PKI在实际应用中主要采用的标准有:
1. ASN.1
是描述在网络上传输的信息格式的标准方法。
它有两个部分:
(1) ISO8824/ITU X.208 描述信息的数据、数据类型及序列格式,也就是数据的语法。
(2) ISO88245/ITU X.209 描述如何将各部分数据组成信息,也就是数据的基本编码规则
2. X.500
是一个将局部目录服务连接起来,构成全球分布式目录服务系统的协议 ,是一套已经被国际标准化组织(ISO)接受的目录服务系统标准,它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。
X.500目录服务是一种用于开发一个单位或组织内部人员目录的标准方法,这个目录可以称为全球目录的一部分。
在PKI体系中,X.500被用来唯一标识一个实体,该实体可以是机构、组织、人员或一台服务器。
在CA系统中,X.500目录服务器用于发布用户的证书和黑名单信息,用户可通过LDAP协议查询自己或其他人的证书或下载黑名单信息。
3. X.509
是由国际电信联盟(ITU-T)制定的数字证书标准。X.500定义了一种区别命名规则,以命名树来确保用户名称的唯一性;X.509则为X.500用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口,X.509称之为证书。
X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息,就可以直接从对方的目录款项中获得相应的公开密钥,用于各种安全服务。
X.509 数字证书不仅包含用户名和公钥,而且还包含与用户有关的其他信息。这些证书并不仅仅是数字信任等级中的阶石。通过使用证书,CA 可以为证书接收者提供一种方法,使他们不仅信任证书主体的公钥,而且还信任有关证书主体的其他信息。其他信息可以包括电子邮件地址、授权对具有某种价值的文档进行签名、授权成为 CA 并为其他证书签名等等。
X.509 证书和许多其他证书都有有效期限。证书在期满后就会失效。CA 可以出于许多原因吊销证书。要吊销证书,CA 保存并分发一个吊销证书的列表,即证书吊销列表 (CRL)。网络用户访问 CRL 以确定证书的有效性。
X.509第3版数字证书的有三大变数的证书,证书和签名证书签名算法. 证书版本的优点,例如说,算法证、编号、签发、对象效力,但公钥信息,扩大选择等问题,像开独一无二的标识. 主题公钥信息特征更加详细的公钥算法和公钥问题,认为合法性是有其他选择的日期上下限限制,最后决定生活证书.
目前,X.509标准已在编排公共密钥格式方面被广泛接受,已用于许多网络安全应用程序,其中包括IP安全(Ipsec)、安全套接层(SSL)、安全电子交易(SET)、安全多媒体INTERNET邮件扩展(S/MIME)等
4. PKCS系列标准
The Public-Key Cryptography Standards (PKCS)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。到1999年底,PKCS已经公布了以下标准:
PKCS#1:定义RSA公开密钥算法加密和签名机制,主要用于组织PKCS#7中所描述的数字签名和数字信封[22]。
PKCS#3:定义Diffie-Hellman密钥交换协议[23]。
PKCS#5:描述一种利用从口令派生出来的安全密钥加密字符串的方法。使用MD2或MD5 从口令中派生密钥,并采用DES-CBC模式加密。主要用于加密从一个计算机传送到另一个计算机的私人密钥,不能用于加密消息[24]。
PKCS#6:描述了公钥证书的标准语法,主要描述X.509证书的扩展格式[25]。
PKCS#7:定义一种通用的消息语法,包括数字签名和加密等用于增强的加密机制,PKCS#7与PEM兼容,所以不需其他密码操作,就可以将加密的消息转换成PEM消息[26]。
PKCS#8:描述私有密钥信息格式,该信息包括公开密钥算法的私有密钥以及可选的属性集等[27]。
PKCS#9:定义一些用于PKCS#6证书扩展、PKCS#7数字签名和PKCS#8私钥加密信息的属性类型[28]。
PKCS#10:描述证书请求语法[29]。
PKCS#11:称为Cyptoki,定义了一套独立于技术的程序设计接口,用于智能卡和PCMCIA卡之类的加密设备[30]。
PKCS#12:描述个人信息交换语法标准。描述了将用户公钥、私钥、证书和其他相关信息打包的语法[31]。
PKCS#13:椭圆曲线密码体制标准[32]。
PKCS#14:伪随机数生成标准。
PKCS#15:密码令牌信息格式标准[33]。
5. PKIX