GBT1823712000信息技术开放系统互连通用高层安全第1部分概述模型和记法

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

中华人民共和国国家标准信息技术开放系统互连通用高层安全第部分概述模型和记法发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术开放系统互连通用高层安全概述模型和记法在信息技术开放系统互连通用高层安全的总标题下目前包括以下几个部分第部分即概述模型和记法第部分即安全交换服务元素服务定义第部分即安全交换服务元素协议规范第部分即保护传送语法规范本标准的附录到附录是标准的附录本标准的附录到附录是提示的附录本标准由中华人民共和国信息产业部提出本标准由中国电子技术标准化研究所归口本标准起草单位中国电子技术标准化研究所本标准主要起草人郑洪仁张莺前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体他们都是或的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由信息技术联合技术委员会的开放系统互连数据管理和开放分布式处理分技术委员会与共同制定的等同文本为建议在信息技术开放系统互连通用高层安全总标题下目前包括以下个部分第部分概述模型和记法第部分安全交换服务元素服务定义第部分安全交换服务元素协议规范第部分保护传送语法规范第部分安全交换服务元素协议实现一致性声明形式表第部分保护传送语法协议实现一致性声明形式表附录到附录构成为本标准的一部分附录到附录仅提供参考信息引言本标准是系列标准的一部分这个系列标准给出了一组设施以帮助构造支持提供安全服务的高层协议本系列标准的各部分如下第部分概述模型和记法第部分安全交换服务元素服务定义第部分安全交换服务元素协议规范第部分保护传送语法规范第部分安全交换服务元素形式表第部分保护传送语法形式表本标准为该系列标准的第部分在本系列标准中描述的全部设施的应用方面的信息指南见附录重要的是要注意到一般安全设施本身不提供安全服务它们只是与安全有关的协议的构造工具而且这些设施并不是必需给应用的全部安全通信需求提供独立解释应用标准仍需要在其规范内体现安全特征以便与通用高层安全设施提供的通用安全服务一起工作中华人民共和国国家标准信息技术开放系统互连通用高层安全第部分概述模型和记法国家质量技术监督局批准实施范围本系列标准定义了一组用于辅助在应用中提供安全服务的通用设施它们包括一组记法工具这组工具支持抽象语法规范中的选择字段保护需求的规范并支持安全交换和安全变换规范应用服务元素的服务定义协议规范和形式表它们支持在的应用层内提供安全服务安全传送语法的规范和形式表这些语法与支持应用层中的安全服务的表示层相关本标准定义了如下内容基于高层安全模型中描述的概念的安全交换协议功能和安全变换的通用模型一组记法工具这组工具支持抽象语法规范中的选择字段保护需求的规范并支持安全交换和安全变换规范由本系列标准包含的通用高层安全设施的应用方面的一组信息性指南本标准没有定义如下内容可能由其他标准要求的一组完备的高层安全设施适于特定应用的一组完备的安全设施用作支持安全服务的机制安全交换模型和支持记法既打算用作为定义本系列标准所属各部分中的安全交换服务元素的基础又用于欲将安全交换引入到其自身规范的任何其他引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术开放系统互连基本参考模型第部分基本模型信息处理系统开放系统互连基本参考模型第部分安全体系结构信息处理系统开放系统互连运输服务定义信息处理系统开放系统互连面向连接的表示服务定义信息处理系统开放系统互连面向连接的表示协议规范信息技术开放系统互连目录第部分抽象服务定义信息技术开放系统互连目录第部分鉴别框架信息处理系统开放系统互连联系控制服务元素协议规范信息技术开放系统互连应用层结构信息技术开放系统互连高层安全模型信息技术开放系统互连登记机构的操作规程第部分一般规程信息技术抽象语法记法基本记法规范信息技术抽象语法记法信息客体规范信息技术抽象语法记法约束规范信息技术抽象语法记法规范的参数化信息技术编码规则基本编码规则典型编码规则和区分编码规则规范信息技术开放系统互连开放系统安全框架鉴别框架信息技术开放系统互连开放系统安全框架访问控制框架定义本标准采用中定义的下列术语传送语法本标准采用中定义的下列术语访问控制机密性数据源鉴别解密数字签名加密完整性密钥密钥管理选择字段保护本标准采用中定义的下列术语抽象语法表示上下文表示数据值本标准采用中定义的下列术语应用联系应用上下文应用服务元表应用服务客体联系联系本标准采用中定义的下列术语鉴别交换请求者实体鉴别验证者本标准采用中定义的下列术语访问控制证书本标准采用中定义的下列术语安全联系安全通信功能安全交换安全交换项安全交换功能安全变换系统安全客体本标准采用下列定义表示上下文结合安全联系一种安全联系同保护表示上下文一起建立它用于该保护表示上下文中向一个方向发送的全部表示数据值这种安全联系的属性与保护表示上下文中第一个表示数据值的编码一起被显式地指出单项结合安全联系一种安全联系它用于与表示上下文无关的单个独立保护的表示数据值这种安全联系的属性与表示数据值编码一起被显式地指出外部建立的安全联系一种安全联系它是不依赖于其使用实例建立的并具有使其能在使用时被引用的全局唯一性的标识符初始编码规则当类型值使用安全变换进行保护时用于从类型的值生成无保护位串的编码规则保护表示上下文使保护传送语法和抽象语法相联系的表示上下文保护传送语法使用安全变换的传送语法保护映射使由抽象语法规范中的名字标识的保护需求与为满足这种需求欲使用的具体安全变换相关联起的规范缩略语联系控制服务元素应用服务元素应用服务客体通用高层安全开放系统互连协议数据单元表示数据值协议实现一致性声明安全通信功能安全交换项安全交换服务元素系统安全客体一般概述通用高层安全标准定义了一组用于支持提供适于多种应用的安全保护的协议构造工具和协议成分这些设施支持高层应用层有时连同表示层的支持中提供的安全服务注可以在高层或低层用安全机制为应用提供安全服务在低层情况下这种保护通过在建立应用联系时规定相应的保护服务质量在中定义获得这种保护服务质量通过表示层和会话层透明地传给运输服务低层中提供的安全服务不在本标准范围之内在标准中提供的设施包括构建用于支持在成对通信的应用实体调用之间交换安全相关信息的应用层协议成分的通用手段由支持的安全交换概念这些设施在第章中描述为保护信息项而使用表示层设施执行信息项上的安全相关变换的通用方法由一般保护传送语法支持的安全变换概念这些设施在第章中描述抽象语法记法工具以便对应用协议的设计者在规定用于这种协议可选字段参数化类型以及这种类型的变量的安全保护时有所帮助这些设施在第章中描述安全交换被用作实体鉴别和密钥管理目的安全变换以及通用保护传送语法和或参数化类型或其变种被用作完整性机密性数据源鉴别和或抗抵赖目的高层安全模型为规范提供了一个体系结构模型它描述了安全交换功能和安全变换的作用安全交换功能为作为安全机制操作一部分的应用实体调用之间的安全信息交流提供了手段即它们生成和处理与安全相关目的的应用协议控制信息安全交换可以用本标准中的记法规定然后可引入任何抽象语法规范安全交换服务元素是一种和中定义的应用服务元素提供了运送安全交换的途径它支持生成与所用安全机制无关的应用特定的的目标然而直接体现安全条款的应用规范的某些内容应依赖机制安全变换由中描述的通用保护传送语法支持安全交换安全交换模型本标准定义了中介绍的安全交换规程模型安全交换发生在和两个实体之间它包含一个从传送到的安全交换项可能后随和之间以任一方向传送的一个或多个的序列传送的个数取决于特定的安全交换每一个可由用任意类型表示的任意复合数据结构构成它可包括使用第章中描述的记法单个保护的若干成分图中的时序图说明了用于次安全交换的传送序列以及在中定义的相应服务原语调用注双向箭头指出该传送可由或发送图安全交换模型存在以下两类交换交替的在交替的方向上进行的连续的项传送并且在任何时刻仅有一个传送有效任意的对任何传送的方向都不加限制并且在两个方向的传送都可以同时有效当安全交换正在进行时其他信息传送也可以进行并且其他安全交换可以在同一个应用联系上进行然而应用上下文规则通常会限制这类重叠活动运送的表示数据值可以同其他表示数据值拼接交错或嵌入其他表示数据值中规定安全交换用的记法安全交换的规范包括可被交换的的类型的规范用于这些的传送的次序限制的声明可由每个的传送造成的差错条件的声明以及相关语义或引用相关语义的声明安全交换定义包括分配给安全交换的全局客体标识符或局部整数值以便使其使用在协议中被无二义性地进行标识的抽象语法规范和安全交换中传送的差错通知为了支持以协议能使用的形式表示的信息的规范因而提供了以下三种信息客体类定义见信息客体类用于规定特定的安全交换这类信息客体包含一个或多个信息客体信息客体类用于定义一个这类信息客体可以包含一个或多个信息客体信息客体类用来定义可由的传送造成的差错条件注附录中提供了如何在完整的应用上下文中使用这些信息客体类的指南这个信息客体类定义用于规定安全交换的特定实例这是信息客体的集合由一组安全交换项构成用于特定安全交换的局部或全局标识符下列语法用于规定特定安全交换用于本交换项的类型用于本项的标识符例如由本项的传送造成的差错可选列表与返送给发送者的差错条件通知相伴的参数的类型用于将差错条件返送给发送者的标识符使用本记法的例子在附录中给出安全变换安全变换模型安全变换是为保护通信或存储期间的用户数据而施用于用户数据的安全函数或安全函数的组合安全变换包含通信或存储前施用的编码过程以及收到或检索时可但不必总是用的解码过程安全变换的例子有在数据编码时应用一个加密过程和解码时应用一个对相的应解密过程在编码时生成密封或签名并将其附加到数据上在解码时检查和去除附加的密封或签名将和中的函数组合成为一种安全变换使用中的记法定义的安全变换适用于应用连同中定义的一般保护传送语法或其他目的包括局部存储和非通信时的脱机保护注描述了安全变换在表示连接上的使用描述了其与表示协议无关的使用安全变换可以构成提供安全服务例如机密性完整性数据源鉴别的主要手段或者他们有助于提供安全服务例如实体鉴别访问控制抗抵赖图说明了对于传送或存储时的保护数据项中包含的步骤在编码系统中导出未保护数据项的变换被保护表示的过程是如果未保护项是如抽象语法记法中规定的类型的值则使用初始编码规则对位串表示进行编码然后将安全变换的编码过程用于未保护项的位串表示也可使用附加的本地输入信息以获得已变换的项它是类型该精确类型被指定为安全变换定义的一部分的值然后对由产生的值进行编码也许是构成值的编码过程的一部分诸如中定义的保护传送语法结构在解码系统中恢复未保护数据项和或对安全泄露进行检查的过程是对收到的或检索到的已变换项进行解码这种项是类型的值这种解码过程可以形成构成值解码的一部分诸如中定义的保护传送语法结构然后将安全变换的解码过程用于收到或检索到的值也可使用附加的本地输入信息并根据那种解码过程产生输出依据特定的变换输出可以包括已恢复的未保护项的拷贝签名或密封验证成功失败的指示和或局部存储作为今后使用的签名的拷贝然后如果步骤的输出是已恢复的未保护项的拷贝并且如果那个项是抽象语法记法中规定的类型的值则使用与步骤相同的初始编码规则对那个数据项解码步骤和中的初始编码规则的确定在中描述注意安全变换通常可能操作在数据项而不是类型的值例如任意位串所以这种编码过程未必总是需要的步骤和的编码规则的确定应取决于存储或通信环境而不取决于所使用的特定安全变换图数据项的保护存储或传送安全变换在高层中的体系定位安全变换在两个或多个系统之间的安全联系上下文中操作在每一个系统中都有支持这种安全联系的系统安全客体这些执行安全变换编码解码过程例如加密数字签名的生成验

1 / 56
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功