Этот стандарт: определяет формат аутентификационной информации, хранящейся в каталоге; описывает, как получить информацию аутентификации из каталога; описывает, как создать и сохранить предположения об аутентификационной информации в каталоге; определяет различные приложения для использования информации аутентификации для выполнения аутентификации. Три метода и описывают, как аутентификация поддерживает другие службы безопасности. Этот стандарт описывает два уровня аутентификации: простая аутентификация, при которой пароли используются как форма проверки заявленной личности; и строгая аутентификация, которая предполагает использование криптографических форм учетных данных. Простая аутентификация обеспечивает лишь некоторые ограниченные гарантии предотвращения несанкционированного доступа, и только строгая аутентификация может использоваться в качестве основы для предоставления услуг безопасности. Этот стандарт не предназначен для установления общей структуры аутентификации, но этот стандарт может быть общим для приложений, где эти методы считаются адекватными, поскольку они достаточны для них. Обеспечивает только аутентификацию (и другие полные услуги) в контексте определенной политики безопасности. Политики безопасности пользователей, ограниченные услугами, предоставляемыми стандартом, определяются самими пользователями приложения. Критерии приложения, определенные с использованием этой структуры аутентификации, определяют обмен протоколами, который должен быть выполнен для выполнения аутентификации на основе адреса аутентификации, полученного из каталога. Протокол, позволяющий приложению получать учетные данные из каталога, называется протоколом доступа к каталогу (DAP), который указан в GB/T 16264.5. Метод строгой аутентификации, указанный в этом стандарте, основан на криптосистеме с открытым ключом. Основным преимуществом этой системы является то, что сертификат пользователя может храниться в каталоге как атрибут каталога, что позволяет осуществлять свободный обмен в системе каталогов. Пользователь каталога также может получить сертификат пользователя так же, как и получение других адресов каталога. Сертификаты пользователей могут формироваться «оффлайн» и размещаться в каталоге их создателем. За создание сертификатов пользователей отвечает «центр сертификации», полностью независимый от любого DSA в каталоге. В частности, не должно предъявляться никаких особых требований к безопасному методу, используемому поставщиками каталогов для хранения или обмена сертификатами пользователей. Приложение B дает обзор криптографии с открытым ключом. В общем, структура аутентификации должна быть независимой от используемого алгоритма шифрования, как описано в 6.1, то есть могут использоваться различные алгоритмы шифрования. Однако два пользователя, желающие аутентифицировать друг друга, могут использовать один и тот же алгоритм шифрования, что обеспечивает правильную аутентификацию. Таким образом, выбор единого алгоритма повысит согласованность аутентификации и взаимодействия пользователей в рамках набора связанных основных контекстов использования. В примечании C приведен пример алгоритма шифрования с открытым ключом занавеса. Аналогичным образом, два пользователя, которые хотят аутентифицировать друг друга, должны поддерживать одну и ту же хеш-функцию, которая в основном используется для генерации учетных данных и токенов аутентификации. Аналогично, в принципе, можно использовать и несколько хеш-функций, но это будет происходить за счет снижения согласованности аутентификации пользователя. Приложение D дает обзор и примеры хэш-функций.
GB/T 16264.8-1996 История
2005GB/T 16264.8-2005 Информационные технологии. Взаимосвязь открытых систем. Справочник. Часть 8: Структуры сертификатов открытых ключей и атрибутов.
1996GB/T 16264.8-1996 Информационные технологии -- Взаимосвязь открытых систем -- Справочник. Часть 8: Структура аутентификации