<%@ page contentType="text/html;charset=UTF-8"%> <%@ include file="/common/taglibs.jsp"%>PKI技术及应用开发指南---PKI标准、结论-河北省电子商务认证有限公司(河北CA)
首页 > 技术专栏 > PKI相关知识 > 资深专家座谈PKI  
 
PKI技术及应用开发指南---PKI标准、结论  

 

 

李明柱 博士 (mzli@263.net)

北京邮电大学信息安全中心

2002 年 6 月

PKI标准、结论

6 PKI标准

 

随着PKI的发展和应用的不断普及,PKI的产品也越来越多,为了保持个产品之间的兼容性,标准化成了PKI不可避免的发展趋势。

PKI的标准可分为两个部分:一类用于定义PKI,而另一类用于PKI的应用。

6.1 定义PKI的标准

在PKI技术框架中,许多方面都经过严格的定义,如用户的注册流程、数字证书的格式、CRL的格式、证书的申请格式以及数字签名格式等。

国际电信联盟ITU X.509协议,是PKI技术体系中应用最为广泛、也是最为基础的一个国际标准。它的主要目的在于定义一个规范的数字证书的格式,以便为基于X.500协议的目录服务提供一种强认证手段。但该标准并非要定义一个完整的、可互操作的PKI认证体系。

PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。到1999年底,PKCS已经公布了以下标准:

* PKCS#1:定义RSA公开密钥算法加密和签名机制,主要用于组织PKCS#7中所描述的数字签名和数字信封。

* PKCS#3:定义Diffie-Hellman密钥交换协议。

* PKCS#5:描述一种利用从口令派生出来的安全密钥加密字符串的方法。使用MD2或MD5 从口令中派生密钥,并采用DES-CBC模式加密。主要用于加密从一个计算机传送到另一个计算机的私人密钥,不能用于加密消息。

* PKCS#6:描述了公钥证书的标准语法,主要描述X.509证书的扩展格式。

* PKCS#7:定义一种通用的消息语法,包括数字签名和加密等用于增强的加密机制,PKCS#7与PEM兼容,所以不需其他密码操作,就可以将加密的消息转换成PEM消息。

* PKCS#8:描述私有密钥信息格式,该信息包括公开密钥算法的私有密钥以及可选的属性集等。

* PKCS#9:定义一些用于PKCS#6证书扩展、PKCS#7数字签名和PKCS#8私钥加密信息的属性类型。

* PKCS#10:描述证书请求语法。

* PKCS#11:称为Cyptoki,定义了一套独立于技术的程序设计接口,用于智能卡和PCMCIA卡之类的加密设备。

* PKCS#12:描述个人信息交换语法标准。描述了将用户公钥、私钥、证书和其他相关信息打包的语法。

* PKCS#13:椭圆曲线密码体制标准。

* PKCS#14:伪随机数生成标准。

* PKCS#15:密码令牌信息格式标准。

另外,PKCS#2和PKCS#4已经合并到PKCS#1之中。PKIX是由IETF组织中的PKI工作小组制定的系列国际标准。此类标准主要定义基于X.509和PKCS的PKI模型框架。PKIX中定义的四个主要模型为用户、认证中心CA、注册中心RA和证书存取库。

6.2 PKI应用标准

目前世界上已经出现了许多依赖于PKI的安全标准,即PKI的应用标准,如安全的套接层协议SSL、传输层安全协议TLS、安全的多用途互连网邮件扩展协议S/MIME和IP安全协议IPSEC等。

* S/MIME 是一个用于发送安全报文的IETF标准。它采用了PKI数字签名技术并支持消息和附件的加密,无须收发双方共享相同密钥。S/MIME委员会采用PKI技术标准来实现S/MIME,并适当扩展了PKI的功能。目前该标准包括密码报文语法、报文规范、证书处理以及证书申请语法等方面的内容。

* SSL/TLS是互连网中访问WEB服务器最重要的安全协议。当然,他们也可以应用于基于客户机/服务器模型的非WEB类型的应用系统。SSL/TLS都利用PKI的数字证书来认证客户和服务器的身份。

* IPSEC是IETF制定的IP层加密协议,PKI技术为其提供了加密和认证过程的密钥管理功能。IPSEC主要用于开发新一代的VPN。

另外,随着PKI的进一步发展,新的标准也在不断的增加和更新。

7 结论

从目前的发展来说,PKI的范围非常广,而不仅仅局限于通常认为的CA机构,它还包括完整的安全策略和安全应用。因此,PKI的开发也从传统的身份认证到各种与应用相关的安全场合,如企业安全电子商务和政府的安全电子政务等。

另外,PKI的开发也从大型的认证机构到与企业或政府应用相关的中小型PKI系统发展,既保持了兼容性,又和特定的应用相关。在以后的文章中,我们会对PKI的源代码工程OpenCA进行详细分析,为PKI的开发提供借鉴。

参考资料

http://www.pkiforum.org/:PKI论坛,可以获取更多关于PKI的信息。

http://www.pki-page.org/:其中包含了大量PKI站点的链接。

http://www.openca.org/:是一个CA开放源代码机构,可以获取更多的关于CA开发的信息。

关于作者

李明柱,男,28岁,北京邮电大学信息安全中心博士生,研究方向:网络安全与电子商务安全,密码学,在国内外学术期刊发表论文10多篇,出版专著8部,如《电子商务安全技术》(北京航空航天大学出版社)和《网络安全》(上海交通大学出版社)等。