PKI标准可以分为第一代和第二代标准[12]。
第一代PKI标准主要包括美国RSA公司的公钥加密标准(Public Key Cryptography Standards,PKCS)系列、国际电信联盟的ITU-T X.509、IETF组织的公钥基础设施X.509(Public Key Infrastructure X.509,PKIX)标准系列、无线应用协议(Wireless Application Protocol ,WAP)论坛的无线公钥基础设施(Wireless Public Key Infrastructure,WPKI)标准等。第一代PKI标准主要是基于抽象语法符号(Abstract Syntax Notation One,ASN.1)编码的,实现比较困难,这也在一定程度上影响了标准的推广。
第二代PKI标准是在2001年,由微软、VeriSign和webMethods三家公司发布了XML密钥管理规范(XML Key Management Specification,XKMS),被称为第二代PKI标准。XKMS由两部分组成:XML密钥信息服务规范(XML Key Information Service Specification,X-KISS)和XML密钥注册服务规范(XML Key Registration Service Specification,X-KRSS)。X-KISS定义了包含在XML-SIG元素中的用于验证公钥信息合法性的信任服务规范;使用X-KISS规范,XML应用程序可通过网络委托可信的第三方CA处理有关认证签名、查询、验证、绑定公钥信息等服务。X-KRSS则定义了一种可通过网络接受公钥注册、撤销、恢复的服务规范;XML应用程序建立的密钥对,可通过X-KRSS规范将公钥部分及其它有关的身份信息发给可信的第三方CA注册。X-KISS和X-KRSS规范都按照XML Schema 结构化语言定义,使用简单对象访问协议(SOAP V1.1)进行通信,其服务与消息的语法定义遵循Web服务定义语言(WSDL V1.0)。目前XKMS已成为W3C的推荐标准,并已被微软、VeriSign等公司集成于他们的产品中(微软已在ASP.net中集成了XKMS,VeriSign已发布了基于Java的信任服务集成工具包TSIK)。
CA中心普遍采用的规范是X.509[13]系列和PKCS系列,其中主要应用到了以下规范:
1.X.209(1988)
ASN.1是描述在网络上传输信息格式的标准方法。它有两部分:第一部份(ISO 8824/ITU X.208)描述信息内的数据、数据类型及序列格式,也就是数据的语法;第二部分(ISO 8825/ITU X.209)描述如何将各部分数据组成消息,也就是数据的基本编码规则。
ASN.1原来是作为X.409的一部分而开发的,后来才独立地成为一个标准。这两个协议除了在PKI体系中被应用外,还被广泛应用于通信和计算机的其他领域。
2.X.500(1993)
X.500是一套已经被国际标准化组织(ISO)接受的目录服务系统标准,它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。X.500是层次性的,其中的管理域(机构、分支、部门和工作组)可以提供这些域内的用户和资源信息。在PKI体系中,X.500被用来惟一标识一个实体,该实体可以是机构、组织、个人或一台服务器。X.500被认为是实现目录服务的最佳途径,但X.500的实现需要较大的投资,并且比其他方式速度慢;而其优势具有信息模型、多功能和开放性。
3.X.509(1993)
X.509是由国际电信联盟(ITU-T)制定的数字证书标准。在X.500确保用户名称惟一性的基础上,X.509为X.500用户名称提供了通信实体的鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口。
X.509的最初版本公布于1988年。X.509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。这一标准的最新版本是X.509 v3,它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段,用来提供更多的灵活性及特殊应用环境下所需的信息传送。
4.PKCS系列标准
PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。到1999年底,PKCS已经公布了以下标准:
PKCS#1:定义RSA公开密钥算法加密和签名机制,主要用于组织PKCS#7中所描述的数字签名和数字信封。
PKCS#3:定义Diffie-Hellman密钥交换协议。
PKCS#5:描述一种利用从口令派生出来的安全密钥加密字符串的方法。使用MD2或MD5 从口令中派生密钥,并采用DES-CBC模式加密。主要用于加密从一个计算机传送到另一个计算机的私人密钥,不能用于加密消息。
PKCS#6:描述了公钥证书的标准语法,主要描述X.509证书的扩展格式。
PKCS#7:定义一种通用的消息语法,包括数字签名和加密等用于增强的加密机制,PKCS#7与PEM兼容,所以不需其他密码操作,就可以将加密的消息转换成PEM消息。
PKCS#8:描述私有密钥信息格式,该信息包括公开密钥算法的私有密钥以及可选的属性集等。
PKCS#9:定义一些用于PKCS#6证书扩展、PKCS#7数字签名和PKCS#8私钥加密信息的属性类型。
PKCS#10:描述证书请求语法。
PKCS#11:称为Cyptoki,定义了一套独立于技术的程序设计接口,用于智能卡和PCMCIA卡之类的加密设备。
PKCS#12:描述个人信息交换语法标准。描述了将用户公钥、私钥、证书和其他相关信息打包的语法。
PKCS#13:椭圆曲线密码体制标准。
PKCS#14:伪随机数生成标准。
PKCS#15:密码令牌信息格式标准。
5.OCSP在线证书状态协议
OCSP(Online Certificate Status Protocol)[14]是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。该标准提供给PKI用户一条方便快捷的数字证书状态查询通道,使PKI体系能够更有效、更安全地在各个领域中被广泛应用。
6.LDAP 轻量级目录访问协议
LDAP规范(RFC1487)简化了笨重的X.500目录访问协议,并且在功能性、数据表示、编码和传输方面都进行了相应的修改。1997年,LDAP第3版本成为互联网标准。目前,LDAP v3已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。
分享到:
相关推荐
11.9.3 信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范 11.9.4 信息技术 安全技术 公钥基础设施 数字证书格式 11.9.5 信息技术 安全技术 公钥基础设施 时间戳规范 11.9.6 信息技术 安全技术 公钥基础设施 CA...
中国密码行业标准 ...本标准规定了基于PKI密码体系的智能密码钥匙应用接口数据格式,给出了接口相关数据的类型、格式、参数的定义和描述、安全性要求。 本标准适用于智能密码钥匙产品的研制、使用和检测。
这是ISO7816和相关PKI标准的开源Java Card实现。 一个根据ISO7816规范[3]的第15部分存储PKI文件的ISO7816文件系统:私钥目录,证书目录,CA和用户证书等。下载所有文件,您可以访问:
PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。
种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分CA( Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个...
PKI基础知识培训资料,从密码学基础开始,讲述(非)对称加解密、摘要、组合密码技术(数字签名、...PKCS7结构规范中的数字签名结构(RSA和国密)以及PKCS1规范文档,X509标准,国密密码算法相关标准。以及PKCS7签名数据实例
PKI(Public Key Infrastructure )是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
适用于全球的ESIM产品规范,也是唯一的规范,其中包含了行业描述、安全规范、加密标准、PKI体系等。
第三代社保卡规范,一共9个部分。 第1部分 卡片样式 第2部分 机电特性、逻辑接口与传输协议 第3部分 文件系统和应用选择 第4部分 安全机制 第5部分 命令 ...第8部分 与应用无关的非接触式规范 第9部分 PKI应用
该标准定义了JAVA CARD PKI接口规范,对如何运用JAVA CARD开发构建PKI进行了详细的定义.
1.2 信息安全标准与规范 1.3 网络基本概念 1.4 常见网络设备 1.5 常见信息安全威胁 1.6 威胁防范与信息安全发展趋势 2. 操作系统与主机安全 2.1 操作系统简介 2.2 常见服务器种类与威胁 2.3 主机防火墙和杀毒软件 ...
本标准规定了基于PKI密码体制的智能密码钥匙密码应用接口,描述了密码应用接口的函数、数据类型、参数的定义和设备的安全要求; 本标准适用于智能密码钥匙产品的研制、使用和检测
信息安全概念、信息安全标准与规范、常见攻击手段、基础操作系统安全、防火墙安全策略、防火墙NAT技术、防火墙双机热备技术、入侵防御技术、密码学基础、PKI机制、IPSec/SSL VPN技术、数据监控与分析、电子取证技术...
智能密码钥匙密码应用接口规范。本标准规定了基于PKI密码体制的智能密码钥匙密码应用接口,描述了密码应用接口的函数、数据类型、参数的定义和设备的安全要求。
国际航联ICAO 9303标准 PART 11,中文,第11部分明确了一些规范,使各国和供应商能够实施可提供非接触式集成电路只读访问的电子机读旅行证 件(“eMRTDs”)的密码安全功能。规定了密码协议以: • 防止非法浏览非...
pkcs#11的标准英文版,安全开发必备,usbkey等设备开发必备。
GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具...
推荐,最新数据安全解决方案和实践合集,共65份,包括: 电子认证服务在云安全与数据安全领域的研究与实践; 安全赋能数据开放-激活数据价值; 产业互联及数字化趋势下的安全业务架构;...PKI技术保障大数据安全;
主要实现对本地应用的统一接入,减少应用系统对底层数据库的直接访问,提高数据安全性,解决全市以及协作区域间信息服务资源的简便对等开放、共享标准规范、本地信息资源集中管理、面向应用服务的统一接入、高可用...
为了实现电网信息系统中数据的标准化和规范化,便于统一管理。本文基于公共模型设计了一种非结构化数据模型。首先文章介绍公共模型,其次说明了非结构化数据模型的设计原则、设计目标以及设计思路。通过对该模型的...