GB/T 16264.8-2005
情報技術オープン システム相互接続カタログ パート 8、公開キーおよび属性証明書フレームワーク (英語版)

規格番号

GB/T 16264.8-2005

言語

中国語版, 英語で利用可能

制定年

2005

出版団体

General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China

最新版

GB/T 16264.8-2005

交換する

GB/T 16264.8-1996

範囲

この標準は、すべてのセキュリティ サービスの基礎となるフレームワークを記述し、認証およびその他のサービスのセキュリティ要件を指定します。 この部分では、具体的に以下の 3 つの枠組みを規定します。 ●公開鍵証明書の枠組み。 ●属性証明書フレームワーク。 ●認証サービスフレームワーク。 このセクションの公開キー証明書フレームワークには、公開キー基盤 (PKI) 情報オブジェクト (公開キー証明書や証明書失効リスト (CRL) など) の定義が含まれています。 属性証明書フレームワークには、特権管理インフラストラクチャ (PMI) 情報オブジェクト (属性証明書や属性失効リスト (ACRL) など) の定義が含まれています。 このセクションでは、証明書の発行、証明書の管理、証明書の使用、および証明書の取り消しのためのフレームワークも提供します。 拡張メカニズムは、指定された証明書タイプの形式と失効リストのスキーマ形式の両方に含まれています。 この部分には、これら 2 つの形式の標準拡張機能のセットも含まれており、これらは一般に PKI および PMI のアプリケーションに適用できます。 このセクションには、スキーマ アーティファクト (オブジェクト クラス、属性タイプ、PKI オブジェクトと PMI オブジェクトをディレクトリに保存するための一致ルールなど) が含まれます。 これらのフレームワークを超える他の PKI および PMI 要素 (キーと証明書の管理プロトコル、運用プロトコル、追加の証明書、CRL 拡張機能など) は、他の標準化団体 (ISO TC68、IETF など) によって開発されます。 このセクションで定義されている認証スキーマは一般的なものであり、さまざまな種類のアプリケーションや環境に適用できます。 ディレクトリには公開キー証明書と属性証明書を使用します。 このセクションでは、ディレクトリにこれら 2 種類の証明書を使用するためのフレームワークも指定します。 ディレクトリは、公開キー テクノロジ (証明書など) を使用して強力な認証、署名操作、および/または暗号化操作を実装し、署名されたデータおよび/または暗号化されたデータがディレクトリに保存されます。 ディレクトリでは、属性証明書を使用してルールベースのアクセス制御が可能になります。 この部分ではフレームワークの内容のみが規定されていますが、カタログにおけるこれらのフレームワークの使用、カタログによって提供される関連サービスおよびそのコンポーネントに関する完全な規定は、カタログ シリーズ規格で規定されています。 この部分には、認証サービス フレームワークの次の内容も含まれます。 ● ディレクトリが保持する認証情報の形式を指定します。 ● ディレクトリから認証情報を取得する方法について説明します。 ● 認証情報の前提条件を構築してディレクトリに保存する方法を説明します。 ● さまざまなアプリケーションがこの認証情報を使用して認証を実行する 3 つの方法を定義し、認証を使用して他のセキュリティ サービスをサポートする方法を説明します。 このセクションでは、パスワードを自己識別認証として使用する弱い認証の 2 つのレベルの認証について説明します。 資格情報を形成するための暗号化技術の使用を含む強力な認証。 弱い認証は、不正アクセスを回避するための限定的な保護を提供するだけであり、セキュリティ サービスを提供するための基礎として使用できるのは強力な認証のみです。 この標準は、認証のための一般的なフレームワークを確立することを目的としたものではありませんが、テクノロジーが成熟したアプリケーションにはこれらのテクノロジーで十分であるため、一般的なものになる可能性があります。 認証 (およびその他のセキュリティ サービス) は、定義されたセキュリティ ポリシーのコンテキスト内でのみ提供できます。 ユーザー セキュリティ ポリシーは、標準によって提供されるサービスによって制限され、アプリケーションのユーザー自身によって定義されます。 この認証フレームワークを使用して定義されたアプリケーション標準は、ディレクトリから取得した認証情報に基づいて認証を完了するために実行する必要があるプロトコル交換を指定します。 アプリケーションがディレクトリから資格情報を取得するためのプロトコルは、ディレクトリ アクセス プロトコル (DAP) と呼ばれ、ITU-T X.519|ISO/IEC 9594-5 で指定されています。

GB/T 16264.8-2005 規範的参照

• GB/T 9387.2-1995 情報処理システムのオープンシステム相互接続のための基本リファレンスモデル 第2部：セキュリティアーキテクチャ
• ITU-T X.411-1999 情報技術: メッセージ処理システム (MHS): メッセージング システム: 抽象的なビジネス定義と手順
• ITU-T X.500-2001 情報技術オープン システム相互接続カタログ: 概念的な概要モデルとサービス シリーズ X: データ ネットワーキングおよびオープン システム通信カタログ (研究グループ 7)
• ITU-T X.518-2001 情報技術オープン システム相互接続カタログ: 分散オペレーティング プロシージャ シリーズ X: データ ネットワーキングおよびオープン システム通信カタログ (研究グループ 7)

GB/T 16264.8-2005 発売履歴

• 2005 GB/T 16264.8-2005 情報技術オープン システム相互接続カタログ パート 8、公開キーおよび属性証明書フレームワーク
• 1996 GB/T 16264.8-1996 情報技術オープン システム相互接続カタログ パート 8: 認証フレームワーク

GB/T 16264.8-2005 - すべての部品