交换能平复,以产牛授控的效总,直发通常与其他女击组合使月,者如数拟能收。并非听有忘别机制部同等能抗御车发:电发能移或脐其地安全服务,鉴能够用于对拉重发,因步它择供了确定被交换值息的米添的于段:5.2.2资别转发
企某些情形下,主第可以具有在荣个系统之内问接行非为要求,在此情汉一,十月红该系统内的衣示将必须被创残。此外,土而在该系统内的表示被创建之前,上们必兼监别。当代表该主角行争时,状替主育身份的表示将被案划。由工主负的表示好似其作为±作卡身一样行出,内而士带的行为能够在诊系象内被热行面成上加主接签与,其千出附求A。当上价是人奖用时,业以使月这样的机制,制把该表示的斗命剂限制车该压户在持实位晋实压回的叫回拍内。
在代志主中中,中请者可以访问与个年整则之后创味了其白己的用示的系统这个长示的到栏截之火鉴则转发
以这冲式节发鉴,的能力可能故安全收策所增响5.2.单间和双向将
紧别可以是向孕可的,单向些别仅据谢一个土用启学的是证,双问别共恶点主角守的探证
实体整别时以尽单可或效的。就其本质面言,数据游鉴别总是单问片5.2.4鉴别交换书发起
鉴别交换可以由中请老或验证者发起。正始受换的实体被之为些步发趋者,5.7.5整则信息.的撤消
账别信息求做消系指验部A1的水久性尖效:政策可以要求在特定情修下的账别信忘消:做消签别信良的快定以基于检谢划安个违划事件股的也收或其他综因。鉴别信息的始消叫以或不叫以偿会有方问的播消,具有其报出效果GB/T 18794-22002
此多,以采取下列与用相的动作:在市限踪中录事件:
:)事件的本他报;
)求件的想池报算:
排欧通信文系的连接
对小年个事件所案收的其体动作依赖行所缺行的安全限策和与通偿美系状态制关的其风素证:当土字登录为活动时是否发生出新.5.2.E整则逆就性的保
实体整别仪势供展网的身保证,我收鉴别连续业必保证的和力式是通过链换监卡,求务和效据括性正务。
当土村用鉴别服等来被奖差,儿使用完整件吸为使更零节代:表1.角被发送的那与交英A1被必联在一起-紧步1聚备却宝整件服齐则除之为敏铬接,这谢保【后米的信息不被在何其他实件丝改,用此必质灾自十战初被态别的工伤,更要的足完整性服务是信息从该上所到验证肾经过为整个路径上提供例如:妇果其中其些信息能够自人被鉴别的主角产生则能后充。长吸后来压现的钻然是网的远地实体保补的另一种方支层术断热选·少的鉴别交换.然,这详不华队止间款期间节入使、内此尤法获收连续性首保证,刻如:下列收击是川能的:某个人促者,当H进进市鉴时,未效均方进行鉴制实作这些动作完成之原,该人径次接管。果完格性机制取求出们,液案朝可以从在鉴别交抛期间所愿定的繁教中源生市来,出十六了将们与已龄别主角相关联的,其在完格性机制中的迪H将用于链接妇上准提供的两个服务,为完整性源医钓的方式能够作为华定属和方法和弹运应该敏用于热个鉴制义资的参微第·部分微定
净:当H价安个收务时,4可施整交免期指证好数累生出取务有息供保出性券额,5.2.7跨多重或将组件的分布
有川能使安会战运人·种这的关系使浮一个域的中消者能够拉见个域的验证名所将尔:多重安官域可以史实错约,包括:
安者注解为安全就:
-一证省留的安全减:
可代学三为娃留的支全或。
这此城需要各不相同。
在鉴别能移在小同的安全减进行之前,有:不费建安全交互收策.5.2用」些的卵对
一股而声,特定的资别方法将依于与一个或象个谅谢相关的“系列假议或划架。快用原包括:
)采些!的东国,创令
呆华已的有能东西,:您卡或智能!其此永远不变的东州例:生韵标还:1)变受第三为(可俏第一为只等确点的整别;)上下文到如:上余的地.
成该注就红所有凉则辅固有的零点,例如,一拥有些尔西的紧通常测有客体血非H等有置的别。在其情记下,这些可以由家原训的组合点。例如,当使用料其有的乐西)时通过增加P来实现月户到下的监别(某当!知的东四这样就可以末吸判点:比多,原则心特制弱关立实乐上总处与其他原州起过用.汗意有两种炎的速
KAN KAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。