GB T 20519-2006 信息安全技术 公钥基础设施 特定权限管理中心技术规范.pdf

1、ICS 35.040 L 80 国中华人民共和国国家标准GB/T 205192006 信息安全技术公钥基础设施特定权限管理中心技术规范Information security technology-Public key infrastructures一Privilege management center technical specification 2006-08闰30发布2007唰02-01实施中华人民共和国国家质盘监督检验检菇总局也觉中国国家标准化管用委员会也叩GB/T 205192006 自次自自畜. 皿寻Ii主.”.N 1 范围2 规范性引用文件3 术i岳和定义，4 编自各谱. 3

2、 5 粉1主权限管现中心架构.町.町.4 5. 1 概述4“45. 2 仪限管理中心架构内容.”“45. 2. 1 内容概述，.4 5.2. 2 源机构SOA5. 2. 3 属性授权机构AA. 5. 2. 4 腐性注册机构ARA.,.,.,. 6 5. 2. 5 代现点PA5.3 各逻辑层结构级成.国国.6 5.4 权限管琅中心的管理结掏”5 4. 1 3挺巾式管理，”“75. 4. 2 分布式管理.，”76 系统相关协议.6. 1 代滋点PA与属性注册机构ARA间的通倩协议“.伽“.76. 1. 1 协议说明.川，.7 6. 1. 2 功能文扮86.1.3 PA与ARA之问认证机制川h川.8

3、 6. 1 4 PA数据签名，川，86. 2 属性注册机构ARA与属性授权机构AA间的通俗协议，.8 6. 2. 1 协议说明，.，“86. 2. 2 属性证书请求过程.“.“.8 6.2. 3 若号子属性议书与基于公钥诋书的权限处理理陈别.96. 3 腐侬授权机陶AA与认证机构源SOA间的通信协议. 9 6.4 密码服务交持协议”，“，. 10 7 属性证才写的2宣布模式.10 7. 1 权限直接下载于应用系统权限回去量如I表饺式.10 7.2 权限独立下载于用户公钥数字证将模式.10 7. 3 权限下载于公钥证书扩展项模式.10 7.4 权限集中下载于权限数据库模式.10 8 PMl/AA

4、的安会实施.11 8. 1 证书撤消安余.11 8. 2 算法强度安全.”“11GB/T 20519叩20068. 3 身份标识安会.“E.“118. 4 LDAP 服务访问安全118. 5 属性内容安全，”川”啕. . 11 9 PM! !JZ!ll模划.12 9. 1 AC的姿求”“”国129. 2 “推”、“拉”模式口，.，四附法A（资料性附治）腐侬说书格式.13 A. 1 属性证书生高构.喃.NA.2 基本腾做证书内容.13 人3属性证书扩展域.”.13 A.4 权限或斥扩展域. . 14 附放日（资料性附没）系统相关协议应用实例“.15 队IPA与ARA之间强鉴别机制15日.2PA数

5、据首签名内容类型揣述.w.15 日.3 消息摘要过双寇义自.自自川自伽.“”.17 队4脱憔注册机构A民A与j爵做授权机构AAl阔的；）（向强鉴别机制. 18 B. 5 属性证书请求语法” 18 附录c（资料校附录）寨子角色的崩攸管理模式，.21 巳l基于角色权限应用模式结构. 21 飞2附户一角色一权限一策略内容.21 c. 3 JjZ Ill模塑逻辑结构实例川22IT 前本标准的附录A、附录自和附录C为资料性附录。. i=I 本际市U1全网育J息安全标准化技术委员会提出并归口。本标准烹姿起草单位：因家信息安余工程技术创究中心。本标准主要起草人t袁峰。GB/T 205192006 回GB/T

6、 20519-2006 引言本标准依据GB/T20518 2006要求，综合我凶关于属做证书的实际戚朋绞验，规范了权限管规系统的技术框架，是与GB/T20518 2006属性证书格式标准相配套的技术标准。特.E权限f辈革盟恭础设施PMl(PrivilegeManagement Infrastructure）是衔，由、安余支撑平台的一个1重要组成部分。PM！中的特定权限管理盟中心是腾性说书管理机构、策略管混机构、权限管迫机构、计算机软硬件以及应用系统的集合，它为网络信任体系的访问控制系统提供权限管理和角色认证服务。本标P在与G日丁16264.82005配合构成完糕的权限管现系统标准。在本标准实施

7、过程中，涉及到密码技术的具体应用时，fl(照国家密码管理同的有关规定和相关规范执行。凹1 范围信息安全技术公钥基础设施特定权限管理中心技术规范GB月205192006本标准规定了一王军作为特定仪限管理基础设施（PM！）的特定仪限管理中心技术橙架，并规定了相关服务的要求。本标准适用于特定权限管现中心基础设施的设计、建设和粉测；对于特殊需求的应用系统，可根据具体的业务吉普或非u悄况迸行淡泊自己赏。2 规范性冒周文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是该日期的号用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然闹，鼓励板报告本标准达成协议的各方研究是否可使用

8、这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本你准。GB/T 20518-2006信息安全技术公钥基础设施数字证书格式GB/T 16262. I 2006信息技术捕象谱法记法一ASN.1) 第1部分g基本记法规范(ISO/!EC 8824 I: 2002, IDT) GB/T 16264. 8一2005信息技术开放系统主巡回录第8部分g公钥和属性证将锥架(ISO/!EC 95948, 2001, IDT) GB丁16975.I 2000信息技术远稼操作第1部分：概念、模型和记法（idtISO/IEC 13712品1,1995) GB丁1988信息技术信息交换用七位编码字符集(G

9、B/T1988 1998, eqv ISO/IEC 646, 1991) 网3在密码管E壤局证书认证系统哥哥码及其相关安技术规范阴凉密码管理局CA密码设备应用程序接口规范3 术语和定义下列术卡普iiS义远ffl于本标液。3. 1 属性证书attribute certificate 属性授权机构进行数字怨名的数据纺构，把持有者的身份信息与些属恢值绑寇。3.2 腐性授权机构attribute authority 通过发布随性证书来分配仪限的认证机俐，也称腾性管理机构。3. 3 属性诋书撇淌列袋attribute certificate rev帆ationlist 标识ea发布机构已发布的、不再有效

10、的脱做证书的续寻若是。GB/T 205192006 3.4 属性注册机构attribute registration authority 自AA委派和授权，ffl公钥证书技术标识和鉴别腐性证书叶间请者，为申请省向AA提供属性证书签发申请，处理腐性证书的业务请求，为AA系统提供注册服务管理的机构3.5 撞在别令牌刷1thenticationtoken 在强鉴别交换期间传送的信息，闷。用于鉴另lj其发i草草苦。3.6 机构authority 负责证书发布的实体。本部分中；.！义了阴种类刻g发布公钥诋书的证书认证机构和发布！说侬说朽的腐蚀授仪机构。3. 7 根CAroot CA 根认证中心是一种特殊

11、的CA，盘子i正将认说层次纺构的最高应。f盖最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以俏赖的机构。根认祖Erp心必须对它自己的证书签名，在证书层次络构中得也没有更商的认证机构了。3.8 证书策略certificate policy B命名的一绵规则，它指出国EiH才特定团体和或具有公共安全要求的应用类别的适用性。例如，特定证书策略可能指出某类刻的证书对某给定价格范围内货物贸易的电子数据交换事事务您别的适用性。3. 9 证书序；！Jf苦certificate serial number 为每个证书分配的唯整数僚，在CA颁发的证书范围内，此整数值与该CA所颁发的证书一一对应。3嗡

12、10证书确认时rtificatevalidation 确认证书在给寇时间内有效的过程，包含一个证书路径的构造和处理，确保所有证书在纷定时间内夜路径上有效（也就是说没有废除或者期满）。3” 11 认证路径certification path 个DIT中对象证书的有序序列，通过处理该有序序列及其起始对象的公钥可以获得该役的末端对象的公钥3. 12 5酷抵路径delegation path 个有序的证书序列，将该序列与权限声称者标识的鉴别共同确认权限商称着特定权限的真实性。3. 13 揣实体endentity /j可以绥辛苦证书为隘的而使用其私t月的证书主体或者是依赖（证书）j 0 2 GB/T 2

13、05192006 3. 14 持有者holder 囱源授权机构激接授权的或白其他腾性接仪机将l间接授仪的实体。3. 15 代理点point of agent 是受ARA委派，3支援朋向属性i正书放册者的处琅机构，仅提供腐恢信息与ARAI同的注册通道、手段和方法，以及部分赞供中目成的腐性证书体能终下载处理机制。3. 16 特定权限管理中心privilege management center 提供属性证书申请和1管蝶、仪自主分自己和管坝、腐侬说书发布和管理的认说机构，简称权限管现中心。3. 17 特定极限管理基础设施privilege management infrastructure 支持授权

14、服务的综合葱附设施，与公钥基础设施有辛辛替罪切的联系。3. 18 特定权限策略privile嚣epolicy 一种策略，它描述了权限检验者挺供敏感服务给具有资格的权限严明者，极限策略与服务相连的属性相关，也和与权限声明者相泼的腐惊相关。3. 19 公开密钥public key （在公钥密码体制中）用户密钥对中公布给公众的密钥，简称公钥。3.20 型号余策胳security policy 自管五里使用非u提供安全脱务和设施的安全机仰所制寇的一级规则。3.21 源机构source of authority 为资源的特定权限骏i正苦苦所傍伤的、饺子顶层的分配特i.E权限的j爵做投仪机构。3.22 信

15、任trust 通常，对一个实体（然个实体）假设另一个实体（第二个实体）完全按照第一个实体的期望进行动作时，则称第一个实体“仿任”第二三个实体。这种“信任”可能只活用于某特定功能。在接别框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系；在别实体成确言它能够“俗役”认说机构仪创建省效且可靠的证书。4 缩赂谱F列缩略t普适用于本非非准：AA 属性授权机构（AttributeAuthority) AC 属性证书（AttributeCertificate) ACRL j爵做议书撤消列表（AttributeCertificate Revocation List) ARA A毒性注册机构（Attr

16、ibuteRegistration Authority) GB月20519-2006。IT目录f声息树（DirectoryInformation Tree) ALDAP 属性证书轻量阴梁访问协议（AttributeCertificate lightweight directory access protocol) PA 代理点（Pointof Agent) PK! 公钥荔础设施（PublicKey Infrastructure) PKC 公钥证书（PublicKey Certificate) PMC 特定权限管理中心（PrivilegeManagement Center) PM! 特定权限管理

17、3基础设施（PrivilegeManagement Infrastructure) SOA 源机构（Sourceof Authority) 5 特定极限管理中心架构5. 1 概述特定权限管现荔础设施PMI是网络信仅体系基础设施的一个主重要善组成部分，其主要功能是向用户或应用程序挺供权限管现服务，提供用户身份到应用授权的映射技术，提供Ej实际应用处理模式相对应的、均具体应用系统开发和管理无关的授权访问控制机制，简化具体应用系统的开发与飨护。特定权限管理基础设施PM！以资源管现为核心，对资源的访问按制权交由权限管甥机构统一处瑰，即由资源的所有者来进行访问控制。PMI的核心管现机构是特定权限管现中心

18、PMC（简称权限管理中心），其主要喜功能是用来实现权限管E盟和属性证书的生成、管理、存储、发宿、应用、验证和撤消费事。权限管理中心利用属性证书司提示和容纳极限f言J息，通过管理证书的生带期实现对权限致命周期的管瑰。5.2 极限管混中心架构内容5. 2. 1 内容概始仪限f署1理中心体系架构逻辑上包括四个层次ga) 源机构SOA(Sourceof Authority); bl 属性授权机构AA(Attribute Authority); c) ！谣性注册机构ARA(AttributeRegistration Authorization); d) 代理点PA(Point of Agent）。以上阴

19、个层次之间的债任关系可以建立在E以签名诋书为葱础的第三方PKI信任关系之上，也可以自己就作为PK！信任源即CA兼有AA的功能。PM！仪限管现中心体系泼辑架构如l到1所示：4 GB/T 20519-2006 I SOA I ！我布系统因围困OTIig 团团回曰I AA I | 发布系统回国日Bi曰日回回|E 圆圆回回国回L豆=.J EJ 阁1PMC模搜架构图5.2.2 源机构SOA源机构SOA是受仪限验证者俗任的最商层的权限管理机构，是最终负资分配权限集合的实体。其职责烹要包括制定权限管现策略、制定访问控制策略、审核AA的设置壁、实施权限委派及管现以及策略证书的绥发和管理等。a) ,SOA间PK

20、！巾的“根CA”类似。权限检验者信任SOA签发的证书。在许多环境中，SOA:身也是一种AA，所有的权限可以自单个AAep SOA底接分配给个体；b) 本标准交t夺权限委托机制。SOAE可将权限分配给个实体，并允许该实体行使AA的功能以放进一步委托权阳是白委托可以持续在几个中介AA中进行，离到最后分配给一个不能得做进一步权限委托的终端实体。中介AA对它们所委托的权限，可以是权限声称者，也可以不是。5.2.3 属性授权机构AA）渴性授权机构AA，是仪限管理中心的核心服务节点，负资签发Ej管理属性证书（具体内容参见附录A)。各资源管理与应用系统依据需求负责建设本成用系统的AA，并通过权限委派与SOA

21、中心mGB/T 20519-2006 立相互信任关系。AA的职责二k要包括：策略管臻、扇性证书的续发、发布、撤消和管E里，以及对设立AA代理点的审核和管激等。AA中心IE.对；IO在发的！海做i正书建立匀维护一个历史记录并及时进行记录更新。策略管理系统文婷多策略管混域。每个策略？李玉理城分别管圾一类W.f目的校权利访问按制。每个策略管琐域tE逻辑上底是相互独立的分别独立地管现相成的成用资源、用户授权利访问校制。5.2.4 属性注册机构ARA腐俭E主册机构ARAf是相应AA的附属机构，是用户申请腐性证辽阳的注册机构，是盗俊为用户服务的窗口。各个AA负责建设所属的ARA。AA报级主管SOA同意并签

22、发栩IE.的证书后，ARA可得到法律认可盼ARA的设立地点和数阴It子AA根据囱身的业务发展有需求而J.E.ARA的职责主要包括IE.用授权改册版务、应用授权审核服务、应用授权变更服务等，负责对具体的用户属性ill:将申请、审核、提炎等进行操作和管躁，并将满憔ill:书的校册或撤消请求提交至u授权服务中心AAl!.行处王军。策略管理、资源管理在本规范中作为ARA系统的一部分，这问种管现服务在逻辑上jjJ以18:别ARA注册系统独立向AA系统迸行策略注册，即策略注册机构.i且在数锁上必须予ARA进行仪限指派i1册时采用的资源、策略俄息保持致。5.2.5 代理点PA代理点PA，是相应A民A的下扇机

23、构。院各个ARA负责建设，是权限管理rp心的用户代理注册最终节点，是具体应用的连接缺口。PA的设立地点和数阴应崩各ARA根据自身的业务发展需求而定5. 3 备逻辑层结构组成a) 认iiE机构源SOA包括：1) SOA签发服务$2) 策略锈E费服务13) 资源锈规服务54) 辛苦码服务，5) 扁侬说书账号6) 管理终端。挫s对于分布式管理结构，SOA作为AA的独立权威机构，盯以设置t,LDAP臼是发布服务、权限管理盟版舟、腐做证书历史记录、ACRL属佐证书撤消列表记录、统日忘记袭。b) j滔攸授权机构AA包括21) AA案发服务g2) 密码服务；3) 屑伪证书LDAP倒没发布服务；4) 属性证书

24、库g5) 策略管理服务$6) 资源管理服务z7) 扇做证书历史！革；Sl ACRL属性证书撇消j)J我库$9) 系统自;it瘁，10) 管理终端；11) 审计终端。c) 属性注册机掏ARA包括21) ARA t塞入服务，2) ！溺做法册服务；3) 资源管章程服务；4) 策略管理服务35) 密码服务s6) 各种注册库97) 注册历史库；8) 系统日志席$9) 管理终端。cl) 代理点PAg插t1) 访问终端；2) 代珊实体公钥证书认证载体，该载体内带有密码算法$3) 待级发实体证书认证载体，该载体内带有辛苦码算法。5. 4 权限管理中心的管理箱构5. 4. 1 集中式管理GB/T 20519-2

25、006 CA兼有AA的功能，公钥证书能够直接提供授权服务，用户数字证书的身份认fill否属攸证书的权限验证服务一起使用。公钥读书中问包含一个引JbjectDirectoryAttributes扩展，该扩草草包括与公钥证书的主体中自联系的权限。此机制适合于发布公钥证书的CA也是AA，且腾性的有效期与公钥说书的有效期相符合。本标准不推荐这种方式，而憔荐使用不同的私钥签发这两种不同的证书。集巾式管理的另种模式是AA独立分布设置属性数据库集中设置，各资源管理系统的认证系统都向一个集中管理的属性数据库查询授权数据。5.4.2 分布式臂混AA独立察发1海位证书，进行权限管现与证书管瑰。极限分自己认证机构不

26、同予公钥证书发布认证机构。不阔的权限可囱不同的AA分配。实体腐性证书的生命期和公钥证书的有效期闷不致”分布式管理可以在：临时环境中分配权限，权限特征的“开启关闭”可以异步予公钥证书的生命期和军llJ羊步于不同AA发布的实体权限。在分布式管理望中，认i正系统用米认iiEJ渴侬说书中发布者和持有者的身份。个公钥证书的主体同T具有多个相关！离做证书。后目性说书可Ell不问AA签发。权限管理中心PMC的授权方式，可依据资源特点和应用的实际需耍，采用直接授权方式成委托授权方式。直接授权方式是权限管顾直接由SOA通过AA进行管理与分配。委托授权方式是极限管理il机构将权限管理草委托给一个实体，t真实体可行

27、使AA的功能以及具有放行进一步委托的权限，直奈不在于符合委托条件为止。6 系统相关协议6. 1 代理点PA与属性注册机构ARA闸的通f育协议代主理点PA与腐1全校册机构ARA之l询问采用；在线方式连接或商线方式选拔。本标准绘出了在线方式下的通信协议侬猝参考榄架，参见附录日。6. 1. 1 协议说明代理点PA与腐牧注册机构ARAl泻的通信协议用于接收PA的数据请求和ARA的响应应答。协议成采朗与非命觉关、外可容易被任仰计算机解析的授权表示，illl满足分布式、多域系统的商求，支持多样性的EUH类型型。对于身份、腐性拗述等任例纯文本数据和结构，本标准推荐使用穗子XML的腐做注册表示诸商（例如：安全

28、声明标记谱商SAML、数字权限管现标记语商XrML或者XML辈辈标语言言自身）；对于位南数据，考虑到代理点的多样性，本你准推荐采用统一的位串编码方式；对元法直接表示、处1型位ljl编码的过程要依据GB/T1988标准转换。在日S纺构中，部分Web界店面夜处现证书数t辑、2在名数据时，推荐使用PEM编码表述方式，PEMGB/T 205192006 编码的具体格式不属于本标准的描述范围，6. 1. 2 功能支待协议应支持注册、审核、修改、撤消等对属性证书的操作功能2a) 注册t实施签发属性证书的过程；b) 审核g对各种类理由的注册信息进行分析、鉴别并给予认可或不认可的决定sc) 修改z更改泼册俗息

29、，；d) 撤消：提出对巴辈辈:E效的手言效证书滋行取消，使其无效。本标准定义的撒消是指猿个过税的统称，在实际操作流稳中可以包括撤消泼册、撤消审核等具体过程q6. 1. 3 PA与ARA之间认证机制lPA与ARA之间采用安全认证机制，对请求实体身份的合法性进行强鉴别。6.1.4 PA搬援签名PAJiil对提交给A民A的数掘进行数字簇.ARA对拨人数据进行验证。2盛名数据内容类雪白包括低例种类的内容，构造练数据的过串串包括如下步骤ga) 签名n:E成消息摘要害，消息摘要i醒过签名省专用消息摘姿算法对报文内容进行主运算b) 签名1f进行数字签名。对消息摘要和相关的俗J息用4盛名辛苦的私钥进行加稽。c

30、) 签名方生成签名俗忠、络构Signerlnfo，加密的消息摘要和签名者的其他专用信息被收集到1S:名信息结构SignerInfo值中（参见附录B中B.2的说明）。签名者的证书和证书撤消列牵挂，以及匀其他练名者不对应的证书都在这个步骤中收集。d) 签名者的消息摘要算法和SignerInfo德与内容一起收集到签名数吉普络掏出gnedData俄中（参见附录脉中B.2的说明）。接收者使用签名省的公钥解密每个综名者的加哥哥消息摘要把解节前的消息摘要喜与独立计算的消息摘要害进行比较，检验签名数据的真实蚀与究艘俊签名者的公钥存储在签名者的证书中。6.2 属性注册机构ARA与属性授权机构AA阔的通销协议属性

31、注册饥构ARA与属性授权机构AA间可采用在线方式连钱或者离线方式连接，本标准绘出了夜线方式下的通信协议规范，离线方式连接下的通信协议规范请参照CA系统协议规范。6. 2. 1 协议说明E毒性校册机构A民A与脱你授权机构AA问的通信协议应用于ARA与AA的数据交豆。数据苦类型包括文本类缴利二二进制类缀，对于二二进制数锻本标准推荐采用统一的小端序编码方式，文持A议A的区域分布和应用类型目的多样悦。ARA f司AA之间建立连接肘，应采用认证机制进行ARA和AA身份合法性的双向强鉴别。6.2.2 属性证书请求过程请求过程i.iiZ包括发出请求的内容和响应处理内容。a) 腾做证书请求内容本标准推荐的腾侬

32、说书请求内餐包含：标识名称、待在发实体PKC、实体扇做袋、待签发实体对实体属性集的签名和自请求证书实体对上述内容的完簇簇名证书请求被送到AA.AA依锻请求信息E成相应的AC,自属性证书请求格式包含g属性证书请求俗恳、签名算法表示以及证书请求信息的数字签名，bl AA晌应证书请求的过程：1) 鉴别请求实体$2) 驳说签发实体PKC;3) 骏证实体签名；4) 请求合法，则根据实体的标识名称、理事？坚实体PKC的i证书Ji:YIJ号、颁发者名称、AA选择GB/1 205192006 的序列号、有效期、属性策略、资源育息、属性信息以及签名算法构GB/T 16264. 8 2005扇性证书。辛苦证将请求

33、包含GB/T16264. 82005可逃的对象和腐性类型，AA可使用这些属性和其他AAG知的信息构建GB/T16264. 8 2005属性证书可逸的对象和属做类型项。AA将察发的属性证书发布到主LDAP服务器和相应的资源ti.用系统LDAP服务器LAA退回新证书的方式不在本你准规定范恼。6.2.3 基于属性证书与喜事予公钢证书的权限处理区别依据证书特点从两个方因进行说明：a) 根据GB/T16264. 82005巾的属性证将权限的规定，实体问以通过多种方式获得权限g1) 通过属性证书的创建，AA可局在方面地为实体分配权限。创建好的属做证书首先在F储在百1公共访问的数搅F革中，随后由一个或多个权

34、限梭骏者操作，做t!H费仪决定。这接操作能在无实体知识或实体外在行为的情况下实施。2) 作为选择，一个实体可以请求某些AA的权限一旦创建，属性证书就能返网给请求实体，当请求访问某些安受保护的资源时该1iE书就能为请求实体提供崩惊骏诚。3) 叫个实体为将有省分配特殊仪限，其他的实体为这个待有者分配公钥证书。4) 来囱不同认证机构的大最权限属性分配给持有者。5) 权限致命朔不附于持有者的公钥证书有效期，一般权限的生命期饺子公钥证书有效期，就者权限仪在特定的时间段内有效.i;革时间段与用户的公钥或其他仅限的有效期不一敛。bl 根据GB/T16264. 8-2005中的公钥证书权限的规定，权限属性可通

35、过CA的实际操作与主体关联。权限属性卫在接放在公钥i正书的subjectDirectory Attributes扩展中。本机制适合以下任一环境：1) 司个物理实体可以同时行使CA和AA的功能。2) 权限的生命期与包含在证书中的公钥一致。3) 不允许仪限委托。4) 允许委托，但对于任何委托，证书rp:. subjectDirectory Attributes扩展中的所有权限应具有相间的委托参数，同时所有与委托栩关的扩展察平等地应用到证书中的所有权限中。属性证将请求在以下情况下发出属性证书创建、实体屈尊性内容基l!草草实体标识名称改变。实体如何将属性证书请求发送给AA是在本标准规范之外。发送方式可

36、以是离线方式的书面形式或在线方式电子形式。证书请求谱法允许腐蚀集存在，可以不包含签发者名称、序列号和有效期，不姿求信息的缕名。本标准规定的公钥证书请求谱法规范不使用公钥而利用公钥证书申请属性证衍，提供待签发者的脱憔信息，签名。6.3 属性授权机构AA与认证机构源SOA间的通信协议SOA可以为其他实体发布证书，并夜证书中为这些实体分配权限。本标准规定授权策略的每个实例必须得到唯一的对象标识符。SOA可以采用在线或者离线附种方式对AA占世行技权，标准不对AA与SOAI阔的交:!I.模式进行强制约束。离线方式：AA将公钥证书、必要批件、填写的后做权限申请注壁，一并提交给SOA；自SOA验证公钥证书的

37、真实1性和有效性，审核批件!:j申请材料；SOA根据AA分布域和授权策略授予AA相m;配的权限、管王理策略；并签发腐恢授权i证书、策略证书等。在线申请：AA发送自身公钥证书、批件号和申请材料给SOA,AA与SOA之间建立连接，采用认GB/T 20519 2006 ID:机制进行AA和SOA身份合法性的双向强鉴别。本标准推荐采用的A民A与AA之间的通信协议参见附筑队4。该协议数据类型包括义类塑和二二进制类瓢，对于二二进制数据本标准推荐采用统的小端It:编网方式。SOA对AA的i且剧协议不作特殊规定。6. 4 密码服务支精协议本标哥贯支持mi.用系统的辛苦码作Jlft.服务，mi.符食E回家磁锅管

38、王理局发布的证书认证系统哥哥码及其相关安全技术规范。对简单公共密钥机制（SPKM）中的密码算法机制的定义，本标准不作雄浑。密码服务接闪标准应采用阂家密网智现局发布的CA镣码设备应用粮序镣闪规范。7 属性证书的发布模式7. 1 极限谶接下载于应用系统权限目录列表模式该模式以业务应用系统划分权限管理域，不同业务应用系统分别管理其资源，分别对用户授权，对登录访问的用户进行权限认证。其成用系统模式可参见附录C。a) AA根据用户角色和授仪策略授予用户相11配的权限脱性，b) AA签发网户属性证书：c) AA将ffl户的公4月说书号连同属性iiE书和1加密密钥等数据通过安余通道发给相应的资源管理系统$d

39、) 资源管混系统鉴别AA的身份骏ID:AA发送的授权债息。以用户公钥证书号为标志将其权限下辈辈子本地权限管理自治袭。7.2 权限独立下载于用户公钥敝字证书模式该模式以Jlft.务!i1lffl系统划分权限管巡域，腐悦授权机构AA:je用户j滔做证书独立地下载于用户的公钥证书载体上。不同业务应用系统分别签发、下载本系统的属性证书。a) AA根据用户角色和授权策略援予用户相pi:.配的权限；bl .AA签发ffl户属性证书$。AA将用户的腾1竟如E书El.加密密钥通过安i匿激发给用户，并独立下载于用户的公钥证书载体；d) 用户端验证AA发送的授权信息。下载于囱身公钥证书载体。7.3 权限下载于公钥

40、证书扩展项模式该模式的主望寄将点是公钥证书认证Ef心CA和属性授权机构AA紧密络含在起，权限属性嵌入公钥数字谅书的扩展项中，作为数字证书的一部分进行练。a) AA根据授权策略授予用户相匹配的仪间是乡b) AA t四授权数据打包交给CA;c) CA将用户权限嵌入公钥证书的扩目是顷，并签发公钥证书gd) CA将公钥证衍及加密密钥通过安金通遗传送给用户；e) 用户将CA传来的公钥证书及加密密钥骏诋无误后，下载于用户证书载体。7.4 极限集中下载于权限量k掘廊模式10 该模式的特点绿权限管荒草和数据资源管顾可以分布，权限数据管王理相对集中。al AA根据用户角色利授仪策略授予用户相匹自己的权限。bl AA签发用户属性证书。AA）降用户的公钥证书ID号连问脱性证书和加哥哥哥哥钥等数摇通过安余通道发给权限管理系统。d) 权由主管王理系统且在别AA的身份，验iiEAA发送的授权信息。以不同AA系统、用户公钥证书号为标志下载于本地权限自录袋。8 PMI/AA的安金实施8. 1 证书撇消安余