信息处理系统用目录服务标准简介

　　在信息处理系统之间需要提供目录服务。目录（Directory）就是提供目录服务的一组协作的信息处理系统连同它们所拥有的信息。目录所拥有的信息，总称为目录信息库(DIB)。有了DIB，就能使各种客体（如应用实体、个人、终端、分布列表）之间相互通信。

　　目录在开放系统互连中扮演了重要角色，其目标是在它们自身的互连标准之外做最少的技术约定的情况下，允许下述各种信息处理系统之间的互连：

　　——来自不同生产厂商；
　　——具有不同的管理；
　　——具有不同的复杂程度，以及
　　——有不同的年代。

　　为给互连的信息处理系统之间能提供目录服务，就需要制定一套标准。

　　国际标准化组织（ISO）及国际电工委员会（IEC）下属的JTC1“信息技术”联合技术委员会，即ISO/IEC JTC1制定了一套国际标准，共有10个部分，其编号分别为ISO/IEC 9594-1~ ISO/IEC 9594-10。

　　国际电联建议（ITU-T）也制定了一套标准，其编号为ITU-T X.5XX，但序号不是连续的，这就是同行常说的X500系列标准。X500系列标准与ISO/IEC 9594是共同制定的，所含标准一一对应，其文本格式和技术内容均完全一致。不过，在国内邮电行业不是将Directory译为“目录”，而是译为“号码 簿”。

　　在国内，按ISO/IEC 9594-1~ ISO/IEC 9594-8制定了8个国家标准，其编号分别GB/T16264.1~GB/T16264.8。其中，前7个部分是2008年发布的（修订版）。这7个部分标准已出版发行，需要标准文本的本计算机行业标准化 网的网员单位，可免费向秘书处索取（近期）。

　　我国目录标准的编号、名称、简要内容、采用的国际标准、相应的ITU-T建议如下：

　　GB/T 16264.1-2008 信息技术　开放系统互连目录　第1部分：概念、模型和服务的概述

　　GB/T 16264的该部分规定了目录及目录数据库（DIB）的概念及其模型化，概述了目录及DIB所提供的服务和能力。该部分连同本系列标准的其他各部分一起，便于提供目录服务的各类信息处理系统的互连。该部分也是本系列标准其他各部分的基础。

　　该部分首先介绍了目录的一些基本概念和共性要求。然后详细规定，目录是一组协作的开放系统，并给出了目录用户访问目录的示意图；将目录中的信息集中在一 起就是目录信息库，并给出了目录信息库的结构；向用户提供的目录服务，包括服务限定、目录查询、目录修改；分布式目录的功能模型、组织模型，以及模型操作 的要求；目录的协议，包括目录访问协议和目录系统协议。还以附录的形式给出了目录环境、目录服务特性、目录使用模式、目录的一般应用。
　　
　　该部分等同采用国际标准ISO/IEC 9594-1：2005。
　　该部分代替GB/T 16264.1-1996。
　　与ISO/IEC 9594-1的等同文本为ITU-T X.500。

　　GB/T 16264.2-2008 信息技术　开放系统互连目录　第2部分：模型

　　GB/T 16264的该部分规定了目录的一组模型，包括功能模型、管理机构模型、通用目录信息模型和安全模型。该部分连同本系列标准的其他各部分一起，便于提供目 录服务的各类信息处理系统的互连。该部分也是本系列标准其他各部分的基础，它为其他各部分提供了有关概念和术语的框架。

　　该部分首先介绍了 目录的一些基本概念和共性要求，包括目录及其用户、目录和目录系统代理（DSA）信息模型、目录管理机构模型；然后详细规定了目录信息库模型，包括目录信 息库的客体、目录条目和目录信息树，目录条目的总体结构、客体类、属性类型、属性值、属性类型层次结构、上下文、匹配规则、条目结合，名称通用名、相关可 辨别名、名称匹配、可辨别名和别名等，层次结构组，包括层次结构关系和组的排序序列，目录管理模型，包括策略、特定的管理机构、管理区和管理点；目录管理 和操作信息模型，包括子树、操作属性、条目、子条目及其结构、集合属性和上下文缺省值的信息模型；目录模式，包括目录模式的基本概念、客体类定义、属性类 型定义、匹配规则定义、放宽和收紧、目录信息树结构和内容规则定义，目录系统的各种系统模式，目录模式管理；目录服务管理的模型、服务类型/用户类模型、 特定服务管理区、各种搜索规则规范；安全，包括安全模型的策略、目录操作保护，基本访问控制的模型、管理区、信息的表示、操作属性、决策功能，基于规则的 访问控制，存储的数据完整性；DSA模型，包括目录功能模型和目录分布模型；DSA信息模型，包括知识、DSA信息模型的基本元素、DSA信息的表 示；DSA操作框架，包括操作绑定以及操作绑定的规范和管理。还以附录的形式给出了客体标识符的用法、增强的安全性等有关内容。

　　该部分等同采用国际标准ISO/IEC 9594-2：2005。
　　该部分代替GB/T 16264.2-1996。
　　与ISO/IEC 9594-2的等同文本为ITU-T X.501。

　　GB/T 16264.3-2008 信息技术　开放系统互连目录　第3部分：抽象服务定义

　　GB/T 16264的该部分按抽象方法定义了目录所提供的外部可视服务。该部分连同本系列标准的其他各部分一起，便于提供目录服务的各类信息处理系统的互连。

　　该部分详细规定了抽象服务的基本概念、信息类型和公共规程、绑定和解绑定操作、目录读操作、目录搜索操作、目录修改操作、差错、搜索变元的分析。其中， 在概念中给出了访问目录的原理图；信息类型和公共规程包括公共变元、公共结果、服务控制、条目信息选择、条目信息、过滤器、分页结果、安全参数、访问控制 规程的公共元素、管理DSA信息树；绑定和解绑定操作包括目录绑定和目录解绑定；目录读操作包括读操作、比较、放弃；目录搜索操作包括列表和搜索；目录修 改操作包括增加条目、移除条目和修改；差错包括差错优先级、放弃、放弃失败、属性差错名称差错、安全差错、服务差错、更新差错；搜索变元的分析包括对搜索 过滤器、请求属性概貌、控制和层次选择、匹配使用进行检查。在标准中给出了这些内容的ASN.1类型、基本访问控制的操作语义。

　　该部分等同采用国际标准ISO/IEC 9594-3：2005。
　　该部分代替GB/T 16264.3-1996。
　　与ISO/IEC 9594-3的等同文本为ITU-T X.511。　　　　

　　GB/T 16264.4-2008 信息技术　开放系统互连目录　第4部分：分布式操作规程

　　GB/T 16264的该部分规定了涉及分布式目录应用的目录系统代理（DSA）行为。的各部分进行交互工作所遵循的规程，以便为用户提供一致的服务。该部分连同本系列标准的其他各部分一起，便于提供目录服务的各类信息处理系统的互连。

　　该部分详细规定了分布式目录模型，包括分布式系统目录模型，目录系统代理（DSA）交互模型的单链接、多链接、转向推荐、模式的决定；DSA抽象服务， 包括信息类型、绑定和解绑定、链接操作、链接差错的要求，ASN.1类型、值和宏定义；分布式操作规程，包括概念模型、分布式目录行为、请求有效性验证规 程、名称解析规程、操作赋值、连接引用规程、结果合并规程、分布式鉴别规程；知识管理，包括分等级操作绑定和非特定分等级操作绑定。在附录中还给出了分布 式操作的ASN.1定义、分布式名称解析示例、分等级和非特定分等级操作绑定类型规范等。

　　该部分等同采用国际标准ISO/IEC 9594-4：2005。
　　该部分代替GB/T 16264.4-1996。
　　与ISO/IEC 9594-4的等同文本为ITU-T X.518。

　　GB/T 16264.5-2008 信息技术　开放系统互连目录　第5部分：协议规范

　　GB/T 16264的该部分规定了目录访问协议、目录系统协议、目录信息影像协议、目录操作绑定管理协议的应用服务元素和应用上下文。该部分连同本系列标准的其他各部分一起，便于提供目录服务的各类信息处理系统的互连。

　　该部分详细规定了公共协议规范，包括目录协议和操作、目录操作规范、目录协议概况各种操作代码、差错代码、抽象语法；使用OSI栈的目录协议，包括目录 协议数据单元（PDU）结构、规程和排序、各种具体的PDU规范；目录协议映射到OSI服务，包括抽象语法和传送语法、应用上下文、会话层规范、运输服务 的使；互联网直接映射（IDM）协议，包括IDM-PDU、顺序需求、协议、拒绝原因、夭折原因、映射到TCP/IP、编址；各种目录协议映射到IDM协 议；协议栈的共存版本及扩展规则；一致性要求，包括DUA、DSA、影像提供者、影像消费者的一致要求，各种一致性要求都包括声明、静态一致性和动态一致 性要求。标准以附录的形式给出了用ASN.1描述的公共协议规范、OSI协议、目录OSI协议、IDM协议、目录IDM协议，以及目录操作绑定类型。

　　该部分等同采用国际标准ISO/IEC 9594-5：2005。
　　该部分代替GB/T 16264.5-1996。
　　与ISO/IEC 9594-5的等同文本为ITU-T X.519。

　　GB/T 16264.6-2008 信息技术　开放系统互连目录　第6部分：选定的属性类型

　　GB/T 16264的该部分规定了在各种目录应用中都很有用的若干属性类型和匹配规则。该部分连同本系列标准的其他各部分一起，便于提供目录服务的各类信息处理系统的互连。

　　该部分详细规定了选定的属性类型和属性语法的有关要求、ASN.1类型、值和宏定义。其中，选定的属性类型包括系统属性类型、标记属性类型、地理属性类 型、组织属性类型、解释属性类型、邮政编址属性类型、远程通信编址属性类型、优选的属性类型、OSI应用属性类型、关系属性类型、域属性类型、通知属性； 匹配规则，包括串准备的代码转换、映射、规范化、禁止、双向检查、删除无意义的字符，匹配规则包含的串匹配规则、基于语法的匹配规则、时间匹配规则、第一 组件匹配规则、字匹配规则、近似匹配规则、特殊匹配规则、区匹配；各种上下文类型的定义，包括语言、时间、场所、LDAP属性选项的上下文。标准以附录的 形式给出了用ASN.1描述的选定的属性类型、属性概要、上界、，以及区匹配规则的示例。

　　该部分等同采用国际标准ISO/IEC 9594-6：2005。
　　该部分代替GB/T 16264.6-1996。
　　与ISO/IEC 9594-6的等同文本为ITU-T X.520。

　　GB/T 16264.7-2008 信息技术　开放系统互连目录　第7部分：选定的客体类

　　GB/T 16264的该部分规定了在各种目录应用中极其有用的若干客体类和名称格式。客体类的定义包括给出与该类客体相关的属性类型列表。名称格式的定义包括命名 它应用的客体类，并列出为该类客体命名所使用的属性。公共管理机构可使用这些定义，并负责目录信息的管理。该部分连同本系列标准的其他各部分一起，便于提 供目录服务的各类信息处理系统的互连。

　　该部分规定了选定的客体类的常用的属性集定义和选定的客体类定义，选定的名称格式的有关要求、 ASN.1类型、值和宏定义。常用的属性集定义包括远程通信属性集、邮政属性集、地理位置属性集和组织属性集；选定的客体类定义包括国家、地点、组织、组 织单元、个人、组织个人、组织角色、名称组、居住个人、应用进程、应用实体、目录系统代理、设备、强鉴别用户、用户安全信息、认证机构；选定的名称格式定 义包括国家、地点、省市、组织、组织单元、个人、组织个人、组织角色、名称组、居住个人、应用进程、应用实体、目录系统代理、设备的名称。还以附录的形式 形式给出了用ASN.1描述的选定的客体类和名称格式、推荐了名称格式和目录信息树的结构。

　　该部分等同采用国际标准ISO/IEC 9594-7：2005。
　　该部分代替GB/T 16264.7-1996。
　　与ISO/IEC 9594-7的等同文本为ITU-T X.521。

　　GB/T 16264.8-2005 信息技术　开放系统互连目录　第8部分：公钥和属性证书框架

　　GB/T 16264的该部分描述了一套作为所有安全服务基础的框架，并规定了在鉴别及其他方面的安全要求。该部分特别规定了公钥证书框架、属性证书框架和鉴别服务框架。该部分连同本系列标准的其他各部分一起，便于提供目录服务的各类信息处理系统的互连。

　　该部分详细规定了框架基本情况和数字签名的数据项；公钥证书框架的各项要求，包括公钥和公钥证书的数据类型、密钥对的生成、公钥证书的创建、证书的有效 性，策略处理，密钥和策略信息、主体和颁发者、认证路径限制、证书撤销列表（CRL）的扩展，证书认证路径处理过程（含处理的输入、输出、变量、初始 化），公钥基础设施（PKI）目录模式（含PKI目录对象类和命名形式、目录属性、目录匹配规则；密钥属性证书框架的各项要求，包括属性证书的结构和路 径，属性证书和公钥证书的特权，特定权限管理基础设施（PMI）的一般模型、控制模型、委托模型和角色模型，特权管理证书的各种扩展，特权路径的角色和授 权处理扩展，PMI的目录模式；公钥目录的使用和属性证书框架，包括目录鉴别（含弱鉴别和强鉴别规程），访问控制，目录操作保护。标准以附录给出了用 ASN.1描述的鉴别框架、CRL的产生和处理规则、公钥密码学简介、算法对象标识符定义等。

　　该部分等同采用国际标准ISO/IEC 9594-8：2001。
　　该部分代替GB/T 16264.8-1996《信息技术 开放系统互连 目录 第8部分:鉴别框架》。
　　国际标准ISO/IEC 9594-8：2001已修订为ISO/IEC 9594-8：2005。
　　与ISO/IEC 9594-8的等同文本为ITU-T X.509。