标准摘要
[中文适用范围]: 此建议|国际标准通过提供一组完整服务所基于的框架来满足身份验证和其他安全服务领域的一些安全要求。 具体来说,本建议|国际标准定义了以下框架: – 公钥证书; – 属性证书; – 身份验证服务。 本建议书定义的公钥证书框架 |国际标准包括公钥基础设施(PKI)信息对象的定义,包括公钥证书和证书撤销列表(CRL)。 属性证书框架包括权限管理基础设施(PMI)的信息对象的定义,包括属性证书和属性证书撤销列表(ACRL)。 本规范还提供了颁发、管理、使用和撤销证书的框架。 可扩展性机制包含在证书类型和所有撤销列表方案的定义格式中。 此建议|国际标准还包括各自的一组标准扩展,预计这些扩展在 PKI 和 PMI 的许多应用程序中普遍有用。 本建议书 | 中包含了模式组件,包括对象类、属性类型以及用于在目录中存储 PKI 和 PMI 对象的匹配规则。 国际标准。 除了这些框架之外,PKI 和 PMI 的其他元素,例如密钥和证书管理协议、操作协议、附加证书和 CRL 扩展,预计将由其他标准机构(例如 ISO TC 68、IETF 等)定义。 本建议书定义的认证方案|国际标准是通用的,可以应用于各种应用和环境。 号码簿使用公钥证书和属性证书,本建议书 | 号码簿还定义了号码簿使用这些设施的框架。 国际标准。 号码簿使用包括证书在内的公钥技术来实现强认证、签名和/或加密操作,以及在号码簿中存储签名和/或加密数据。 号码簿可以使用属性证书来启用基于规则的访问控制。 尽管本规范中提供了这些框架,但号码簿对这些框架的使用以及号码簿及其组件提供的相关服务的完整定义是在完整的号码簿规范集中提供的。 此建议|国际标准在认证服务框架中还: – 规定了号码簿持有的认证信息的形式; – 描述如何从号码簿获取认证信息; – 说明关于如何形成认证信息并将其放置在号码簿中的假设; – 定义了应用程序可以使用此认证信息来执行认证的三种方式,并描述了认证如何支持其他安全服务。 此建议|国际标准描述了两个级别的身份验证:简单身份验证,使用密码作为所声称身份的验证;以及强大的身份验证,涉及使用加密技术形成的凭证。 虽然简单的身份验证提供了一些针对未经授权的访问的有限保护,但只有强身份验证才应用作提供安全服务的基础。 它无意将其建立为身份验证的通用框架,但它对于认为这些技术足够的应用程序具有一般用途。 [外文原描述]: ISO/IEC 9594-8:2005 provides specifications for how information about objects, e.g. persons, is organized, created, maintained and retrieved. Multiple entities are likely deployed to provide the directory service. Communication amongst these entities is authenticated and/or encrypted. ISO/IEC 9594-8:2005 specifies three frameworks and a number of data objects that can be used to authenticate and secure the communication between two entities, e.g. between two directory service entities or between a web browser and web server. The data objects can also be used to prove the source and integrity of data structures such as digitally signed documents.
英文名称Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks - Part 8: