1、ICS 3510070L 79 a亘中华人民共和国国家标准GBT 1 626412008ISOIEC 95941:2005代替GBT 1626411996信息技术 开放系统互连 目录第1部分:概念、模型和服务的概述Information technology-Open Systems Interconnection-The Directory-Part 1:Overview of concepts,models and services(ISOIEC 95941:2005,Information technology-Open SystemsInterconnection-The Direct
2、ory:Overview ofconcepts,models and services,IDT)2008-07-28发布 2009-01-01实施宰瞀熙紫瓣訾糌瞥星发布中国国家标准化管理委员会仅111GBT 162641-2008ISOme 9594-1:2005前言引言1范围2规范性引用文件3术语和定义4缩略语5约定6 目录概述7目录信息库(DIB)8目录服务9分布式目录-10目录的访问控制一11服务管理12目录复制一13 目录协议14 目录系统管理附录A(规范性附录) 目录的应用目 次工1l2344579坫M12GBT 1626412008lsomc 9594-I:2005前 言GBT 1
3、6264专翥荔豢羹叠骘篓了逖拶图5(续)GBT 162641-2008ISOIEC 95941:200512请求注1:图5d)中的DSAA和DSA C都应当是LDAP响应者。替代方案是这两个DSA中的任何一个可以是LDAP服务器。注2:返回给LDAP客户机的转向推荐必须是LDAP转向推荐的形式。d)图5(续)图6a)6c)示出DSA的单一链接方式,这种方式下,在返回响应之前,请求能够通过多个DSA。7、Dl JA、,请求,响应注:左侧的DSA,除了可支持本部分中的其他任何协议外,还必须是一个LDAP响应者。b)图6单链接GBT 162641-2008ISOIEC 9594-1:2005注:图中
4、的DSA,除了可支持本部分中的其他任何协议外,还必须既是一个LDAP响应者,又是一个LDAP请求者。c)图6(续)图7a)7c)显示了多链接方式。在这种方式下,DSA联合DUA和LDAP客户机将请求发送到两个或多个其他DSA和或LDAP服务器上,发送到每个DSA或LDAP服务器上的请求是相同的。一、NNLDAP客户机、请求_n响应a)注:图中左侧的DSA,除了可支持本部分中的其他任何协议外,还必须是一个LDAP响应者b)图7多链接13GBT 162641-2008IS011EC 95941:2005注:图中左侧的DSA,除了可支持本部分中的其他任何协议外,还必须既是一个LDAP响应者,又是一个
5、LDAP请求者。c)图7(续)所有的方法都有其价值。例如,当希望降低本地DSA的负荷时,可采用图5b)和5d)中的方法。在其他环境下,可使用一种结合了多种功能交互集合的混合方法来满足发起者的请求,如图8a)和8b)显示的那样。一、j 请求DUA一一、 j 响应 、并发的多链接请求b)图8混合模式混合途径,:!10目录的访问控制GBT 162641-2008ISOIEC 9594-1:2005注:目录访问控制模型在GBT 1626422008中定义。对目录信息的访问由一些管理控制的安全策略来决定。对目录的访问有影响的两个安全策略的方面是鉴别过程和访问控制方案。支持目录的鉴别过程和机制包括验证和传
6、播身份的方法,在必要时,可使用这些方法对DSA、目录用户、访问点所接收信息的发起者等的身份进行验证和传播。通用的鉴别过程在GBT 162648-2008中定义。支持目录的访问控制方案的定义包括这样一些方法:指定访问控制信息、执行该访问控制信息所定义的访问权限以及维护访问控制信息等。访问权限的执行指的是对DIT结构相关的目录信息、目录用户信息以及包括访问控制信息在内的目录操作信息等的访问做出控制。GBT 1626422008定义了一个特定的访问控制方案(或者潜在为多个),它被认为是目录的“基本访问控制”。主管当局在实现其安全策略时,可以使用该方案的全部或部分内容,或者可以根据他们的判断力自由地定
7、义他们自己的方案。基本访问控制方案提供了一种方法来控制对DIB中的目录信息(潜在地,包括结构信息和访问控制信息)的访问。对信息的访问控制保护了信息不被非授权地检测、泄漏,或对信息进行修改等。对信息的访问控制可用来防止非授权的检测、泄漏或对信息的修改等。GBT 1626422008为目录定义了3种特定的访问控制方案,它们被称为“基本的访问控制”、“简化的访问控制”和“基于规则的访问控制”。主管当局在实现其安全策略时,可使用全部或部分方案,或者可根据他们的决定自由地定义他们自己的方案。基本的访问控制方案提供了一种途径来控制对DIB中的目录信息(潜在地,包括结构信息和访问控制的信息)的访问。简化的访
8、问控制方案提供的功能是基本访问控制方案的一个子集。基于规则的访问控制方案,提供了一些基于许可和标记的附加途径来控制对DIB内目录信息(潜在地,包括结构信息和访问控制信息)的访问。基于规则的访问控制方案能够与简化的或基本的访问控制方案共同使用,或者独自使用。目录的基本访问控制模型为每个操作都定义了一个或多个点,在这些点上可执行访问控制决定。每个访问控制决定包括:在目录中正在被访问的组件,可以是一个完整的复合条目;发起操作请求的用户;组成操作完整部分的必要的特定权限;以及控制对该条目访问的安全策略。目录的基于规则的访问控制模型为每个操作都定义了一个或多个点,在这些点上可执行访问控制决定。每个访问控
9、制决定包括:与用户访问请求相关的清晰说明;与被访问的信息相关的安全标记;控制该访问的安全策略规则,这些规则定义了根据给定的清晰说明和安全标记之间的关系,访问是否应当被拒绝。11服务管理GBT 1626422008中定义的目录抽象服务,向用户提供了浏览和阅读目录信息的有效的方法。本标准提供了广泛的服务管理能力,允许管理机构能够管理和限制向用户提供的业务。管理机构需要限制和调整提供给用户的业务,可有如下一些原因:主管当局知道它所拥有的信息的质量。为了提高目录搜索成功的速度,并且确保只返回高质量的信息,主管当局应能够限制在一个搜索过滤器中允许出现的属性类型,以及什么样的信息可以返回等。1 5GBT
10、162641-2008ISOliec 95941:2005为了保护在检测和清除信息方面的投资,主管当局可根据采用信息的用户类型,以及所提供的特定类型的服务等,对可返回的信息执行非常严格的限制。一个主管当局可想要保护信息不被非法使用,例如为了大规模的市场目的,提取某个特定街道上的所有人员信息,或者提取某个特定职业的所有人员信息等。比使用访问控制还要更大可能地保护个人数据。这种情况包括返回假的邮政地址,不允许在搜索时使用非常短的字符串,不允许在搜索时使用某些属性的组合,或者不允许搜索某些组合,等等。对于所提供的服务使用什么样的限制以及如何进行适应等,取决于服务的用户群。12目录复制注:目录复制在S
11、OIEC 9594 9:2005中定义。121综述目录的复制指的是除了对信息创建和修改负有责任的DSA外,在其他DSA内也存在对目录条目信息和操作信息的拷贝。包含原始信息的DsA被称为主DSA。在构建目录系统时可以定义其不使用复制的信息。目录信息的复制服务是为了满足两类通用需求,一类与目录所提供的服务质量相关,另一类与目录系统的管理相关。对目录条目信息部署额外的拷贝,可用于提高目录所提供的服务质量,体现在以下方面:a) 通过将目录信息移到与特定的目录用户“更近的”地点,来提高目录系统的性能;b)通过引入冗余的目录信息和目录组件,使得一个单独组件的失效不会影响到对DIT中同一部分信息的所有访问,
12、这样可以提高目录服务的可用性。对目录条目信息部署额外的拷贝,可用于对目录信息的管理,体现在以下方面:a)方便某些操作信息(如知识)的分布;以及b)可通过拷贝目录的某个组件中拥有的信息来重建另一个组件中的信息,这样就为从严重的系统故障中进行恢复提供了一种机会。122 目录复制的形式目录组件所拥有的复制的条目信息有3种形式:高速缓冲拷贝、影像信息和多主实现。高速缓冲拷贝是目录的一个组件获取的条目信息的拷贝,其使用方法不在本系列目录规范中定义。影像拷贝是目录的一个组件获取的目录信息的拷贝,其使用方法在ISOIEC 95949:2005中定义。多主实现是在一个给定的目录条目集中,为每一个条目都维护了多
13、于一个的可写实例。每一个可写的目录条目的拷贝是完整的(即它拥有所有的用户属性和DSA共享的操作属性)。严格地说,仅有一个实例可被定义为允许目录将其标识为最基本的主实例,以便支持一种场景的部署,在这种场景中,有必要执行对单一DSA的更新(例如当增大某个用做计数器的属性值时)。目录组件获取某个条目的可写拷贝的方式以及在修改后这些可写拷贝如何保持一致性的方式,不在本部分的范围之内。只有在信息最初提供时所达成的策略或商定中允许时,DsA才可保持从其他DSA中获取到的信息。一个保持了这些信息的DsA只有在与信息的访问控制策略相符合的情况下,才可将这些信息提供给DUA和或LDAP客户机。如果已知对某信息没
14、有阅读方面的访问控制,则在信息提供时可认为是允许阅读的。一个拥有高速缓冲信息或影像信息的DSA,会将所有可能修改拷贝信息的请求传送到拥有该信息的主DSA。一个拥有拷贝信息的DSA会将所有指示了不能使用该拷贝信息的请求传送到拥有该信息的主DSA。在使用高速缓冲信息或影像拷贝信息响应搜索请求时,拥有该信息的DSA会指示此拷贝信息曾经用来满足过此请求。】6GBT 162641-2008ISOIEC 95941:2005分别负责两个DSA的主管当局间可建立一个影像商定,根据商定,一个影像提供者DSA将向另一个影像使用者DSA提供约定的DIT中某部分的影像信息。如果在影像信息获取的影像商定中允许的话,影
15、像使用者本身还可以作为一个影像提供者,与其他DSA之间再建立信息影像商定。除了对影像使用者所拥有的条目信息的拷贝提供修改外,影像提供者也可提供一些操作信息(如知识)给影像使用者。在任何影像商定中,典型的要被复制的信息包括下面3个元素:从DIT的一棵子树中复制的条目信息;要对复制信息提供完全的阅读访问,需要一些相关的操作信息,包括访问控制信息;一些从属的知识信息(可选项)。复制信息可组成子树内完整信息的一个子集,在该子集内:可通过仅仅指定客体类的某些条件来选择条目;在每个条目内,可根据属性的详细说明来选择屑性;在每个属性内,可基于属性值的上下文来选择属性值。123 目录信息的复制和一致性当一个特
16、定属性的所有拷贝都相同时,则称目录具有致性。有时,一致性可以需要妥协,因为在目录内,影像信息可存在临时的不一致性,而高速缓冲信息可存在永久的不一致性。高速缓冲的条目信息可与目录中直接对信息进行修改的组件所存储的信息是不一致的,并且这种不一致可以是不确定的。与之相反,影像使用者所拥有的影像信息,可以根据影像商定中已约定好的时间表与影像提供者所拥有的相应信息达成一致。基本的要素是包含在一个单独客体条目实例中的信息在内部应当是一致的。任何复制机制都应当与维护复制信息内部一致性以及服务可靠性的机制共同实现。目录定义了模式过程来确保一个条目信息的内部一致性。另外一个基本的要素是允许DIT在DSA问分布的
17、知识信息应当是正确的。任何复制机制都应当与维护知识信息正确性以及服务可靠性的机制共同实现。目录定义了如何使用DSA所需的最少的知识信息的过程来确保每个DIT视图的一致。在目录信息被复制的环境下,目录对获得一致性没有特别的时间限制。影像信息的使用者应当高度信任其一致性,因为:影像信息在内部是一致的;将影像信息与DIT视图相关联起来的知识是正确的;以及被影像的条目最终将变得与主DSA中的条目一致起来。124复制视图本条描述了一些不同的方法,利用这些方法,当前存在的目录复制信息将提供给下列各方:a) 目录用户;b)管理用户以及c) 目录(DSA)的操作组件。1241 目录用户视图由于目录操作的自然特
18、性,一般来说,复制的信息将与主DSA中所拥有的信息保持一致。因此,在一般情况下,返回给最终用户的信息拥有可接受的自然特性,而该信息是否是一个拷贝并不重要。应当总是通知目录用户条目的拷贝信息是否能够满足用户的请求。在用户有特别严格的需求或者用户能够检测到不一致性时,用户可以选择请求访问主DSA所拥有的信息。因此,可向目录的用户提供两种选择,一种是性能和可用性提高,代价是偶然会收到过时的信息;另一种是具有最大程度的信息时效性,但代价是性能和可用性会潜在地降低。1 7GBT 162641-2008ISOEC 9594-1:20051242管理用户视图管理用户负责对DSA所拥有的信息和所提供的服务进行
19、管理。为了执行这种管理功能,管理用户需要相应的工具来进行监视、控制并对DSA的服务进行优化等。支持复制的DSA标准化能力(和本地能力)是管理用户可用的一种主要工具,用来优化DSA提供的服务。1243 DSA视图尽管DSA能够检测出复制信息与主DSA所拥有的信息的不同,但一般来说,它用同样的方法来使用这两种信息,即它选择使用两种信息中的哪种信息来满足用户的搜索请求,取决于哪个信息最为方便使用。在这种主信息与复制信息的同等性上,有两个例外:DSA将仅使用条目信息来满足修改DIB的请求;当搜索请求明确表示复制信息不可接受时,将仅使用条目信息来满足搜索请求。另外,由于可知道本地所拥有的信息是部分的(见
20、122条),因此一个DSA可将请求转到另一个能更好提供所需信息的DSA上。注:一个DSA可以包含从多个源获得的复制信息,这些复制信息之间可存在交叉。在这种情况下,DSA必须分别维护每个信息,如同复制时提供的一样。125复制和访问控制访问控制模型允许对DIT的一个域定义访问控制信息。这个域可跨越DSA的边界。如果一个域包含了多个DSA,则每个DSA都将拥有相应的访问控制信息。任何时候,当条目被复制给其他DSA时,访问控制信息也必须被复制。13目录协议注:允许处于不同开放系统中的DUA和DSA间协作的目录协议在GBT 162645 2008中定义。有4种目录协议:目录访问协议(DAP),该协议定义
21、了一个DUA与一个DSA间对请求和结果的交互;目录系统协议(DSP),该协议定义了两个DSA间对请求和结果的交互;目录信息影像协议(DISP),该协议定义了两个建立了影像商定的DSA间对复制信息的交互;目录操作绑定管理协议(DOP),该协议定义了两个DSA间为管理它们之间的操作绑定而对管理信息的交互。每个协议都被定义为一个协议元素集。例如,DAP包括与搜索和修改目录相关的协议元素。14目录系统管理注:目录系统管理在ISOIEC 959410:2005中定义。141综述目录管理的目的是确保所需的、正确的目录信息能够在预定的期望的响应时间内提供给用户,并具有完整性、安全性和某种程度的一致性等。此外
22、,系统管理的实现还应当对平台和通信系统带来最小的处理时间负荷和内存负荷。目录的管理可分为如下4个主要部分:a)对DIT域的管理:管理目录信息;b)对单个DSA操作的管理;c)对单个DUA的管理;以及d)对DMD的管理目录功能组件的集中管理。系统管理规范定义了前3部分。目录管理域(DMD)的管理有待进一步研究。】8GBT 1626412008IsOIEC 9594-1:2005142 DIT域的管理目录中的用户属性由目录访问协议(DAP)进行管理。操作属性也可由DAP进行管理。这些属性包括信息框架中的属性、子模式(subschema)属性、访问控制属性以及DsA信息树中的属性、知识等。知识的管理
23、还可使用目录操作绑定管理协议(DOP)、目录信息影像协议(DISP)以及目录系统协议(DSP)等。143目录组件的管理系统管理规范定义了在目录域内用于管理目录组件(DUA和DSA)的OSI系统管理的被管客体。对这些目录组件的管理可使用公共管理信息服务和协议来实现。一些目录或管理服务没有实现的管理需求,可以通过本地定义的服务来实现。GBT 162641-2008lsOIEC 9594-1:2005A1目录环境附录A(规范性附录)目录的应用注:本章中提到的术语“网络”指的是它的通用含义,即表示与任何电信业务相关的一系列相连的系统和进程,而不仅仅是指与OSI网络层相关的系统和进程。目录所处的环境(并
24、且在这种环境下提供服务)如下:a)许多电信网络规模都很大,并且在不断地发生着变化,如:1)各种类型的客体会在没有任何通告的情况下进入或离开网络,而且可以是单独的,也可以是成组地进入或离开;2) 由于客体(尤其是网络节点)之间的路径被增加或删除,因此它们之间的连接性会发生改变l3)客体的各种特性,如它们的地址、可用性、物理位置等,在任何时间都可发生变化。b)尽管发生变化的整体频率比较高,但任何一个特定客体的有用的生命周期并不短。一个客体被典型地包含在通信中的频率将远高于它变化的频率,如地址、可用性、物理位置的变化等。c) 当前通信服务中所包含的客体,典型地被表示为数量类型或其他符号的字符串类型,
25、这些类型的选择是从便于定位和处理的角度出发,而不是从便于人使用的角度出发的。A2目录服务特性对目录能力的要求在增长,体现在:a) 要求尽可能将网络用户从频繁改变的网络中分离出来。这可通过在用户和他们所处理的客体之问放置一个“间接级别”来实现,包括用户在引用客体时通过名字来引用,而不是通过地址来引用等。目录提供必要的映射服务。b)要求提供一个更“用户友好的”网络视图,例如使用别名、指配黄页(见A35)等,可以在查找和使用网络信息时帮助减轻负担。目录允许用户获取关于网络的各种各样的信息,并且提供对信息的维护、分布和安全性。A3目录的使用方式注:本章仅关注目录搜索,假设目录修改服务仅仅是应用程序在必
26、要时用来维护DIB的。A31综述在系列目录规范中,对目录服务是这样定义的:DUA能够发出的特定请求以及请求中的参数。但对于一个应用设计者来说,当考虑到该应用对目录信息搜索的需求时,希望能有一种更加面向目标的术语。本节相应地描述了一些目录服务的高层使用方式,这些目录服务可与许多应用是相关的。A32查找直接的目录查找包括提供了客体的可辨别名以及一个属性类型的DUA。目录将返回与该属性类型相应的任何值。这是传统的目录功能的一般化定义,当所要求的属性类型与某个特定的地址类型相符合时将获得信息。各种类型地址的属性类型已被标准化,包括OSI-PSAP地址、消息处理OR地址以及电话和电报号码等。查找由阅读服
27、务支持,该服务还提供如下更进一步的一般化服务:查找可基于客体的可辨别名之外的客体名字,如别名等。20GBT 162641-2008ISOIEC 9594-1:2005在一个请求内,可以请求多个属性类型的值,极端的情况是一个条目内的所有属性值都被返回。可基于上下文(如某个组织名称的法语值)请求一个属性的某个特定的值。A33用户友好的命名给客体赋予的名字最好是能够让人类能够预知到(或可记住)的名字。具有这种特性的名字一般来说可以由客体本身所特有的、内在的属性来组成,而不是专门为了起名而虚构一个。客体的名字在所有引用该客体的应用中是相同的。A34浏览在许多面向人的目录使用中,对用户(或DuA)来说,
28、直接提供包含要搜索信息的客体名称有时是不可能的,而不管名字是用户友好的还是不友好的。然而,有可能是这种情况,即用户“如果看到它就知道是它”。这时,就需要浏览能力来允许用户在DIB中浏览查找合适的条目。浏览应用可以通过联合列表和搜索服务,同时也可联合阅读服务(尽管搜索业务已经包含了阅读能力)来完成。A35黄页有多种途径可以提供黄页类型的能力。最简单的一种是基于过滤的,即使用关于某些特定属性的断言,这些属性的值是有分类的(GBT 162646中定义的“商务类别”属性类型)。这种方法除了要确保存在一些必要的属性外,不会要求在DIT中建立任何特别的信息。然而,在一般情况下,当人数众多时,这种搜索可是昂
29、贵的,因为过滤可要求对全集进行过滤。一个可替代的方法是建立一棵特定的子树,这棵子树的命名结构是特别为黄页类型的搜索而设计的。图A1中示出一个黄页子树的例子,这棵子树仅具有别名条目。在具体实现时,黄页子树中的条目可以是混合了客体和别名条目的条目,只要对每个存储在目录中的客体而言仅存在一个客体条目即可。例如国家J、, 、 、组织 、象攀,jII n、秣 翻豢滁缎湍藤、 叁曩善辫汐 J 二誊;i薯够叠霉习弋 。_臻。_i夕_:_二二二_ 飞。二羔图A1一种黄页的方法A36搜索限制和放宽在许多搜索请求中,信息搜索的最初尝试结果将返回太少或者太多的信息。目录包括了这样一些指配功能,可以允许将搜索“放宽”
30、以便获得更多的成功机会(如自动执行语音匹配的第二轮搜索,而不是严格的字符串匹配),或者将搜索“收紧”以便减少“命中”的数量。目录还允许使用本地的、更适合的匹配规则来替代可应用的标准的匹配规则。21GBT 162641-2008ISOIEC 9594-1:2005例如,利用地理信息来匹配某地点和所存储地点的匹配规则,可替代一个字符串匹配规则来使用。这两种方法也可以组合使用。如果一个严格的地理匹配不会产生任何结果(如匹配“Warfield”和“Braeknell”可失败,没有任何结果),则基于一个放宽的地理匹配可成功(如匹配“Warfield”与“Bracknell”时,将其放宽为包含Brackn
31、ell以及周围相邻的村庄,包括Warfield,则匹配就会成功)。放宽还可用于扩展黄页搜索的能力,即使用更通用的类别来替代特定的类别。例如,“餐馆”作为一个字符串不能与“中国餐馆”相匹配,但是可通过匹配规则的替换或放宽来达到匹配目的。A37分组分组是这样一个集合,该集合内的成员可通过显式地增加和删除而发生变化。分组是一个客体,它的成员也都是客体。能够请求目录提供如下功能:指示一个特定的客体是否为一个分组内的成员;列出一个分组内的所有成员。对分组的支持可以通过在条目中包含一个具有多个值的“成员”属性(这样的属性类型在GBT 1626462008中定义)来实现。上述提到的两个功能可以分别通过对该属
32、性的比较和阅读功能来实现。如果对应用程序来说是有意义的,则分组内的成员本身还可以是一个分组。然而,除了所提供的非递归版本外,DUA还必须创建一个必要的递归证明和扩展服务。A38鉴别许多应用程序要求客体在被允许执行某些动作之前,还需要提供一些证明来验证它们的身份。目录提供了对该鉴别过程的支持(作为一个分离的事务,目录本身也会要求对它的用户进行鉴别,以便支持访问控制)。一种被称为“简单鉴别”的更直接的鉴别方式,是基于这样一种情况目录在条目中为每个希望鉴别自己的用户拥有一个“用户口令”属性。在服务请求中,目录将证实或否认用户所提供的特定值是用户真正的口令。这就避免了用户为每一个服务都需要一个不同的口
33、令。在使用简单鉴别的本地环境中,对口令进行交互被认为是不适当的,在这种情况下,目录可以可选地提供方法来保护这些口令不被某个单向功能重放或错误地使用。一种被称为“强鉴别”的更复杂的鉴别方式,是基于公钥密码系统的。在这种方式中,目录存储了用户的公共密钥,并防止被窜改。用户从目录中获取彼此的公共密钥并使用密钥来相互鉴别的步骤,在GBT 1626482008中详细描述。A39基于属性的定位许多应用程序都要求能够快速检测到拥有特定属性值的条目是否存在;如果检测到有这样的条目存在,则要求快速查找并返回这些条目。在一个包含单个DSA的目录中,这种能力是直接的。然而,在一个分布式的目录中,基于属性的搜索可以会
34、有问题,主要问题在于对搜索执行时间的上限很难控制。对上述需求的一个相对简单的解决方法可以应用在DSA集已知且被合作管理的环境下。为了支持对某个特定属性的快速搜索,一个单独的DSA(或者特定的DSA集合)能够被配置为拥有一个过滤后的包含这些关注的属性在内的复制域。这样搜索操作可被限定在一个单独的DSA上,该DSA将快速提供“有”或“没有”的答案,如果条目存在,还将提供该条目的主DSA的相关知识。复制在ISOIEC 1626492005中详细讨论。A4一般应用A41综述有许多一般的应用可被假设为是目录隐含支持的,这些应用不是专门应用于某一个特定的电信服务的。这里描述了两个这样的应用:个人间通信目录
35、和系统间通信目录(OSI)。注:在丸38中描述的作为一种访问方式的鉴别,也可以被认为是一种通用的目录应用。22GBT 162641-2008ISOIEC 9594-1:2005A42个人闻通信本应用的目的是为个人或其代理提供如何与其他人员或分组内人员进行通信的信息。本应用包含下述客体类:个人、组织角色和分组。其他类(如国家、组织、组织单元等)也可被包含,但可不是直接包含。除了那些用在命名中的属性类型外,这里涉及的属性类型主要是地址类属性。典型地,某个特定个人的条目中将拥有与每种通信方式相适应的地址,通过这些地址可访问到该人员,其中至少应包括电话、电子邮件、电报、ISDN、物理投递(如邮政系统)
36、、传真等的号码(地址)。在某些情况下,如电子邮件地址,条目中还应当具有一些附加的信息,如用户设备可以处理的信息类型等。如果支持鉴别,则需要用户口令和或证书。用于各种客体类的命名方案应当是用户友好的,适当时候还可建立别名以提供一个替代名称,在名字改变后别名不变以保持连贯性等。本应用中可出现下述访问模式:查找、用户友好命名、浏览、黄页和分组。为了使级别多样化,也可以使用鉴别。A43系统问通信(用于OSI)根据OSI参考模型,在OSI中要求有两个目录功能,一个在应用层,将应用实体名映射到表示层地址;另一个在网络层,将NSAP地址映射到SNPA地址(SNPA:子网附着点)。注:本条后续部分,仅描述应用层功能。如果完成映射所需的信息通过其他方法不方便获得,该功能通过咨询目录完成。用户是应用实体、所关注的客体类或子类。除了那些用于命名的属性类型外,这里涉及的属性类型主要是表示层地址。其他对本目录功能本身来说不是必需的属性类型,能够支持验证或查找应用实体类型,或者所支持的应用上下文列表、抽象语法列表等。鉴别相关的属性类型也可以是相关的。
