>サイトトップへ >このカテゴリの一覧へ

X 5731-8

:2003 (ISO/IEC 9594-8:2001)

(1)

まえがき

この規格は,工業標準化法第 14 条によって準用する第 12 条第 1 項の規定に基づき,社団法人情報処理

学会情報規格調査会(IPSJ・ITSCJ)/財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格

を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工業規格

である。これによって,JIS X 5731-8:1997 は改正され,この規格に置き換えられる。

改正に当たっては,日本工業規格と国際規格との対比,国際規格に一致した日本工業規格の作成及び日

本工業規格を基礎にした国際規格原案の提案を容易にするために,ISO/IEC 9594-8:2001,Information

technology

─Open Systems Interconnection─The Directory:Public-key and attribute certificate frameworks を基礎

として用いた。

JIS X 5731-8

には,次に示す附属書がある。

附属書 A(規定)  公開かぎ証明書及び属性証明書の枠組みの ASN.1 表記

附属書 B(規定)  CRL の生成及び処理規則

附属書 C(参考)  デルタ CRL の発行例

附属書 D(参考)  権限方針及び権限属性の定義例

附属書 E(参考)  公開かぎ暗号法

附属書 F(規定)  アルゴリズムオブジェクト識別子の参照定義

附属書 G(参考)  証明経路制約の使用例

附属書 H(参考)  情報項目定義のアルファベット順索引

附属書 I(参考)  旧版に対する追補及び技術に関する正誤票

附属書 1(参考)  ISO/IEC 9594-8:2001,Information technology─Open Systems Interconnection─The

Directory

:Public-key and attribute certificate frameworks

JIS X 5731

の規格群には,次に示す部編成がある。

JIS X 5731-1

  第 1 部  概念,モデル及びサービスの概要

JIS X 5731-2

  第 2 部  モデル

JIS X 5731-3

  第 3 部  抽象サービス定義

JIS X 5731-4

  第 4 部  分散操作の手順

JIS X 5731-5

  第 5 部  プロトコル仕様

JIS X 5731-6

  第 6 部  代表的な属性型

JIS X 5731-7

  第 7 部  代表的なオブジェクトクラス

JIS X 5731-8

  第 8 部  認証の枠組み

JIS X 5731-9

  第 9 部  複製

JIS X 5731-10 

第 10 部  システム管理を利用したディレクトリの管理


X 5731-8

:2003 (ISO/IEC 9594-8:2001)

(2)

目  次

ページ

序文 

1

1.

  適用範囲

1

2.

  引用規格

2

3.

  定義

2

4.

  略語

2

5.

  表記法

2

6.

  公開かぎ証明書及び属性証明書の枠組みの概要 

2

7.

  公開かぎ及び公開かぎ証明書

2

8.

  公開かぎ証明書拡張及び CRL 拡張 

3

9.

  デルタ CRL のベースとの関係 

3

10.

  証明経路の処理手順

3

11.

  公開かぎ基盤のディレクトリスキーマ 

3

12.

  属性証明書 

3

13.

  属性機関,SOA 及び証明機関の関係 

3

14.

  権限管理基盤のモデル 

3

15.

  権限管理証明書拡張

3

16.

  権限経路の処理手順

3

17.

  権限管理基盤のディレクトリスキーマ 

3

18.

  ディレクトリ認証

3

19.

  アクセス制御 

3

20.

  ディレクトリ操作の保護 

3

附属書 A(規定)公開かぎ証明書及び属性証明書の枠組みの ASN.1 表記 

3

附属書 B(規定)CRL の生成及び処理規則 

3

附属書 C(参考)デルタ CRL の発行例 

3

附属書 D(参考)権限方針及び権限属性の定義例

3

附属書 E(参考)公開かぎ暗号法 

4

附属書 F(規定)アルゴリズムオブジェクト識別子の参照定義 

4

附属書 G(参考)証明経路制約の使用例 

4

附属書 H(参考)情報項目定義のアルファベット順索引 

4

附属書 I(参考)旧版に対する追補及び技術に関する正誤票 

4

附属書 1(参考)ISO/IEC 9594-8:2001,Information technology─Open Systems Interconnection─The Directory:

Public-key and attribute certificate frameworks

5


日本工業規格

JIS

 X

5731-8

:2003

(ISO/IEC 9594-8

:2001

)

開放型システム間相互接続─

ディレクトリ─

第 8 部  認証の枠組み

Information technology

Open Systems Interconnection

─The Directory:

Public-key and attribute certificate frameworks

序文  この規格は,2001 年に第 4 版として発行された ISO/IEC 9594-8:2001,Information technology─Open

Systems Interconnection

─The Directory:Public-key and attribute certificate frameworks について,技術的内容

を変更することなく日本工業規格として採用するために作成されたものであり,1.については原国際規格

の同項目を全文翻訳し,2.以降については,それぞれ原国際規格の同項目の内容を引用するものとした。

1.

適用範囲  この規格は,認証及びその他のセキュリティサービスの領域におけるセキュリティ要件を,

十分なサービスの基礎である枠組み一式の提供を通して取り扱う。特に,この規格は,次に示す枠組みを

規定する。

a)

公開かぎ証明書の枠組み

b)

属性証明書の枠組み

c)

認証サービスの枠組み

この規格で定義する公開かぎ証明書の枠組みは,公開かぎ証明書及び証明書失効リスト(CRL)を含む,

公開かぎ基盤(PKI)のための情報オブジェクトを規定する。属性証明書の枠組みは,属性証明書及び属

性証明書失効リスト(ACRL)を含む,権限管理基盤(PMI)のための情報オブジェクトを規定する。また,

この仕様は,証明書の発行,管理,利用及び失効を行うための枠組みを提供する。両方の型の証明書及び

すべての失効リストのスキームに対応した形式定義の形で,

証明書及び失効リストの拡張機構を規定する。

さらに,この規格は,多くの PKI 及び PMI のアプリケーションに対して一般的に有益と期待される,証明

書及び CRL 用の標準拡張一式を規定する。この規格は,PKI 及び PMI のオブジェクトをディレクトリ上

に格納するための,オブジェクトクラス,属性型及び照合規則を含むスキーマ要素を規定する。この枠組

みを超えた PKI 及び PMI の他の要素,例えば,かぎ管理プロトコル,証明書管理プロトコル,操作プロト

コル,追加の証明書拡張及び CRL 拡張などは,他の標準化団体(ISO TC68,IETF など)によって規定さ

れることを期待している。

この規格で定義する認証スキームは,一般的であり,様々な応用及び環境に適用し得る。

ディレクトリは,公開かぎ証明書及び属性証明書を使用する。この規格は,ディレクトリにおけるこれ


2

X 5731-8

:2003 (ISO/IEC 9594-8:2001)

らの証明書の利用についての枠組みも規定する。証明書を含む公開かぎ暗号技術は,ディレクトリにおい

て,厳密認証,署名付き操作及び暗号化操作,署名付きデータ及び暗号化データのディレクトリ上での格

納を可能とするために使用される。属性証明書は,ディレクトリにおいて,規則に基づくアクセス制御を

可能とするために使用することができる。この仕様は公開かぎ証明書及び属性証明書の枠組みを提供して

いるが,ディレクトリにおけるこれらの枠組みの利用に関する完全な定義,及びディレクトリとその構成

要素が提供する関連サービスについては,ディレクトリ仕様の完全集合を通して与えられる。

さらに,この規格は,認証の枠組みとして,次の事項を規定する。

a)

ディレクトリが保持する認証情報の形式を規定する。

b)

この認証情報をディレクトリから取得する方法を示す。

c)

ディレクトリの中でこの認証情報がどのように形成され,配置されるかについての例を示す。

d)

アプリケーションが認証を実行するためにこれらの認証情報の三とおりの使い方を定義し,認証によ

ってどのように他のセキュリティサービスを提供するかを記述する。

この規格は,二つの水準の認証を規定する。簡易認証は,宣言された識別情報の検証にパスワードを使

用し,厳密認証は,暗号化技法によって形成される資格証明を利用する。簡易認証は,無許可のアクセス

に対するある程度の保護機能を提供するが,安全を保証するサービスの提供には,厳密認証だけを使用す

るのがよい。厳密認証を認証の一般的な枠組みとして確立することを意図してはいないが,この技法が適

切であるアプリケーションでは,一般的に使用することができる。

認証サービス及びその他のセキュリティサービスは,定義されたセキュリティ方針に従った範囲内だけ

で提供できる。このセキュリティ方針の定義は,規格によって提供されるサービスによって制限されるこ

とがあるが,それを定めるのは各アプリケーションの利用者とする。

ディレクトリから取得する認証情報を基にして,実際に認証を実現するためのプロトコル交換は,認証

の枠組みを利用するアプリケーションを定義する規格で規定する。アプリケーションが,ディレクトリか

ら資格証明を得るために使用するプロトコルは,ディレクトリアクセスプロトコル(DAP)であり,JIS X 

5731-3

による。

備考  この規格の対応国際規格を,次に示す。

なお,対応の程度を表す記号は,ISO/IEC Guide 21 に基づき,IDT(一致している)

,MOD

(修正している)

,NEQ(同等でない)とする。

ISO/IEC 9594-8

:2001,Information technology─Open Systems Interconnection─The Directory:

Public-key and attribute certificate frameworks (IDT)

2.

引用規格  ISO/IEC 9594-8:2001 の 2. Normative references による。

3.

定義  ISO/IEC 9594-8:2001 の 3. Definitions による。

4.

略語  ISO/IEC 9594-8:2001 の 4. Abbreviations による。

5.

表記法  ISO/IEC 9594-8:2001 の 5. Conventions による。

6.

公開かぎ証明書及び属性証明書の枠組みの概要  ISO/IEC 9594-8:2001 の 6. Frameworks overview に

よる。


3

X 5731-8

:2003 (ISO/IEC 9594-8:2001)

7.

公開かぎ及び公開かぎ証明書  ISO/IEC 9594-8:2001 の 7. Public-keys and public-key certificates による。

8.

公開かぎ証明書拡張及び CRL 拡張  ISO/IEC 9594-8:2001 の 8. Public-key certificate and CRL extensions

による。

9.

デルタ CRL のベースとの関係  ISO/IEC 9594-8:2001 の 9. Delta CRL relationship to base による。

10.

証明経路の処理手順  ISO/IEC 9594-8:2001 の 10. Certification path processing procedure による。

11.

公開かぎ基盤のディレクトリスキーマ  ISO/IEC 9594-8:2001 の 11. PKI directory schema による。

12.

属性証明書  ISO/IEC 9594-8:2001 の 12. Attribute certificates による。

13.

属性機関,SOA 及び証明機関の関係  ISO/IEC 9594-8:2001 の 13. Attribute authority, SOA and

Certification Authority relationship

による。

14.

権限管理基盤のモデル  ISO/IEC 9594-8:2001 の 14. PMI models による。

15.

権限管理証明書拡張  ISO/IEC 9594-8:2001 の 15. Privilege management certificate extensions による。

16.

権限経路の処理手順  ISO/IEC 9594-8:2001 の 16. Privilege path processing procedure による。

17.

権限管理基盤のディレクトリスキーマ  ISO/IEC 9594-8:2001 の 17. PMI directory schema による。

18.

ディレクトリ認証  ISO/IEC 9594-8:2001 の 18. Directory authentication による。

19.

アクセス制御  ISO/IEC 9594-8:2001 の 19. Access control による。

20.

ディレクトリ操作の保護  ISO/IEC 9594-8:2001 の 20. Protection of Directory operations による。

附属書 A(規定)  公開かぎ証明書及び属性証明書の枠組みの ASN.1 表記  ISO/IEC 9594-8:2001 の Annex

A Public-key and Attribute Certificate Frameworks in ASN.1

による。

附属書 B(規定) CRL の生成及び処理規則  ISO/IEC 9594-8:2001 の Annex B CRL Generation and Processing

Rules

による。

附属書 C(参考)  デルタ CRL の発行例  ISO/IEC 9594-8:2001 の Annex C Examples of Delta CRL Issuance

による。

附属書 D(参考)  権限方針及び権限属性の定義例  ISO/IEC 9594-8:2001 の Annex D Privilege Policy and


4

X 5731-8

:2003 (ISO/IEC 9594-8:2001)

Privilege Attribute Definition Examples

による。

附属書 E(参考)  公開かぎ暗号法  ISO/IEC 9594-8:2001 の Annex E An introduction to public key

cryptography

による。

附属書 F(規定) アルゴリズムオブジェクト識別子の参照定義  ISO/IEC 9594-8:2001 の Annex F Reference

definition of algorithm object identifiers

による。

附属書 G(参考)  証明経路制約の使用例  ISO/IEC 9594-8:2001 の Annex G Examples of use of certification

path constraints

による。

附属書 H(参考) 情報項目定義のアルファベット順索引  ISO/IEC 9594-8:2001 の Annex H Alphabetical list

of information item definitions

による。

附属書 I(参考) 旧版に対する追補及び技術に関する正誤票  ISO/IEC 9594-8:2001 の Annex I Amendments

and corrigenda

による。


5

X 5731-8

:2003 (ISO/IEC 9594-8:2001)

附属書 1(参考)ISO/IEC 9594-8:2001,

Information technology

─Open Systems Interconnection─

The Directory

:Public-key and attribute certificate frameworks