第三章第四章-PKI导论PKI体系与功能.pptVIP

X.509标准综述主要介绍标准范围、引用标准，定义、缩略语及约定 该标准范围有如下四个方面： 具体说明了目录拥有的鉴别信息的形式。 描述如何从目录中获得鉴别信息。 说明如何在目录中构成和存放鉴别信息的假设。 定义各种应用使用鉴别信息执行鉴别的三种方法，并描述鉴别。 2.3.7.1 综述 2．引用标准 主要包括 ITU-T X.500系列标准，ISO/IEC 9594~10 1997，信息技术-开放系统互联-目录 TIU-TX.600系列标准，IS0/IEC8824-1~4 1994 信息技术一抽象语法记法1(ASN.1)， ITU-TX.800系列标准。ISO/IEC 13712-1~2 1994 信息技术-远程操作：概念、模型和记法等 该标准定义包括： OSI参考模型安全体系结构定义。 目录模型定义。 鉴别框架定义。 3.定义 (1)属性证书(Attribute Certificate)：将用户的一组属性和其他信息，通过认证机构的私钥进行数字签名，使其成为不可伪造，用于证书的扩展使用。 (2)鉴别令牌(Authentication)：在强鉴别交换期间运行的信息，用于鉴别其发送者。 (3)用户证书、公钥证书、证书(User Certificate，Public key Certificate，Certificate)用户的公钥和一些其他信息，通过颁发证书机构的私钥加密，使之成为不可伪造。 (4)CA证书(CA-certificate)：由一个CA颁发给另一个CA的证书。 4.技术用语 (5)证书策略(certificate Policy)：已命名的一组规则，它指出证书对特定集团和具有公共安全要求的应用类别的适用性。 (6)证书用户(certificate User)：需要确切地知道另一实体公钥的某一实体。 (7)证书使用系统(Certificate-Using System)：在本目录规范定义的并由证书用户所使用的那些功能的实现。 (8)认证机构(Certificate Authority)：受用户信任的机构，以创建和分配证书。认证机构可以任意地创建用户的密钥。 4.技术用语 (9)认证路径(Certification path)：DIT中客体证书的有序系列，它和在该路径的最初客体的公钥一起，可以被处理以获得该路径的最终客体的公钥。 (10)CRL分布点(CRL distribution point)：通过CRL分布点所分布的CRL可以含有某个CA颁发的证书全集中的某子集的撤消项，或含有多个CA的撤消项。 (11)密码体制(Cryptographic System)：从明文到密文和从密文到明文的变换汇集，使用的特定变换由密钥来选定。通常用一个数学算法来定义这些变换。 (12) ⊿-CRL(delta-CRL)：仅指示自CRL颁发以来变更的一部分CRL 4.技术用语 (13)端实体(end entity)：不是为签署证书的目的而使用其公钥的证书主体。 (14)哈希函数(hash function)：将值从一个大的域映射到一个较小的范围的一个数学函数。 (15)密钥协定(Key agreement)：无需传送甚至是加密形式的密钥，在线协商密钥值的一种方法。 (16)单向函数(One way function)：易于计算的一个数学函数f，但对于区域中的一个普通值y来说，要找到满足函数f(x)：y的该区域中x值，在计算上是很困难的。 4.技术用语 (17)策略映射(policy mapping)当某个域中的一个CA认证了另一个域中的一个CA时，对在第二个域的一个特定证书策略可能被第—个CA域中的认证机构认为是等价于第一个域个的一特定证书政策的认可。 (18)公钥(public key)：在公开密钥体制中，用户密钥对中只有让所有用户都知道的那个密钥 (20)简单鉴别(simple authentication)：借助简单口令分配方法进行的鉴别。 4.技术用语 (21)强鉴别(strong authentication)：借助密码派生凭证方法进行的鉴别。 (22)安全策略(Security policy)；由管理安全服务和设施的使用和提供的安全机构所拟定的一组规则。 (23)信任（trust)：当第一个实体假设第二个实体完全按照第—个实体的期望进行动作时，则称第一个实体“信任”第二个实体。在鉴别框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系；一个鉴别实体应确信它可以“信任”的认证机构创建有效可靠的证书。 (24)证书序列号(Certificate Serial number)：在颁发证书的CA范围内唯一数值，该整数值无歧义地与那个CA所颁发的一个证书相关联。 4.技术用语 CA：认证机构。 CRL：证书撤消列表。 DIB：目