1)X.209(1988)ASN.1基本編碼規則的規範
ASN.1是描述在網絡上傳輸信息格式的標準方法。它有兩部分:第壹部份(ISO 8824/ITU X.208)描述信息內的數據、數據類型及序列格式,也就是數據的語法;第二部分(ISO 8825/ITU X.209)描述如何將各部分數據組成消息,也就是數據的基本編碼規則。
ASN.1原來是作為X.409的壹部分而開發的,後來才獨立地成為壹個標準。這兩個協議除了在PKI體系中被應用外,還被廣泛應用於通信和計算機的其他領域。
2)X.500(1993)信息技術之開放系統互聯:概念、模型及服務簡述
X.500是壹套已經被國際標準化組織(ISO)接受的目錄服務系統標準,它定義了壹個機構如何在全局範圍內***享其名字和與之相關的對象。X.500是層次性的,其中的管理域(機構、分支、部門和工作組)可以提供這些域內的用戶和資源信息。在PKI體系中,X.500被用來惟壹標識壹個實體,該實體可以是機構、組織、個人或壹臺服務器。X.500被認為是實現目錄服務的最佳途徑,但X.500的實現需要較大的投資,並且比其他方式速度慢;而其優勢具有信息模型、多功能和開放性[20]。
3)X.509(1993)信息技術之開放系統互聯:鑒別框架
X.509是由國際電信聯盟(ITU-T)制定的數字證書標準。在X.500確保用戶名稱惟壹性的基礎上,X.509為X.500用戶名稱提供了通信實體的鑒別機制,並規定了實體鑒別過程中廣泛適用的證書語法和數據接口。
X.509的最初版本公布於1988年。X.509證書由用戶公***密鑰和用戶標識符組成。此外還包括版本號、證書序列號、CA標識符、簽名算法標識、簽發者名稱、證書有效期等信息。這壹標準的最新版本是X.509 v3,它定義了包含擴展信息的數字證書[21]。該版數字證書提供了壹個擴展信息字段,用來提供更多的靈活性及特殊應用環境下所需的信息傳送。
4)PKCS系列標準
PKCS是由美國RSA數據安全公司及其合作夥伴制定的壹組公鑰密碼學標準,其中包括證書申請、證書更新、證書作廢表發布、擴展證書內容以及數字簽名、數字信封的格式等方面的壹系列相關協議。到1999年底,PKCS已經公布了以下標準:
PKCS#1:定義RSA公開密鑰算法加密和簽名機制,主要用於組織PKCS#7中所描述的數字簽名和數字信封[22]。
PKCS#3:定義Diffie-Hellman密鑰交換協議[23]。
PKCS#5:描述壹種利用從口令派生出來的安全密鑰加密字符串的方法。使用MD2或MD5 從口令中派生密鑰,並采用DES-CBC模式加密。主要用於加密從壹個計算機傳送到另壹個計算機的私人密鑰,不能用於加密消息[24]。
PKCS#6:描述了公鑰證書的標準語法,主要描述X.509證書的擴展格式[25]。
PKCS#7:定義壹種通用的消息語法,包括數字簽名和加密等用於增強的加密機制,PKCS#7與PEM兼容,所以不需其他密碼操作,就可以將加密的消息轉換成PEM消息[26]。
PKCS#8:描述私有密鑰信息格式,該信息包括公開密鑰算法的私有密鑰以及可選的屬性集等[27]。
PKCS#9:定義壹些用於PKCS#6證書擴展、PKCS#7數字簽名和PKCS#8私鑰加密信息的屬性類型[28]。
PKCS#10:描述證書請求語法[29]。
PKCS#11:稱為Cyptoki,定義了壹套獨立於技術的程序設計接口,用於智能卡和PCMCIA卡之類的加密設備[30]。
PKCS#12:描述個人信息交換語法標準。描述了將用戶公鑰、私鑰、證書和其他相關信息打包的語法[31]。
PKCS#13:橢圓曲線密碼體制標準[32]。
PKCS#14:偽隨機數生成標準。
PKCS#15:密碼令牌信息格式標準[33]。
5)OCSP在線證書狀態協議
OCSP(Online Certificate Status Protocol)是IETF頒布的用於檢查數字證書在某壹交易時刻是否仍然有效的標準[34]。該標準提供給PKI用戶壹條方便快捷的數字證書狀態查詢通道,使PKI體系能夠更有效、更安全地在各個領域中被廣泛應用。
6) LDAP 輕量級目錄訪問協議
LDAP規範(RFC1487)簡化了笨重的X.500目錄訪問協議,並且在功能性、數據表示、編碼和傳輸方面都進行了相應的修改。1997年,LDAP第3版本成為互聯網標準。目前,LDAP v3已經在PKI體系中被廣泛應用於證書信息發布、CRL信息發布、CA政策以及與信息發布相關的各個方面[35]。
除了以上協議外,還有壹些構建在PKI體系上的應用協議,這些協議是PKI體系在應用和普及化方面的代表作,包括SET協議和SSL協議。
目前PKI體系中已經包含了眾多的標準和標準協議,由於PKI技術的不斷進步和完善,以及其應用的不斷普及,將來還會有更多的標準和協議加入
還有我國的相應國標:
信息技術 安全技術 公鑰基礎設施 在線證書狀態協議GB/T 19713-2005
信息技術 安全技術 公鑰基礎設施 證書管理協議GB/T 19714-2005
信息技術 安全技術 公鑰基礎設施 PKI組件最小互操作規範
信息技術 安全技術 公鑰基礎設施 數字證書格式
信息技術 安全技術 公鑰基礎設施 時間戳規範
信息技術 安全技術 公鑰基礎設施 CA認證機構建設和運營管理規範
信息技術 安全技術 安全支撐平臺技術框架
信息技術 安全技術 公鑰基礎設施 特定權限管理中心技術規範
信息技術 安全技術 公鑰基礎設施 證書策略與認證業務聲明框架
信息技術 安全技術 CA密碼設備應用程序接口
正在審批中的標準:
信息技術 安全技術 公鑰基礎設施 簡易在線證書狀態協議
信息安全技術 公鑰基礎設施 電子簽名卡應用接口基本要求
信息安全技術 公鑰基礎設施XML數字簽名語法與處理規範
《PKI系統安全等級保護評估準則》
信息技術 安全技術 證書載體應用程序接口