PKI安全体系标准规范
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
标准名称
PKI安全体系标准规范 PKI安全体系标准规范 发布单位
公钥加密标准(Public Key 美国RSA数据安全公司及其 第一代标准 Cryptography Standards,PKCS)系 合作伙伴 列
ITU-T X.509
ITU-T
RFC 2459 Internet X.509 公钥基础 IETF 设施证书和CRL简介 RFC 2560 x.509因特网公钥基础设施 IETF 在线证书状态协议——OCSP
RFC 2510 公钥基础设施证书管理协 议 RFC 2511 证书信息请求格式 RFC 3647 公钥基础设施政策实施框 架 RFC3280 X.509 V3证书 RFC2528 密钥交换算法KEA(Key Exchange Algorithm) RFC3039 高可信证书(Qualified Certificates) RFC3279 X.509 v3 公钥证书 RFC2559 公钥基础设施 LDAP v2 RFC2585 Internet X.509 公钥基础 设施: FTP and HTTP RFC2587 Internet X.509 公钥基础 设施 LDAPv2 Schema RFC2527 Internet X.509 公钥基础 设施 Certificate Policy and Certification Practices
微软、Versign和 webMethods 微软、Versign和 webMethods
国内规范
GB/T 19713- 信息技术 安全技术 公钥基础设施 在 信息安全标准委员会 2005 线证书 安全技术 公钥基础设施 证 信息安全标准委员会 2005 书管理协议
国内规范
本标准规定了一种无需请求证书撤销列表(CRL)即可 查询数字证书状态的机制(即在线证书状态协议-OCSP)。该机制可代替CRL或作为周期性检查CRL的一种 补充方式,以便及时获得证书撤销状态的有关信息。本 标准主要描述了以下内容:a)具体描述了在线证书状 态协议的请求形式;b)具体描述了在线证书状态协议 的响应形式;c)分析了处理在线证书状态协议响应时 可能出现的各种异常情况;d)说明了在线证书状态协 议基于超文本传输协议(HTTP)的应用方式;e)提供 了采用抽象语法记法1(ASN.1)描述的在线证书状态协 本标准描述了公钥基础设施(PKI)中的证书管理协议, 定义了与证书产生和管理相关的各方面所需要的协议消 息,这些消息主要包括申请证书、撤销证书、密钥更新 、密钥恢复、交叉认证等。本标准主要适用于在安全或 不安全环境中实施PKI组件并实施管理,可作为PKI运 营机构、PKI组件开发者的参考指南。 本部分提出了基本的管理概念和模型,将这些概念和模 型引入IT安全管理是必要的。在指南的其余部分还将进 一步讨论和开发这些概念和模型以提供更详细的指南。 为有助于标识和管理IT安全的各个方面可以同时使用本 提出IT安全管理的一些基本专题以及这些专题之间的关 系 本部分为GB/T15843的第5部分,等同采用国际标准 ISO/IEC 9798—5:1999《信息技术实体鉴别 第5部 分:使用零知识技术的机制》(英文版)。 规定了任意长度消息的带附录的基于身份的数字签名和 验证过程的总的结构和基本过程 本部分规定了带附录的基于证书的数字签名机制。特别 是,本部分提供了:1)基于证书的签名机制的一般描 述,其安全性是基于所用交换群上的离散对数问题的困 难性。2)基于证书的签名机制的一般描述,其安全机 制是基于因子分解的困难性。3)使用任意长度消息的 基于证书机制的带附录的各种常规数字签名机制。
GB/T 信息技术 安全技术 带附录的数字签 17902.3-2005 名 第3部分:基于证书的机制
信息安全标准委员会
GB/T 信息技术 开放系统互连 目录 第8部 16264.8-2005 分:公钥和属性证书框架
信息安全标准委员会
GB/T 19771- 信息技术 安全技术 公钥基础设施 PKI 信息安全标准委员会 2005 组件最小互操作规范 GB/T 205182006 GB/T 205192006 GB/T 205202006 GB/T 15843.1-1999 GB 15843.21997 GB/T 15843.3-1998 GB/T 15843.4-1999 GB 158511995 《信息安全技术 公钥基础设施 数字 证书格式》、 《信息安全技术 公钥基础设施 特 定权限管理中心技术规范》 《信息安全技术 公钥基础设施 时间 戳规范》 信息技术 安全技术 实体鉴别 第1部 分:概述 信息技术 安全技术 实体鉴别 第2部 分:采用对称加密算法的机制 信息技术 安全技术 实体鉴别 第3部 分:用非对称签名技术的机制 信息技术 安全技术 实体鉴别 第4部 分:采用密码校验函数的机制 信息技术 安全技术 带消息恢复的数 字签名方案 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会
rfc2510公钥基础设施证书管理协议定义了与证书产生和管理相关的各方面所需要的协议消息这些消息主要包括申请证书撤销证书密钥更新密钥恢复交叉认证等rfc2511证书信息请求格式rfc3647公钥基础设施政策实施框架定义互联网x509公开密钥基础设施证书策略和认证业务框架rfc3280x509v3证书定义了x509v3公钥证书和x509v2crl格式结构rfc2528密钥交换算法keakeyexchangealgorithm阐述了基于x509的密钥交换算法keakeyexchangealgorithmrfc3039高可信证书qualifedcertifcates描述用于防抵赖的高可信证书qualifedcertifcates的格式和相关内容rfc3279x509v3公钥证书描述了x509v3公钥证书和x509v2crl中使用基于asn1的算法标志和算法的编码格式rfc2559公钥基础设施ldapv2使用ldapv2作为pki实体发布和获取证书及crl的协议rfc2585internetx509公钥基础设施
IETF IETF IETF IETF IETF IETF IETF IETF IETF IETF IETF
RFC2797 公钥基础设施 Certificate IETF Management Messages over CMS RFC3161 公钥基础设施 时间戳 IETF
RFC3281 公钥基础设施 属性证书
阐述了属性证书授权协议(Attribute Certificate Profile for Authorization),定义了X.509 属性证 书AC 格式、数据结构和发行、论证、撤销的规则 XKMS由两部分组成:XML密钥信息服务规范(XML Key Information Service Specification,X-KISS)和XML 密钥注册服务规范(XML Key Registration Service Specification,X-KRSS),目前XKMS已成为W3C的推荐 标准,并已被微软、Versign等公司集成于他们的产品 X-KISS定义了包含在XML-SIG元素中的用于验证公钥信 息合法性的信任服务规范 X-KRSS定义了一种可通过网络接受公钥注册、撤销、恢 复的服务规范
GB/T 信息技术 安全技术 密钥管理 第1部 信息安全标准委员会 17901.1-1999 分:框架
GB/T 信息技术 安全技术 带附录的数字签 17902.1-1999 名 第1部分:概述
信息安全标准委员会
GB/T 信息技术 安全技术 抗抵赖 第1部分: 17903.1-1999 概述
信息安全标准委员会
本标准规定了采用安全技术的实体鉴别机制的鉴别模型 及一般要求和限制。 本标准规定了采用对称加密算法的实体签别机制。 本标准规定了用非对称签名技术的实体鉴别机制。 本标准规定了采用密码校验函数的实体鉴别机制。 本标准规定了对有限长消息使用公开密钥体制的带消息 恢复的数字签名方案。 本标准:1)确定密钥管理的目标;2)描述作为密钥管理 机制基础的一般模型;3)定义对GB/T 17901所有部分通 用的密钥管理基本概念;4)定义密钥管理服务;5)确定 密钥管理机制的特性;6)规定对密钥材料在其生存期内 进行管理的需求;7)描述对密钥材料在其生存期内进行 管理的框架。本框架定义了与任何特定密码算法的使用 无关的密钥管理一般模型,但是某些密钥分发机制可能 与特定的算法特性(如非对称算法的特性)有关。 规定了任意长度消息的带附录的数字签名机制,包括了 带附录的数字签名的基本原则和要求,同时也包括了在 该系列标准的所有部分都用到的定义和符号. 抗抵赖服务旨在生成、收集、维护有关已声明的事件或 动作的证据,并使该证据可得并且确认该证据,以此来 解决关于此事件或动作发生或未发生而引起的争议。本 标准描述了基于密码技术提供证据的抗抵赖机制的一种 模型,并且描述了如何使用对称或非对称密码技术生成 密码校验值并以此形成证据。 抗抵赖服务旨在生成、收集、维护已声明的事件或动作 的证据,并使该证据可得并且确认该证据,以此来解决 关于某事件或动作发生或未发生而引起的争议。本标准 描述了可用于抗抵赖服务的通用结构,以及能用来提供 原发抗抵赖(NRO)、交付抗抵赖(NRD)、提交抗抵赖 (NRS)和传输抗抵赖(NRT)等有关的特殊通信机制。
GB/T 信息技术 信息技术安全管理指南 第1 信息安全标准委员会 19715.1-2005 部分:信息技术安全概念和模型 GB/T 信息技术 信息技术安全管理指南 第2 信息安全标准委员会 19715.2-2005 部分:管理和规划信息技术安全 GB/T 信息技术 安全技术 实体鉴别 第5部 15843.5-2005 分:使用零知识技术的机制 GB/T 信息技术 安全技术 带附录的数字签 17902.2-2005 名 第2部分:基于身份的机制 信息安全标准委员会 信息安全标准委员会
本部分为GB/T 16264的第8部分,等同采用ISO/IEC 9594-8:2001《信息技术 开放系统互连目录 第8部分: 公钥和属性证书框架》。 本标准支持大规模公钥基础设施(PKI负责发布、撤销 和管理用于数字签名及密钥管理的公钥证书)的互操作 性。本标准为不同的PKI开发者所开发的组件产品提供 了基本的互操作性参考。 规定了中国数字证书的基本结构,并对数字证书中的各 数据项内容进行了描述
IETF
第二代标准
XML密钥管理规范(XML Key 微软、Versign和 Management Specification,XKMS) webMethods XML密钥信息服务规范(XML Key Information Service Specification,X-KISS) XML密钥注册服务规范(XML Key Registration Service Specification,X-KRSS)
GB/T 信息技术 安全技术 抗抵赖 第2部分: 17903.2-1999 使用对称技术的机制
信息安全标准委员会
GB/T 信息技术 安全技术 抗抵赖 第3部分: 17903.3-1999 使用非对称技术的机制
信息安全标准委员会
《中华人民共和国电子签名法》
全国人大
全体系标准规范 内容简介
PKCS是由美国RSA数据安全公司及其合作伙伴制定的一 组公钥密码学标准,其中包括证书申请、证书更新、证 书作废表发布、扩展证书内容以及数字签名、数字信封 的格式等方面的一系列相关协议。到1999年底,PKCS已 经公布了以下标准: PKCS#1:定义RSA公开密钥算法加 密和签名机制,主要用于组织PKCS#7中所描述的数字签 名和数字信封。PKCS#6:描述了公钥证书的标准语法, 主要描述X.509证书的扩展格式。 X.509 是由国际电信联盟(ITU-T)制定的数字证书标 准。规定了实体鉴别过程中广泛适用的证书语法和数据 接口,X.509 称之为证书 规范在Internet中的X.509 v3证书和X.509 v2CRL(证 书撤销列表),以PKI体系综述和模型引入介绍。 在线证书状态协议(OCSP)使得应用程序可以测定所需 要检验证书的(撤消)状态。描述了在应用程序检查证 书状态和服务器提供状态之间所需要交换的数据。一个 OCSP客户端发布一个状态查询给一个OCSP响应器并且侦 听当前证书直到响应器提供了一个响应。 定义了与证书产生和管理相关的各方面所需要的协议消 息,这些消息主要包括申请证书、撤销证书、密钥更新 、密钥恢复、交叉认证等 本标准主要规范证书请求消息格式,以及请求证书模型 定义互联网x.509公开密钥基础设施证书策略和认证业 务框架 定义了X.509 v3 公钥证书和X.509 v2 CRL 格式、结构 阐述了基于X.509的密钥交换算法KEA(Key Exchange Algorithm) 描述用于防抵赖的高可信证书(Qualified Certificates)的格式和相关内容 描述了X.509 v3 公钥证书和X.509 v2 CRL中使用基于 ASN.1的算法标志和算法的编码格式 使用LDAP v2 作为PKI 实体发布和获取证书及CRL 的协 阐述了通过FTP和HTTP从PKI系统中获取证书和CRL 的操 作协议 阐述了使用LDAP v2 获取公钥证书和CRL的一个最小模 型 阐明了证书策略和CPS 相关信息的政策大纲 描述了X.509 PKI客户端和服务器之间采用CMS (Cryptographic Message Syntax)加密消息语法作为 消息封装的方法 时间戳协议TSP(Time-Stamp Protocol ),阐述了时 戳权威机构TSA(Time Stamping Authority)的时戳授 权和管理流程
PKI安全体系标准规范 PKI安全体系标准规范 发布单位
公钥加密标准(Public Key 美国RSA数据安全公司及其 第一代标准 Cryptography Standards,PKCS)系 合作伙伴 列
ITU-T X.509
ITU-T
RFC 2459 Internet X.509 公钥基础 IETF 设施证书和CRL简介 RFC 2560 x.509因特网公钥基础设施 IETF 在线证书状态协议——OCSP
RFC 2510 公钥基础设施证书管理协 议 RFC 2511 证书信息请求格式 RFC 3647 公钥基础设施政策实施框 架 RFC3280 X.509 V3证书 RFC2528 密钥交换算法KEA(Key Exchange Algorithm) RFC3039 高可信证书(Qualified Certificates) RFC3279 X.509 v3 公钥证书 RFC2559 公钥基础设施 LDAP v2 RFC2585 Internet X.509 公钥基础 设施: FTP and HTTP RFC2587 Internet X.509 公钥基础 设施 LDAPv2 Schema RFC2527 Internet X.509 公钥基础 设施 Certificate Policy and Certification Practices
微软、Versign和 webMethods 微软、Versign和 webMethods
国内规范
GB/T 19713- 信息技术 安全技术 公钥基础设施 在 信息安全标准委员会 2005 线证书 安全技术 公钥基础设施 证 信息安全标准委员会 2005 书管理协议
国内规范
本标准规定了一种无需请求证书撤销列表(CRL)即可 查询数字证书状态的机制(即在线证书状态协议-OCSP)。该机制可代替CRL或作为周期性检查CRL的一种 补充方式,以便及时获得证书撤销状态的有关信息。本 标准主要描述了以下内容:a)具体描述了在线证书状 态协议的请求形式;b)具体描述了在线证书状态协议 的响应形式;c)分析了处理在线证书状态协议响应时 可能出现的各种异常情况;d)说明了在线证书状态协 议基于超文本传输协议(HTTP)的应用方式;e)提供 了采用抽象语法记法1(ASN.1)描述的在线证书状态协 本标准描述了公钥基础设施(PKI)中的证书管理协议, 定义了与证书产生和管理相关的各方面所需要的协议消 息,这些消息主要包括申请证书、撤销证书、密钥更新 、密钥恢复、交叉认证等。本标准主要适用于在安全或 不安全环境中实施PKI组件并实施管理,可作为PKI运 营机构、PKI组件开发者的参考指南。 本部分提出了基本的管理概念和模型,将这些概念和模 型引入IT安全管理是必要的。在指南的其余部分还将进 一步讨论和开发这些概念和模型以提供更详细的指南。 为有助于标识和管理IT安全的各个方面可以同时使用本 提出IT安全管理的一些基本专题以及这些专题之间的关 系 本部分为GB/T15843的第5部分,等同采用国际标准 ISO/IEC 9798—5:1999《信息技术实体鉴别 第5部 分:使用零知识技术的机制》(英文版)。 规定了任意长度消息的带附录的基于身份的数字签名和 验证过程的总的结构和基本过程 本部分规定了带附录的基于证书的数字签名机制。特别 是,本部分提供了:1)基于证书的签名机制的一般描 述,其安全性是基于所用交换群上的离散对数问题的困 难性。2)基于证书的签名机制的一般描述,其安全机 制是基于因子分解的困难性。3)使用任意长度消息的 基于证书机制的带附录的各种常规数字签名机制。
GB/T 信息技术 安全技术 带附录的数字签 17902.3-2005 名 第3部分:基于证书的机制
信息安全标准委员会
GB/T 信息技术 开放系统互连 目录 第8部 16264.8-2005 分:公钥和属性证书框架
信息安全标准委员会
GB/T 19771- 信息技术 安全技术 公钥基础设施 PKI 信息安全标准委员会 2005 组件最小互操作规范 GB/T 205182006 GB/T 205192006 GB/T 205202006 GB/T 15843.1-1999 GB 15843.21997 GB/T 15843.3-1998 GB/T 15843.4-1999 GB 158511995 《信息安全技术 公钥基础设施 数字 证书格式》、 《信息安全技术 公钥基础设施 特 定权限管理中心技术规范》 《信息安全技术 公钥基础设施 时间 戳规范》 信息技术 安全技术 实体鉴别 第1部 分:概述 信息技术 安全技术 实体鉴别 第2部 分:采用对称加密算法的机制 信息技术 安全技术 实体鉴别 第3部 分:用非对称签名技术的机制 信息技术 安全技术 实体鉴别 第4部 分:采用密码校验函数的机制 信息技术 安全技术 带消息恢复的数 字签名方案 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会 信息安全标准委员会
rfc2510公钥基础设施证书管理协议定义了与证书产生和管理相关的各方面所需要的协议消息这些消息主要包括申请证书撤销证书密钥更新密钥恢复交叉认证等rfc2511证书信息请求格式rfc3647公钥基础设施政策实施框架定义互联网x509公开密钥基础设施证书策略和认证业务框架rfc3280x509v3证书定义了x509v3公钥证书和x509v2crl格式结构rfc2528密钥交换算法keakeyexchangealgorithm阐述了基于x509的密钥交换算法keakeyexchangealgorithmrfc3039高可信证书qualifedcertifcates描述用于防抵赖的高可信证书qualifedcertifcates的格式和相关内容rfc3279x509v3公钥证书描述了x509v3公钥证书和x509v2crl中使用基于asn1的算法标志和算法的编码格式rfc2559公钥基础设施ldapv2使用ldapv2作为pki实体发布和获取证书及crl的协议rfc2585internetx509公钥基础设施
IETF IETF IETF IETF IETF IETF IETF IETF IETF IETF IETF
RFC2797 公钥基础设施 Certificate IETF Management Messages over CMS RFC3161 公钥基础设施 时间戳 IETF
RFC3281 公钥基础设施 属性证书
阐述了属性证书授权协议(Attribute Certificate Profile for Authorization),定义了X.509 属性证 书AC 格式、数据结构和发行、论证、撤销的规则 XKMS由两部分组成:XML密钥信息服务规范(XML Key Information Service Specification,X-KISS)和XML 密钥注册服务规范(XML Key Registration Service Specification,X-KRSS),目前XKMS已成为W3C的推荐 标准,并已被微软、Versign等公司集成于他们的产品 X-KISS定义了包含在XML-SIG元素中的用于验证公钥信 息合法性的信任服务规范 X-KRSS定义了一种可通过网络接受公钥注册、撤销、恢 复的服务规范
GB/T 信息技术 安全技术 密钥管理 第1部 信息安全标准委员会 17901.1-1999 分:框架
GB/T 信息技术 安全技术 带附录的数字签 17902.1-1999 名 第1部分:概述
信息安全标准委员会
GB/T 信息技术 安全技术 抗抵赖 第1部分: 17903.1-1999 概述
信息安全标准委员会
本标准规定了采用安全技术的实体鉴别机制的鉴别模型 及一般要求和限制。 本标准规定了采用对称加密算法的实体签别机制。 本标准规定了用非对称签名技术的实体鉴别机制。 本标准规定了采用密码校验函数的实体鉴别机制。 本标准规定了对有限长消息使用公开密钥体制的带消息 恢复的数字签名方案。 本标准:1)确定密钥管理的目标;2)描述作为密钥管理 机制基础的一般模型;3)定义对GB/T 17901所有部分通 用的密钥管理基本概念;4)定义密钥管理服务;5)确定 密钥管理机制的特性;6)规定对密钥材料在其生存期内 进行管理的需求;7)描述对密钥材料在其生存期内进行 管理的框架。本框架定义了与任何特定密码算法的使用 无关的密钥管理一般模型,但是某些密钥分发机制可能 与特定的算法特性(如非对称算法的特性)有关。 规定了任意长度消息的带附录的数字签名机制,包括了 带附录的数字签名的基本原则和要求,同时也包括了在 该系列标准的所有部分都用到的定义和符号. 抗抵赖服务旨在生成、收集、维护有关已声明的事件或 动作的证据,并使该证据可得并且确认该证据,以此来 解决关于此事件或动作发生或未发生而引起的争议。本 标准描述了基于密码技术提供证据的抗抵赖机制的一种 模型,并且描述了如何使用对称或非对称密码技术生成 密码校验值并以此形成证据。 抗抵赖服务旨在生成、收集、维护已声明的事件或动作 的证据,并使该证据可得并且确认该证据,以此来解决 关于某事件或动作发生或未发生而引起的争议。本标准 描述了可用于抗抵赖服务的通用结构,以及能用来提供 原发抗抵赖(NRO)、交付抗抵赖(NRD)、提交抗抵赖 (NRS)和传输抗抵赖(NRT)等有关的特殊通信机制。
GB/T 信息技术 信息技术安全管理指南 第1 信息安全标准委员会 19715.1-2005 部分:信息技术安全概念和模型 GB/T 信息技术 信息技术安全管理指南 第2 信息安全标准委员会 19715.2-2005 部分:管理和规划信息技术安全 GB/T 信息技术 安全技术 实体鉴别 第5部 15843.5-2005 分:使用零知识技术的机制 GB/T 信息技术 安全技术 带附录的数字签 17902.2-2005 名 第2部分:基于身份的机制 信息安全标准委员会 信息安全标准委员会
本部分为GB/T 16264的第8部分,等同采用ISO/IEC 9594-8:2001《信息技术 开放系统互连目录 第8部分: 公钥和属性证书框架》。 本标准支持大规模公钥基础设施(PKI负责发布、撤销 和管理用于数字签名及密钥管理的公钥证书)的互操作 性。本标准为不同的PKI开发者所开发的组件产品提供 了基本的互操作性参考。 规定了中国数字证书的基本结构,并对数字证书中的各 数据项内容进行了描述
IETF
第二代标准
XML密钥管理规范(XML Key 微软、Versign和 Management Specification,XKMS) webMethods XML密钥信息服务规范(XML Key Information Service Specification,X-KISS) XML密钥注册服务规范(XML Key Registration Service Specification,X-KRSS)
GB/T 信息技术 安全技术 抗抵赖 第2部分: 17903.2-1999 使用对称技术的机制
信息安全标准委员会
GB/T 信息技术 安全技术 抗抵赖 第3部分: 17903.3-1999 使用非对称技术的机制
信息安全标准委员会
《中华人民共和国电子签名法》
全国人大
全体系标准规范 内容简介
PKCS是由美国RSA数据安全公司及其合作伙伴制定的一 组公钥密码学标准,其中包括证书申请、证书更新、证 书作废表发布、扩展证书内容以及数字签名、数字信封 的格式等方面的一系列相关协议。到1999年底,PKCS已 经公布了以下标准: PKCS#1:定义RSA公开密钥算法加 密和签名机制,主要用于组织PKCS#7中所描述的数字签 名和数字信封。PKCS#6:描述了公钥证书的标准语法, 主要描述X.509证书的扩展格式。 X.509 是由国际电信联盟(ITU-T)制定的数字证书标 准。规定了实体鉴别过程中广泛适用的证书语法和数据 接口,X.509 称之为证书 规范在Internet中的X.509 v3证书和X.509 v2CRL(证 书撤销列表),以PKI体系综述和模型引入介绍。 在线证书状态协议(OCSP)使得应用程序可以测定所需 要检验证书的(撤消)状态。描述了在应用程序检查证 书状态和服务器提供状态之间所需要交换的数据。一个 OCSP客户端发布一个状态查询给一个OCSP响应器并且侦 听当前证书直到响应器提供了一个响应。 定义了与证书产生和管理相关的各方面所需要的协议消 息,这些消息主要包括申请证书、撤销证书、密钥更新 、密钥恢复、交叉认证等 本标准主要规范证书请求消息格式,以及请求证书模型 定义互联网x.509公开密钥基础设施证书策略和认证业 务框架 定义了X.509 v3 公钥证书和X.509 v2 CRL 格式、结构 阐述了基于X.509的密钥交换算法KEA(Key Exchange Algorithm) 描述用于防抵赖的高可信证书(Qualified Certificates)的格式和相关内容 描述了X.509 v3 公钥证书和X.509 v2 CRL中使用基于 ASN.1的算法标志和算法的编码格式 使用LDAP v2 作为PKI 实体发布和获取证书及CRL 的协 阐述了通过FTP和HTTP从PKI系统中获取证书和CRL 的操 作协议 阐述了使用LDAP v2 获取公钥证书和CRL的一个最小模 型 阐明了证书策略和CPS 相关信息的政策大纲 描述了X.509 PKI客户端和服务器之间采用CMS (Cryptographic Message Syntax)加密消息语法作为 消息封装的方法 时间戳协议TSP(Time-Stamp Protocol ),阐述了时 戳权威机构TSA(Time Stamping Authority)的时戳授 权和管理流程