GB/T 20519-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范

ICS35.040L80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20519—2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范Informationsecuritytechnology--Publickeyinfrastructures-Privilegemanagementcentertechnicalspecification2006-08-30發(fā)布2007-02-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20519—2006三前言引言范圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義45特定權(quán)限管理中心架構(gòu)5.15.2權(quán)限管理中心架構(gòu)內(nèi)容5.2.1內(nèi)容概述……….5.2.2源機(jī)構(gòu)SOA5.2.3屬性授權(quán)機(jī)構(gòu)AA5.2.4屬性注冊(cè)機(jī)構(gòu)ARA5.2.5代代理點(diǎn)PA………5.3各邏輯層結(jié)構(gòu)組成5.4權(quán)限管理中心的管理結(jié)構(gòu)5.4.1集中式管理5.4.2分布式管理6系統(tǒng)相關(guān)協(xié)議6.1代理點(diǎn)PA與屬性注冊(cè)機(jī)構(gòu)ARA間的通信協(xié)議6.1.1協(xié)議說(shuō)明6.1.2功能支持……….…...…….…….6.1.3PA與ARA之間認(rèn)證機(jī)制………6.1.4PA數(shù)據(jù)簽名6.2屬性注冊(cè)機(jī)構(gòu)ARA與屬性授權(quán)機(jī)構(gòu)AA間的通信協(xié)議6.2.1協(xié)議說(shuō)明………….....….6.2.2屬性證書(shū)請(qǐng)求過(guò)程6.2.3基于屬性證書(shū)與基于公鑰證書(shū)的權(quán)限處理區(qū)別6.3屬性授權(quán)機(jī)構(gòu)AA與認(rèn)證機(jī)構(gòu)源SOA間的通信協(xié)議6.4密碼服務(wù)支持協(xié)議…7屬性證書(shū)的發(fā)布模式….7.1權(quán)限直接下載于應(yīng)用系統(tǒng)權(quán)限目錄列表模式…7.2權(quán)限獨(dú)立下載于用戶(hù)公鑰數(shù)字證書(shū)模式·7.3權(quán)權(quán)限下載于公鑰證書(shū)擴(kuò)展項(xiàng)模式…………1O權(quán)限集中下載于權(quán)限數(shù)據(jù)庫(kù)模式·7.48PMI/AA的安全實(shí)施118.1證書(shū)撒消安全………8.2算法強(qiáng)度安全……

GB/T20519—20068.3身份標(biāo)識(shí)安全…8.4L.DAP服務(wù)訪間安全8.5屬性?xún)?nèi)容安全………………·PMI應(yīng)用模型9.1AC的要求····9.2“推”、“拉”模式附錄A（資料性附錄)屬性證書(shū)格式A.1屬性證書(shū)結(jié)構(gòu)A.2基本屬性證書(shū)內(nèi)容A.3屬性證書(shū)擴(kuò)展域A.4權(quán)限互斥擴(kuò)展域附錄B（資料性附錄）系統(tǒng)相關(guān)協(xié)議應(yīng)用實(shí)例B.1PA與ARA之間強(qiáng)鑒別機(jī)制B.2PA數(shù)據(jù)簽名內(nèi)容類(lèi)型描述………B.3消息摘要過(guò)程定義B.4屬性注冊(cè)機(jī)構(gòu)ARA與屬性授權(quán)機(jī)構(gòu)AA間的雙向強(qiáng)鑒別機(jī)制B.5屬性證書(shū)請(qǐng)求語(yǔ)法附錄C（資料性附錄）基于角色的屬性管理模式21C.1基于角色權(quán)限應(yīng)用模式結(jié)構(gòu)C.2用戶(hù)一角色一權(quán)限－策略?xún)?nèi)容21C.3應(yīng)用模型邏輯結(jié)構(gòu)實(shí)例2

GB/T20519—2006前本標(biāo)準(zhǔn)的附錄A、附錄B和附錄C為資料性附錄本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口本標(biāo)準(zhǔn)主要起草單位：國(guó)家信息安全工程技術(shù)研究中心。本標(biāo)準(zhǔn)主要起草人：袁峰。

GB/T20519-2006本標(biāo)準(zhǔn)依據(jù)GB/T20518—2006要求，結(jié)合我國(guó)關(guān)于屬性證書(shū)的實(shí)際應(yīng)用經(jīng)驗(yàn),規(guī)范了權(quán)限管理系統(tǒng)的技術(shù)框架.是與GB/T20518—2006屬性證書(shū)格式標(biāo)準(zhǔn)相配套的技術(shù)標(biāo)準(zhǔn)。特定權(quán)限管理基礎(chǔ)設(shè)施PMI(PrivilcgeManagementlnfrastructure)是信息安全支撐平臺(tái)的一個(gè)重要組成部分。PMI中的特定權(quán)限管理中心是屬性證書(shū)管理機(jī)構(gòu)、策略管理機(jī)構(gòu)、權(quán)限管理機(jī)構(gòu)、計(jì)算機(jī)軟硬件以及應(yīng)用系統(tǒng)的集合.它為網(wǎng)絡(luò)信任體系的訪問(wèn)控制系統(tǒng)提供權(quán)限管理和角色認(rèn)證服務(wù)。本標(biāo)淮與GB/T16264.8-2005配合構(gòu)成完整的權(quán)限管理系統(tǒng)標(biāo)準(zhǔn)。在本標(biāo)準(zhǔn)實(shí)施過(guò)程中涉及到密碼技術(shù)的具體應(yīng)用時(shí),按照國(guó)家密碼管理局的有關(guān)規(guī)定和相關(guān)規(guī)范執(zhí)行。

GB/T20519-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了一套作為特定權(quán)限管理基礎(chǔ)設(shè)施（PMI)的特定權(quán)限管理中心技術(shù)框架，并規(guī)定了相關(guān)服務(wù)的要水、本標(biāo)準(zhǔn)適用于特定權(quán)限管理中心基礎(chǔ)設(shè)施的設(shè)計(jì)、建設(shè)和檢測(cè)：對(duì)于特殊需求的應(yīng)用系統(tǒng)，可根據(jù)具體的業(yè)務(wù)需求和情況進(jìn)行靈活配置規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件.其隨后所有的修改單(不包括期誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)GB/T20518—2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式GB/T16262.1-2006信息技術(shù)抽象語(yǔ)法記法一（ASN.1）第1部分：基本記法規(guī)范(ISOIEC8824-1:2002.IDT）GB/T16264.8-2005信息技術(shù)開(kāi)放系統(tǒng)互連目錄第8部分：公鑰和屬性證書(shū)框架(ISOIEC9594-8:2001.IDT)GB/T16975.1-2000息技術(shù)遠(yuǎn)程操作：第1部分：概念、模型和記法(idtISO/IEC13712-1:1995）GB/T1988：信息技術(shù)信息交換用七位編碼字符集（GB/T1988—1998,eqvISO/IEC646:1991）國(guó)家密碼管理局《證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》國(guó)家密碼管理局《CA密碼設(shè)備應(yīng)用程序接口規(guī)范》3；術(shù)語(yǔ)和定義下列術(shù)語(yǔ)定義適用于本標(biāo)準(zhǔn)。3屬性證書(shū)attributecertificate屬性授權(quán)機(jī)構(gòu)進(jìn)行數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu),把持有者的身份信息與一些屬性值綁定3.2屬性授權(quán)機(jī)構(gòu)