PKI在实际应用中主要采用的标准

PKI在实际应用中主要采用的标准有：

1.         ASN.1 

是描述在网络上传输的信息格式的标准方法。

它有两个部分：

(1) ISO8824/ITU X.208 描述信息的数据、数据类型及序列格式，也就是数据的语法。

(2) ISO88245/ITU X.209 描述如何将各部分数据组成信息，也就是数据的基本编码规则

2.         X.500

是一个将局部目录服务连接起来，构成全球分布式目录服务系统的协议 ，是一套已经被国际标准化组织（ISO）接受的目录服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。

X.500目录服务是一种用于开发一个单位或组织内部人员目录的标准方法，这个目录可以称为全球目录的一部分。

在PKI体系中，X.500被用来唯一标识一个实体，该实体可以是机构、组织、人员或一台服务器。

在CA系统中，X.500目录服务器用于发布用户的证书和黑名单信息，用户可通过LDAP协议查询自己或其他人的证书或下载黑名单信息。

 

3.         X.509

是由国际电信联盟（ITU-T）制定的数字证书标准。X.500定义了一种区别命名规则，以命名树来确保用户名称的唯一性；X.509则为X.500用户名称提供了通信实体鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口，X.509称之为证书。

X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。用户可用常规密钥（如DES）为信息加密，然后再用接收者的公共密钥对DES进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开DES密锁，并对信息解密。该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息，就可以直接从对方的目录款项中获得相应的公开密钥，用于各种安全服务。

　　X.509 数字证书不仅包含用户名和公钥，而且还包含与用户有关的其他信息。这些证书并不仅仅是数字信任等级中的阶石。通过使用证书，CA 可以为证书接收者提供一种方法，使他们不仅信任证书主体的公钥，而且还信任有关证书主体的其他信息。其他信息可以包括电子邮件地址、授权对具有某种价值的文档进行签名、授权成为 CA 并为其他证书签名等等。

　　X.509 证书和许多其他证书都有有效期限。证书在期满后就会失效。CA 可以出于许多原因吊销证书。要吊销证书，CA 保存并分发一个吊销证书的列表，即证书吊销列表 (CRL)。网络用户访问 CRL 以确定证书的有效性。

　　X.509第3版数字证书的有三大变数的证书,证书和签名证书签名算法. 证书版本的优点,例如说,算法证、编号、签发、对象效力,但公钥信息,扩大选择等问题,像开独一无二的标识. 主题公钥信息特征更加详细的公钥算法和公钥问题,认为合法性是有其他选择的日期上下限限制,最后决定生活证书.

　　目前，X.509标准已在编排公共密钥格式方面被广泛接受，已用于许多网络安全应用程序，其中包括IP安全（Ipsec）、安全套接层（SSL）、安全电子交易（SET）、安全多媒体INTERNET邮件扩展（S/MIME）等

 

4.         PKCS系列标准

   The Public-Key Cryptography Standards (PKCS)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。到1999年底，PKCS已经公布了以下标准：

　　PKCS#1：定义RSA公开密钥算法加密和签名机制，主要用于组织PKCS#7中所描述的数字签名和数字信封[22]。

　　PKCS#3：定义Diffie-Hellman密钥交换协议[23]。

　　PKCS#5：描述一种利用从口令派生出来的安全密钥加密字符串的方法。使用MD2或MD5 从口令中派生密钥，并采用DES-CBC模式加密。主要用于加密从一个计算机传送到另一个计算机的私人密钥，不能用于加密消息[24]。

　　PKCS#6：描述了公钥证书的标准语法，主要描述X.509证书的扩展格式[25]。

　　PKCS#7：定义一种通用的消息语法，包括数字签名和加密等用于增强的加密机制，PKCS#7与PEM兼容，所以不需其他密码操作，就可以将加密的消息转换成PEM消息[26]。

　　PKCS#8：描述私有密钥信息格式，该信息包括公开密钥算法的私有密钥以及可选的属性集等[27]。

　　PKCS#9：定义一些用于PKCS#6证书扩展、PKCS#7数字签名和PKCS#8私钥加密信息的属性类型[28]。

　　PKCS#10：描述证书请求语法[29]。

　　PKCS#11：称为Cyptoki，定义了一套独立于技术的程序设计接口，用于智能卡和PCMCIA卡之类的加密设备[30]。

　　PKCS#12：描述个人信息交换语法标准。描述了将用户公钥、私钥、证书和其他相关信息打包的语法[31]。

　　PKCS#13：椭圆曲线密码体制标准[32]。

　　PKCS#14：伪随机数生成标准。

　　PKCS#15：密码令牌信息格式标准[33]。

   

5.         PKIX