cn-pkcs-10v1-7(認(rèn)證請求語法標(biāo)準(zhǔn))

PKCS#10v1.7---CertificationRequestSyntaxStandard認(rèn)證請求語法標(biāo)準(zhǔn)PKCS#10v1.7---CertificationRequestSyntaxStandard認(rèn)證請求語法標(biāo)準(zhǔn)PKCS/PKIXPKCS/PKIX中文翻譯計(jì)劃組織：PKI論壇（）PKCS/PKIX中文翻譯計(jì)劃論壇電子郵件：pki@譯者：sql2000(付少慶)（fushaoqing@）版權(quán)：本中文翻譯文檔版權(quán)歸PKI但必須保留本文檔的翻譯及版權(quán)信息。如用于商業(yè)目的，所得利潤需用于PKI論壇的發(fā)展。日期修改章節(jié)日期修改章節(jié)類型修改描述修改人2005/03/26全部C創(chuàng)建文檔sql2000*修改類型分為C-產(chǎn)生一-附加的M-修正D-劃除PKCS#10v1.7認(rèn)證請求語法標(biāo)準(zhǔn)（PKCS#10v1.7:CertificationRequestSyntaxStandard）RSA實(shí)驗(yàn)室2000年5月26*目錄：緒論 3定義與符號(hào) 3定義 3符號(hào) 4概述 4認(rèn)證請求語法 5CertificationRequestInfo 5CertificationRequest 6ASN.1模塊 7知識(shí)產(chǎn)權(quán)事項(xiàng) 8修訂歷史 8參考文獻(xiàn) 9關(guān)于PKCS 10緒論X.509[9]（在那種形式中認(rèn)證的權(quán)威機(jī)構(gòu)返回一個(gè)新的簽名的證書，這部分的介紹超出了本文檔的范圍?？赡苁且粭lPKCS#7[2]）包含屬性集有雙重目的：提供特定實(shí)體的其它相關(guān)信息，或者是個(gè)難破解的口令，依靠那個(gè)口令實(shí)體可以在將來要求證書撤銷；提供X.509證書的內(nèi)部信息。PKCS#9[3]給出了一個(gè)比較詳細(xì)的屬性列表。本文檔最初的應(yīng)用意圖是支持PKCS#7（[4]）定義與符號(hào)定義為了說明本文檔，應(yīng)用下面的一些定義。算法：在X.509中定義的一個(gè)信息對象類，被描述為由一個(gè)算法（一個(gè)唯一的對象標(biāo)識(shí)符和他的參數(shù)（任意的ASN.1類型）組成。在這個(gè)類中，對象的值由ASN.1{}算法類型標(biāo)識(shí)符[11],AnnexA算法標(biāo)識(shí)符,,X.509標(biāo)識(shí)符與他們的相關(guān)的參數(shù)類型緊密綁定。當(dāng)引用的時(shí)候，單個(gè)的AlgorithmIdentifier{}指定了在一個(gè)類型實(shí)例中約束出現(xiàn)的值對。AlgorithmIdentifier{}的編碼值等價(jià)于這些屬性的類型。AS.：抽象語法符號(hào)，參見ASN.1中定義的標(biāo)準(zhǔn)[10],[11],[12和[13。屬性：描述了組成對象的屬性（一個(gè)唯一的對象標(biāo)識(shí)符和一個(gè)相關(guān)的屬性值的集合（ASN.1類型Attribute{}。,X.501[8]ASN.1類型被定義為ATTRIBUTE.&id，一個(gè)屬性值被定義為。當(dāng)引用的時(shí)候，單個(gè)的Attribute{}Attribute{}的編碼值等價(jià)于這些屬性的類型。BER：基本編碼規(guī)則（BasicEncodingRules）,定義在X.690中([14])。證書：用數(shù)字簽名將一個(gè)可區(qū)分的實(shí)體名稱和一個(gè)公鑰綁定到一起的一種類型。這種類型在X.509中定義。這種類型也包括證書發(fā)行者的可區(qū)分名稱（簽名者列號(hào)，發(fā)行者的簽名算法標(biāo)識(shí)符，有效期，和一些可選擇的簽名擴(kuò)展。DER:對ASN.1的唯一編碼規(guī)則DistinguishedEncodingRulesforASN.1，在X.609DERBER的一個(gè)子集。名稱：是在X.500[7]目錄中，唯一標(biāo)識(shí)或區(qū)分對象的一種類型。這種類型在X.501中定義。在一個(gè)X.509證書中，這種類型標(biāo)識(shí)證書發(fā)行者和證書主題，公鑰證明的實(shí)體。2.2符號(hào)在本文檔中，所有ASN.1的類型和值用粗體Helvetica表示。概述一個(gè)認(rèn)證請求由三部分組成其它信息的屬性組成。一個(gè)認(rèn)證請求的過程由下面一些步驟組成：一個(gè)CertificationRequestInfo的名稱，一個(gè)公鑰，和一組可選擇的屬性。CertificationRequestInfo（4.2節(jié)）CertificationRequestInfoCertificationRequest值中，在后面定義。一個(gè)認(rèn)證的權(quán)威機(jī)構(gòu)通過鑒別這個(gè)請求和驗(yàn)證實(shí)體的簽名來執(zhí)行這個(gè)請求。如果請求是有X.509PKCS#9的屬性，認(rèn)證的權(quán)威機(jī)構(gòu)也X.509證書的擴(kuò)展部分。在這個(gè)過程中，關(guān)于認(rèn)證的權(quán)威機(jī)構(gòu)返回的新證書的部分超出了本文檔討論的范圍。一個(gè)可能的結(jié)果是一個(gè)PKCS#7內(nèi)容被簽名的的密文，在一些簡并的實(shí)例中沒有簽名（followingthedegeneratecasewheretherearenosigners（CRLs庫。1/私鑰對，或更改了實(shí)體的唯一名稱后發(fā)出認(rèn)證請求。2標(biāo)識(shí)簽名者時(shí)，這樣處理是很重要的。當(dāng)然，實(shí)體也不能解密發(fā)給其他人的信息。注釋3關(guān)于實(shí)體怎樣將認(rèn)證請求發(fā)送給一個(gè)認(rèn)證的權(quán)威機(jī)構(gòu)的問題超出了本文檔的范圍。使用紙質(zhì)或電子的表格都有可能。4本文檔和加強(qiáng)電子郵件保密性的認(rèn)證請求語法(RFC1424[5]中描述的)“innocuos息。本文檔的主要設(shè)計(jì)目的是將請求最小化，主要特點(diǎn)是認(rèn)證機(jī)構(gòu)以書面形式接收請求。認(rèn)證請求語法本節(jié)分為兩個(gè)部分。第一部分描述了認(rèn)證請求信息的類型CertificationRequestInfo，另一部分描述了最高層的類型CertificationRequest。CertificationRequestInfo認(rèn)證請求信息應(yīng)該符合ASN.1CertificationRequestInfo:CertificationRequestInfo::=SEQUENCE{versionsubject

INTEGER{v1(0)}(v1,...),Name,subjectPKInfo SubjectPublicKeyInfo{{PKInfoAlgorithms}},attributes}

[0]Attributes{{CRIAttributes}}SubjectPublicKeyInfo{ALGORITHM:IOSet}::=SEQUENCE{algorithmsubjectPublicKey}

AlgorithmIdentifier{{IOSet}},BITSTRINGPKInfoAlgorithmsALGORITHM::={... --addanylocallydefinedalgorithmshere--}Attributes{ATTRIBUTE:IOSet}::=SETOFAttribute{{IOSetCRIAttributes ATTRIBUTE ::={...--addanylocallydefinedattributeshere--}Attribute{ATTRIBUTE:IOSet}::=SEQUENCE{type ATTRIBUTE.&id({IOSet}),values SETSIZE(1..MAX)OFATTRIBUTE.&Type({IOSet}{@type})}CertificationRequestInfo類型組成部分的意義如下：version是版本號(hào)，目的是為了和本文檔將來的修訂版兼容。本標(biāo)準(zhǔn)中的版本號(hào)為0。subject是認(rèn)證主題的唯一名稱（被實(shí)體的公鑰證明的。SubjectPublicKeyInfo（和相關(guān)的其他參數(shù)；在PKCS#1[1]中的一些公鑰算法的例子包含rsaEncryption對象標(biāo)識(shí)符。信息中也包含著實(shí)體公鑰的位串表示。正如在公鑰算法中提到的，位串中包含著PKCS#1RSAPublicKeyDERSubjectPublicKeyInfo{}subjectPKInfo會(huì)受到信息對象集PKIAlgorithms的具體值的約束，它包含在擴(kuò)展標(biāo)識(shí)符（?）些具體說明能夠和將來的版本互操作。attributesPKCS#9它就可以撤銷證書。另一個(gè)例子是出現(xiàn)在X.509證書擴(kuò)展中的信息（例如PKCS#9中的extensionRequest屬性。類型Attributes{}的值考慮到了attributes被信息對象集中的CRIAttributes指定的值約束的問題。具體屬性對象的定義在本文檔的參考文獻(xiàn)中有詳細(xì)的CertificationRequest一個(gè)認(rèn)證請求應(yīng)該符合ASN.1的類型CertificationRequest:CertificationRequest::=SEQUENCE{certificationRequestInfo CertificationRequestInfo,signatureAlgorithmsignature}

AlgorithmIdentifier{{SignatureAlgorithms}},BITSTRINGAlgorithmIdentifier{ALGORITHM:IOSet}::=SEQUENCE{algorithmparameters}

ALGORITHM.&id({IOSet}),ALGORITHM.&Type({IOSet}{@algorithm})OPTIONALSignatureAlgorithmsALGORITHM::={...--addanylocallydefinedalgorithmshere--}CertificationRequest類型組成部分的意義如下：CertificateRequestInfo是認(rèn)證請求信息。它是被簽名的信息。SignatureAlgorithm表示了簽名的算法（和相關(guān)的其他參數(shù)具體的例子在信息對象集SignatureAlgorithms中可能包括一個(gè)md5WithRSAEncryption：SignatureAlgorithmsALGORITHM::={...,{NULLIDENTIFIEDBYmd5WithRSAEncryption}}signature是用認(rèn)證請求主題的私鑰將認(rèn)證請求信息簽名的結(jié)果。簽名過程有兩步組成：CertificationRequestInfo的組成部分被DER編碼，產(chǎn)生字節(jié)串。步驟1就是簽名。注釋一個(gè)和CertificationRequest等價(jià)的語法可以如下的形式書寫:CertificationRequest::=SIGNED{EncodedCertificationRequestInfo}(CONSTRAINEDBY{--VerifyorsignencodedCertificationRequestInfo--EncodedCertificationRequestInfo::= TYPE-IDENTIFIER.&Type(CertificationRequestInfo)SIGNED{ToBeSigned}::=SEQUENCE{toBeSigned ToBeSigned,algorithm AlgorithmIdentifier{{SignatureAlgorithms}},signature BITSTRING}ASN.1模塊附錄A包含了所有在本文檔中使用的ASN.1中的類型和值的定義。表現(xiàn)形式為ASN.1模型PKCS-10.PKCS-10{iso(1)member-body(2)us(840)rsadsi(113549)pkcs(1)pkcs-10(10)modules(1)pkcs-10(1)}DEFINITIONSIMPLICITTAGSBEGIN--EXPORTSAll----AlltypesandvaluesdefinedinthismoduleareexportedforuseinotherASN.1modules.IMPORTSinformationFramework,authenticationFrameworkFROMUsefulDefinitions{joint-iso-itu-t(2)ds(5)module(1)usefulDefinitions(0)3}ATTRIBUTE,NameFROMInformationFrameworkinformationFrameworkALGORITHMFROMAuthenticationFrameworkauthenticationFramework;--CertificaterequestsCertificationRequestInfo::=SEQUENCE{version INTEGER{v1(0)}(v1,...),subject Name,subjectPKInfoSubjectPublicKeyInfo{{PKInfoAlgorithmsattributes [0]Attributes{{CRIAttributes}}}SubjectPublicKeyInfo{ALGORITHM:IOSet}::=SEQUENCE{algorithm AlgorithmIdentifier{{IOSet}},subjectPublicKey BITSTRING}PKInfoAlgorithmsALGORITHM::={... --addanylocallydefinedalgorithmshere--Attributes{ATTRIBUTE:IOSet}::=SETOFAttribute{{IOSet}}CRIAttributes ATTRIBUTE ::={...--addanylocallydefinedattributeshere--Attribute{ATTRIBUTE:IOSet}::=SEQUENCE{type ATTRIBUTE.&id({IOSet}),values SETSIZE(1..MAX)OFATTRIBUTE.&Type({IOSet}{@type})}CertificationRequest::=SEQUENCE{certificationRequestInfo signatureAlgorithmsignature}

AlgorithmIdentifier{{SignatureAlgorithms}},BITSTRINGAlgorithmIdentifier{ALGORITHM:IOSet}::=SEQUENCE{algorithmparameters}

ALGORITHM.&id({IOSet}),ALGORITHM.&Type({IOSet}{@algorithm})OPTIONALSignatureAlgorithmsALGORITHM::={...--addanylocallydefinedalgorithmshere--}END.知識(shí)產(chǎn)權(quán)事項(xiàng)RSASecurity基本的技術(shù)細(xì)節(jié)。本文檔允許復(fù)制，但要在所有提到或引用本文的地方標(biāo)明 “RSADataSecurity,Inc.Public-KeyCryptographyStandards(PKCS)”。RSASecurity公司不對其他有關(guān)方面的知識(shí)產(chǎn)權(quán)聲明做任何陳述。用戶請自己確認(rèn)。修訂歷史1.01.0是這篇文檔的前一個(gè)版本（[6]1.7本版本合并了幾處編輯上的修改，包括參考文獻(xiàn)的更新材料和一些ASN.1種類型定義的變化。下面幾處作了較大的改動(dòng)：本版本引用了當(dāng)前最近的ASN.1的國際標(biāo)準(zhǔn)和它的編碼規(guī)則X.680-X.690所有涉及X.208和X.209的參考內(nèi)容。X.690DER應(yīng)用程序不依賴屬性組件的順序。PKCS#6X.509版本3證書的擴(kuò)展支持的增加，RSA實(shí)驗(yàn)室正在逐漸取消對PKCS#6的支持。注釋–1.7[6]1.6混淆，[6]1.5版。參考文獻(xiàn) RSALaboratories.PKCS#1:RSAEncryptionStandard.VersionOctober1998.RSA Laboratories. PKCS #7: Cryptographic Message Syntax Standard.Version1.5,November1993.RSALaboratories.PKCS#9:SelectedAttributeTypes.Version2.0,February2000.C.Adams,S.Farrell. RFC2510:InternetX.509PublicKeyInfrastructure –CertificateManagementProtocols.March1999.B.Kaliski.RFC1424:PrivacyEnhancementforInternetElectronicPartIV:KeyCertificationandRelatedServices.February1993.B. Kaliski. RFC 2314: PKCS #10: Certification Request Version1.5.March1998.ITU-TRecommendationX.500(1997)|ISO/IEC9594-1:1998,Informationtechnology-OpenSystemsInterconnection-TheDirectory:Overviewofconcepts,modelsandservices.ITU-TRecommendationX.501(1993)|ISO/IEC9594-2:1995,Informationtechnology-OpenSystemsInterconnection-TheDirectory:Models.ITU-TRecommendationX.509(1997)|ISO/IEC9594-8:1998,Informationtechnology-OpenSystemsInterconnection-TheDirectory:Authenticationframework.ITU-TRecommendationX.680(1997)|ISO/IEC8824-1:1998,InformationTechnology-AbstractSyntaxNotationOne(ASN.1):SpecificationBasicNotation.ITU-TRecommendationX.681(1997)|ISO/IEC8824-2:199