PKI/国际标准_北京安软天地

当前位置：首页 > 安全技术 > PKI技术规范

安全技术

PKI/国际标准

1．PKCS系列标准

PKCS是公钥密码标准(Public Key Cryptography Standards)的缩写，它是由美国RSA实验室与遍布全球的安全系统开发者一起合作制定的一组规范，以推动公钥密码的发展。最早发布的PKCS文档是早期一群公钥技术使用者在1991年召开的一次会议上的成果，目前PKCS规范已被广泛引用和实施，部分PKCS规范已经成为多个国际组织正式或事实上的标准，如ANSI X9文档系列、PKIX、SET、SfMIME、SSL等。PKCS系列主要包插以下标准：

PKCS #1: RSA Cryptography Standard（RSA密码标准）。

PKCS #2: 已并入PKCS#1，不存在。

PKCS #3: Diffie-Hellman Key Agreement Standard（DH密钥协商标准）。

PKCS #4: 已并入PKCS#1，不存在。

PKCS #5: Password-Based Cryptography Standard（基于口令的密码标准）。

PKCS #6: Extended-Certificate Syntax Standard（扩展的证书语法标准）。

PKCS #7: Cryptographic Message Syntax Standard（密码消息语法标准）。

PKCS #8: Private-Key Information Syntax Standard（私钥信息语法标准）。

PKCS #9: Selected Attribute Types（可供选择的属性类型）。

PKCS #10: Certification Request Syntax Standard（证书请求语法标准）。

PKCS #11: Cryptographic Token Interface Standard（密码Token接口标准）。

PKCS #12: Personal Information Exchange Syntax Standard（个人信息交换语法标准）。

PKCS #13: Elliptic Curve Cryptography Standard（椭圆曲线密码标准），正在制定中。

PKCS #14: Pseudo-random Number Generation（伪随机数生成算法PRNG），正在制定中。

PKCS #15: Cryptographic Token Information Format Standard（密码Token信息格式标准）。

2．ISO/IEC 7816系列标准

ISO/IEC 7816系列标准规定了IC卡(Integrated Circuit Cards)相关技术标准，由ISO(International Organization for Standardization)和IEC (International Electrotechnical Commission)组织共同维护，目前包括14个部分。

IS0 7816-1: Physical characteristics（卡的物理特性）。

IS0 7816-2: Cards with contacts: Dimensions and location of the contacts（触点集成电路卡：触点的尺寸与位置）。

IS0 7816-3: Cards with contacts: Electrical interface and transmission protocols（触点集成电路卡：电信号和传输协议）。

IS0 7816-4: Organization， security and commands for interchange（用于交换的结构、安全和命令）。

IS0 7816-5: Registration of application providers（卡应用提供者注册）。

IS0 7816-6: Interindustry data elements for interchange（行业间数据元）。

JS0 7816-7: Interindustry commands for Structured Card Query Language (SCQL)(用于结构化卡查询语言的行间命令）。

IS0 7816-8: Commands for security operations（与安全相关的行业间命令）。

IS0 7816-9: Commands for card management（用于卡管理的命令）。

IS0 7816-10: Electronic signals and answer to reset for synchronous cards（同步卡的电信号和复位应答）。

IS0 7816-11: Personal verification through biometric methods（通过生物识别疗法的个人验证）。

IS0 7816-12: Cards with contacts: USB electrical interface and operating procedures（带触点集成电路卡：USB电气接口及操作规程）。

IS0 7816-13: Commands for application management in multi-application environment（在多应用环境中用于应用管理的命令）。

IS0 7816-15: Cryptographic information application（密码信息应用）。

3．IETF PKIX系列标准

在IETF (Internet Engineering Task Force)内有PKIX( Public-Key Infrastructure (X.509)工作组，负责与X.509有关的规范管理。PKIX 工作组从1995年10月26日开始启动，到2013年10月31口天闭。在近20年间，发布的RFC规范主要包括：

RFC 2459: Internet X.509 Public Key Infrastructure Certificate and CRL Profile，1999-01，被RFC 3280替代。

RFC 2510: Internet X.509 Public Key Infrastructure Certificate Management Protocols，1999-03，被RFC 4210替代。

RFC 2511: Internet X.509CertificateRequest Message Format，1999-03，被RFC 4211替代。

RFC 2527: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework，1999-03，被RFC 3647替代。

RFC 2528: Internet X.509 Public Key Infrastructure Representation of Key Exchange Algorithm (KEA) Keys in Internet X.509 Public Key Infrastructure Certificates，1999-03.

RFC 2559: Internet X.509 Public Key Infrastructure Operational Protocols-LDAPv2，1 999-04，被RFC 3494替代。

RFC 2560: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol-OCSP， 1999-06，被RFC 6960替代，由RFC 6277更新。

RFC 2585: Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP，1999-05。

RFC 2587: Internet X.509 Public Key Infrastructure LDAPv2 Schema， 1999-06，被RFC 4523替代。

RFC 2797: Certificate Management Messages over CMS，2000-04，被RFC 5272替代。

RFC 2875: Diffie-Hellman Proof-of-Possession Algorithms，2000-07，被RFC 6955替代。

RFC 3029: Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols， 2001 -02。

RFC 3039: Internet X.509 Public Key Infrastructure Qualified Certificates Profile，2001-01，被RFC 3739替代。

RFC 3161: Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)， 2001-08，被RFC 5816更新。

RFC 3279: Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile， 2002-05，被RFC 4055、RFC 4491、RFC 5480、RFC 5758更新。

RFC 3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile，2002-05，被RFC 5280替代，由RFC 4325、RFC 4630更新。

RFC 3281: An Internet Attribute Certificate Profile for Authorization，2002-05，被RFC 5755替代。

RFC 3379: Delegated Path Validation and Delegated Path Discovery Protocol Requirements，2002-09。

RFC 3628: Policy Requirements for Time-Stamping Authorities (TSAs)，2003-11.

RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework，2003-11。

RFC 3709: Internet X.509 Public Key Infrastructure: Logotypes in X.509 Certificates， 2004-02，被 RFC 6170更新，

RFC 3739: Internet X.509 Public Key Infrastructure: Qualified Certificates Profile，2004-03。

RFC 3770: Certificate Extensions and Attributes Supporting Authentication in Point-to-Point Protocol (PPP) and Wireless Local Area Networks (WLAN)，2004-05，被RFC 4334替代。

RFC 3779: X.509 Extensions for lP Addresses and AS Identiflers，2004-06。

RFC 3820: Internet X.509 Public Key Infrastructure (PKI) Proxy Certificate Profile，2004-06。

RFC 4043: Internet X.509 Public Key Infrastructure Permanent Identifier， 2005-05。

RFC 4055: Additional Algorithms and Identifiers for RSA Cryptography for use in the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile，2005-06，被RFC 5756更新。

RFC 4059: Internet X.509 Public Key Infrastructure Warranty Certificate Extension，2005-05。

RFC 4158: Internet X.509 Public Key Infrastructure: Certification Path Building，2005-09。

RFC 4210: Internet X.509 Public Key Infrastructure Certificate Management Protocol(CMP)，2005-09，被 RFC 6712更新。

RFC 4211: Internet X.509 Public Key Infrastructure Certificate Request Message Format(CRMF)，2005-09。

RFC 4212: Alternative Certificate Formats for the Public-Key Infrastructure Using X.509(PKIX) Certificate Management Protocols，October 2005。

RFC 4262: X.509 Certificate Extension for Secure/Multipurpose Internet Mail Extensions(Sf MIME) Capabilities，December 2005 。

RFC 4325: Internet X.509 Public Key Infrastructure Authority Information Access Certificate Revocation List (CRL) Extension， 2005-12，被RFC 5280替代。

RFC 4334: Certificate Extensions and Attributes Supporting Authentication in Point-to-Point Protocol (PPP) and Wireless Local Area Networks (WLAN)， 2006-02 。

RFC 4386: Internet X.509 Public Key Infrastructure Repository Locator Service，2006-02。

RFC 4387: Internet X.509 Public Key Infrastructure Operational Protocols: Certificate Store Access via HTTP，2006-02。

RFC 4476: Attribute Certificate (AC) Policies Extension，2006-05。

RFC 4491: Using the GOSTR 34.10-94. GOSTR 34.10-2001， and GOSTR 34.11-94

Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile，2006-05 。

RFC 4510: Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map. June 2006 。

RFC 4511: Lightweight Directory Access Protocol (LDAP): The Protocol. June 2006 。

RFC 4512: Lightweight Directory Access Protocol (LDAP): Directory Information Models，June 2006。

RFC 4513: Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms，June 2006。

RFC 4514: Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names，June 2006。

RFC 4515: Lightweight Directory Access Protocol (LDAP): String Representation of Search Filters，June 2006。

RFC 4522: Lightweight Directory Access Protocol (LDAP): The Binary Encoding Option，June 2006。

RFC 4523: Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates，June 2006。

RFC 4630: Update to Directory String Processing in the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile， 2006-08，被 RFC 5280 更新。

RFC 4683: Internet X.509 Public Key Infrastructure Subject Identification Method (SIM)，2006-10 。

RFC 4985: Internet X.509 Public Key Infrastructure Subject Alternative Name for Expression of Service Name， 2007-08 。

RFC 5019: The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments，2007-09。

RFC 5055: Server-Based Certificate Validation Protocol (SCVP)，2007-12。

RFC 5272: Certificate Management over CMS (CMC)，2008-06，被 RFC 6402更新。

RFC 5273: Certificate Management over CMS (CMC): Transport Protocols， 2008-06，被RFC 6402更新。

RFC 5274: Certificate Management Messages over C.MS (CMC): Compliance Requirements，2008-06，被 RFC 6402更新。

RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile，2008-05，被 RFC 6818更新。

RFC 5480: Elliptic Curve Cryptography Subject Public Key Information，2009-03。

RFC 5636: Traceable Anonymous Certificate，2009-08。

RFC 5697: Other Certificates Extension，2009-11。

RFC 5755: An Internet Attribute Certificate Profile for Authorization，2010-01 。

RFC 5756: Updates for RSAES-OAEP and RSASSA-PSS Algorithm Parameters，2010-01。

RFC 5758: Internet X.509 Public Key Infrastructure: Additional Algorithms and Identifiers for DSA and ECDSA，2010-01 。

RFC 5816: ESSCertIDv2 Update for RFC 3161，2010-04。

RFC 5877: The application/pkix-attr-cert Media Type for Attribute Certificates，2010-05.

RFC 5912: New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)，2010-06，被RFC 6960更新。

RFC 5913: Clearance Attribute and Authority Clearance Constraints Certificate Extension，2010-06。

RFC 6025: ASN.I Translation，2010-10。

RFC 6170: Internet X.509 Public Key Infrastructure-Certificate Image，2011-05。

RFC 6277: Online Certificate Status Protocol Algorithm Agility，2011-06，被 RFC 6960替代.

RFC 6402: Certificate Management over CMS (CMC) Updates，2011-11。

RFC 6664: S/MIME Capabilities for Public Key Definitions，2012-07。

RFC 6712: Internet X.509 Public Key Infrastructure-HTTP Transfer for the Certificate Management Protocol (CMP)，2012-09。

RFC 6818: Updates to the Intcrnet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile，2013-01 a

RFC 6844: DNS Certification Authority Authorization (CAA) Resource Record，2013-01 。

RFC 6960: X.509 Intemet Public Key Infrastructure Online Certificate Status Protocol- OCSP，20J3-06。

RFC 7030: Enrollment over Secure Transport，2013-10。

4．其他标准规范

ITU-T X.208 Specification of Abstract Syntax Notation One (ASN.1) 。

ITU-T X.690 Information Technology - ASN.I encoding rules:

Specification of Basic Encoding Rules (BER). Canonical Encoding Rules(CER) and Distinguished Encoding Rules (DER)。

Specification for Integrated Cirsuit(s) Cards Interface Devices (CCID)。

Interoperability Specification for ICCs and Personal Computer System (PC/SC) 。

Microsoft Cryptographic Service Provider。

Java Cryptography Architecture (JCA)。

Java Cryptography Extention (JCE)。