IEC 10164-9-97 (ISO/IEC 10164-9:1997) 信息技术开放系统互连系统管理第9部分：对象和属性的访问控制

IEC 10164-9-97（等同于 ISO/IEC 10164-9:1997）是信息技术开放系统互连（OSI）系统管理领域的国际标准，它正式定义了用于访问控制管理的管理对象类和属性类型。作为 ISO/IEC 10164 系统管理系列的第9部分，该标准旨在为分布式开放系统环境提供统一、标准化的管理接口，使不同厂商的系统能够互操作地进行访问控制策略的配置与监控。截至2026年，该标准仍然是电信、企业网络及安全管理系统设计的基础参考之一。

一、标准概况与适用范围

1. 标准背景与定位

IEC 10164-9-97 基于 OSI 参考模型的系统管理框架（ISO/IEC 7498-4）和通用管理信息服务（ISO/IEC 10164-1）。它属于 OSI 系统管理功能中的“访问控制管理”功能域，专门解决在 CMIP（公共管理信息协议）环境中如何表示、查询和修改访问控制信息（Access Control Information, ACI）的问题。该标准定义了管理对象类（Managed Object Class）及其属性，使得管理应用可以统一地管理分布式系统中的访问控制策略。

2. 适用范围

目标系统：采用 OSI 管理模型（面向对象的管理信息模型）的开放系统，特别是使用 CMIS/CMIP 协议栈的管理环境。
管理对象：定义了一套可以实例化的管理对象类，用于代表访问控制策略（Access Control Policy）和受保护资源（Access Controlled Object）。
应用场景：包括网络设备管理、安全域管理、分布式服务授权管理等需要精细化控制访问权限的场景。

提示：虽然该标准源于传统 OSI 环境，但其对象模型和属性定义对后来基于 XML/SOAP 和 RESTful 的管理接口设计仍有重要影响。理解其核心概念有助于掌握管理信息建模的通用方法。

二、主要技术内容与要求

1. 访问控制信息模型

标准的核心是定义了用于表示访问控制信息的管理对象类。其模型围绕两个主要实体：

accessControlPolicy：代表一个访问控制策略实例。该对象类包含了策略所用的机制、时间约束、地点约束、用户组列表等属性。
accessControlObject：代表一个受保护的资源（可以是任何被管理的对象实例），通过关联的 accessControlPolicy 实例来决定是否允许特定操作。

2. 访问控制决策功能（ACDF）

标准定义了访问控制决策功能（Access Control Decision Function, ACDF）的抽象模型，其职责是根据策略和请求上下文输出“允许/拒绝”决策。ACDF 的输入包括：操作标识、发起者标识、目标对象、访问控制策略等。该模型与 ISO/IEC 10181-3（访问控制框架）保持一致。

3. 关键管理对象类及属性

管理对象类	描述	示例属性
accessControlPolicy	一个访问控制策略实例	accessControlMechanisms, timeOfDayConstraints, locationConstraints, userGroupList, policyEnabled
accessControlObject	代表受保护资源（可被访问控制）	accessPolicyInUse, permittedActions, currentDecision, objectAccessLog
accessControlDecision	代表一次决策结果（通常由系统内部使用）	decisionResult (permit/deny), decisionTime, evaluatedBy

4. 属性类型定义

标准详细规定了多种属性类型的语法和语义，包括：

accessControlMechanisms：标识该策略使用的访问控制机制，如口令、Kerberos、公钥证书等。
timeOfDayConstraints：允许或禁止访问的时间段（如 08:00-18:00）。
userGroupList：有权访问该资源的用户或用户组列表。
permittedActions：允许的操作列表（如 get, set, action）。

重要注意：在实现中，开发者常混淆 accessControlPolicy 和 accessControlObject 的边界。请记住：policy 定义规则，object 代表资源。一个资源可以引用多个策略，但需保证策略间无冲突。

三、实施与应用要点

1. 在系统管理应用实体中的集成

要在完整的 OSI 管理环境中实施该标准，管理应用实体（MAE）需要：

在 MIB（管理信息库）中注册标准定义的对象类和属性。
实现 ACDF 作为系统服务，通常在应用层安全功能模块中。
通过 CMIP 的 GET/SET 操作让管理应用远程读取和修改访问控制策略。

2. 一致性要求

标准要求所有声称支持该功能的实现必须：

支持至少一种访问控制机制（由 accessControlMechanisms 指定）。
能够通过核心管理对象类提供对策略的查询和修改。
在系统日志中记录访问控制决策（可选但推荐）。

强制性条款：根据 IEC 10164-9-97 第7条，任何访问敏感管理操作（如更改配置、删除对象）之前必须执行 ACDF 决策。未实施此功能的系统不得声明符合该标准。

3. 实施建议

先用层次化策略组织，避免全局策略过于复杂。
使用缓存机制提高 ACDF 性能，但注意策略更新后要及时失效。
将审计日志与访问控制集成，便于事后审计。

标准实施的益处：统一的访问控制管理对象模型显著降低了多厂商管理系统的集成成本。通过标准化的策略表示，跨域管理成为可能，同时也符合安全最佳实践的分权、最小权限原则。

四、与其他标准的关系

1. 与 ISO/IEC 10164 系列的关系

作为系列标准之一，IEC 10164-9 与以下部分紧密协作：

ISO/IEC 10164-1 (对象管理)：提供管理对象类的通用结构，第9部分依赖其定义的基础对象。
ISO/IEC 10164-2 (状态管理)：管理对象的状态变化可能触发访问控制策略的更新。
ISO/IEC 10164-6 (日志控制)：访问控制决策可以产生日志记录，通过日志管理部分进行存储和查询。

2. 与安全框架的关系

该标准与 OGSA（开放群组安全架构）和 ISO/IEC 10181 安全框架系列，特别是 ISO/IEC 10181-3（访问控制框架）高度兼容。实际上，IEC 10164-9-97 的 ACDF 模型可以看作是 10181-3 中抽象访问控制服务的具体管理对象实现。

3. 与 CMIP 协议的关系

标准中的管理对象定义直接映射到 CMIP 协议数据单元，使得管理者可以通过标准 CMIS 服务访问这些对象。对 SNMP 环境，该标准并不直接适用，但其信息模型可以映射到 SNMP 的 MIB 结构，实现类似的管理能力（近年来已有类似实践）。

常见问题 (FAQ)

问：IEC 10164-9-97 与 ISO/IEC 10181-3 有什么区别？
答：ISO/IEC 10181-3 是通用的访问控制框架，定义概念模型和术语，不指定具体管理对象。IEC 10164-9-97 则提供了可在 CMIP 系统中直接实例化的管理对象类和属性，属于框架的具体实现标准，二者是互补关系。

问：是否必须使用完整的 OSI 协议栈才能实施该标准？
答：原则上该标准针对 OSI 系统管理，但其中对于访问控制信息的抽象建模（策略、资源、决策）可以被其他管理平台借鉴。目前已有在 Web 管理服务中使用类似对象模型实现策略管理的案例。

问：该标准中的管理对象类是否可以直接通过 SNMP 操作？
答：不通用的，因为该标准基于面向对象的 CMIP，而 SNMP 采用表结构映射。不过，可以将标准中定义的属性映射为 SNMP MIB 变量，并在外部实现 ACDF 逻辑，但不属于标准的直接应用范围。

问：在 2026 年的网络中，该标准还有现实意义吗？
答：虽然 CMIP 已不如 SNMP 和 Netconf 广泛，但该标准所确立的管理对象模型方法——用对象封装策略信息、属性驱动配置——仍然在现代管理系统中使用。特别是在电信网管（TMN）遗留系统中，该标准仍被引用作为访问控制管理功能的基础。

📥 标准文件下载

🔒

请等待 10 秒，广告加载完成后将自动显示下载链接