1、ICS 35.1.01 L 79 中华人民共和国国家标准GB/T 18237.4-2003/ISO/IEC 11586-4: 1996 信息技术开放系统互连通用高层安全第4部分:保护传送语法规范Information technology一Opensystems interconnection Generic upper layers security一Part 4: Protecting transfer syntax specification CISO/IEC 11586-4: 1996 , IDT) J吵82003-07-02发布2003-10-01实施号楼中华人民共和国告国家质量监督
2、检验检瘦总局鹊GB/T 18237.4-2003/ISO/IEC 11586-4: 1996 前言GB/T 18237在信息技术开放系统互连通用高层安全的总标题下,目前包括以下几个部分z第1部分(即GB/T18237.1):概述、模型和记法;第2部分(即GB/T18237.2):安全交换服务元素(SESE)服务定义;第3部分(即GB/T18237.3):安全交换务元素(SESE)协议规范,第4部分(即GB/T18237.4):保护传送语法规范.本部分为GB/T18237的第4部分,本部分等同采用国际标准ISO/IEC11586-4,1996信息技术开放系统互连通用高层安全2保护传送语法规范)(
3、英文版)。本部分由中华人民共和国信息产业部提出。本部分由中国电子技术标准化研究所(CESD归口。本部分起草单位g中国电子技术标准化研究所(CESD。本部分主要起草人s郑洪仁。回GBfT 18237.4-2003fISOfIEC 11586-4.1996 ISOjIEC前言ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(他们都是ISO或IEC的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息
4、技术,ISO和IEC建立了一个联合技术委员会,即ISO;IECTCl 0由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准,至少需要75%的参与表决的国家成员体投票赞成。国际标准ISO;IEC11586-4是由ISO/IECTCl信息技术联合技术委员会的SC21开放系统互连、数据管理和开放分布式处理分技术委员会与ITU-T共同制定的。等同文本为ITU-T建议X.833:。E ISO;IEC 11586在信息技术开放系统互连通用高层安全总标题下,目前包括以下6个部分=一一第1部分概述、模型和记法g一一第2部分z安全交换服务元素。ESE)服务定义事一第3部分:安全交换服
5、务元素(SESE)协议规范g一一第4部分z保护传送语法规范z第5部分2安全交换服务元素协议实现一致性声明(PICS)形式表s第6部分z保护传送语法协议实现致性声明(PICS)形式表。GB/T 18237.4-2003/ISO/IEC 11586-4 :1 996 引言本部分是系列标准的一部分,该系列标准给出了一组设施,以帮助构造能支持提供安全服务的高层协议。本系列标准的各部分如下g第1部分z概述、模型和记法,一一第2部分a安全交换服务元素服务定义g一一第3部分s安全交换服务元素协议规范,第4部分g保护传送语法规范,-一第5部分s安全交换服务元素PICS形式表g一一第6部分z保护传送语法PICS
6、形式表。本部分为该系列标准的第4部分。V GB/T 18237.4-2003/ISO/IEC 11586-4: 1996 信息技术开放系统互连通用高层安全第4部分:保护传送语法规范1 范围1. 1 GB/T 18237定义了一组在OSI应用中帮助提供安全服务的通用设施。它们包括2a) 一组记法工具,这组工具支持抽象语法规范中的选择字段保护需求的规范,并支持安全交换和安全变换规范zb) 应用服务元素(ASE)的服务定义、协议规范和PICS形式表.它们支持在OSI的应用层内提供安全服务;c) 安全传送语法的规范和PICS形式表,这些语法与支持应用层中的安全服务的表示层相关。1.2 GB/T 182
7、37的本部分定义了保护传送语法,这种语法与用来支持应用层中的安全服务的表示层有关。2 规范性引用文件下列文件中的条款通过GB/T18237的本部分的引用而构成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注目期的引用文件,其最新版本适用于本部分。GB/T 9387. 1-1998信息技术开放系统互连基本参考模型第1部分z基本模型(idtISO/ IEC 7498-1 ;1 994) GB/T 15695一1995信息技术开放系统互连面向连接的表示服务定义。dtISO
8、/IEC8822: 1994) GB/T 15696-1995信息技术开放系统互连面向连接的表示协议z协议规范(idtISO 8823: 1988) GB/T 17965-2000信息技术开放系统互连高层安全模型(idtISO/IEC 10745 ;1 995) GB/T 18237.1-2000信息技术开放系统互连通用高层安全第1部分2概述、模型和记法(idt ISO/IEC 11586-1 ;1 996) ISO/IEC 8824-1: 1995 信息技术抽象语法记法I(ASN.1):基本记法规范ISO/IEC 8824-2 ;1 995 信息技术抽象语法记法I(ASN.1):信息客体规范
9、ISO/IEC 8824-3: 1995 信息技术抽象语法记法l(ASN.1):约束规范ISO/IEC 8824-4 ;1 995 信息技术抽象语法记法l(ASN.l):ASN.1规范的参数化ISO/IEC 8825-1: 1995 信息技术ASN.l编码规则z基本编码规则(BER)、典型编码规则(CER)和区分编码规则(DER)规范3 术语和定义3.1 本部分采用GB/T9387. 1-1998中定义的下列术语:传送语法transfer syntax。3.2 本部分采用GB/T15695-1995中定义的下列术语z抽象语法abstract syntax; G/T 18237.4-2003/I
10、SO/IEC 11586-4 :1 996 一一表示上下文presentatton context; 一一表示数据值presentation data value o 3.3 本部分采用GB!T17965-1995中定义的下列术语s一安全联系securityassocation; 一一安全变换security transformationo 3.4 本部分采用GB!T18237. 1-2000中定义的下列术语g一一表示上下文结合安全联系presentaton context-bound securty association; 单项结合安全联系single-item-bound securit
11、y association; 一外部建立的安全联系externally-established security association; 一初始编码规则inital encoding rules; 一-保护表示上下文protecting presentation context; 一保护传送语法protecting transfer syntaxo 4 缩暗语GULS 通用高层安全OSI 开放系统互连PDU 协议数据单元PDV 表示数据值PICS 协议实现一致性声明5 -般概述保护传送语法概念已在GB!T18237.1-2000中作了介绍.本部分定义了通用保护传送语法。本部分能与特定的安全变
12、换定义一起使用,以生成满足特定应用保护要求的特定保护传送语法。注g为了与非安全有关的目的,该通用保护传送语法在提供数据压缩时也可能是有用的.然而,这种使用不在本部分的范围之内.该通用保护传送语法以GB!T18237. 1-2000中描述的安全变换模型为基础。保护传送语法的目的是为了传送而对下列信息项提供一种标准手段z一一将安全变换的编码过程用于待保护的未保护项表示所产生的已变换项,一一要保护的安全变换静态和动态参数,它们通过安全变换的编码过程而得到保护(以及未保护项的表示),未保护的安全变换静态和动态参数g一一在下列情况之一的保护表示上下文的第一个PDV.或除表示上下文之外发送的要保护的PDV
13、,a) 在表示上下文结合安全联系或单项结合安全联系情况下的安全变换标识符pb) 在外部建立安全联系情况下的该安全联系的标识符。保护传送语法的用法由表示协议协商或在ASN.1 EXTERNAL或EMBEDDEDPDV结构中给出,它适用于任何抽象语法,这可以使用ASN.l或由其他方法规定。对协商或给出的保护传送语法的客体标识符在第9章中规定。保护传送语法是与上下文有关的传送语法,即在编码器和解码器中保留状态。5.1 保护传送语法的模型图1说明了与编码系统中的保护传送语法有关的操作步骤(当然要遵循编码系统中的相应操作步骤).该图比GB!T18237.1-2000中的图更详细。的当适用时。要保护数川未
14、保护参撞叫变换标识符时安全联)样识带怕这两种编码过程可以合并。GB/T 18237.4-2003/ISO/IEC 11586-4 , 1996 未保护项(ASN.l值图1在编码系统中的保护传送语法结构5.2 初始编码规则初始编码过程(在编码系统中)和相应的解码过程(在解码系统中)在抽象语法与未保护语法之间进行映射。适用于这种过程的规则被称作是初始编码规则。注2对于以ASN.l为基础的抽象语法,这种映射一般要使用各种不同的ASN.l编码规则。单值编码规则(例如ASN.I典型编码规则或区分编码规则)应适用于变换是数据功能的地方(它也可以分别发送),特别是使用中继系统时。供保护传送语法用的初始编码规
15、则如下za) 如果在使用中的安全变换提供以状态(要保护或未被保护的)参数形式用来运送一组特定编码规则的标识符,而且,如果该参数存在于可用的第一个PDV字段中,则使用这些编码规则g否则b) 使用由可用的安全变换定义的&initialEncodingRules字段提出的编码规则。5.3 安全变换所使用的安全变换按下列两种方法之一确定sa) 当PDV传送与表示上下文结合安全联系或单项结合安全联系有关时,则该安全变换标识符以传送语法结构的形式连同该安全联系中的第一个PDV一起运送gb) 当PDV传送与外部建立的安全联系有关时,则安全变换标识符就是该安全联系的一个属性。安全变换的这些规则指出,为了传送,
16、用户数据的位串和保护参数值集是如何映射到ASN.I 值的。5.4 语法结构保护传送语法定义了用来运送安全变换编码过程得到的数据结构,以及安全变换或安全联系(适用时)未保护参数和标识符。被传送的数据结构具有下列各种不同情况:a) 在表示上下文结合安全联系中的保护表示上下文的第一个PDV,或单项结合安全联系中的某一个PDV;b) 在外部建立安全联系的情况下,保护表示上下文的第一个PDV,或除表示上下文之外发送的要保护PDV;G/T 18237.4-2003/ISO/IEC 11586-4 ,1 996 c) 在保护表示上下文中的连续PDVo6 保护传送语法用的戴据结构保护传送语法使用的一组数据结构
17、由下列ASN.l模型中的ASN.l类型SyntaxStructure定义。该SyntaxStructure类型由客体集ValidSTs(它是SECURITY-TRANSFORMATION客体的结合)进行参数化。当提供了ValidSTs的值,以及相应的安全变换规范时,SyntaxStructure类型就变成为具体保护传送语法的一个完整语法规范。GenericProtectingTransferSyntaxjoint-iso-ccitt genericULS(20) modules( 1) genericProtectingTransferSyntax(7) DEFINITIONS AUTOMAT
18、IC TAGS : = BEGIN EXPORTS SyntaxStructure , IMPORTS notatlOn FROM Objectldentifiersjoint-iso CCltt genericULS(20) modulesO) objectldentifiers(O) SECURITY-TRANSFORMA TION. ExternalSAID FROM Notation notation; SyntaxStructure SECURITY -TRANSFORMA TION: ValidSTs : : = CHOICE firstPdvExplicit FirstPdvEx
19、plicit ValidSTs门,一一用于表示上下文结合或单项结合安全联系情况下的,一保护表示上下文的第一个PDV或除表示上下文之外发送的要保护PDVofirstPdvExternal FirstPdvExternal ValidSTs. 一一一用于外部建立安全联系情况下的,一保护表示上下文的第一个PDV或除表示上下文之外发送的要保护PDVosubsequentPdv SubsequentPdv ValidSTs 一一用于保护表示上下文中的连续PDV。FirstPdvExplicit SECURITY -TRANSFORMA TION: ValidSTs): = SEQUENCE transf
20、ormationld SECURITY-TRANSFORMA TION. &sT-Identifier (ValidSTs) staticUnprotParm SECURITY -TRANSFORMA TION. StaticUnprotectedParm ( ValidSTs) transformationld) OPTIONAL. GB/T 18237.4-2003/ISO/IEC 11586-4 , 1996 dynamicUnprotParm SECURITY -TRANSFORMA TION. &DynamicUnprotectedParm ( ValidSTs) (transfor
21、mationld) OPTIONAL. xformedData SECURlTY -TRANSFORMATION. &.XformedDataType (ValidSTs) (transformationld) FirstPdvExternal SECURITY-TRANSFORMA TION, ValidSTs : = SEQUENCE externalSAID ExternalSAID. dynamic U nprotParm SECURITY-TRANSFORMA TION. &DynamicUnprotectedParm (ValidSTs) )OPTIONAL. -VaJidSTs的
22、实际成分隐含在externalSAID中xformedData SECURITY-TRANSFORMATION. &.XformedDataType (ValidSTs) ) 一-ValidSTs的实际成分隐含在externalSAID中SubsequentPdv SECURlTY-TRANSFORMA TION, ValidSTs : = SEQUENCE dynamicUnprotParm SECURlTY-TRANSFORMA TION. &DynamicUnprotectedParm (ValidSTs) )OPTIONAL. xformedData SECURITY-TRANSFOR
23、MATION. &.XformedDataType (ValidSTs) ValodSTs的实际成分隐含在表示上下文中END 7 与下层协议合用当在表示PDU中直接运送时(如在GB/T15696-1995中规定的那样).或当在EXTERNAL或EMBEDDED PDV ASN. 1结构中嵌入时(如在ISO/IEC8824-1,1995中规定的那样).则SyntaxStructure类型的合适的值使用自传送语法客体标识符隐含的编码规则进行编码,如果由缺省隐含(见第9章).则使用ASN.l基本编码规则编码。当与GB/T18237.1-2000中描述的PROTECTED或PROTECTED-Q记法的
24、直接选项一起使用时,则作为SyntaxStructure类型的ASN.l就引人tlJ外围协议的ASN.l.因此使用决定该协议的编码规则来编码。8 同步规程当按照会话服务规范建立同步点时,就应将全部状态信息保存起来。当发生再同步时,就应恢复状态信息。注1本部分规定了关于再同步的状态恢复.无表示上下士恢复的等效操作没有在本部分中给出。注2,就接收和作用于所有新的动态参数变化的接收实体而言,对该同步点的再同步可以导致发送实体不可靠。如GB/T 18237.4-2003/ISO/IEC 11586-4,1 996 果发生这种情况,则要对发送实体再同步,以便使动态参数重新建立起正确的值。9 窑体标识符分
25、配给本部分中定义的保护传送语法分配如下客体标识符zjoint-iso-itu-t genericULS(20) generalTranferSyntax(2) 这种客体标识符的用法没有要求-组特定编码规则用来对SyntaxStructureASN. 1值进行编码,但ASN.l基本编码规则应按缺省使用。当一组特定编码规则必须用来对SyntaxStructureASN. 1值进行编码时,为了使用,则要给本部分中定义的保护传送语法分配附加客体标识符。可以约定标准ASN.l编码规则规范(例如在ISO/IEC8825-1,1995中定义的那些规程)中的任一个。应使用下列约定。该客体标识符用下列前缀开始:
26、joint-iso-itu-t generic ULS( 20) specific TranferSyntax( 3) 其余字段的值是相同的,在通常的ASN.l编码规则情况下,这些值的前缀均为2joint-iso-itu-t asnl (1) 注:例如.客体标识符joint-iso-itu-tgenercULS(20)spe口ficTranferSyntax(3)ber( 1)约定采用基本编码规则,而害体标识符joint-iso-ccittgenericULS( 20)叩ecificTranferSyntax(3) b町、deried(2) distinguished-encoding ( 1 ) 则约定采用区分编码规则。10 一致性声称与本部分一致的系统,当使用由ASN.l客体标识符对第6章中给出的GenericProtecting TransferSyntax模块标识的保护传送语法时,应支持合适的ASN.l以及任何相关的约定。
