GB/T 16264.2-1996 信息技术 开放系统互连 目录 第2部分：模型

GB/T16264.2一1996

前言

本标准等同采用国际标准ISO/IEC9594-2:1990信《息技术开放系统互连目录第2部分:模

型》和ISO/IEC9594-2:1990/Cor.1:1990信《息技术开放系统互连目录第2部分:模型技术修

改1}，以及ISO/IEC9594-2:1990/Cor.2:1990(信息技术开放系统互连目录第2部分:模型技

术修改2).

根据ISO/IEC9594-2:1990/Cor.1:1990，本标准对9.4.3和9.4.6作T修改。

根据ISO/IEC9594-2:1990/Cor.2:1990，本标准对5.2.4,7.1.4和7.4.3作了修改。

通过制定本标准，为信息处理的目录服务提供了一组不同的模型，作为其他部分参考的框架。

GB/T16264在信《息技术开放系统互连目录》总标题下，目前包括以下8个部分:

第1部分(即GB/T16264.1)概念、模型和服务的概述;

第2部分(即GB/T16264.2):模型;

第3部分(即GB/T16264.3):抽象服务定义;

第4部分(即GB/T16264.4):分布操作过程;

第5部分(即GB/T16264.5):协议规范;

第6部分(即GB/T16264.6):选择属性类型;

第7部分(即GB/T16264.7):选择客体类;

第8部分(即GB/T16264.8):鉴别框架。

本标准的附录A,附录B、附录C、附录D,附录E和附录F均为提示的附录。

本标准由中华人民共和国电子工业部提出。

本标准由电子工业部标准化研究所归口。

本标准起草单位:电子工业部标准化研究所、华北计算技术研究所。

本标准主要起草人:冯惠、李卫国、黄家英、郑洪仁。

cB/T16264.2一1996

ISO/IEC前言

ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都

是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。

ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与IS()和IEC有联系的其他官方和非官

方国际组织也可参与国际标准的制定工作。

对于信息技术，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1，由联合技术委员会提

出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准至少需要75%的参与表决的国家

成员体投票赞成。

国际标准ISO/IEC9594-2是由ISO/IECJTCl“信息技术”联合技术委员会制定的。

ISO/IEC9594在信《息技术开放系统目录》总标题下包括以下8个部分:

—第1部分:概念、模型和服务的概述

—第2部分:模型

—第3部分:抽象服务定义

—第4部分:分布式操作规程

—第5部分:协议规范

—第6部分:选择属性类型

—第7部分:选择客体类

—第8部分:鉴别框架

本部分包含6个附录:

附录A,附录B,附录C附录D、附录E和附录F仅提供参考信息。

GB/T16264.2一1996

引言

0.1本标准连同本系列标准的其他部分一起，便于提供目录服务的各类信息处理系统的互连。所有这

样的系统连同它们所拥有的目录信息，可以看作一个整体，称为“目录”。目录中收录的信息总称为目录

信息库(DIB)，或用于简化诸如OSI应用实体、人、终端、以及分布列表等客体之间的通信。

0.2目录服务在开放系统互连中具有极其重要的作用，其目的是允许在互连标准之外使用最少的技术

协定，完成下列各类信息处理系统的互连:

.来自不同厂家的信息处理系统;

·处于不同管理的信息处理系统;

·具有不同复杂程度的信息处理系统;

·不同年代的信息处理系统。

0.3本标准为目录提供一组不同的模型，作为其他部分参考的框架。这里所说的模型是指总的功能模

型、组织模型、安全模型以及信息模型。信息模型描述了目录对其拥有的信息的管理方法。例如，它描述

如何组织与客体有关的信息并为客体构造目录项，以及如何为这些信息提供客体名。

0.4附录A简要介绍了与树结构有关的数学术语。

0.5附录B简要介绍了本系列标准中使用的ASN.1客体标识符。

0.6附录c给出了包含与信息框架有关的所有定义的ASN.1模块。

0.7附录D按字母顺序列出了本文件中定义的术语。

0.8附录E描述了应在名字设计中考虑的一些准则。

0.9附录F描述了访问控制的指南。

中华人民共和国国家标准

信息技术开放系统互连目录

第2部分:模型GB/T16264。2一1996

idtISO/IEC9594-2:1990

Informationtechnology-Opensystems

interconnection-Thedirectory

Part2:Models

第一篇综述

1范围

1.1本标准中定义的模型为本系列标准的其他部分提供了有关概念和术语框架，以便定义目录的各种

概念。

1.2功能和组织模型定义了可将目录在功能上和管理上分布的方法。

1.3安全模型定义了一个框架，在这个框架中，目录可以提供诸如访间控制等安全特性。

1.4信息模型描述DIB的逻辑结构。根据这种观点，目录事实上应该是分布的、不可见的，而不应是集

中的。本系列标准中的其他部分使用信息框架概念。尤其是:

a)目录提供的服务按信息框架的概念(在GB/T16264.3中)描述，这就充许所提供的服务可以独

立于DIB的物理分布。

b)规定目录的分布式操作(在GB/T16264.4中)并提供服务，维护由事实上高度分布的DIB给出

的逻辑信息结构。

2引用标准

下列标准中所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本

均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB9387-88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)

1-1996目录

GB/T16264.信息技术开放系统互连第1部分:概念、模型和服务的概述(idt

ISO/IEC9594-1:1990)

GB/T16264.3-1996信息技术开放系统互连目录部分:抽象服务定义(idtISO/IEC

9594-3:1990)

CUB/T16264.4-1996信息技术开放系统互连目录部分:分布式操作规程(idtISO/

IEC9594-4:1990)

GB/T16264.5-1996信息技术开放系统互连目录第5部分:协议规范(idtISO/IEC

9594-5:1990)

GB/T16264.6-1996信息技术开放系统互连目录第6部分:选择属性类型(idtISO/IEC

9594-6:1990)

GB/T16264.7-1996信息技术开放系统互连目录第7部分:选择客体类(idtISO/IEC

国家技术监督局1996一03一22批准1996一10一01实施

GB/T16264.2一1996

9594-7,1990)

GB/T16264.8-1996信息技术开放系统互连目录第8部分:鉴别框架((idtISO/IEC

9594-8:1990)

GB/T16262-1996信息处理系统开放系统互连抽象语法记法一(ASN.1)的规范(idtISO/

IEC8824:1990)

3定义

各术语在其相应的各章开头定义。为了方便引用，在附录D中给出了这些术语的索引。

4缩略语

ADDMD公用机构的目录管理域

AVA属性值断定

DIB目录信息库

DIT目录信息树

DMD目录管理域

DSA目录系统代理

DUA目录用户代理

YRDMD专用的目录管理域

RDN相关可辨别名

第二篇目录模型

5目录模型

51定义

5.1.1访问点accesspoint

获得抽象服务的点。

5.1.2公用机构的目录管理域(ADDMD)AdministrationDirectoryManagementDomain

(ADDMD)

由公共管理机构管理的DMD,

注:术语“公用机构”是指公用的远程通信管理机构，或指提供公用的远程通信眼务的其他组织。

5.1.3公用管理机构administrativeauthority

对一个单一的目录系统代理内存储的所有客体进行公共管理控制的实体。

5.1.4目录thedirectory

是一个关于客体的信息库，它为其用户访间信息提供目录服务。

5.1.5目录管理域(DMD)DirectoryManagementDomain(DMD)

由单个的组织管理的包含一个或多个DSA以及零个或多个DUA的集合。

5.1.6目录系统代理(DSA)DirectorySystemAgent(DSA)

一个OSI应用进程，它是目录的一部分。

5.1.7(目录)用户(directory)user

目录的端用户，即，访问目录的实体或个人。

5.1.8目录用户代理(DUA)DirectoryUserAgent(DUA)

一个OSI应用进程，它代表一个正在访间目录的用户。

注:DUA也可以提供一些本地设施，帮助用户编辑查询和解释响应.

GB/T16264.2一1996

5.1.9专用的目录管理域(PRDMD)PrivateDirectoryManagementDomain(PRDMD)

一个由某个组织管理的而不是由公用管理机构管理的DMD,

5.2目录及其用户

5.2.1目录用户(例如，一个人或一个应用进程)通过访问目录得到目录服务。更确切地说，实际上是目

录用户代理(DUA)访问目录，并与之交互使用，为这个特定用户取得所要求的服务。目录提供可以进行

访问的一个或多个服务访问点。见图1所示。

访问点

图1对目录的访问

5.2:2在GB/T16264.3中定义了目录所提供的服务。

5.2.3目录是一个与客体有关的信息库，它所提供给用户的目录服务涉及访问这些信息的各个种类，

通常将这些信息收集在“目录信息库"(DIB)中。本标准的第三篇中定义了DIB的模型。

5.2.4DUA表示为一个应用进程，在任何通信实例中，每一个DUA明确地代表一个目录用户。

注

1有些开放系统可以为实际用户(例如，应用进程，人等等)检索信息提供集中式DUA功能。但对目录来说，这应

该是透明的。

2DUA功能和一个DSA(见5.3.1)可以共存于同一个开放系统，并且，在实现时，可以选择是否将一个或多个

DUA作为OSI环境的应用实体。

3DUA的本地行为和结构可能超出本系列标准讨论的范围。例如.表示个人目录用户的DUA可以提供许多本地

服务来帮助用户编辑查询和解释响应。

5.3功能模型

5.3门目录表示为由一个或多个称为“目录系统代理”(DSA)的应用进程构成的集合;其中，每一个

DSA都提供零个、一个或多个服务访问点。目录的这种功能模型见图2所示。在这个图例中，目录由多

个DSA构成，即“分布”式目录。分布式目录操作规程由GB/T16264.4规定。

注:DSA的本地行为和结构可能超出本系列标准讨论的范叻。例如，DSA可以通过数据库来实现和维护DIB的部

分或全部信息;这由本地来负责其接口.

图2多个DSA提供的目录

5.3.2在提供目录服务(一个DUA和一个DSA，或两个DSA)时，需要交互作用的一对特定的应用进

GB/T16264.2一1996

程可位于不同的开放系统中。这种交互作用通过GB/T16264.5规定的USI目录协议的方法来执行。

5.4组织模型

5.4.，由单个组织管理的一个或多个DSA和零个或多个DUA的集合可以构成一个目录管理域

(DMD)o

注:管理DMD的组织可以是一个公用机构(即，公用远程通信管理或其他提供公用远程通信服务的组织)，此时的

DMD称作公用机构的DMD(ADDMD);相反，由专门组织管理的DMD则称为专用的DMD(PRDMD).但是，

由CCITT成员提供支持的专用的目录系统必须符合其国家规定的框架。因此，提供目录服务的公用机构既可

以提供，也可以不提供上述技术可能性。专用的DMD内部的操作和配置不属于CCITT考虑的范围

5.4.2由DMD对DUA实施的管理是指由DMD对该DUA的服务实施的实时管理，例如，由DMD

实施的对DUA维护、或某些情况下的所有权管理。

5.4.3目录所涉及的组织可以自己决定是否选择使用本系列标准来管理DUA和在DMD内所有

DSA之间的交互作用。

5.4.4每一个DSA都由一个公用管理机构来管理。该客体对这个DSA存储的所有客体项和别名项进

行控制。其中包括负责用于指导目录项的创建和修改的目录模式(见第9章)。名字的结构和分配由一

个命名机构负责(见8.1.6)，而公用管理机构的作用则是按照目录模式实现这种命名结构。

第三篇信息模型

6目录信息库

6.，定义

6.1.1别名项aliasentry

一个包含用于为客体提供可替换名信息的别“名”类的项。

6.1.2目录信息库(DIB)DirectoryInformationBase(DIB)

目录所提供访间的信息的完整集合，其中包含所有可通过目录操作阅读和操纵的信息段。

6.1.3目录信息树(DIT)DirectoryInformationTree(DIT)

DIB可被看作是一裸树，树的若干顶点(根除外)为目录项。

注;只有在相关信息树结构的上下文中，术语"DIT”才可用来代替DIB,

6.1.4(目录)项(Directory)entry

DIB的一部分，包含与客体有关的信息。

6.1.5直接上级immediatesuperior(noun)

与一个特定的项或客体(该客体必须在预期上下文中清晰可辨)相关的直接上级项或客体。

6.1.6直接上级的immediatelysuperior

(项)(entry)

与一个特定项相关的项，它是DIT中的某一弧的起点项，该DIT的终点就是该特定项的终点。

(客体)(object)

与一个特定客体相关的客体，其客体项是第二个客体若干项(客体或别名项)的任何直接上级。

6.1.7(有意义的)客体object(ofinterest)

某一世“界”中的任何事物，这里所说的“世界”通常是指远程通信和信息处理或是它们的某一部分，

并且它们是可标识的(即，可以命名的)，在DIB中保持的信息应是有意义的。

6.1.8客体类objectclass

具有共享某些特性的已可标识的客体(或可以设想的客体)族。

6.1.9客体项objectentry

一个关于客体的项，它在DIB中具有最基本的信息集合，并且在DIB中可以表示这个客体。

aB/T16264.2一1996

6.1.10子类subclass

与一个“超类”相关—由一个超类导出的客体类。子类的各成员都可共享另一个客体类(它的超

类)的特性，以及其超类成员所没有的附加特性。

6.1.11下级subordinate/inferior

与“上级’，相反。

6.1.12超类superclass

与一个子类相关的客体类，从中可以派生一个子类。

6.1.13上级superior

(适用于一个项或客体的)直接上级，或为某个直接上级的递归上级。

6.2客体

6.2.1目录的目的是收录某个世“界”中存在的有关客体的信息，并提供对该信息的访问。一个客体可

以是这个可标识的(可命名的)“世界”中的任何事物。

注

I这里所说的世“界”通常是指远程通信和信息处理，或是它们的某一部分.

2目录中所说的“客体”.可以不必完全与现实世界中的某一组实际事物相对应，例如，一个现实世界中的个人可以

被看作两类不同的客体:商业事务上的个人和作为居民的个人，远非目录所关心。本系列标准不定义二者之间的

映射，这属于是目录的用户和提供者在其应用上下文中的事情。

6.2.2目录所提供访问的信息完整集合称作目录信息库(DIB)。可通过日录操作阅读或操纵的每条信

息都应包含在DIB中。

6.2.3客体类是一个已标识的共享某些特性的客体(或可设想的客体)族。每一个客体至少应属于一个

类。一个客体类可以是另一个客体类的子类，在这种情况下，前一类(子类)的成员也是后者(超类)的成

员。一个子类可以是另一个子类的子类，等等，依次类推，可以有任意多个子类。

6.3目录项

6.3门DIB由目录项(或称“项”)组成，而每个目录项都包含与单个客体有关(描述的)的信息。

6.3.2对于任意的特定客体，在DIB中都有一个明确的客体项，这就是有关该客体的最基本的信息集

合。该客体项表示了该客体。

6.3.3对于任意特定客体，除有与之对应的客体项外，可能还有一个或多个与之对应的别名项，用于提

供可替换名(见8.5)0

6.3.4目录项的结构见图3，并在7.2中描述。

6.3.5每一个项包含一个与该项有关的客体类及其超类的指示。在一个客体项的情况下，它指示该客

体所属的客体类。在一个别名项的情况下，它指示一个特殊的客体类，即“别名”(见9.4.8.2中定义)，事

实上这个“别名”是一个别名项，并且它也可以指示该项所属的别名客体类的子类。

6.4目录信息树(DIT)

6.4门为满足一个庞大的DIB的分布和管理要求，保证在DIB中无歧义性地命名这些客体(见第8

章)，并建立其客体项，平级结构不可能做到.因此，可以利用在各个客体(例如，在某个部门工作的个人，

而该部门又属于一个作为一个国家的总部的组织)之间的公共建立的一种分级关系，并将这些项安排进

一个称作目录信息树(DIT)的树中来实现。

注:关于树结构的概念的术语见附录AD

6.4.2对DIT中的各成分解释如下:

a)顶点代表项，客体项既可以是叶顶点，也可以是非叶顶点，别名项通常为叶顶点。根不代表项，但

方便起见例〔如，下面定义b)和。)〕，可将其看作是一个空客体项见〔d)),

b)弧定义了顶点(即项)之间的关系。一条从顶点A到顶点B的弧的涵义是:A项为B项的直接上

级项(直接上级)，相反，B项为A项的直接下级项(直接下级)。一个特定项的上级项(上级)是指其直接

GB/T16264.2一1996

上级项和其递归上级项。一个特定项的下级项(下级)是指其直接下级项和其递归下级项。

c)一个项所表示的客体与其下级项的命名机构(见第8章)密切相关。

d)根代表DIB的命名机构的最高级别。

6.4.3客体间的上级/下级关系可从项之间的关系派生。当且仅当第一个客体的客体项是第二个客体

任何项的直接上级时，则前一个客体是后一个客体的直接上级客体(直接上级)。术语“直接下级客体”，

“直接下级”、“上级”和“下级”(适应于客体)都具有其类似含义。

6.4.4客体间允许的上级/下级关系由DIT结构定义来控制。

了目录项

了.1定义

7.1.1属性attribute

与一个客体有关的某个特定类型的信息，它存在于DIB的项中，并用于描述这个客体。

7.1.2属性类型attributetype

属性的成分，指示由该属性给出的信息类。

7.1.3属性值attributevalue

由属性类型指示的信息类的一个实例。

7.1.4属性值断定attributevalueassertion

根据为类型规定的匹配规则，一个命题可以为真、假或未定义，并与特定类型的属性值(或可辨别

值)的一个项中的显现有关。

注:在本文件中，记法“串10串2.用于写下记录属性值断定的示例。在这个记法中，“串1"是一个属性类型的“名

字”的缩写，而“串2"则是一个恰当的值的正文表示。尽管在这些示例中月性类型常常依赖于GB/T16264.7中

定义的实际类型(例如，0C”代表“国家”，"CN”代表“公共名，)，但这并不防碍本文件的目的，因为，目录本身并

不需知道所用的属性类型的含义。

7.1.5可辨别值distinguishedvalue

项中的一个指定出现在该项中的相关可辨别名的属性值。

7.2总体结构

7.2.如图3所示，项由一组属性构成。

7.2.2每一个属性都提供关于与该项对应的客体的信息，或描述与该项对应的客体的特定特性。

注:可以在项中出现的属性示例包含客体的个人名宇等命名信息，以及电话号码等寻址信息。

7.2.3属性由属性类型及相应属性值构成，其中，属性类型标识属性给出的信息类，而属性值则为项中

出现的该类属性的特例。

Attribute::=

SEQUENCE{

typeAttributeType

valuesSETOFAttributeValue

—至少要求一个值—}

GB/T16264.2一1996

项

巨巫习!

卫口.二1性“!

属性类型属性值

}匣囚护巨困

「一一一11一一一门厂一--刁

属性值属性值

1可粼瞩性值I肚值}’’‘!能值1

‘一一一一一1Jl，，，，，，，，-J

篡

图3项的结构

了.3属性类型

了.3.1某些属性类型在国际上是标准化的。其他属性类型则由国家公用管理机构或专门组织定义。也

就是说，各个独立的管理机构将负责以某种方式分配属性类型，并保证所分配的属性类型能够相互区

别。这是通过在定义类型(如9.5描述)时用客体标识符标识每个属性类型来完成的。

AttributeType::=OBJECTIDENTIFIER

了.3.2项中的所有属性都必须具有可以区别的属性类型。

7.3.3目录可以拥有和使用多种属性类型，其中包括:

a)Objectclass—每一个项中都包含这种类型的属性，并指示客体所属的客体类及其超类。

b)AliasedObjectName—每一个别名项中都包含这种类型的属性，并且具有这个别名项所描述

的客体的可辨别名(见8.5)0

这些属性部〔分地)在9.5.4中定义。

7.3.4必须(或可以)在一个项(除7.3.3中提及的项以外)中出现的属性类型由适用于指定客体类的

规则来控制。

了.4属性值

1.4.1属性类型的定义(见9.)5也包括规定该属性中的每一个值都必须遵循的语法，以及此后的数据

类型。这可以是任意数据类型:

AttributeValue::=ANY

7.4.2在属性的各个属性值中，至多只能有一个属性值可被指定为可辨别值，在这种情况下，这个属性

值则出现在该项的相关可辨别名中(见8.3)0

7.4.3一个属性值断定是一个命题，根据为类型规定的匹配规则，它可以为真、假或者未定义，并与特

定类型的属性值(或可辨别值)的一个项中的显现有关。AVA包含一个属性类型和一个属性值。

AttributeValueAssertion::=

SEQUENCE{AttributeType,AttributeValue}

该属性值断定可以是:

GB/T16264.2一1996

a)未定义的，如果是下面任何一种情况:

)1属性类型是未知的;

2)用于该类型的属性语法没有等价的匹配规则;

3)属性值不符合该属性语法的数据类型;

注:2)和3)通常指示一个错误的AVA;1)可以作为一种本地情况出现(例如，一个特定的DSA没有登记这个特定

的属性类型)

b)真，如果该项包含这个类型的一个属性，其中有一个值与该值匹配(如果该判定只与可辨别值有

关，则被匹配的值必须是可辨别的那一个);

注:值的匹配是为了寻求等价.并且包含与属性语法有关的匹配规则。

c)假，其他情况。

8名字

8.1定义

s.1.1别名或备用名(8.5.1中有两者)alias,aliasname

客体的一个名字，由DIT中的一个或多个别名项提供。

8.1.2还原引用dereferencing

使用客体的可辨别名来取代客体的别名。

8.1.3(一个客体的)可辨别名distinguishedna