PKIITU-T(ITU-T for ITU Telecommunication Standardization Sector):ITU-T的中文名稱是國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局 , 它是國際電信聯(lián)盟管理服務(wù)下的專門制定電信標(biāo)準(zhǔn)的分支機(jī)構(gòu) 。
ITU-元素T , 國際電聯(lián)電信標(biāo)準(zhǔn)化部門各研究組匯集了來自世界各地的專家 , 他們的工作是制定被稱為ITU-T建議書包括的國際標(biāo)準(zhǔn) 。這些國際標(biāo)準(zhǔn)是全球信息通信技術(shù)(ICT)基礎(chǔ)設(shè)施的定義能用要素 。
標(biāo)準(zhǔn)對ICT的互連互通起著至關(guān)重要的作用 , 無論我們進(jìn)行語音、視頻通信還是數(shù)據(jù)消息交換 , 標(biāo)準(zhǔn)均可確保各國的ICT網(wǎng)絡(luò)和設(shè)備使用考核相同的語言 , 從而實現(xiàn)全球通信 。
文章插圖
ITU-T X.509國際標(biāo)準(zhǔn)(ITU-T)為公開密鑰證書和屬性證書定義了一個框架 , 其他標(biāo)準(zhǔn)機(jī)構(gòu)可以使用這些框架來勾畫其有關(guān)公開密鑰基礎(chǔ)設(shè)施(PKI)和特權(quán)管理基礎(chǔ)設(shè)施(PMI)的應(yīng)用 。
國際標(biāo)準(zhǔn)為號碼簿向其考核用戶提供鑒權(quán)服務(wù)定義了一個框架 , 它描述了兩個級別的鑒權(quán):
1、簡單鑒權(quán) , 利用口令PKI來確認(rèn)提出要求的實體;
2、強(qiáng)鑒權(quán) , 涉及利用加密技術(shù)形成的證書 。
簡單鑒權(quán)對未經(jīng)授權(quán)的訪問提供了一些有限的保護(hù)不包括 , 只有強(qiáng)鑒權(quán)才能作為提供安全服務(wù)的基礎(chǔ) 。
概念和術(shù)語PKI(Public Key Infrastructure) , 公鑰基礎(chǔ)設(shè)施包括:
所有與數(shù)字證書相關(guān)的各種概念和技術(shù) , 統(tǒng)稱為PKI( Public Key Infrastructure 公鑰基礎(chǔ)設(shè)施) 。
文章插圖
CA(Certificate Authority):
產(chǎn)生:為了解決數(shù)字證書的簽發(fā)問題 , PKI引入了CA , pki是什么意思 , 對數(shù)字證書進(jìn)行集中簽發(fā) 。
文章插圖
KMC(Key Management Center):
產(chǎn)生:為解決私鑰的備份building與恢復(fù)問題 , PKI引入了KMC 。
雙是什么證書(簽名證書和加密講解證書):
產(chǎn)生:為防止用戶身份被冒用 , 應(yīng)保證用戶私鑰的pkix唯一性 , 不允許備份恢復(fù);為防止公鑰加密后的數(shù)據(jù)無法解密 , 應(yīng)提供用戶私鑰的備份恢復(fù)機(jī)制 。
為解決這兩種矛盾需求 , pki基礎(chǔ)知識講解 , PKI引入了雙證書機(jī)制:簽名證書和加密證書 , pking 。
簽名證書的公私鑰對由用戶自己產(chǎn)生 , KMC不備份私鑰;加密證書密鑰fail對由KMC產(chǎn)生 , 且KMC對加密私鑰進(jìn)行備份 。
LDAP(Light-weight Directory Access Protocol) , 輕量目錄訪問協(xié)議:
產(chǎn)生:為解決對CA證書的查詢或下載的性能問題 , pki技術(shù)能用于身份鑒別嗎 , PKI引入LDAP技術(shù) 。
DAP(Directory Access Protocol) , 目錄訪問協(xié)議 , 對數(shù)據(jù)管理的讀取功能進(jìn)行用于特殊優(yōu)化的技術(shù) , 適合快速響應(yīng)和大容量的查詢服務(wù) , 應(yīng)用系統(tǒng)只需通過pkiX.500協(xié)議就能對數(shù)據(jù)進(jìn)行快速查詢 , 但由于該協(xié)議過于復(fù)雜 , 國際組織對其進(jìn)行簡化 , 形成了LDAP標(biāo)準(zhǔn) 。
CRL(Certificate Revocation List)和OCSP(Online Certificate Status Protocol):
產(chǎn)生:為解決對CA證書有效性方面的查詢 , PKI引入包括了元素CRL和OCSP技術(shù) 。
CRL , 證書吊銷列表 , 需要用戶按時定期下載pkix , 可用于脫機(jī)使用;
