1、中华人民共和国国家标准信息技术开放系统互连目录第部分模型发布实施国家技术监督局发布前言本标准等同采用国际标准信息技术开放系统互连目录第部分模型和信息技术开放系统互连目录第部分模型技术修改以及信息技术开放系统互连目录第部分模型技术修改根据本标准对和作了修改根据本标准对和作了修改通过制定本标准为信息处理的目录服务提供了一组不同的模型作为其他部分参考的框架在信息技术开放系统互连目录总标题下目前包括以下个部分第部分即概念模型和服务的概述第部分即模型第部分即抽象服务定义第部分即分布操作过程第部分即协议规范第部分即选择属性类型第部分即选择客体类第部分即鉴别框架本标准的附录附录附录附录附录和附录均为提示的附
2、录本标准由中华人民共和国电子工业部提出本标准由电子工业部标准化研究所归口本标准起草单位电子工业部标准化研究所华北计算技术研究所本标准主要起草人冯惠李卫国黄家英郑洪仁前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体它们都是的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由信息技术联合技
3、术委员会制定的在信息技术开放系统目录总标题下包括以下个部分第部分概念模型和服务的概述第部分模型第部分抽象服务定义第部分分布式操作规程第部分协议规范第部分选择属性类型第部分选择客体类第部分鉴别框架本部分包含个附录附录附录附录附录附录和附录仅提供参考信息引言本标准连同本系列标准的其他部分一起便于提供目录服务的各类信息处理系统的互连所有这样的系统连同它们所拥有的目录信息可以看作一个整体称为目录目录中收录的信息总称为目录信息库或用于简化诸如应用实体人终端以及分布列表等客体之间的通信目录服务在开放系统互连中具有极其重要的作用其目的是允许在互连标准之外使用最少的技术协定完成下列各类信息处理系统的互连来自不
4、同厂家的信息处理系统处于不同管理的信息处理系统具有不同复杂程度的信息处理系统不同年代的信息处理系统本标准为目录提供一组不同的模型作为其他部分参考的框架这里所说的模型是指总的功能模型组织模型安全模型以及信息模型信息模型描述了目录对其拥有的信息的管理方法例如它描述如何组织与客体有关的信息并为客体构造目录项以及如何为这些信息提供客体名附录简要介绍了与树结构有关的数学术语附录简要介绍了本系列标准中使用的客体标识符附录给出了包含与信息框架有关的所有定义的模块附录按字母顺序列出了本文件中定义的术语附录描述了应在名字设计中考虑的一些准则附录描述了访问控制的指南中华人民共和国国家标准信息技术开放系统互连目录第
5、部分模型国家技术监督局发布实施第一篇综述范围本标准中定义的模型为本系列标准的其他部分提供了有关概念和术语框架以便定义目录的各种概念功能和组织模型定义了可将目录在功能上和管理上分布的方法安全模型定义了一个框架在这个框架中目录可以提供诸如访问控制等安全特性信息模型描述的逻辑结构根据这种观点目录事实上应该是分布的不可见的而不应是集中的本系列标准中的其他部分使用信息框架概念尤其是目录提供的服务按信息框架的概念在中描述这就允许所提供的服务可以独立于的物理分布规定目录的分布式操作在中并提供服务维护由事实上高度分布的给出的逻辑信息结构引用标准下列标准中所包含的条文通过在本标准中引用而构成为本标准的条文本标准
6、出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型信息技术开放系统互连目录第部分概念模型和服务的概述信息技术开放系统互连目录第部分抽象服务定义信息技术开放系统互连目录第部分分布式操作规程信息技术开放系统互连目录第部分协议规范信息技术开放系统互连目录第部分选择属性类型信息技术开放系统互连目录第部分选择客体类信息技术开放系统互连目录第部分鉴别框架信息处理系统开放系统互连抽象语法记法一的规范定义各术语在其相应的各章开头定义为了方便引用在附录中给出了这些术语的索引缩略语公用机构的目录管理域属性值断定目录信息库目录信息树目录管理
7、域目录系统代理目录用户代理专用的目录管理域相关可辨别名第二篇目录模型目录模型定义访问点获得抽象服务的点公用机构的目录管理域由公共管理机构管理的注术语公用机构是指公用的远程通信管理机构或指提供公用的远程通信服务的其他组织公用管理机构对一个单一的目录系统代理内存储的所有客体进行公共管理控制的实体目录是一个关于客体的信息库它为其用户访问信息提供目录服务目录管理域由单个的组织管理的包含一个或多个以及零个或多个的集合目录系统代理一个应用进程它是目录的一部分目录用户目录的端用户即访问目录的实体或个人目录用户代理一个应用进程它代表一个正在访问目录的用户注也可以提供一些本地设施帮助用户编辑查询和解释响应专用的
8、目录管理域一个由某个组织管理的而不是由公用管理机构管理的目录及其用户目录用户例如一个人或一个应用进程通过访问目录得到目录服务更确切地说实际上是目录用户代理访问目录并与之交互使用为这个特定用户取得所要求的服务目录提供可以进行访问的一个或多个服务访问点见图所示图对目录的访问在中定义了目录所提供的服务目录是一个与客体有关的信息库它所提供给用户的目录服务涉及访问这些信息的各个种类通常将这些信息收集在目录信息库中本标准的第三篇中定义了的模型表示为一个应用进程在任何通信实例中每一个明确地代表一个目录用户注有些开放系统可以为实际用户例如应用进程人等等检索信息提供集中式功能但对目录来说这应该是透明的功能和一个
9、见可以共存于同一个开放系统并且在实现时可以选择是否将一个或多个作为环境的应用实体的本地行为和结构可能超出本系列标准讨论的范围例如表示个人目录用户的可以提供许多本地服务来帮助用户编辑查询和解释响应功能模型目录表示为由一个或多个称为目录系统代理的应用进程构成的集合其中每一个都提供零个一个或多个服务访问点目录的这种功能模型见图所示在这个图例中目录由多个构成即分布式目录分布式目录操作规程由规定注的本地行为和结构可能超出本系列标准讨论的范畴例如可以通过数据库来实现和维护的部分或全部信息这由本地来负责其接口图多个提供的目录在提供目录服务一个和一个或两个时需要交互作用的一对特定的应用进程可位于不同的开放系统
10、中这种交互作用通过规定的目录协议的方法来执行组织模型由单个组织管理的一个或多个和零个或多个的集合可以构成一个目录管理域注管理的组织可以是一个公用机构即公用远程通信管理或其他提供公用远程通信服务的组织此时的称作公用机构的相反由专门组织管理的则称为专用的但是由成员提供支持的专用的目录系统必须符合其国家规定的框架因此提供目录服务的公用机构既可以提供也可以不提供上述技术可能性专用的内部的操作和配置不属于考虑的范围由对实施的管理是指由对该的服务实施的实时管理例如由实施的对维护或某些情况下的所有权管理目录所涉及的组织可以自己决定是否选择使用本系列标准来管理和在内所有之间的交互作用每一个都由一个公用管理机构
11、来管理该客体对这个存储的所有客体项和别名项进行控制其中包括负责用于指导目录项的创建和修改的目录模式见第章名字的结构和分配由一个命名机构负责见而公用管理机构的作用则是按照目录模式实现这种命名结构第三篇信息模型目录信息库定义别名项一个包含用于为客体提供可替换名信息的别名类的项目录信息库目录所提供访问的信息的完整集合其中包含所有可通过目录操作阅读和操纵的信息段目录信息树可被看作是一棵树树的若干顶点根除外为目录项注只有在相关信息树结构的上下文中术语才可用来代替目录项的一部分包含与客体有关的信息直接上级与一个特定的项或客体该客体必须在预期上下文中清晰可辨相关的直接上级项或客体直接上级的项与一个特定项相关
12、的项它是中的某一弧的起点项该的终点就是该特定项的终点客体与一个特定客体相关的客体其客体项是第二个客体若干项客体或别名项的任何直接上级有意义的客体某一世界中的任何事物这里所说的世界通常是指远程通信和信息处理或是它们的某一部分并且它们是可标识的即可以命名的在中保持的信息应是有意义的客体类具有共享某些特性的已可标识的客体或可以设想的客体族客体项一个关于客体的项它在中具有最基本的信息集合并且在中可以表示这个客体子类与一个超类相关由一个超类导出的客体类子类的各成员都可共享另一个客体类它的超类的特性以及其超类成员所没有的附加特性下级与上级相反超类与一个子类相关的客体类从中可以派生一个子类上级适用于一个项或
13、客体的直接上级或为某个直接上级的递归上级客体目录的目的是收录某个世界中存在的有关客体的信息并提供对该信息的访问一个客体可以是这个可标识的可命名的世界中的任何事物注这里所说的世界通常是指远程通信和信息处理或是它们的某一部分目录中所说的客体可以不必完全与现实世界中的某一组实际事物相对应例如一个现实世界中的个人可以被看作两类不同的客体商业事务上的个人和作为居民的个人远非目录所关心本系列标准不定义二者之间的映射这属于是目录的用户和提供者在其应用上下文中的事情目录所提供访问的信息完整集合称作目录信息库可通过目录操作阅读或操纵的每条信息都应包含在中客体类是一个已标识的共享某些特性的客体或可设想的客体族每一
14、个客体至少应属于一个类一个客体类可以是另一个客体类的子类在这种情况下前一类子类的成员也是后者超类的成员一个子类可以是另一个子类的子类等等依次类推可以有任意多个子类目录项由目录项或称项组成而每个目录项都包含与单个客体有关描述的的信息对于任意的特定客体在中都有一个明确的客体项这就是有关该客体的最基本的信息集合该客体项表示了该客体对于任意特定客体除有与之对应的客体项外可能还有一个或多个与之对应的别名项用于提供可替换名见目录项的结构见图并在中描述每一个项包含一个与该项有关的客体类及其超类的指示在一个客体项的情况下它指示该客体所属的客体类在一个别名项的情况下它指示一个特殊的客体类即别名见中定义事实上这个
15、别名是一个别名项并且它也可以指示该项所属的别名客体类的子类目录信息树为满足一个庞大的的分布和管理要求保证在中无歧义性地命名这些客体见第章并建立其客体项平级结构不可能做到因此可以利用在各个客体例如在某个部门工作的个人而该部门又属于一个作为一个国家的总部的组织之间的公共建立的一种分级关系并将这些项安排进一个称作目录信息树的树中来实现注关于树结构的概念的术语见附录对中的各成分解释如下顶点代表项客体项既可以是叶顶点也可以是非叶顶点别名项通常为叶顶点根不代表项但方便起见例如下面定义和可将其看作是一个空客体项见弧定义了顶点即项之间的关系一条从顶点到顶点的弧的涵义是项为项的直接上级项直接上级相反项为项的直接
16、下级项直接下级一个特定项的上级项上级是指其直接上级项和其递归上级项一个特定项的下级项下级是指其直接下级项和其递归下级项一个项所表示的客体与其下级项的命名机构见第章密切相关根代表的命名机构的最高级别客体间的上级下级关系可从项之间的关系派生当且仅当第一个客体的客体项是第二个客体任何项的直接上级时则前一个客体是后一个客体的直接上级客体直接上级术语直接下级客体直接下级上级和下级适应于客体都具有其类似含义客体间允许的上级下级关系由结构定义来控制目录项定义属性与一个客体有关的某个特定类型的信息它存在于的项中并用于描述这个客体属性类型属性的成分指示由该属性给出的信息类属性值由属性类型指示的信息类的一个实例属
17、性值断定根据为类型规定的匹配规则一个命题可以为真假或未定义并与特定类型的属性值或可辨别值的一个项中的显现有关注在本文件中记法串串用于写下记录属性值断定的示例在这个记法中串是一个属性类型的名字的缩写而串则是一个恰当的值的正文表示尽管在这些示例中属性类型常常依赖于中定义的实际类型例如代表国家代表公共名但这并不防碍本文件的目的因为目录本身并不需知道所用的属性类型的含义可辨别值项中的一个指定出现在该项中的相关可辨别名的属性值总体结构如图所示项由一组属性构成每一个属性都提供关于与该项对应的客体的信息或描述与该项对应的客体的特定特性注可以在项中出现的属性示例包含客体的个人名字等命名信息以及电话号码等寻址信
18、息属性由属性类型及相应属性值构成其中属性类型标识属性给出的信息类而属性值则为项中出现的该类属性的特例至少要求一个值图项的结构属性类型某些属性类型在国际上是标准化的其他属性类型则由国家公用管理机构或专门组织定义也就是说各个独立的管理机构将负责以某种方式分配属性类型并保证所分配的属性类型能够相互区别这是通过在定义类型如描述时用客体标识符标识每个属性类型来完成的项中的所有属性都必须具有可以区别的属性类型目录可以拥有和使用多种属性类型其中包括每一个项中都包含这种类型的属性并指示客体所属的客体类及其超类每一个别名项中都包含这种类型的属性并且具有这个别名项所描述的客体的可辨别名见这些属性部分地在中定义必须
19、或可以在一个项除中提及的项以外中出现的属性类型由适用于指定客体类的规则来控制属性值属性类型的定义见也包括规定该属性中的每一个值都必须遵循的语法以及此后的数据类型这可以是任意数据类型在属性的各个属性值中至多只能有一个属性值可被指定为可辨别值在这种情况下这个属性值则出现在该项的相关可辨别名中见一个属性值断定是一个命题根据为类型规定的匹配规则它可以为真假或者未定义并与特定类型的属性值或可辨别值的一个项中的显现有关包含一个属性类型和一个属性值该属性值断定可以是未定义的如果是下面任何一种情况属性类型是未知的用于该类型的属性语法没有等价的匹配规则属性值不符合该属性语法的数据类型注和通常指示一个错误的可以作
20、为一种本地情况出现例如一个特定的没有登记这个特定的属性类型真如果该项包含这个类型的一个属性其中有一个值与该值匹配如果该判定只与可辨别值有关则被匹配的值必须是可辨别的那一个注值的匹配是为了寻求等价并且包含与属性语法有关的匹配规则假其他情况名字定义别名或备用名中有两者客体的一个名字由中的一个或多个别名项提供还原引用使用客体的可辨别名来取代客体的别名一个客体的可辨别名客体名字之一由该客体项以及它的每个上级项的序列组成目录名可从所有其他客体中提取一个特殊客体的一种结构目录名必须是无歧义性的即它只能表示一个客体但不必是唯一的即无歧义性地表示客体的只是名字声称名一种属于语法上的目录名结构不作为合法名使用命
21、名机构负责目录名分配的机构客体项位于中的非叶顶点的每一个客体都与一个命名机构密切相关相关可辨别名由关于某个特定项的可辨别值的属性值断定构成的一个集合并且每一个属性值断定都为真通用名目录名是一种结构它从所有客体的集合中标识一个特定的客体名字必须是无歧义性的它只能表示一个客体但名字并不一定是唯一的无歧义性的表示该客体的只是名字从语法上讲表示客体的每一个名字都是一个相关可辨别名的有序序列见目前只有一种可能性注以其他方法构成的名字可能在将来扩充树根的名字为空序列客体名的每一个初始下级序列也是客体名这样标识的从根顶点开始到被命名的客体结束的客体序列中的每一个客体都是其后一个客体的直接上级声称名为语法上的
22、一种名字结构不作为一个合法名使用相关可辨别名每一个项都有一个唯一的相关可辨别名而每一个都是一个由关于这个项的可辨别值的属性值断定所构成的集合并且每一个属性值断定都为真集合含有对项中的每一个可辨别值的恰当的断定具有一个特定直接上级所有项的都是不同的它由与该项的相关命名机构负责并通过恰当地分配可辨别属性值来保证注一个项通常包含单个可辨别值并且只由单个组成但在某些特定的情况下为区别起见可以使用附加的属性值和在建立一个项时选择该项的任何属性类型的一个单值实例都可作为该的一部分这主要取决于所表示的客体类的性质的分配由公用管理机构考虑并自行决定是否要求与所涉及的组织或公用管理机构进行协商本标准并不提供这样
23、的协商机制也不设想如何进行协商如果必要可以通过完全取代的方式进行修改注一般假定具有较长的有效期这样目录用户可以在目录中存储客体的可辨别名而不必考虑它的过期作废情况因此改变必须小心可辨别名一个给定客体的可辨别名由表示该客体的项及其所有的上级项的按递减次序构成的序列加以定义由于客体与客体项之间的关系是一一对应的也可考虑用客体的可辨别名来标识这个客体项注人们应优先选择用户友好的客体可辨别名定义了基本名的概念一个可辨别名可被用作它所标识的客体的基本名这是因为它是明确的它是唯一的目录用户不必当然可以了解其内部结构即序列的语义因为客体的可辨别名只包含客体项和其上级项所以决不会包含别名项可以方便地定义根和别
24、名项的可辨别名尽管在这两种情况下它们都不是任何一个客体的名字也不是任何一个客体的可辨别名根的可辨别名可被定义成一个空序列而别名项的可辨别名可以按递减的方式定义成别名项及其所有的上级项的序列图给出了和可辨别名概念的示例图可辨别名的判定别名客体的别名或备用名是一个名字在其中至少有一个是属于别名项的别名允许客体项可有多个直接上级因此说别名为替换名提供了基础正如客体的可辨别名表示某些具有分级结构的客体间的基本关系一样别名通常表示一个不同分级结构的客体的替换关系在中具有一个项的客体可以有零个或多个别名所以可以有多个别名项指向同一个客体项别名项可以指向非叶项的客体项只有客体项才可以有别名因此不允许使用别名
25、的别名别名项没有下级也就是说别名项是一个叶项目录可在别名项中使用有别名的客体名属性来标识和寻找相应的客体项目录模式定义目录模式由与结构客体类定义属性类型以及表征的语法等有关的规则和约定构成的集合结构规则形成目录模式部分的一种规则它使一个客体类下级与另一个客体类上级之间建立一种联系并允许在中的前一类的项作为后一类的项的直接下级该规则也控制下级项的中允许出现的属性类型并可以施加附加条件该模式可以包含多种这样的规则概述目录模式是一组有关的结构项的可能的命名方式项中可能有的信息以及用于表示该信息的属性的定义和约定构成的集合注例如目录模式可以使得目录系统具有以下能力防止建立错误客体类的下级项例如把国家作
26、为某人的下级防止为某个项增加不符合客体类要求的属性类型例如为某一个人项增加一个序号防止为某个属性类型增加不适合其语法定义的属性值例如为一位串增加一可打印串目前并不提供目录模式的动态管理机制在通常情况下目录模式包含下列内容组成的集合结构定义规则它定义目录项可能具有的可辨别名以及通过在各有关项之间建立联系的方式客体类定义它定义在某个给定类的项中必须的或可能出现的一组必备的和可选的属性见属性类型定义它标识客体的标识符通过该标识符可以知道这个属性语法以及是否允许该属性具有多个值属性语法定义它按数据类型和匹配规则定义每一个属性图在一侧概括了模式定义之间的相互关系在另一侧则概括了目录项属性和属性值图目录模
27、式概述如同本身目录模式也是分布的每一个公用管理机构都要建立与它所管理的那一部分相应的部分目录模式注本系列标准的这个版本不支持跨越由不同的公用管理机构管理的的模式信息的分布这种分布必须通过双边协定来进行公共性处理在结构客体类属性类型以及属性语法的定义中包含的规范将分别在条到条中给出结构定义结构规则定义了目录项之间允许的分级关系及其结构规则的定义包括标识下级和上级客体类标识下级项的中可以包含的属性类型可选的附加信息仅当存在一个可用于包含一个项的部分的目录模式中的定义时目录才允许一个项作为另一个项其直接上级的直接下级在这种情况下则该项是下级客体类该项的直接上级是上级客体类构成该项的的属性类型是那些所
28、允许的属性类型由附加信息所施加的任务条件都可满足注本系列标准暂不提供归档结构或在中表示结构规则的技术细节如果结构规则允许下级或上级属于某个特定的类则也隐含了除非显式强插允许这些下级或上级属于由该类派生的任何客体类目录为中的每一个项实施定义的结构规则任何违背可用的结构规则面对的企图修改都将产生失败一个下级客体类所适用的规则称作该客体类的名字联编对于一个由中的某一部分项所表示的客体类来说在目录模式的可用部分中至少应包含一个用于该客体类的名字联编而目录模式则可根据要求包含附加的名字联编客体类定义客体类定义包含可以有选择的为客体类分配一个客体标识符指出该客体类是哪些客体类的子类除了该客体类的所有超类中
29、必备的属性类型外还应列出该客体类的项包含的必备属性类型除了该客体类的所有超类中可选属性类型外还应列出该客体类的项包含的可选属性类型注一个没有分配客体标识符的客体类可被本地用作在某个预选定义的超类中增加新的属性类型的一种手段这种增加允许有多种可能性例如一个公用管理机构可以定义一个未登记的客体类以便允许用户为该项增加任何已登记的属性公用管理机构可以把一个特定客体类的项的属性限制到本地保持的列表属性它也可以为一个特定的客体类设立除已登记的客体定义所要求的属性外必备的某些特定属性一种特定客体类所有其他的客体类都是它的子类这个客体类称作并在中定义每一个项都应包含一个类型为客体类的属性用以标识客体类及其项
30、所属的超类给出该属性的定义该属性可以有多个值对于该客体类及其由客体标识符定义的每一个超类的属性都有一个值但只要有其他值出现顶的值则不必出现当创建该项时客体类属性的所有值由用户规定注要求将每一个项中的客体类属性要求反映在的定义中因为客体类可被看作属于其所有的超类在一直到的超类链中的每一个成员都由客体类属性的一个值来表示并且链中的任一个值都与一个筛选器匹配客体类属性由目录来管理即用户不能修改这个属性目录为中的每一个项实施定义的客体类任何违背该项的客体类定义修改目录项的试图都将失败注在特殊情况下目录将防止在为客体类的项增加的客体类定义中缺少属性类型在所建立的项中缺少一个或多个用于该项的客体类的必备属
31、性类型删除用于该项的客体类的必有的属性类型特定客体类在中定义每一个别名项都有一个作为该类的子类的客体类注在目录中重新引用别名项保证了难得看见的别名项的客体类属性的值推荐从没有分配标识符的中派生出恰当的别名客体类以下宏定义可以但不是必须用于定义一个客体类允许的空产生式只用于定义在中所列定义的各个部分的相关性以及在该宏定义中引入的记法的各部分介绍如下该客体类的客体标识符为宏定义中的值分配所支持的值该客体类的超类是由产生式标识的那些子类即跟随在之后的那些客体类必备的属性是由产生式产生的客体标识符列表所标识的那些属性即跟随在之后的那些属性可选的属性是由产生式产生的客体标识符列表所标识的那些属性即跟随在
32、之后的那些属性注在和中的客体标识符分别标识各个属性和属性集合见上面两种情况下的实际列表为二者的联合如果一个属性同时出现在必备集和可选集中则认为是必备的中将给出用于定义选择客体类的宏定义如果在宏定义中引入的以及在上面和中描述的所有记法段都为空则结果记法可以用来表示任何可能的客体类属性集合是一组由一个客体标识符标识的属性的集合属性集合的定义包含为该集合分配一个客体标识符列出该属性的以及其成员共同构成的其他属性集合的客体标识符以下宏定义可以但不必用于定义宏定义用的属性集合属性集合的定义的各个部分的相关性及在宏定义中引入的记法介绍如下分配给该属性集合的客体标识符为宏定义中的值分配所支持的值包含该属性集
33、的属性集合由该属性集和由产生式即跟随在之后的属性所标识的属性的集合而联合构成如选择空替换记法则结果的记法可用来表示任何可能的属性集合目前所涉及的客体类在和中定义注这些只是定义的一部分在中为这些客体类实际分配客体标识符以便为本系列标准中的这些客体标识符提供一个单一的分配点客体类的定义如下客体类的定义如下注客体类并不为别名项的规定合适的属性类型公用管理机构可以为类规定一个子类以便为别名项的规定有用的属性类型见类的子类的项为别名项属性类型定义属性类型定义包含为属性类型分配一个客体标识符为属性类型指示或定义属性语法指示这个类型的属性是否只有一个或一个以上的值递归目录保证指示的属性语法用于该类型的每一个
34、属性如果定义该类型的属性只有一个值则目录也保证该类型的属性在项中可以有一个且仅有一个值以下宏定义可以但不是必须的用于定义一个属性类型中所列的定义的各个部分的相关性以及在该宏定义中引入的各个记法段介绍如下分配给该属性类型的客体标识符为宏定义中的值分配所支持的值用于该属性类型的属性语法由产生式指示它或者指向一个单独定义的属性语法或者由给定的类型和匹配规则显式地定义一个属性语法见如果采用单独标识的属性语法则可以有选择地为其后的串类型或整数类型的取值范围限定一个大小如果产生式为则属性为单值的相反如果产生式为则属性可以有一个或多个值注在中该宏定义用来定义所选的属性类型如果选择该类型的空替换记法则结果记法
35、可用来表示任何可能的属性类型目录可以知道而且可以使用在中标识的属性类型这些属性类型定义如下注这些只是定义的一部分在中为这些属性类型实际分配客体标识符以便为本系列标准中的这些客体标识符提供一个单一的分配点在以上定义中引用的属性语法本身则在中定义属性语法定义属性语法的定义包含可以有选择地为属性语法分配一个客体标识符按照的属性语法为其指示一个数据类型为当前值和中拥有的目标属性值之间的匹配而定义适当的规则对于一个特定的属性语法可以定义下列部分或全部匹配规则或不定义相等可用于任何属性语法当前值应符合该属性语法的数据类型子串可用于任何具有串数据类型的属性语法当前值应是一个序列其中的每一个元素都符合该属性类
36、型排序可用于任何具有可以定义的规则允许当前值小于等于或大于目标值的属性语法当前值应符合该属性语法的数据类型如果没有定义等价匹配规则目录则将这个属性语法的属性目标值按处理即目录不检验这些值是否符合该属性语法所指示的数据类型不按这种属性类型将当前值与目标值进行匹配注目录不允许在可辨别名中使用这样的属性也不允许修改某个特定的值如果定义了等价匹配规则目录则将这个属性语法的属性目标值按为该属性语法指示的数据类型所定义的类型来处理只按照为这个属性语法定义的匹配规则进行匹配只匹配中规定的合适的数据类型的当前值以下宏定义可以但不是必须用来定义属性语法中所列的定义的各个部分的相关性以及在该宏定义中引入的各个记法
37、段介绍如下分配给该属性语法的客体标识符为宏定义中的值分配所支持的值该属性语法的数据类型为语法产生式所指示的即跟随在宏定义名之后的那些数据类型如果在产生式包含则定义的匹配规则是等价的如果包含则定义为子串如果包含则定义为排序如果产生式为空则不定义匹配规则如果选择空替换记法则结果的记法可用来表示任何可能的属性语法注该宏定义本身并不实际定义匹配规则这种实际定义必须通过自然语言或其他方法来完成在中该宏定义用于定义所选的属性语法本条定义中使用的属性语法注这些只是定义的一部分在中为这些属性语法实际分配客体标识符以便为本系列标准中的这些客体标识符提供一个单一的分配点定义如下等价匹配规则已在客体标识符的类型定义
38、中定义定义如下当且仅当以下所有条件为真时当前可辨别名值与目标可辨别名值等价每一个可辨别名中的的数目都相同相应的具有相同的数目相应的即具有相同的属性类型的那些具有等价匹配的属性值在这种匹配中属性值即当前值或目标值与包含这些属性值的可辨别名具有相同的作用第四篇安全模型安全目录所处的环境是各个管理机构都可以提供对中的有关信息段的访问这样的访问应服从中的相应信息段所处的安全区域的安全策略见这里着重指出安全策略的两个特定组成部分授权策略的定义鉴别策略的定义在目录上下文中授权的定义包括以下几种方法规定访问权限实施访问权限即访问控制维护访问权限在目录上下文中鉴别的定义包括对以下几种的验证方法验证的身份及目录
39、用户验证在一个访问点上收到的信息的始发方的身份所收到的信息的完整性是本地事件但必须迫使符合安全策略并不定义安全策略附录描述了规定访问权限的指南定义了鉴别规程和可以通过请求签名对始发方提供强有力的鉴别提供请求的数据完整性同样通过签名结果对响应方提供强有力的鉴别通过签名结果提供最终的数据完整性可以在和之间进行简单身份签别也可以在两个之间进行简单身份鉴别使用目录的应用的公用管理机构可以使用自己的安全策略目录可以通过拥有通信实体的鉴别信息即可辨别名口令和证明支持这些应用在中将对其作进一步描述附录提示的附录树的数学原理树是一组称作顶点点和一组从顶点到顶点的称作弧的直线每个弧从顶点引向顶点例如在上图中树有
40、个顶点分别记为到和条弧分别记为到顶点和顶点分别称为从至到的弧的初始顶点和终止顶点例如和分别为弧的初始顶点和终止顶点几条不同的弧可以有相同的初始顶点但不能有相同的终止顶点例如弧和具有同一个初始顶点但却没有任何两条弧具有同一个终止顶点不是任何一条弧的终止顶点的那个顶点通常称作根顶点或称为该树的根例如上图中的顶点即为根不是任何一条弧的初始顶点的那些顶点通常称作叶顶点或称为该树的叶例如上图中的和顶点即为叶从顶点到顶点的有向路径是一组弧的集合其中为弧的初始顶点为弧的终止顶点并且弧的终止顶点同时为弧的初始顶点其中例如从顶点到顶点的有向路径为弧的集合在这里术语路径一般是指从树根到树叶的一条有向路径附录提示的
41、附录客体标识符的用法本附录提供了本系列标准中分配的全部子树客体标识符这是通过提供一个称为模块来实现的通过它可为子树中的所有非叶结点分配名字信息客体的分类模块同义词附录提示的附录符合的信息框架该附录总结了本标准中包含的所有类型值和宏定义该定义构成了模块属性数据类型至少要求有一个值命名数据类型目前只有一种可能性宏GB/T 16264.2-199日SubclassOf : : =SUBCLASS OFSu Subclasses : : =Subclass I Subclass .咆ubclassesSubclass : :=value(OBJECT-CLASS) MandatoryAttribute
42、s : : =悦USTCONT AIN Attributes叩门emptyOptionalAttributes : =MAY CONTAIN (Attributeslempty Attributes : =AttributeTerm I AttributeTerm. Attributes AttributeTerm : =Attribute I AttributeSet Attribute : : =value(ATTRIBUTE) AttributeSet : : =value (A TTRIBUTE-SET) END A TTRIBUTE-SET -MACROS BEGIN TYPE NO
43、T ATION : : =CONT AINS 忧ttribut田叩IemptyVALUE NOTATION :=value(VALUE OBJECT IDENTIFIER) Attributes : : =AttributeTerm I AttributeTerm飞Attributes AttributeTerm : =Attribute I AttributeSet Attribute : : =value(ATTRIBUTE) AttributeSet END : : =value (A TTRIBUTE-SET) ATTRIBUTE MACROS BEGIN TYPENOTATION :
44、 =AttributeSyntax Multivalued lempty VALUENOTATION :=value(VALUE OBJECT IDENTIFIER) AttributeSyntax : : =叫IVITHATTRIBUTE-SYNT AXSyntaxChoi臼M uItivalued : : =咆INGLEVALUEIMULTI VALUE咐mptySyntaxChoice : :=v创ue(ATTRIBUTE-SYNTAX)Constraint Itype Match Types Constraint :=气ConstraintAlternative叩IemptyConst
45、raintAlternative : : =StringConstraint I Int咿rConstraintStringConstraint : : =SIZE (SizeConstraint) SizeConstraint : =SingleValue I Range SingleValue : =value(INTEGER) Range : : =value (INTEGER) .以value(INTEGER) IntegerConstraint : : = Range MatchTypes : : =MA TCHES FORMatches I empty Matches : : =M
46、atch Matches I Match Match : =咀QUALITYI咆UBSTRINGSI ORDERING END ATTRIBUTE-SYNT AX MACRD BEGIN TYPENOTATION : =Syntax MatchTypes lempty 21 客体类属性类型属性语法附录提示的附录定义的索引该附录按英文字母顺序列出了在本标准中定义的全部术语并给出定义这些术语的章条索引访问点第章公用机构的目录管理域第章别名第章别名项第章属性第章属性类型第章属性值第章属性值断定第章目录第章目录项第章目录信息库第章目录信息树第章目录管理域第章目录名第章目录模式第章目录系统代理第章目录用
47、户代理第章可辨别名第章结构规则第章项第章直接下级第章直接上级第章名字第章命名机构第章客体第章客体类第章客体项第章专用的目录管理域第章声称名第章相关可辨别名第章下级第章上级第章附录提示的附录名字设计准则信息框架是非常通用的它允许在中有任意变化的项和属性因为正如所定义的名字与通过的路径密切相关这也就是说名字的任意变化是完全可能的本附录只是建议在名字设计中应考虑的一些准则中给出了在设计推荐的名字格式时所采用的恰当的准则建议在合适的情况下设计新的命名时也使用这些规则这里只提出一种准则即用户友好性准则注并不要求所有的名字都是用户友好的人类必须直接使用的那些名字是用户友好的所谓用户友好名字是指名字是面向人
48、类用户的而不是面向计算机的是指人们可以方便地进行推想记忆和理解的名字而不是为了计算机解释方便用户友好的目标可用下面两条原则来加以准确说明人类通常可以根据正常拥有的客体信息来正确地猜测这个客体的用户友好名字例如人们能猜出通过正常商业联系偶然得到的信息才给出的一个商人的名字当歧义性地规定了一个客体名字时目录应认识到这一事实即不能断定该名字标识了一个特定客体例如如果有两个人具有相同的姓则认为这个姓不足以标识其中任何一个人从用户友好的目标中还可以得出如下子目标不能人为地删去名字的自然含糊字例如如果有两个人具有相同的姓则其中任何一个都不可能响应或请求取而代之的是命名约定将提供一种用户友好的区分这两个实体
49、的方法例如除姓以外还可以要求提供名和中间名等附加信息允许名字具有常用的缩写和拼写变化例如如果某人受雇于康威钢铁公司某人的雇主名字可以表示在某人名字内和中的任一个名字都足以标识请求的这个组织在某些情况下别名可用于指向对某个特定项的搜索以便是用户更友好的或减小搜索的范围下面的示例说明了如何为此目的使用别名见图所示位于京都的分部也可由名字日本大阪大阪分部来标识图别名示例如果名字包含多个部分则必备部分和可选部分的数目应尽可能小并且应便于记忆如果名字包含多个部分各部分的次序并不十分重要用户友好的名字不应包含计算机的地址附录提示的附录访问控制概要根据保护信息的访问控制策略目录用户应确保在为其规定的访问控制权限内访问中的信息在本系列标准中访问控制作为本地事件但是应该知道在具体实现中应该引入控制访问的手段在本系列标准的未来版中将定义标准的建立维护以及应用访问控制信息的手段本附录描述了以下访问控制的原则并给出两种可能的访
