GBT16264.3-1996信息技术开放系统互连目录第3部分抽象服务定义.docx
本标准等同采用国际标准ISO/IEC9594-3;1990信息技术开放系统互连目录第3部分:抽象服务定义和IS0/IEC9594-3:1990/Cor.1:1990信息技术开放系统互连目录第3部分:抽象服务定义技术修改1、IS0/IEC9594-3:1990/Cor.2:1990信息技术开放系统互连目录第3部分:抽象服务定义技术修改2、ISO/IEC9594-3:1990/Cor.3:1990信息技术开放系统互连目录第3部分:抽象服务定义技术修改3,以及ISO/IEC9594-3:1990/COr.4:1990信息技术开放系统互连目录第3部分:抽象服务定义技术修改4.根据ISO/IEC9594-3:1990/Cor.1:1990,本标准对7.6.2.1、7.8.2、7.8.3.2、8.1.1.K8.1.2.1.2、12.9.2和附录A作了修改。根据ISO/IEC9594-3:1990/Cor.2:1990,本标准对7.3.1、9.3.4、9.3.6和附录A作了修改。根据ISO/IEC9594-3:1990/Cor.3:1990,本标准对7.3.1、7.3.2.6和附录A作了修改。根据ISO/IEC9594-3:1990/Cor.4:1990,本标准对7.8.3.4、8.1.1、8.1.2.L2、12.1.2和附录A作了修改。通过制定本标准,为用户定义了目录所提供的外部可视服务。GB/T16264在信息技术开放系统互连目录总标题下,目前包括以下8个部分:第2部分(即GB/T 第3部分(即GB/T 第4部分(即GB/T 第5部分(即GB/T 第6部分(即GB/T 第7部分(即GB/T 第8部分(即GB/T第1部分(即GB/T16264.1);概念、模型和服务的概述16264.2):模型;16264.3):抽象服务定义;16264.4):分布操作过程;16264.5):协议规范;16264.6):选择属性类型;16264.7):选择客体类;16264.8):鉴别框架。本标准的附录A和附录B均是标准的附录。本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位:电子工业部标准化研究所、华北计算技术研究所。本标准主要起草人:冯惠、李卫国、黄家英、郑洪仁。ISO/IEC前言ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术,ISO和IEC建立了一个联合技术委员会,即ISO/IECJTCI,由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准至少需要75%的参与表决的国家成员体投票赞成。国际标准ISO/IEC95943是由ISO/IECJTCl“信息技术”联合技术委员会制定的。ISO/IEC9594在信息技术开放系统目录总标题下包括以下8个部分:一一第1部分:概念、模型和服务的概述一一第2部分:模型第3部分;抽象服务定义第4部分:分布式操作规程一第5部分:协议规范一-第6部分:选择属性类型-第7部分:选择客体类一第8部分;鉴别框架本部分包含2个附录:附录A和附录B构成了ISO/IEC9594-3的一部分。引言0.1本标准连同本系列标准的其他部分一起,便于提供目录服务的各类信息处理系统的互连。所有这样的系统连同它们所拥有的目录信息,可以看作一个整体,称为“目录”。目录中收录的信息总称为目录信息库(DIB),并用于简化诸如OSI应用实体、人、终端,以及分布列表等客体之间的通信。0.2目录在开放系统互连中具有极其重要的作用,其目的是允许在互连标准之外使用最少的技术协定,完成下列各类信息处理系统的互连: 来自不同厂家的信息处理系统; 处于不同管理的信息处理系统; 具有不同复杂程度的信息处理系统; 不同年代的信息处理系统。0.3本标准定义了目录为其用户提供的能力。0.4附录A给出了包含所有与抽象服务有关的定义的ASNJ表示模块。中华人民共和国国家标准信息技术开放系统互连目录第3部分:抽象服务定义-GB/T F62643=t 丹 6 idt ISO/IEC 9594-3:1990InformationtechnologyOpensystemsinterconnection-1hedirectoryPart3:AbStraCtservicedefinition第一篇综述1范围1.1 本标准按抽象方法定义了目录所提供的外部可视服务。1.2 本标准并不规定具体实现或产品。2引用标准下列标准中所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB9387-88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)GB/T16264.1-1996信息技术开放系统互连目录第1部分:概念、模型和服务的概述(idtISO/IEC9594-1:1990)GB/T16264.21996信息技术开放系统互连目录第2部分:模型(idtISO/IEC9594-2:1990)GB/T16264,4-1996信息技术开放系统互连目录第4部分;分布式操作规程(idtISO/IEC9594-4:1990)GB/T16264.5-1996信息技术开放系统互连目录第5部分:协议规范(idtISO/IEC9594-5:1990)GB/T16264.6-1996信息技术开放系统互连目录第6部分:选择属性类型(idtIS0/IhvVDv4-.IvVt)GB/T16264.7-1996信息技术开放系统互连目录第7部分:选择客体类(idtIS0/IEC9594-7:1990)GB/T16264.8-1996信息技术开放系统互连目录第8部分:鉴别框架(idtISO/IEC9594-8:1990)GB/T162621996信息处理系统开放系统互连抽象语法记法一(ASN.1)规范(idtISO/IEC8824:1990)GB/T16284.31996信息技术文本通信面向信报的文本交换系统(MOT【S)第3部分:抽象服务定义约定(idtIS0/IEC10021-3:1990)IS0/IEC9072-1:1989信息处理系统文本通信远程操作第1部分:模型、记法和服务定义国家技术监督局1996-03-22批准1996-10-01实施ISO/IEC9072-2:1989信息处理系统文本通信远程操作第2部分:协议规范3定义3.1 基本目录定义本标准使用GB/T16264.1中定义的下列术语:a)目录DireCtoryb)目录信息库(DIB)DirectoryInformationBasec)(目录)用户(Directory)User3.2 目录模型定义本标准使用GB/T16264.2中定义的下列术语:a)目录系统代理(DSA)DirectorySystemAgentb)目录用户代理(DUA)DirectoryUserAgent3.3 目录信息库定义本标准使用GB/T16264.2中定义的下列术语:a)别名项aliasb)目录信息树(DlT)DirectoryInformationTreec)(目录)项(Directory)entryd)直接上级immediatesuperiore)直接上级项/客体immediatelysuperiorentry/objectf)客体ObjeCtg)客体类ObjeCtclassh)客体项objectentryi)下级subordinatej)上级superior3.4 目录项定义本标准使用GB/T16264.2中定义的下列术语:a)属性attributeb)属性类型attributetypeC)属性值attributevalued)属性值断定attributevalueassertion3.5 名字定义本标准使用GB/T16264.2中定义的下列术语:a)别名alias,aliasnameb)可辨别名distingushednamec)(目录)名(directory)named)声称名purportednamee)相关可辨别名relativedistinguishedname3. 6分布式操作定义本标准使用GB/T16264.4中定义的下列术语:a)链接chainingb)参照指示referral3.7抽象服务定义本标准定义下列术语:3.7.1 筛选器filter对一个目录项的某些属性的值是否出现的断定,以便限制搜索的范围。3.7.2 服务控制servicecontrols作为抽象操作的一部分被运送的参数,它限制其性能的各个方面。3.7.3 始发者originator发起操作的用户。4缩略语本标准使用下列缩略语:AVA属性值断定DIB目录信息库DIT目录信息树DMD目录管理域DSA目录系统代理DUARN目录用户代理相关可辨别名5约定本标准使用GB/T16284.3中定义的抽象服务定义约定。第二篇抽象服务6目录服务概述6.1 正如GB/T16264.2中所述,目录服务是通过DUA的服务访问点来提供的,每一个访问动作代表一个用户,其原理如图1所示。图1对目录的访问6.2 原则上说,目录的访问点可以具有不同的类型,提供不同的服务组合。重要的是可以将目录看成是一个客体,并支持多个类型的端口。每个端口定义目录与DUA之间一类特定的交互(作用),而每个访问点则负责一组特定的端口类型的组合。6.3 使用ISO/IEC8505-3中定义的记法可将目录定义如下:directoryOBJECTPORTSreadPortSSearchPortSmodifyPortSJ:=id-ot-directory目录通过以下各种端口提供操作:读端口(ReadPOrtS),支持从DIB中某个特定命名的项中读信息;搜索端口(SearchPOrtS),允许对DIB进行探查;修改端口(Modifyports),允许对DIB中的项进行修改。注:可望未来有其他类型的目录端口。6.4 与此类似,(从目录的角度来看),可将DUA定义如下:duaOBJECTPORTSrcadPortCSearchPortCmodifyPortCU=id-ot-duaDUA使用目录所提供的服务。6.5 可将6.2到6.4中援引的端口定义如下:readPortPORTCONSUMERINVOKES(Read5Compare5Abandon:=id-pt-readsearchportPORTCONSUMERINVOKESList,Search):=id-pt-SearchmodifyPor(PORTCONSUMERINVOKESAddEntry,RcmoveEntry,ModifyEntry,ModifyRDN):=id-pt-modify6. 6readPortSearChPOrt以及modifyPort的操作分别在第9、第10和第11章中定义。6.7这些端口只作为目录服务描述的一个构造方法来使用。与目录操作的一致性在GB/T16264.5中予以规定。7信息类型7. 1综述7.1.1 本章标识和在某些情况下定义后面的目录操作定义中使用的若干信息类型,这里所涉及的信息类型是那些用于多种操作,或在将来用于多种操作的通用信息类型,或者使用这些信息类型定义更复杂的或自包含的信息类型。7.1.2 某些用于定义目录的信息类型在其他地方定义。7.2中标识这些类型并指出其定义的来源,其他各条(7.3到7.10)则分别标识和定义信息类型。7.2在其他标准中定义的信息类型。7.2.1以下信息类型在GB/T16264.2中定义:a)属性;b)属性类型;C)属性值;d)属性值断定;e)可辨别名;f)名字;g)相关可辨别名。7.2.2下面信息类型在GB/T16264.6中定义:a)表示地址。7.2.3下面信息类型在GB/T16264.8中定义:a)凭证;b)签名;c)证明路径。7. 2.4下面信息类型在ISO/IEC9072T中定义;a)调用ID7 .2.5下面信息类型在GB/T16264.4中定义:a)操作进展;b)连续引用。8 .3公共自变量7.3.1公共自变量信息可以出现,以限定目录能执行的每一个操作的调用。CommonArguments:=SET30ServiceControlsDEFAULT,29SccurityParametersOPTIONAL,requestor28DistinguishcdNameOPTIONAL,27OperationProgressDEFAULTIiotStarted),aliasedRDNs26INTEGEROPTIONAL,CriticalExtensions25BITSTRINGSETOPTIONAL7.3.2以上各个成分的含义分别在7.3.2.1到7.3.2.4中定义。7.3.2.1SerViCeCOntrOlS成分在7.5中规定,缺省时表示控制为空集。7.3.2.2SeCUrityParameterS成分在7.9中规定,缺省时表示安全参数为空集。7.3.2.3requestor可辨别名标识某个抽象操作的始发者,它包含用户与目录建立联编时使用的用户名字。当要对请求签名(见7.10)时,可以要求这个成分,并且包含发起请求的用户的名字。7.3.2.4OPCratiOnPrOgreSS定义DSA在请求的分布式评价中所扮演的角色。详见GB/T16264.4中的定义。7.3.2.5aliasedRDNs成分指示一个DSA,其操作的客体成分是以前的操作在企图没有引用别名时建立的,整数值指明客体中RDN的数量,它来自没有引用的别名。(该值必须在以前操作的参照指示响应中设置)。7,3.2.6CritiCalEXtenSiOnS成分提供了一种机制,以列出一组相对目录抽象操作的执行来说是临界的扩展。似乎扩展抽象操作的始发者希望指明该操作必须和一个或多个扩展一起执行(即没有这些扩展的操作是不能接收的)这种执行是通过设置与该扩展相对应的CritiCalEXIenSionS位而进行的。如果目录和目录的某部分不能执行一个临界扩展,它返回一个UnaVaiIabIeCritiCaIEXterSion指示(作为一个SerViCeErrOr或一个PartiaIoUtCOmeQUalifier)。如果该目录不能报告一个非临界的扩展,则它忽略扩展的存在。7.4公共结果7.4.1CoinmonResults信息必须出现,以限定目录所执行的每个恢复操作的结果。CommonResults:=SET30SecurityParametersOPTIONAL,performer29DistinguishcdNameOPTIONAL,aliasDereferenced28BOOLEANDEFAULTFALSE)7.4.2以上各成分的含义在7.4.2.1到7.4.2.3中定义。7. 4.2.1SeCUrityParameterS成分在7.9中规定,缺省时表示安全参数为空集。7.4. 2.2PCrfOrmCr可辨别名标识某个特定操作的执行者。当要对结果签名时(见7.10),可以要求该成分,并包含签名该结果的DSA的名字。7.4.2.3当某个客体作为该操作的目标的基客体的声称名,并包括没有引用的别名时,aliasDereferenced成分置为TRUE。7.5服务控制7.5.1ServiceControIs参数包含指导或限制提供服务的控制信息。SerViCeControls:;=SEToptions0BITSTRINGPreferChaining(O),ChainingProhibitedC1),localScope(2),dontUseCopy(3),dontDcrcferenceAliases(4)DEFAULT”,priority1INTEGERIow(O).medium。),high(2)timeLirnit2DEFAULTmedium,sizeLimit3OPTIONAINTEGERl,INTEGEROPTIONALscoeOfReferral4INTEGERdmd(0),country(1)OPTIONAL)7.5.2以上各成分的含义在7.5.2.1到7.5.2.5中定义。7.5.2.1OPtionS成分包含一组指示,对于其中每个指示,如果设置,则确立所建议的条件。因此:a)PreferChaining指示优选链接,而非参照指示,用于提供目录服务。不要求目录遵循这种优选;b)ChainingProhibited指示禁止链接和其他在目录中分布请求的方法;C)IoCalSCoPe指示操作只局限于本地范围。本选项的定义本身属于本地事件。例如,该指示操作只属于单个DSA或单个DMD;d)donWseCopy指示不用(GB/T16264.4中定义的)信息拷贝来提供服务;e)dontDereferencelIases指示用来标识由操作所涉及的项所用的别名是不被还原的。注:必需允许引用别名项本身,而不是混名项,例如为了读别名项。如果该成分缺省,则采用下面假定:不优选链接,但也不禁止链接,不限制操作的范围,允许使用拷贝,并且也可以还原别名(除非决不还原别名的修改操作)O7.5.2.2提供服务的优先级(低、中、高)。应注意,这样不保证基本上不实现排队的目录的服务。不隐含与低层使用“优先级”的关系7.5.2.3timeLimit指示最大持续时间,以秒计数,服务只在规定的时间内提供。如果不能满足限制,则报告差错。如果该成分缺省,则不隐含时间限制。如果LiSt或SearCh超过时限,则结果是已累计结果的任意选择。注:该元素并不隐.含在持续时间内,请求处理所花费的时间:在持续时间内的请求处理可以包含多个DSA。7.5.2.4SiZeLimit仅可用于LiSt和SearCh操作。它指示返回的客体的最大数目。当超出这个限制时,1.iSt和SearCh的结果可以是已累计结果的任意选择,数目等于该限制;废弃任何更多的结果。7.5.2.5SCOPeOfReferral指示由一个DSA返回的参照指示的范围。根据所选的dmd或COUntry的值,只返回所选定范围内的对其他DSA的参照指示。它适用于LiSt和Search结果中的ReferraI差错和unexplored参数两者。7.5.3PriOrity,timeLimit和SiZeLiInit的某些组合可能导致矛盾。例如,短时间限制可能与低优先权矛盾;高数目限制可能与短时间限制矛盾。7.6项信息选择7.6.1EntryInformationSeIection参数指示在恢复服务中某个项所请求的哪些信息。EntrylnfbrmationSelectionzi=SETattributeTypesCHOICEaIlAttributesONULL,select1SETOFAttributeType一空集隐含不要求属性请求一DEFAULTallAttributesNULL,infoTypes2INTEGERattributeTypesOnly(0),attributeTypesAndValues(1)DEFAULTattribiteTypesAndValues7.6.2以上各个成分的含义在7.6.2.1和7.6.2.2中定义。7.6.2.1attributeTypes成分规定请求信息的属性:a)如果选择SeIeCt选项,则列出所包含的属性;如果列表为空,则不返回属性;如果属性存在,则返回所选属性的有关信息;如果没有所选的属性存在,则返回AttribUtCErrOr,并指明差错原因为no-SuchAtlribute;b)如果选择allAttributos选项,则请求项中的全部属性的有关信息。如果满足访问权限要求,则只返回属性信息。如果请求不能满足读全部属性的权限要求,则返回SecuritjrError,并指明差错原因为insufficiGntAccessRights.7.6.2.2Inf。TyPeS成分规定是请求属性类型和属性组信息(缺省情况下)还是只请求属性类型信息,如果attributeTypes成分为不请求属性,则该成分无意义。7.7项信息7.7.1EntryInformation参数运送从项中选择的信息。Entrylnformationii=SEQUENCEfDistinguishedName,fromEntryBOOLEANDEFAULTTRUE,SETOFCHOICE)AttributeType,AttributeOPTIONAL7.7.2通常应包括项的DistinguishedNameo7.7.3fromEn"y参数为TRUE时,则指示从项中取得信息,否则为项的拷贝(即该参数为FALSE)O7.7.4如果要求包括AttributeTypes和Attributes的集合,则其中每个属性类型既可以独立存在,又可以与多个属性值一起存在。7.8.筛选器7.8.1FiIler参数提供一个测试,该测试或被特定项满足或不被满足。筛选器参数根据项的某些属性或属性值是否存在的断定来表示,当且仅当判断为TRUE时,Filler才能满足。注:筛选器可以为TRUE、FALSE或未定义。Filter:=CHOICEitemand0Filteritem,1SETOFFilter,or2SETOFFilter,not3Filter)Filterltem-=CHOICElequalitysubstringstypestrings0AttributeValueAssertion,1SEQUENCE(AttributeType,SEQUENCEOFCHOICEInitial0AttributeValue,any1AttributeValue,final2AttributeVaIue),greaterOrEqualIessOrEquaIpresent2AttributeValueAssertion,3AttributeValueAssertion,4AttributeTypeapproximateMatch5AttributeValueAssertion)7.8.2FiIter或为一个FiIterltem或为由简单FiIters通过逻辑操作符and,or和not构成的一个表达式。7.8.2.1 一个Fil【er,它是具有FiIteritem值的Filteritem(即,TRUE、FALSE或未定义)(见7.8.3).7.8.2.2 一个FiIteI;如果该集合为空或如果每个筛选器为TRUE,则该FiIter是筛选器集合为TRUE的and;如果至少有一个筛选器为FALSE,则该Filter是FALSE。7.8.2.3 一个Filter,如果该集合为空或如果每个筛选器为FALSE,则该Filter是筛选器集合为FALSE的or;如果至少有一个筛选器为TRUE,则该FiIter是FALSE;否则该Filter是未定义的(即,如果至少有一个筛选器是未定义的以及没有筛选器为TRUE)。7.8.2.4 一个FiIter,如果筛选器为FALSE,则该FiIter是筛选器为TRUE的not;如果筛选器为TRUE,则该FiIter是FALSE;如果筛选器为未定义的,则该FiIter是未定义的。7.8.2.5 8.3Filterltem为关于被测项中某个特定类型的属性或属性值是否存在的一个断定,每个这样的断定可以为TRUE、FALSE或未定义。7.8.2.6 8.3.1每个FiIterItem都包含一个AttributeType,用于标识所涉及的特定属性。7.8.3.2 只有当AItribUIeTyPe被判断机制已知,并且其相应AllribUIeValUe符合该属性类型定义的属性语法时,则关于这样一个属性值的任何断定才予以定义。1当上述条件不成立时,Filteritem为未定义。2访问控制限制可能要求将FiIterItem看作是未定义的。7.8.3.3 对一个属性的值的断定,使用与为这种属性类型定义的属性语法相关的匹配规则来评价。未对某个特定的属性语法定义的匹配规则不能用来对该属性作出断定。注:如果该条件不能满足,则Fiher为未定义。7.8.3.4 8.3.4Filterltem可以是未定义的(见7.8.3.2和7.8.3.3),否则,FilterItem确定如下规则:a)equality,当且仅当属性值与确定的相等时,其为真;b)substrings,当且仅当属性值划分成如下几部分时,其为真:按照串序列的顺序,规定的子串(initial,any,final)与值不同部分匹配; inital,如果存在,则匹配值的第1部分; final,如果存在,则匹配值的最后部分; any,如果存在,则匹配值的任意部分。串中最多只有一个initial,也最多只有一个final。如果inital存在,它应是串的第一个元素。如果fi-nal存在,它应是串的最后一个元素。串中的any应是零个或多个。c)greaterOrEqual,当且仅当相关排序(由适当的排序算法定义)将提供的值置于属性的任意值之前或至少等于属性的一个值时,它为TRUE。d)IessOrEqual,当且仅当相关排序(由适当的排序算法定义)将提供的值置于属性的任意值之后或至少等于属性的一个值时,它为TRUEoe)present,当且仅当项中出现这种属性时,它为TRUE。f)approximateMatch,当且仅当有一个属性值与本地定义的逼近匹配算法(例如,拼写变化、语音匹配等)确定的属性值匹配时,则它为TRUE。在本标准的该版本中没有逼近匹配的专门指南。如果不支持逼近匹配,则将该FiIterltem看作equality匹配来处理。7.9安全参数7.9.1SecurityParameters控制与目录操作有关的各种安全特性的操作。注:安全参数由发送方运送给接收方。当这些参数作为抽象操作的自变量出现时,请求方为发送方,执行方为接收方。反之亦然。SeCUrityParameters:=SETCertification-Path0CertificationPathOPTIONAL,name1DislinguishedNameOPTIONAL,time2UTCTimeOPTIONAL,random3BITSTRINGOPTIONAL,target4ProtectionRequestOPTIONALProtectionRequest:=INTEGERnone(0),signed(1)7.g.2以上各成分在7.9.2.1到7.9.2.5中定义。7.9.2.1CertifiCationPath成分包含发送方凭证,也可有选择地包含凭证对的序列。该凭证用于与发送方的公开密钥和可辨别名建立联系,并可用于对自变量或结果的签名进行验证。如果自变量或结果被签名,则该参数应出现。凭证对的序列由凭证机构的交叉凭证组成,它用来使发送方的凭证有效。如果接收方共享与发送方同一凭证机构,则不要求凭证对的序列。如果接收方要求一组有效的凭证对,而该参数又没有出现,则接收方是接收还是拒绝关于自变量或结果的签名,或试图生成凭证路径属本地的事件。7.g.2.2name是指自变量或结果的第一个预期接收方的可辨别名。例如,如果一个DUA产生一个签名的自变量,则该名字为操作所递交的DSA的可辨别名。7.9,2.3当使用签名的自变量时,time为签名有效的期满时间,它与一个随机数一起用来检测“重操作攻击。7.9.2.4randomnumber是每个未期满权标的不同数,它和时间参数一起在自变量或结果被签名时用于检测“重操作”攻击。7.9.2.5targetPrOteetionReqUeSt可以仅出现在要求执行操作的请求中,并指出请求者对提供给结果的保护的优选等级。现提供两种等级:none(没有请求保护,缺省),和Signed(请求目录对结果进行签名),实际提供给结果的保护等级由结果的格式指出,并且可能等于或低于所请求的等级。这主要取决于目录的限制。7.ioOptionly-Signed(有选择地签名)7. 10.1对于OPTIONALLY-SIGNED信息类型来说,其值可以(有赖于发起方的选项)带有数字签名。这种能力由下列宏定义方法来规定。OPTIONALLY-SIGNEDMACR(:;=BEGINTYPENOTATlON-=Iype(Type)VALUENOTATION:=value(VALUECHOICEType,SIGNEDType)END8. 10.2描述信息的签名格式的SIGNED宏在GB/T16264.8中规定。8联编和断联操作DireCtoryBind和DireCtOryUnbind操作,分别在8.1和8.2中定义,是由DUA在对目录的访问的特定周期的开始和终止时使用。9. 1DirectoryBind8.1.1DirectoryBind操作用于开始一个目录访问周期。DirectoryBind-=ABSTRACT-BINDTOreadPort,searchPort,modifyPortBINDargumentDireCtOryBindArgUmentresultDirectoryBindRcsultBIND_errorDirectoryBindErrorDirectoryBindArgumenl:=SETcredentials0CredentialsOPTIONAL,versions1VersionsDEFAULTvI988Credentials:=CH0ICEsimple0SimpleCredentials,strong1StrongCredentials,externalProcedure2EXTERNAL)SimpIeCredentials:=SEQUENCE(name0DistinguishedName,validity1SETtimel0UTCTimeOPTIONA1.time2CUUTCTimeOPTIONAL,random12BITSTRINGOPTIONAL,random23BITSTRINGOPTIONAL!OPTIONAL.一在多数情况下,使用保护口令机制进行对话时,时间的随机数自变量是彼此关联的,其含义可由双方约定确立。password2CHOICEOCTETSTRING,PROTECTEDOCTETSTRINGOPTIONAL该值可能是一个未保护口令或保护1或保护2,如GB/T16264.8中规定的StrongCredentialsii=SETcertification-path0CertificationPalhOPTIONAL,bind-token1Token,name21DistinguishedNameOPTIONAL)Token:=SIGNEDSEQUENCE(algorithm0AlgorithmIdentifier,nameUDistinguishedName,timeUTCTime,random3BITSTRINGVereions-=BITSTRINGv1988(0)DirectorjzBindResultIi=DirectoryBindArgumentDirecloryBindError:;=SETversions0VersionsDEFAILTv1988),CHOICEServiceErrorISerViCeProbICmsecurityError2SecurilyProblemJ8.1.2上述各自变量的含义在8.1.2.1到&L2.2中定义。8.1.2.1DireCtOryBindArgUnlent中的CredentiaIS自变量允许目录建立用户的身份,他们可以是Sim-ple.Strong(如GB/T16264.8描述的外部过程)或外部定义的外部过程。8.1.2.1.1SimpleCredentials由一个名字(通常为一个客体的可辨别名)和一个口令(可选)组成。它提供有限的安全等级。如果口令按GB/T16264.8第5章所描述的方式加以保护,那么SilnPIeCredentiaIS包含名字、口令、以及用于检测“重操作”攻击的时间和/或随机数(可选)。在有些情况下,一个受保护的口令可能被一个知道这个口令的客体检验,该客体在本地对该口令的拷贝再进行保护,并用联编自变量password的值对结果进行计算之后再作这种检验。在其他情况下,则可能采用直接比较的方法。8.1.2.1.2StrongCredentials由一个联编权标、一个凭证(可选地)、一组凭证机构的交叉凭证(见GB/T16264.8)和请求者的名字构成。它使得目录能够鉴别请求建立联系的身份,反之亦然。联编权标的自变量用作如下;algorithm是用于签收某种信息的算法标识符,(该标识如同SIGNEDMACRD的值记法中定义的)其名是预期接收的名。time参数包含权标的期满时间。random为每个未期满权标的不同数,并可被接收方用来检测“重操作”攻击。8.1.2.1.3如果使用extemalProcedure,则使用的鉴别机制的语义超出了本标准的范围。8.1.2.2DirectoryBindArgum