slide1
Download
Skip this Video
Download Presentation
Идентификаторы цифровых объектов ( OID)

Loading in 2 Seconds...

play fullscreen
1 / 74

Идентификаторы цифровых объектов ( OID) - PowerPoint PPT Presentation


  • 294 Views
  • Uploaded on

Идентификаторы цифровых объектов ( OID). Назначение, структура, применение Анатолий Кликич ГУИКТ. Разнообразие и сложность данных , отсутствие гибкой системы их представления вызвали необходимость появления нотации высокого уровня для их описания.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Идентификаторы цифровых объектов ( OID)' - tannar


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Идентификаторы цифровых объектов(OID)

Назначение, структура,

применение

Анатолий Кликич

ГУИКТ

slide3

Разнообразие и сложностьданных, отсутствиегибкойсистемыихпредставления

вызвалинеобходимость

появлениянотациивысокогоуровня для их

описания.

slide4

. Данная нотация должна была удовлетворить ряд требований:

    • способность описать все существующие типы данных;
    • обеспечить описание сложных многоуровневых структур данных;
    • определять алгоритмы представления значений (правила кодирования);
    • обеспечить открытость для дальнейшего развития.
slide5

В качестве такой нотации Международный Консультативный Комитет по Телефонии и Телеграфии (МККТТ сегодня это ITU-T) предложил использовать абстрактно-синтаксическую нотацию версии 1.

ASN.1

slide6

ASN.1 (AbstractSyntaxNotationOne)

является ISO и ITU-T совместимым стандартом.

Первоначально был определён в 1984 году в рамках CCITT X.409:1984.

Из-за широкого применения ASN.1 в 1988 году перешёл в свой собственный стандарт X.208.

Начиная с 1995 года, существенно пересмотренный ASN.1 описывается стандартом X.680

slide7

ASN.1 была разработана для применения на верхних уровнях семиуровневой модели стека протоколов OSI.

Курс лекцийВ.А.Капустин

slide8

Стек протоколов, используемых в Интернете, отличается от семиуровневой модели ISO (Таблица 2).

Таблица 2. Использование ASN.1 в стеке протоколов Интернета

Использование ASN.1 в стеке протоколов Интернета

Курс лекцийВ.А.Капустин

slide9

ITU в 2001 году в рамках ITU-T SG-17 открывает проект содействия использованию ASN.1 в широком спектре отраслей промышленности и органов стандартизации, который также охватывает идентификаторы объекта (OID)

ASN.1 проект создал хранилище, которое собирает сведения о многих OID (в том числе всех тех, которые определены в любой рекомендации ITU-T)

Project LeaderMr. Olivier DUBUISSONFrance Telecom OrangeOrange Labs/DDEV

slide11

Сегодня в этом репозитории хранятся 107330 Идентификаторов.

Только в 2011 году зарегистрировано более 6000

slide12

Основные типы объектов, которые могут идентифицироваться с помощью OID

• страны, компании, проекты;

• построение сертификатов ключей подписей в соответствии с Rec. ITU-T X.509, включая

политики применения сертификатов (certificatepolicy);

• алгоритмы шифрования (пример: АES);

• протокол оповещения (Common Alerting Protocol (CAP) emergency message identification

([WMO-alerting-OIDs]);

• схема идентификации для применений tag-based объектов (also [X.668]);

slide13

определение имен атрибутов (distinguished name attributes[X.509]);

  • • в ASN.1 модулях, к примеру: BioAPI (Biometrics) Interworking Protocol;
  • • правила декодирования ASN.1 модулей, к примеру: ASN.1 BasicEncodingRules;
  • • MIB for SNMP network management, for example the SNMP Notification MIB;
  • • применение в электронном здравоохранении, к примеру: HL7 (international) tree of allocations;
  • • информационные объекты на основе ASN.1 (см. [X.681]);
  • Сети авиационной электросвязи (ATN) с использованием ISO/OSI стандартов ипротоколов;
slide14

ETSI (European Telecommunication Standards Institute): OIDs under {itu-t(0) identifiedorganization(4) etsi(0) reserved(127) etsi-identified-organization(0)} even for non-ETSI-members.

  • • Операторы сетей используют {itu-t(0) network-operator(3)};
  • International allocated OIDs for information systems:
  • TLS Web server authentication (1.3.6.5.5.7.3);
  • TLS Web client authentication (1.3.6.5.5.7.3.2);
  • Signing of downloadable executive code (1.3.6.5.5.7.3.3);E-mail protection (1.3.6.5.5.7.3.4);
  • IP Security end system (1.3.6.5.5.7.3.5);
  • 1.3.6.5.5.7.3.6 IP Security tunnel termination
  • 1.3.6.5.5.7.3.7 IP Security user
  • 1.3.6.5.5.7.3.8 Time Stamp Signing и т. д.
slide15

Cложно найти область, где не использовались бы идентификаторы объектов,

созданные в соответствии с международными рекомендациями.

slide17

Простой протокол управления сетью (SNMP)OID1.3.6.1.4.1.1768.

slide21
OID в стандартизованных медицинских документах
slide25

P K I

Инфраструктура открытых ключей

slide27

Технологии идентификации

  • Штрих-кодовая идентификация
  • Радиочастотная идентификация
  • Биометрическая идентификация
  • На основе карт с магнитной полосой
slide28

Технологии аутентификации

  • Аутентификациия по многоразовым паролям
  • Аутентификациия на основе одноразовых паролей
  • Аутентификациия по предъявлению цифрового сертификата
slide29

ОбластипримененияцифровыхсертификатовОбластипримененияцифровыхсертификатов

slide30

Основное требования к политике PKI

соответствие общей корпоративной политике безопасности;

slide31

Многие организации, реализующие функции PKI, сегодня работают не имея даже формальной политики, потому что никогда ранее не нуждались в ней.

PKI получает все большее распространение, возрастает число взаимодействий, поэтому работа без определенного набора политик становится практически невозможной.

x 5 0 9
МСЭ-Т X.509Серия Х: сети передачи данных, взаимосвязь открытых систем и безопасность

7 Открытые ключи и сертификаты открытых ключей

Идентификатор объекта, который определяет расширение, должен быть определен в соответствии в Рек. МСЭ-Т X.660 | ИСО/МЭК 9834-1.

8.2 Расширения информации о ключах и политике

Идентификаторы объектов, используемые для определения целей ключа, должны быть присвоены в соответствии с Рек. МСЭ-Т X.660 | ИСО/МЭК 9834-1.

8.2.2.6 Расширение политик сертификатов

 Идентификаторы объектов, используемые для определения политик сертификатов и типов квалификаторов политик сертификатов, должны быть присвоены в соответствии с Рек. МСЭ-Т X.660 | ИСО/МЭК 9834-1.

slide33

Каким же образом достигается уникальность идентификации объектов вмировомпространстве?

slide34

В основу решения данного вопроса на международном уровне были положены рекомендации X.208 "Abstract Syntax Notation One (ASN.1)" (затем серия X.680), разработанные совместно МСЭ-Т и ИСО/МЭК.

Впервые в этих документах был определены правила создания иерархической древовидной модели идентификации объектов на основе построения дерева идентификаторов объектов (OID-tree, Д-OID) и непосредственно

Object Identifier (OIDs).

slide35

Рекомендация

ITU-T X.660|ISO/ISO 9834-1 дает определение идентификатора объекта

как значение, отличающееся от других подобных значений, которое связывается с информационным объектом и является первичным списком целочисленных значений от корня (Root) международного дерева до узла, уникально определяющего этот объект.

slide36

Начиная с 2000 года разрешено использовать ASCII символы.

При использовании Уникод-метокдерево сейчас носит название "международное OID-tree".

Полный путь от главного корня до узла описывается строкой из Уникод-меток для каждого узла и называется OID-IRI формой

идентификации.

Таким образом, достигаетсясоответствие между метками Уникода (Unicodelabel) и описанием ASN.1.

top of the oid tree

root

Top of the OID Tree

joint-iso-itu-t(2)

itu-t(0)

iso(1)

tag-based(27)

recommendation(0)

identified-organisation(3)

member-body(2)

mcode(1)

country(16)

dod(6)

ISO 3166 country codes

ISO 3166 country codes

internet (1)

Example: {joint-iso-itu-t(2) tag-based(27) mcode(1)}

Note: The name of the 3 top-level arcs do not imply a hierarchical dependency to ISO or ITU-T.

slide38

Модель иерархического дерева

(OID-tree, Д-OID) предполагает

Ветка ITU-Тitu-t(0)

находится под администрированием ITU-Т,

Ветка ISO iso(1)

находится под администрированием ISO,

Ветка Joint-ISO-ITU-T joint-iso-itu (2)

находится под совместным администрированием ISO и ITU-Т.

slide39

Для ветки МСЭ-Т с индексом – 0 было выделено 6 ветвей:

0- "Recommendation",

1- "Question",

2 - "Administration",

3 - "Network-Operator",

4 - "Identified-Organization",

5 - "R-Recommendation".

slide40

Для ветки ИСО с индексом – 1 было выделено 4 ветки:

0- "Standard",

1- "Registration-Authority",

2 - "Member-Body",

3 - "Identified-Organization".

slide41

Ветка Joint-ISO-ITU-T с индексом 2

B настоящее время насчитывает 35 узлов.

Эти узлы назначаются всоответствии сстандарттомX.662 | ISO/IEC 9834-3

Выделение и наименование узлов и веток осуществляется в соответствии с номером проекта ISO иномером стандарта ISO, а также в соответствии с параметрами ITU-T StudyGroup, StudyPeriod, and Question, and the number of the ITU-T (or CCITT) Recommendation.

slide42

Стандартом

X.660 | ISO/IEC 9834-1

определено международное дерево идентификаторов(InternationalObjectIdentifier), которое поддерживает и деревоидентификаторов в кодах ASN.1 имеждународное описание идентификаторов, а также связь между ними.

slide43

Ветка под администрированием

ISO ?

Или ветка под совместным администрированием

ITU-Т-ISO?

В международной практике встречаются оба варианта.

В настоящее время OID выданные для стран под веткой ISO сохраняются

x 660 osi
МСЭ-Т X.660Серия Х: передача данных, система связи и безопасность.Сеть OSI и системные аспекты - обозначение, адрес и регистрация

5.5Область совместной регистрации в пределах страны была назначена (как определено в МСЭ-T Rec. X.662 | ISO/IEC 9834-3) дуга, которая производит значение ИДЕНТИФИКАТОРА ОБЪЕКТАASN.1:

{joint-iso-itu-t (2) страна (16)}

и соответствующее значение OID-IRI:

"/Joint-ISO-ITU-T/Country"

Узлы могут использоваться, чтобы назначить зависимые дуги (и, следовательно, ИДЕНТИФИКАТОР ОБЪЕКТА и значения OID-IRI) в пределах страны.

Рекомендуется, чтобы единственный национальный Регистрационный орган был определен совместным решением государства-члена Международного союза электросвязи и Национальным органом Международной организации по стандартизации.

slide48

Какую ветку выбрать для

построения национального дерева Украины?

slide49

Стандартами

X.660 | ISO/IEC 9834-1 X.662 | ISO/IEC 9834-3

рекомендуется строить национальные

OID-tree деревья под ветками администрирования ITU-Т и ISO

(с индексом – 2, Unicode label " Joint-ISO-ITU-T").

Пример: {joint-iso-itu-t (2) country (16) ua (804)}.

slide52

OID-tree США

{joint-iso-itu-t(2) country(16) us(840)}

содержит два узла child OIDs:

organization(1)и

erroneous-gov(101).

В узел organization(1) входит 4 узла:

dod(2),

csor(3),

us-government-org(10),

100.

slide53

Вывод

  • В основном страны выделяют ветки для создания
  • дереваидентификации правительства и
  • дерева идентификации бизнеса (организаций).
  • Каждая ветка может иметь свои узлы (node) и под ними соответствующие ветки и подветки.
slide54

Правила и порядок управления и администрирования деревом

идентификаторов

slide55

Управление всем деревом регистрации осуществляется на основе делегирования полномочий.

Неоднократное применение этого процесса через создание иерархии регистрирующих агентов обеспечивает генерацию глобально уникальных идентификаторов.

slide56

Дуга 2.16 была выделена странам рекомендацией ITU-T X.660 | ISO/IEC 9834-1.

Этой дугой совместно руководятITU-T и ISO

Рекомендацией ITU-T X.662 | ISO/IEC 9834-3 определен «Порядок функционирования органов по регистрации OSI: регистрация Дуг идентификатор объекта для совместной работы ИСО и МСЭ Т».

Все запросы на регистрацию должны быть совместно утверждены ITU-T SG17 и ISO/IEC ОТК 1/SC 6.

slide57

Стандартом

X.660 | ISO/IEC 9834-1

предусматривается, что

Национальный администратор OID-treeдолжен быть определен совместным решением Администрации (ITU) связи и Национальным органом по стандартизации (ISO).

slide59

Государственный университет информационно-комуникационных технологий(ГУИКТ)

Выполняет функции секретариата ТК 107 «Технічний захист інформації»

slide60

Establishment of a national OID Registration Authority for Ukraine

Attached are two letters signed by the ISO National Body for Ukraine (State Committee of Ukraine for Technical Regulation and Consumer Policy) and by the ITU Ukraine Member State (State Administration of Communications) informing that, in agreement with the provisions of Rec. ITU-T X.660 | ISO/IEC 9834-1, the State University of Information and Communication Technologies applies for operating as the Registration Authority for the OID country arc

{joint-iso-itu-t(2) country(16) ua(804)}.

This is issued to both ITU-T SG 17 and ISO/IEC JTC 1/SC 6 for their records.

The following contact information was also provided for the registration authority:

Mr. Anatoly Klikich

Head of "NAC-Telecom"

State University of Information and Communication Technologies (DUIKT)

Solomenskaya Str., 7

03110, Kiev Ukraine

Phone/fax number: +380 44 248 85 89

Email: [email protected]

slide61

At its plenary meeting in December 2010, ITU-T SG 17 noted that, according to an agreement signed by the ISO National Body for Ukraine (State Committee of Ukraine for Technical Regulation and Consumer Policy) and by the ITU Ukraine Member State (State Administration of Communications), the State University of Information and Communication Technologies will be the Registration Authority for this country OID for Ukraine. An equivalent decision was taken by ISO/IEC JTC 1/SC 6 at its plenary meeting in June 2011.{iso(1) member-body(2) ua(804)}.Ukraine also uses the country OID

At its plenary meeting in December 2010, ITU-T SG 17 noted that, according to anagreement signed by the ISO National Body for Ukraine (State Committee of Ukraine for Technical Regulation and Consumer Policy) and by the ITU Ukraine Member State (State Administration of Communications), the State University of Information and Communication Technologies will be the Registration Authority for this country OID for Ukraine. An equivalent decision was taken by ISO/IEC JTC 1/SC 6 at its plenary meeting in June 2011

{iso(1) member-body (2) ua (804)}.Ukraine also uses the country OID

slide62

При построении национального дерева необходимо:

• учитывать международную практику применения, разработки и описания информационных объектов;

• использовать стандартные международные OID в отдельных областях применения;

• учитывать при разработке новых национальных OID правила описания синтаксиса объектов;

• отслеживать непересекаемость с ранее разработанными стандартными OID

slide63

Национальное дерево OID-tree Украины

должно начинаться с главного узла, значение

которому присвоено в соответствии с международными рекомендациями.

OID-TREE 2.16.804

{joint-iso-itu-t (2) country (16) ua (804)}

/Joint-ISO-ITU-T/16/804

slide65

Для управления и администрирования национальным деревом OID-tree Украины предполагается создать узел с именем

{joint-iso-itu-t (2) country (16) ua (804) ra (1)}

Для регистрации объектов в сфере государственного управления предполагается создать ветку

{joint-iso-itu-t (2) country(16) ua (804) ra (1)gov(1)}.

Для регистрации объектов в сфере

бизнеса предполагается создать ветку

{joint-iso-itu-t (2) country (16) ua (804) ra (1) org(2)}

slide66

По поручению

Национальной комиссии, осуществляющей государственное регулирование в сфере связи и информатизации

в настоящее время ГУИКТ готовит предложения по формированию пространства Украинского сегмента Международного дерева идентификаторов объектов (OID)

slide69

От OID

кIdM

slide70

Подходы к идентификации объекта

Bar codes

– EPCs

– IP addresses

– OIDs

– URLs

– URNs

– UUIDs

– etc.

slide71
IdM дизайн модели
  • Идентификаторы объектов являются основными объектами IdM системы и они формируют основу IdM структуры.
  • Базовые модели IdM являются неотъемлемыми компонентами, которые строят структуру Мета IDM. Мета означаРисунок 3. Дизайн модели IdM
  • ет то, что структура не зависит от сетевого уровня, охраны окружающей среды, применение сценариев и т.д.
  • Система IdM зависит от окружения сети и приложений, с настроенными интерфейсами к другим функциям безопасности / не безопасности для обеспечения сопутствующих ID услуг.
  • IdM сеть состоит из нескольких систем IdM, между которыми применяются коммуникационные протоколы и механизмы, например, SAML, SSO.

Рисунок 3. Дизайн моделиIdM

slide72
Мета Структура IdM
  • IdM Мета Структура включает в себя основные компоненты IdM , концентрированные объектными идентификаторами.
  • Для объектных идентификаторов они должны различить расширения для обеих локальных id действий идентификатора и сетевых функций, основанных на IdM.
  • Основные ID расширения дают возможность изолированным метаструктурам IdM.
  • Расширения высшего уровня Id включают IdM сеть для безопасности / эффективности и т.д.
slide73

Управление определением идентичности (IdM)

В виртуальном мире IdM имеет важнейшее значение для поддержания надежного контроля задоступом кинформации и обменом информацией между поставщиками данных, конечнымипользователями и даже подключенными к сети объектами (включая оконечные устройства,смарт-чипы и исполняемое программное обеспечение).

Цифровые сертификаты X.509 МСЭ ужеслужат основой доверия и безопасности в онлайновом мире. Теперь новая работа, проводимаяпри помощи Глобальной инициативы МСЭ-Т по стандартам управления определением идентичности, такая как работа над Рекомендацией X.1250, касающейся всеобщего доверия к IdM и функциональной совместимости, приведет к разработке структуры для завтрашних инфраструктур иуслуг сетей на базе IP.

ad