信息安全学习总结16.docx

（十六）PKI相关的标准 作者：山石1.Certificate——X.509V3 X.509是由国际电信联盟（ITU-T）制定的数字证书标准。最初版本公布于1988年,在公开讨论后，于1993年作了一些安全问题的修正。X.509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。X.509标准的最新版本是颁布于1997年的第3版X.509v3，它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段，用来提供更多的灵活性及特殊应用环境下所需的信息传送。 Version SignaturealgorithniidentifierCertificateSerialNumberfilgorithniparametersIssuerINamePeriodofvaliditySubject^publickeyinfo Signaturealgorithniidentifier Certificate SerialNumberfilgorithniparameters IssuerIName Periodofvalidity Subject^publickeyinfo notbefore notafter SubjectName alganthmsparameterskey IssuerUnique Identifier =0- -UweA E=0| SubjectUniqueIdentifier Extensions Signaturealgonthrnsparameters Signature algonthrnsparametersencrypted 图1X.509数字证书格式（三个版本） 2.PKCS系列标准 公钥密码标准PKCS是由RSA实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，是最早的公钥密码标准，也是公钥密码发展过程中最重要的标准之一。自1991年作为一份会议结果，由早期的公钥密码使用者公布以来，PKCS文档已经被广泛引用和实现。许多正式和非正式工业标准部分内容的制订都参照了PKCS，如ANSIX9,PKIX,SET,S/MIME,和SSL等。 PKCS#1：定义RSA公开密钥算法加密和签名机制 PKCS#3：定义Diffie-Hellman密钥交换协议PKCS#5:描述一种利用从口令派生出来的安全密钥加密字符串的方法PKCS#6:描述公钥证书的标准语法（主要是X.509证书的扩展格式） PKCS#7：定义一种通用的消息语法 PKCS#8:描述私有密钥格式 PKCS#9：定义可选信息属性类型 PKCS#10：描述证书请求语法 PKCS#11：定义一套独立于技术的程序设计接口 PKCS#12:描述个人信息交换语法标准 PKCS#13:椭圆曲线密码体制标准 PKCS#15:密码令牌信息格式标准3.OCSP在线证书状态协议 GB/T19713-2005《在线证书状态协议》(OnlineCertificateStatusProtocol-OCSP)某一时间使用的数字证书是否有效的标准。它为数字证书提供了一种实时检验数字证书有效性的途径，比下载和处理证书撤销列表(CRL)的传统方式更快、更方便和更立性，而且还能提供附加的状态信息。其结果是，它CRL处理快得多，并避免了令人头痛的逻辑问题和处理开销。 4.目录服务LDAP LDAP是轻量目录访问协议，英文全称是LightweightDirectoryAccessProtocol,一般都简称为LDAP。它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPmanRFC网页中找到。简单说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。 LDAP和关系数据库是两种不同层次的概念，后者是存贮方式(同一层次如网格数据库，对象数据库)，前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念，与关系数据库的查询语言SQL属同一级别。LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化，因此它可以很快地得到查询结果，不过在其它方面，例如saveupdate，就慢得多。 多多交流，欢迎批评指正！作者邮箱