GB/T 16264.3-1996 信息技术 开放系统互连 目录 第3部分：抽象服务定义

GB/T16264.3一1996

前言

本标准等同采用国际标准ISO/IEC9594-3:1990信《息技术开放系统互连目录第3部分:抽

象服务定义》和ISO/IEC9594-3:1990/Cor.1:1990信《息技术开放系统互连目录第3部分:抽象

服务定义技术修改1),ISO/IEC9594-3:1990/Cor.2:1990信《息技术开放系统互连目录第3

部分:抽象服务定义技术修改MISO/IEC9594-3:1990/Cor.3:1990信《息技术开放系统互连目

录第3部分:抽象服务定义技术修改3}，以及ISO/IEC9594-3:1990/Cor.4:19906信息技术开放

系统互连目录第3部分:抽象服务定义技术修改0,

根据ISO/IEC9594-3:1990/Cor.1:1990，本标准对7.6.2.1,7.8.2,7.8.3.2,8.1.1.1,8.1.2.1.2,

12-9.2和附录A作了修改。

根据ISO/IEC9594-3:1990/Cor.2:1990，本标准对7.3.1,9.3.4,9.3.6和附录A作了修改。

根据ISO/IEC9594-3:1990/Cor.3:1990，本标准对7.3.1,7.3.2.6和附录A作了修改。

根据ISO/IEC9594-3:1990/Cor.4:1990，本标准对7.8.3.4,8.1.1,8.1.2.1.2,12.1.2和附录A

作了修改。

通过制定本标准，为用户定义了目录所提供的外部可视服务。

GB/T16264在信《息技术开放系统互连目录》总标题下，目前包括以下8个部分:

第1部分(即GB/T16264.1):概念、模型和服务的概述;

第2部分(即GB/T16264.2):模型;

第3部分(即GB/T16264.3):抽象服务定义;

第4部分(即GB/T16264.4):分布操作过程;

第5部分(即GB/T16264.5):协议规范;

第6部分(即GB/T16264.6):选择属性类型;

第7部分(即GB/T16264.7):选择客体类;

第8部分(即GB/T16264.8):鉴别框架。

本标准的附录A和附录B均是标准的附录。

本标准由中华人民共和国电子工业部提出。

本标准由电子工业部标准化研究所归日。

木标准起草单位:电子工业部标准化研究所、华北计算技术研究所。

本标准主要起草人:冯惠、李卫国、黄家英、郑洪仁。

GB/T16264.3-1996

ISO/IEC前言

ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(它们都

是ISO/IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。

ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官

方国际组织也可参与国际标准的制定工作。

对于信息技术，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1，由联合技术委员会提

出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准至少需要75%的参与表决的国家

成员体投票赞成。

国际标准ISO/IEC9594-3是由TSO/IECJTC1“信息技术”联合技术委员会制定的。

ISO/IEC9594在信《息技术开放系统目录》总标题下包括以下8个部分:

—第1部分:概念、模型和服务的概述

—第2部分:模型

—第3部分:抽象服务定义

—第4部分:分布式操作规程

一一第5部分:协议规范

—第6部分:选择属性类型

—第7部分:选择客体类

—第8部分:鉴别框架

本部分包含2个附录:

附录A和附录B构成了ISO/IEC9594-3的一部分。

GB/T16264.3-1996

引言

0.1本标准连同本系列标准的其他部分一起，便于提供目录服务的各类信息处理系统的互连。所有这

样的系统连同它们所拥有的目录信息，可以看作一个整体，称为“目录”。目录中收录的信息总称为目录

信息库(DIB)，并用于简化诸如OR应用实体、人、终端，以及分布列表等客体之间的通信。

0.2目录在开放系统互连中具有极其重要的作用，其目的是允许在互连标准之外使用最少的技术协

定，完成下列各类信息处理系统的互连:

来自不同厂家的信息处理系统;

处于不同管理的信息处理系统。

具有不同复杂程度的信息处理系统;

不同年代的信息处理系统。

0.3本标准定义了目录为其用户提供的能力。

0.4附录A给出了包含所有与抽象服务有关的定义的ASN.1表示模块。

中华人民共和国国家标准

信息技术开放系统互连目录

第3部分:抽象服务定义GB/T16264.3-1996

idtISO/IEC9594-3:1990

Informationtechnology-Opensystems

interconnection-Thedirectory

Part3:Abstractservicedefinition

第一篇综述

1范围

1.1本标准按抽象方法定义了目录所提供的外部可视服务。

1.2本标准并不规定具体实现或产品。

2引用标准

下列标准中所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本

均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB9387-88信息处理系统开放系统互连基本参考模型(idtISO7498:1984)

GB/T16264.1-1996信息技术开放系统互连目录第1部分:概念、模型和服务的概述

(idt1SO/IEC9594-1;1990)

GB/T16264.2-1996信息技术开放系统互连目录第2部分:模型(idtISO/IEC9594-

2:1990)

GB/T16264.4-1996信息技术开放系统互连目录第4部分;分布式操作规程(idtISO/

IEC9594-4:1990)

GB/T16264.5-1996信息技术开放系统互连目录第5部分:协议规范(idtISO/IEC

9594-5:1990)

GB/T16264.6-1996信息技术开放系统互连目录第6部分:选择属性类型(idtISO/

IEC9594-6:1990)

GB/T16264.7-1996信息技术开放系统互连目录第7部分:选择客体类(idtISO/IEC

9594-7:1990)

GB/T16264.8-1996信息技术开放系统互连目录第8部分:鉴别框架(idtISO/IEC

9594-8:1990)

GB/T16262-1996信息处理系统开放系统互连抽象语法记法一(ASN.1)规范(idtISO/

IEC8824:1990)

GB/丁16284.3-1996信息技术文本通信面向信报的文本交换系统(MOTIS)第3部分:

抽象服务定义约定(idtISO/IEC10021-3:1990)

ISO/IEC9072-1:1989信息处理系统文本通信远程操作第1部分:模型、记法和服务定义

国家技术监督局1996一03一22批准1996门0一01实施

Gs/T16264.3-1996

ISO/1EC9072-2:1989信息处理系统文本通信远程操作第2部分:协议规范

3定义

3.1基本目录定义

本标准使用GB/T16264.1中定义的下列术语:

a)目录Directory

b)日录信息库(DIB)DirectoryInformationBase

c)(日录)用户(Directory)User

3.2目录模型定义

本标准使甩GB/T16264.2中定义的下列术语:

a)目录系统代理(DSA)DirectorySystemAgent

b)目录用户代理(DUA)DirectoryUserAgent

3.3目录信息库定义

本标准使用GB/T16264.2中定义的下列术语:

a)别名项alias

b)目录信息树(DIT)DirectoryInformationTree

c)(目录)项(Directory)entry

d)直接上级immediatesuperior

e)直接上级项/客体immediatelysuperiorentry/object

f)客体object

9)客体类objectclass

h)客体项objectentry

i)下级subordinate

j)卜级superior

3.4目录项定义

本标准使用GB/T16264.2中定义的下列术语:

a)属性attribute

b)属性类型attributetype

c)属性值attributevalue

d)属性值断定attributevalueassertion

3.5名字定义

本标准使用GB/T16264.2中定义的下列术语:

a)别名alias,aliasname

h)叮辨别名distingushedname

c)(目录)名(directory)name

d)声称名purportedname

e)相关可辨别名relativedistinguishedname

3.6分布式操作定义

本标准使用GB/T16264.4中定义的下列术语:

a)链接chaining

b)参照指示referral

3.7抽象服务定义

本标准定义下列术语:

GB/T16264.3-1996

3.7.1筛选器filter

对一个目录项的某些属性的值是否出现的断定，以便限制搜索的范围。

3.7.2服务控制servicecontrols

作为抽象操作的一部分被运送的参数，它限制其性能的各个方面。

3.7.3始发者originator

发起操作的用户。

4缩略语

本标准使用卜列缩略语:

AVA属性值断定

DIB目录信息库

DIT目录信息树

DMD目录管理域

DSA目录系统代理

DUA目录用户代理

RDN相关可辨别名

5约定

本标准使用GB/T16284.3中定义的抽象服务定义约定。

第二篇抽象服务

6目录服务概述

6-1正如GB/T16264.2中所述，目录服务是通过DUA的服务访问点来提供的，每一个访问动作代

表个·用户，其原理如图1所示。

访问点

图1对目录的访问

62原则上说，目录的访间点可以具有不同的类型，提供不同的服务组合。重要的是可以将目录看成是

一个客体，并支持多个类型的端口。每个端口定义目录与DUA之间一类特定的交互(作用)，而每个访

问点则负责一组特定的端口类型的组合。

6.3使用ISO/IEC8505-3中定义的记法可将目录定义如下:

directory

OBJECT

PORTS{readPort[S]

searchPortrSi

GB/T16264.3-1996

modifyPort[S])

::--id-ot-directory

目录通过以下各种端口提供操作:

读端口(Readports)，支持从DIB中某个特定命名的项中读信息;

搜索端口(Searchports)，允许对DIB进行探查;

修改端口(Modifyports)，允许对DIB中的项进行修改。

注:可望未来有其他类型的目录端口。

6.4与此类似，(从目录的角度来看)，可将DUA定义如下:

dua

OBJECT

PORTS{readPort[C]

searchPort[C习

modifyPort[C])

::=id-of-dua

DUA使用目录所提供的服务。

6.5可将6.2到6.4中援引的端口定义如下:

readPort

PORT

CONSUMERINVOKES{Read,Compare,Abandon)

::=id-pt-read

searchPort

PORT

CONSUMERINVOKES谧List,Search)

::=id-pt-Search

modifyPort

PORT

CONSUMERINVOKES{AddEntry,RemoveEntry,

ModifyEntry,ModifyRDN)

::=id-pt-modify

6.6readPort,searchPort以及modifyPort的操作分别在第9、第10和第11章中定义。

6了这些端口只作为目录服务描述的一个构造方法来使用。与目录操作的一致性在GB/T16264.5中

予以规定。

了信息类型

7.1综述

71.1本章标识和在某些情况下定义后面的目录操作定义中使用的若干信息类型，这里所涉及的信息

类型是那些用于多种操作，或在将来用于多种操作的通用信息类型，或者使用这些信息类型定义更复杂

的或自包含的信息类型。

7.1.2某些用于定义目录的信息类型在其他地方定义。7.2中标识这些类型并指出其定义的来源，其他

各条((7-3到7.10)则分别标识和定义信息类型。

7.2在其他标准中定义的信息类型。

7.2.1以下信息类型在UB/T16264.2中定义:

a)属性;

GB/T16264.3-1996

b)属性类型;

c)属性值;

d)属性值断定;

e)可辨别名;

f)名字;

9)相关可辨别名。

7.2.2下面信息类型在GB/T16264.6中定义:

a)表示地址。

7-2.3下面信息类型在GB/T16264.8中定义:

a)凭证;

b)签名;

c)证明路径。

7.2.4下面信息类型在ISO/IEC9072-1中定义:

a)调用ID,

7.2.5下面信息类型在GB/T16264.4中定义:

a)操作进展;

b)连续引用。

了.3公共自变量

7.3.1公共自变量信息可以出现，以限定目录能执行的每一个操作的调用。

CommonArguments::=SET;

[30]ServiceControlsDEFAULT(}，

[29]SecurityParametersOPTIONAI，

requestor[28]DistinguishedNameOPTIONAL,

仁27]OperationProgressDEFAULT;notStarted)，

aliasedRDNs仁26]INTEGEROPTIONAL,

criticalExtensions[25]BITSTRINGSETOPTIONAL

7.3.2以上各个成分的含义分别在7.3-2.1到7.3.2.4中定义。

7.3.2.1ServiceControl:成分在7.5中规定，缺省时表示控制为空集。

7.3.2.2SecurityParameters成分在7.9中规定，缺省时表示安全参数为空集。

7.3.2.3requestor可辨别名标识某个抽象操作的始发者，它包含用户与目录建立联编时使用的用户

名字。当要对请求签名(见7.10)时，可以要求这个成分，并且包含发起请求的用户的名字。

7.3.2.4OperationProgress定义DSA在请求的分布式评价中所扮演的角色。详见GB/T16264.4中

的定义。

7.3.2.5aliasedRDNs成分指示一个DSA，其操作的客体成分是以前的操作在企图没有引用别名时建

立的，整数值指明客体中RDN的数量，它来自没有引用的别名。(该值必须在以前操作的参照指示响应

中设置)。

7.3.2.6CriticalExtensions成分提供了一种机制，以列出一组相对目录抽象操作的执行来说是临界

的扩展。似乎扩展抽象操作的始发者希望指明该操作必须和一个或多个扩展一起执行(即没有这些扩展

的操作是不能接收的)这种执行是通过设置与该扩展相对应的CriticalExtensions位而进行的。

如果目录和目录的某部分不能执行一个临界扩展，它返回一个UnavailableCriticalExtersion指示

(作为一个serviceError或一个PartialoutcomeQualifier)。如果该目录不能报告一个非临界的扩展，则

它忽略扩展的存在。

7.4公共结果

GB/T16264.3-1996

7.4.1CommonResults信息必须出现，以限定目录所执行的每个恢复操作的结果。

CommonResults::=SET{

[30]SecurityParametersOPTIONAL,

performer[29]DistinguishedNameOPTIONAL,

aliasDereferenced[28]BOOLEANDEFAULTFALSE)

7.4.2以上各成分的含义在7.4.2.1到7.4.2.3中定义。

7.4.2.1SecurityParameters成分在7.9中规定，缺省时表示安全参数为空集。

7-4-2.2Performer可辨别名标识某个特定操作的执行者。当要对结果签名时(见7.10)，可以要求该

成分，并包含签名该结果的DSA的名字。

7.4-2.3当某个客体作为该操作的目标的基客体的声称名，并包括没有引用的别名时，aliasDerefer-

enced成分置为TRUE,

了5服务控制

7-5-1ServiceControls参数包含指导或限制提供服务的控制信息。

ServiceControls::=SET(

options[0]BITSTRING(

preferChaining(0),

chainingProhibited(1)，

localScope(2)，

dontUseCopy(3),

dontDereferenceAliases(4))

DEFAULT{}，

priority仁1]INTEGER{

low(0)，

medium(1)，

high(2)}DEFAULTmedium,

timeLimit仁2]INTEGEROPTIONAL,

sizeLimit[3]INTEGEROPTIONAL,

scopeOfReferral[4]INTEGER(dmd(0)，

country(1))

OPTIONAL)

7.5.2以上各成分的含义在7.5-2.1到7.5.2.5中定义。

7.5.2.1Options成分包含一组指示，对于其中每个指示，如果设置，则确立所建议的条件。因此:

a)preferChaining指示优选链接，而非参照指示，用于提供目录服务。不要求目录遵循这种优选;

b)chainingProhibited指示禁止链接和其他在目录中分布请求的方法;

c)localscope指示操作只局限于本地范围。本选项的定义本身属于本地事件。例如，该指示操作只

属于单个DSA或单个DMD;

d)dontUseCopy指示不用(GB/T16264.4中定义的)信息拷贝来提供服务，

e)dontDereferenceAliases指示用来标识由操作所涉及的项所用的别名是不被还原的。

注:必需允许引用别名项本身，而不是混名项，例如为了读别名项。

如果该成分缺省，则采用下面假定:不优选链接，但也不禁止链接，不限制操作的范围，允许使用拷

贝，并且也可以还原别名(除非决不还原别名的修改操作)。

7.5.2.2提供服务的优先级(低、中、高)。应注意，这样不保证基本上不实现排队的目录的服务。不隐含

与低层使用“优先级”的关系。

Gs/T16264.3-1996

7.5.2.3timeLimit指示最大持续时间，以秒计数，服务只在规定的时间内提供。如果不能满足限制，则

报告差错。如果该成分缺省，则不隐含时间限制。如果List或Search超过时限，则结果是已累计结果的

任意选择

注该元素并不隐含在持续时间内，请求处理所花费的时间:在持续时间内的请求处理可以包含多个DSA

7.5.2.4sizeLimit仅可用于List和Search操作。它指示返回的客体的最大数目。当超出这个限制时，

List和Search的结果可以是已累计结果的任意选择，数目等于该限制;废弃任何更多的结果。

7.5.2.5scopeOfReferral指示由一个DSA返回的参照指示的范围。根据所选的dmd或country的

值，只返回所选定范围内的对其他DSA的参照指示。

它适用于List和Search结果中的Referral差错和unexplored参数两者。

7.5.3priority,timel.imit和SizeLimit的某些组合可能导致矛盾。例如，短时间限制可能与低优先权

矛盾;高数目限制可能与短时间限制矛盾。

了.6项信息选择

7.6.1EntryInformationSelection参数指示在恢复服务中某个项所请求的哪些信息。

EntryInformationSelection::=SETJ

attributeTypes

CHOICE{

allAttributes[o]NULL,

select[l]SETOFAttributeType

—空集隐含不要求属性请求—}

DEFAULTallAttributesNULI，

infoTypes仁2]INTEGER{

attri6uteTypesOnly(o),

attributeTypesAndValues(1))

DEFAULTattribiteTypesAndValues)

7.6.2以上各个成分的含义在7.6-2.1和7.6.2.2中定义。

7.6.2.1attributeTypes成分规定请求信息的属性:

a)如果选择select选项，则列出所包含的属性;如果列表为空，则不返回属性;如果属性存在，则返

回所选属性的有关信息;如果没有所选的属性存在，则返回AttributeError，并指明差错原因为no-

SuchAttribute;

b)如果选择allAttributes选项，则请求项中的全部属性的有关信息。

如果满足访问权限要求，则只返回属性信息。如果请求不能满足读全部属性的权限要求，则返回

SecurityError，并指明差错原因为insufficientAccessRights.

7.6.2.2InfoTypes成分规定是请求属性类型和属性组信息(缺省情况下)还是只请求属性类型信息，

如果attributeTypes成分为不请求属性，则该成分无意义。

了.7项信息

7.7.1EntryInformation参数运送从项中选择的信息。

EntryInformation::二SEQUENCE{

DistinguishedName,

fromEntryBOOLEANDEFAULTTRUE,

SETOFCHOICE{

AttributeType,

Attribute}OPTIONAL}

7.7.2通常应包括项的DistinguishedNameo

Ga/T162643-1996

7.7.3fromEntry参数为TRUE时，则指示从项中取得信息，否则为项的拷贝(即该参数为FALSE).

7.7.4如果要求包括AttributeType，和Attributes的集合，则其中每个属性类型既可以独立存在，又

可以与多个属性值一起存在。

了8筛选器

7.8.1Filter参数提供一个测试，该测试或被特定项满足或不被满足。筛选器参数根据项的某些属性

或属性值是否存在的断定来表示，当且仅当判断为TRUE时，Filter才能满足。

注:筛选器可以为TRUE,FALSE或未定义。

Filter::=CHOICE{

item[0]FilterItem,

and[1]SETOFFilter,

or[幻SETOFFilter,

not[3]Filter}

FilterItem::=CHOICE(

equality[0]AttributeValueAssertion,

substrings[1]SEQUENCE{

typeAttributeType,

stringsSEQUENCEOFCHOICE{

Initial[0]AttributeValue,

any[1]AttributeValue,

final[2]AttributeValue}}，

greaterOrEqual[2]AttributeValueAssertion,

IessOrEquat[3]AttributeValueAssertion,

present[4]AttributeType

approximateMate拭5]AttributeValueAssertion}

7.8.2Filter或为一个FilterItem或为由简单Filters通过逻辑操作符and,or和not构成的一个表达

式。

7.8.2.1一个Filter，它是具有Filteritem值的Filteritem(即，TRUE,FALSE或未定义)(见7.8.3).

7.8.2.2一个Filter，如果该集合为空或如果每个筛选器为TRUE，则该Filter是筛选器集合为

TRUE的and;如果至少有一个筛选器为FALSE，则该Filter是FALSE,

7.8.2.3一个Filter，如果该集合为空或如果每个筛选器为FALSE，则该Filter是筛选器集合为

FALSE的or;如果至少有一个筛选器为TRUE，则该Filter是FALSE;否则该Filter是未定义的(即，

如果至少有一个筛选器是未定义的以及没有筛选器为TRUE)o

7.8-2.4一个Filter，如果筛选器为FALSE，则该Filter是筛选器为TRUE的not;如果筛选器为

TRUE，则该Filter是FALSE;如果筛选器为未定义的，则该Filter是未定义的。

7.8.3FilterItem为关于被测项中某个特定类型的属性或属性值是否存在的一个断定，每个这样的断

定可以为TRUE,FALSE或未定义。

7.8.3.1每个FilterItem都包含一个AttributeType，用于标识所涉及的特定属性。

7.8-3.2只有当AttributeType被判断机制已知，并且其相应AttributeValue符合该属性类型定义的

属性语法时，则关于这样一个属性值的任何断定才予以定义。

注

当上述条件不成立时，FilterItem为未定义。

访问控制限制可能要求将FilterItem看作是未定义的

7.8.3.3对一个属性的值的断定，使用与为这种属性类型定义的属性语法相关的匹配规则来评价。未

GB/T16264.3-1996

对某个特定的属性语法定义的匹配规则不能用来对该属性作出断定。

注:如果该条件不能满足，则Filter为未定义.

7.8.3.4FilterItem可以是未定义的(见7.8.3.2和7.8.3.3)，否则，FilterItem确定如下规则:

a)equality，当且仅当属性值与确定的相等时，其为真;

b)substrings，当且仅当属性值划分成如下几部分时，其为真:

—按照串序列的顺序，规定的子串(initial,any,final)与值不同部分匹配。

-inital，如果存在，则匹配值的第1部分;

-final，如果存在，则匹配值的最后部分;

-any，如果存在，则匹配值的任意部分。

串中最多只有一个initial，也最多只有一个final。如果inital存在，它应是申的第一个元素。如果fi-

nal存在，它应是串的最后一个元素。申中的any应是零个或多个。

c)greaterOrEqual，当且仅当相关排序(由适当的排序算法定义)将提供的值置于属性的任意值之

前或至少等于属性的一个值时，它为TRUE,

d)lessOrEqual，当且仅当相关排序(由适当的排序算法定义)将提供的值置于属性的任意值之后或

至少等于属性的一个值时，它为TRUE,

。)present，当且仅当项中出现这种属性时，它为TRUE,

f)approximateMatch，当且仅当有一个属性值与本地定义的逼近匹配算法(例如，拼写变化、语音

匹配等)确定的属性值匹配时，则它为TRUE。在本标准的该版本中没有逼近匹配的专门指南。如果不

支持逼近匹配，则将该FilterItem看作equality匹配来处理。

7.9安全参数

7.9.1SecurityParameters控制与目录操作有关的各种安全特性的操作。

注:安全参数由发送方运送给接收方.当这些参数作为抽象操作的自变量出现时，请求方为发送方，执行方为接收

方。反之亦然。

SecurityParameters::=SET{

Certification-Path[0]CertificationPathOPTIONAL,

name[I]DistinguishedNameOPTIONAL,

time仁2]UTCTimeOPTIONAL,

random仁3]BITSTRINGOPTIONAL,

target[4]ProtectionRequestOPTIONAL)

ProtectionRequest::=INTEGER{none(0)，

signed(1)}

7.9.2以上各成分在7.9.2.1到7.9-2.5中定义。

7.9.2.1CertificationPath成分包含发送方凭证，也可有选择地包含凭证对的序列。该凭证用于与发送

方的公开密钥和可辨别名建立联系，并可用于对自变量或结果的签名进行验证。如果自变量或结果被签

名，则该参数应出现。凭证对的序列由凭证机构的交叉凭证组成，它用来使发送方的凭证有效。如果接收

方共享与发送方同一凭证机构，则不要求凭证对的序列。如果接收方要求一组有效的凭证对，而该参数

又没有出现，则接收方是接收还是拒绝关于自变量或结果的签名，或试图生成凭证路径属本地的事件。

7.9.2.2name是指白变量或结果的第一个预期接收方的可辨别名。例如，如果一个DUA产生一个签

名的自变量，则该名字为操作所递交的DSA的可辨别名。

7.9.2.3当使用签名的自变量时，time为签名有效的期满时间，它与一个随机数一起用来检测“重操

作”攻击。

7.9.2.4randomnumber是每个未期满权标的不同数，它和时间参数一起在自变量或结果被签名时用

于检测“重操作”攻击。

GB/T16264.3-1996

7.9.2.5targetProtectionRequest可以仅出现在要求执行操作的请求中，并指出请求者对提供给结果

的保护的优选等级。现提供两种等级:none(没有请求保护，缺省)，和signed(请求目录对结果进行签

名)，实际提供给结果的保护等级由结果的格式指出，并且可能等于或低于所请求的等级。这主要取决于

目录的限制。

7.10OPTIONLY-SIGNED(有选择地签名)

7.10.1对于OPTIONALLY-SIGNED信息类型来说，其值可以(有赖于发起方的选项)带有数字签

名。这种能力由下列宏定义方法来规定。

OPTIONALLY-SIGNEDMACRO::=

BEGIN

TYPENOTATION::=type(Type)

VALUENOTATION::=value(VALUE

CHOICE{Type,SIGNEDType})

END

7.10.2描述信息的签名格式的SIGNED宏在GB/T16264.8中规定。

8联编和断联操作

DirectoryBind和DirectoryUnbind操作，分别在8.1和8.2中定义，是由DUA在对目录的访间的特

定周期的开始和终止时使用。

8.1DirectoryBind

8.1.1DirectoryBind操作用于开始个日录访问周期。

DirectoryBind:=ABSTRACT-BIND

TO{readPort,searchPort,modifyPort}

BIND

ARGUMENTDirectoryBindArgument

RESULTDirectoryBindResult

BIND-ERRORDirectoryBindError

DirectoryBindArgument::=SET{

credentials[0]CredentialsOPTIONAL,

versions[1口VersionsDEFAULT(vl988)

Credentials::=CHOICE{

simple[0]SimpleCredentials,

strong[1]StrongCredentials,

externaiProcedure仁2]EXTERNAI}

SimpleCredentials::二SEQUENCE{

name[0]DistinguishedName,

validity[1]SET{

timel[0]UTCTimeOPTIONAL,

time2[1]UTCTimeOPTIONAL,

randoml[2]BITSTRINGOPTIONAL,

random2[3]BITSTRINGOPTIO