PKI的标准与协议

　　 从整个PKI体系建立与发展的历程来看，与PKI相关的标准主要包括以下一些。

　　 1. X.209（1988）ASN.1基本编码规则的规范

　　 ASN.1是描述在网络上传输信息格式的标准方法。它有两部分：第一部份（ISO 8824/ITU X.208）描述信息内的数据、数据类型及序列格式，也就是数据的语法；第二部分（ISO 8825/ITU X.209）描述如何将各部分数据组成消息，也就是数据的基本编码规则。

　　 ASN.1原来是作为X.409的一部分而开发的，后来才独立地成为一个标准。这两个协议除了在PKI体系中被应用外，还被广泛应用于通信和计算机的其他领域。

　　 2．X.500（1993）信息技术之开放系统互联：概念、模型及服务简述

　　 X．500是一套已经被国际标准化组织（ISO）接受的目录服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。X．500是层次性的，其中的管理性域（机构、分支、部门和工作组）可以提供这些域内的用户和资源信息。在PKI体系中，X.500被用来惟一标识一个实体，该实体可以是机构、组织、个人或一台服务器。X．500被认为是实现目录服务的最佳途径，但X.500的实现需要较大的投资，并且比其他方式速度慢;而其优势具有信息模型、多功能和开放性。

　　 3． X.509（1993）信息技术之开放系统互联：鉴别框架

　　 X.509是由国际电信联盟（ITU-T）制定的数字证书标准。在X.500确保用户名称惟一性的基础上，X.509为X.500用户名称提供了通信实体的鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口。

　　 X.509的最初版本公布于1988年。X.509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。这一标准的最新版本是X.509 v3，它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段，用来提供更多的灵活性及特殊应用环境下所需的信息传送。

　　 4．PKCS系列标准

　　 由RSA实验室制订的PKCS系列标准，是一套针对PKI体系的加解密、签名、密钥交换、分发格式及行为标准，该标准目前已经成为PKI体系中不可缺少的一部分。

　　 5． OCSP在线证书状态协议

　　 OCSP(Online Certificate Status Protocol)是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。该标准提供给PKI用户一条方便快捷的数字证书状态查询通道，使PKI体系能够更有效、更安全地在各个领域中被广泛应用。

　　 6． LDAP 轻量级目录访问协议

　　 LDAP规范(RFC1487)简化了笨重的X.500目录访问协议，并且在功能性、数据表示、编码和传输方面都进行了相应的修改。1997年，LDAP第3版本成为互联网标准。目前，LDAP v3已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。

　　 除了以上协议外，还有一些构建在PKI体系上的应用协议，这些协议是PKI体系在应用和普及化方面的代表作，包括SET协议和SSL协议。

　　 目前PKI体系中已经包含了众多的标准和标准协议，由于PKI技术的不断进步和完善，以及其应用的不断普及，将来还会有更多的标准和协议加入。