cn-pkcs-10v1-7(認證請求語法標準)

PKCS#10v1.7---CertificationRequestSyntaxStandard認證請求語法標準PKCS#10v1.7---CertificationRequestSyntaxStandard認證請求語法標準PKCS/PKIXPKCS/PKIX中文翻譯計劃組織：PKI論壇（）PKCS/PKIX中文翻譯計劃論壇電子郵件：pki@譯者：sql2000(付少慶)（fushaoqing@）版權：本中文翻譯文檔版權歸PKI但必須保留本文檔的翻譯及版權信息。如用于商業(yè)目的，所得利潤需用于PKI論壇的發(fā)展。日期修改章節(jié)日期修改章節(jié)類型修改描述修改人2005/03/26全部C創(chuàng)建文檔sql2000*修改類型分為C-產生一-附加的M-修正D-劃除PKCS#10v1.7認證請求語法標準（PKCS#10v1.7:CertificationRequestSyntaxStandard）RSA實驗室2000年5月26*目錄：緒論 3定義與符號 3定義 3符號 4概述 4認證請求語法 5CertificationRequestInfo 5CertificationRequest 6ASN.1模塊 7知識產權事項 8修訂歷史 8參考文獻 9關于PKCS 10緒論X.509[9]（在那種形式中認證的權威機構返回一個新的簽名的證書，這部分的介紹超出了本文檔的范圍。可能是一條PKCS#7[2]）包含屬性集有雙重目的：提供特定實體的其它相關信息，或者是個難破解的口令，依靠那個口令實體可以在將來要求證書撤銷；提供X.509證書的內部信息。PKCS#9[3]給出了一個比較詳細的屬性列表。本文檔最初的應用意圖是支持PKCS#7（[4]）定義與符號定義為了說明本文檔，應用下面的一些定義。算法：在X.509中定義的一個信息對象類，被描述為由一個算法（一個唯一的對象標識符和他的參數(shù)（任意的ASN.1類型）組成。在這個類中，對象的值由ASN.1{}算法類型標識符[11],AnnexA算法標識符,,X.509標識符與他們的相關的參數(shù)類型緊密綁定。當引用的時候，單個的AlgorithmIdentifier{}指定了在一個類型實例中約束出現(xiàn)的值對。AlgorithmIdentifier{}的編碼值等價于這些屬性的類型。AS.：抽象語法符號，參見ASN.1中定義的標準[10],[11],[12和[13。屬性：描述了組成對象的屬性（一個唯一的對象標識符和一個相關的屬性值的集合（ASN.1類型Attribute{}。,X.501[8]ASN.1類型被定義為ATTRIBUTE.&id，一個屬性值被定義為。當引用的時候，單個的Attribute{}Attribute{}的編碼值等價于這些屬性的類型。BER：基本編碼規(guī)則（BasicEncodingRules）,定義在X.690中([14])。證書：用數(shù)字簽名將一個可區(qū)分的實體名稱和一個公鑰綁定到一起的一種類型。這種類型在X.509中定義。這種類型也包括證書發(fā)行者的可區(qū)分名稱（簽名者列號，發(fā)行者的簽名算法標識符，有效期，和一些可選擇的簽名擴展。DER:對ASN.1的唯一編碼規(guī)則DistinguishedEncodingRulesforASN.1，在X.609DERBER的一個子集。名稱：是在X.500[7]目錄中，唯一標識或區(qū)分對象的一種類型。這種類型在X.501中定義。在一個X.509證書中，這種類型標識證書發(fā)行者和證書主題，公鑰證明的實體。2.2符號在本文檔中，所有ASN.1的類型和值用粗體Helvetica表示。概述一個認證請求由三部分組成其它信息的屬性組成。一個認證請求的過程由下面一些步驟組成：一個CertificationRequestInfo的名稱，一個公鑰，和一組可選擇的屬性。CertificationRequestInfo（4.2節(jié)）CertificationRequestInfoCertificationRequest值中，在后面定義。一個認證的權威機構通過鑒別這個請求和驗證實體的簽名來執(zhí)行這個請求。如果請求是有X.509PKCS#9的屬性，認證的權威機構也X.509證書的擴展部分。在這個過程中，關于認證的權威機構返回的新證書的部分超出了本文檔討論的范圍。一個可能的結果是一個PKCS#7內容被簽名的的密文，在一些簡并的實例中沒有簽名（followingthedegeneratecasewheretherearenosigners（CRLs庫。1/私鑰對，或更改了實體的唯一名稱后發(fā)出認證請求。2標識簽名者時，這樣處理是很重要的。當然，實體也不能解密發(fā)給其他人的信息。注釋3關于實體怎樣將認證請求發(fā)送給一個認證的權威機構的問題超出了本文檔的范圍。使用紙質或電子的表格都有可能。4本文檔和加強電子郵件保密性的認證請求語法(RFC1424[5]中描述的)“innocuos息。本文檔的主要設計目的是將請求最小化，主要特點是認證機構以書面形式接收請求。認證請求語法本節(jié)分為兩個部分。第一部分描述了認證請求信息的類型CertificationRequestInfo，另一部分描述了最高層的類型CertificationRequest。CertificationRequestInfo認證請求信息應該符合ASN.1CertificationRequestInfo:CertificationRequestInfo::=SEQUENCE{versionsubject

INTEGER{v1(0)}(v1,...),Name,subjectPKInfo SubjectPublicKeyInfo{{PKInfoAlgorithms}},attributes}

[0]Attributes{{CRIAttributes}}SubjectPublicKeyInfo{ALGORITHM:IOSet}::=SEQUENCE{algorithmsubjectPublicKey}

AlgorithmIdentifier{{IOSet}},BITSTRINGPKInfoAlgorithmsALGORITHM::={... --addanylocallydefinedalgorithmshere--}Attributes{ATTRIBUTE:IOSet}::=SETOFAttribute{{IOSetCRIAttributes ATTRIBUTE ::={...--addanylocallydefinedattributeshere--}Attribute{ATTRIBUTE:IOSet}::=SEQUENCE{type ATTRIBUTE.&id({IOSet}),values SETSIZE(1..MAX)OFATTRIBUTE.&Type({IOSet}{@type})}CertificationRequestInfo類型組成部分的意義如下：version是版本號，目的是為了和本文檔將來的修訂版兼容。本標準中的版本號為0。subject是認證主題的唯一名稱（被實體的公鑰證明的。SubjectPublicKeyInfo（和相關的其他參數(shù)；在PKCS#1[1]中的一些公鑰算法的例子包含rsaEncryption對象標識符。信息中也包含著實體公鑰的位串表示。正如在公鑰算法中提到的，位串中包含著PKCS#1RSAPublicKeyDERSubjectPublicKeyInfo{}subjectPKInfo會受到信息對象集PKIAlgorithms的具體值的約束，它包含在擴展標識符（?）些具體說明能夠和將來的版本互操作。attributesPKCS#9它就可以撤銷證書。另一個例子是出現(xiàn)在X.509證書擴展中的信息（例如PKCS#9中的extensionRequest屬性。類型Attributes{}的值考慮到了attributes被信息對象集中的CRIAttributes指定的值約束的問題。具體屬性對象的定義在本文檔的參考文獻中有詳細的CertificationRequest一個認證請求應該符合ASN.1的類型CertificationRequest:CertificationRequest::=SEQUENCE{certificationRequestInfo CertificationRequestInfo,signatureAlgorithmsignature}

AlgorithmIdentifier{{SignatureAlgorithms}},BITSTRINGAlgorithmIdentifier{ALGORITHM:IOSet}::=SEQUENCE{algorithmparameters}

ALGORITHM.&id({IOSet}),ALGORITHM.&Type({IOSet}{@algorithm})OPTIONALSignatureAlgorithmsALGORITHM::={...--addanylocallydefinedalgorithmshere--}CertificationRequest類型組成部分的意義如下：CertificateRequestInfo是認證請求信息。它是被簽名的信息。SignatureAlgorithm表示了簽名的算法（和相關的其他參數(shù)具體的例子在信息對象集SignatureAlgorithms中可能包括一個md5WithRSAEncryption：SignatureAlgorithmsALGORITHM::={...,{NULLIDENTIFIEDBYmd5WithRSAEncryption}}signature是用認證請求主題的私鑰將認證請求信息簽名的結果。簽名過程有兩步組成：CertificationRequestInfo的組成部分被DER編碼，產生字節(jié)串。步驟1就是簽名。注釋一個和CertificationRequest等價的語法可以如下的形式書寫:CertificationRequest::=SIGNED{EncodedCertificationRequestInfo}(CONSTRAINEDBY{--VerifyorsignencodedCertificationRequestInfo--EncodedCertificationRequestInfo::= TYPE-IDENTIFIER.&Type(CertificationRequestInfo)SIGNED{ToBeSigned}::=SEQUENCE{toBeSigned ToBeSigned,algorithm AlgorithmIdentifier{{SignatureAlgorithms}},signature BITSTRING}ASN.1模塊附錄A包含了所有在本文檔中使用的ASN.1中的類型和值的定義。表現(xiàn)形式為ASN.1模型PKCS-10.PKCS-10{iso(1)member-body(2)us(840)rsadsi(113549)pkcs(1)pkcs-10(10)modules(1)pkcs-10(1)}DEFINITIONSIMPLICITTAGSBEGIN--EXPORTSAll----AlltypesandvaluesdefinedinthismoduleareexportedforuseinotherASN.1modules.IMPORTSinformationFramework,authenticationFrameworkFROMUsefulDefinitions{joint-iso-itu-t(2)ds(5)module(1)usefulDefinitions(0)3}ATTRIBUTE,NameFROMInformationFrameworkinformationFrameworkALGORITHMFROMAuthenticationFrameworkauthenticationFramework;--CertificaterequestsCertificationRequestInfo::=SEQUENCE{version INTEGER{v1(0)}(v1,...),subject Name,subjectPKInfoSubjectPublicKeyInfo{{PKInfoAlgorithmsattributes [0]Attributes{{CRIAttributes}}}SubjectPublicKeyInfo{ALGORITHM:IOSet}::=SEQUENCE{algorithm AlgorithmIdentifier{{IOSet}},subjectPublicKey BITSTRING}PKInfoAlgorithmsALGORITHM::={... --addanylocallydefinedalgorithmshere--Attributes{ATTRIBUTE:IOSet}::=SETOFAttribute{{IOSet}}CRIAttributes ATTRIBUTE ::={...--addanylocallydefinedattributeshere--Attribute{ATTRIBUTE:IOSet}::=SEQUENCE{type ATTRIBUTE.&id({IOSet}),values SETSIZE(1..MAX)OFATTRIBUTE.&Type({IOSet}{@type})}CertificationRequest::=SEQUENCE{certificationRequestInfo signatureAlgorithmsignature}

AlgorithmIdentifier{{SignatureAlgorithms}},BITSTRINGAlgorithmIdentifier{ALGORITHM:IOSet}::=SEQUENCE{algorithmparameters}

ALGORITHM.&id({IOSet}),ALGORITHM.&Type({IOSet}{@algorithm})OPTIONALSignatureAlgorithmsALGORITHM::={...--addanylocallydefinedalgorithmshere--}END.知識產權事項RSASecurity基本的技術細節(jié)。本文檔允許復制，但要在所有提到或引用本文的地方標明 “RSADataSecurity,Inc.Public-KeyCryptographyStandards(PKCS)”。RSASecurity公司不對其他有關方面的知識產權聲明做任何陳述。用戶請自己確認。修訂歷史1.01.0是這篇文檔的前一個版本（[6]1.7本版本合并了幾處編輯上的修改，包括參考文獻的更新材料和一些ASN.1種類型定義的變化。下面幾處作了較大的改動：本版本引用了當前最近的ASN.1的國際標準和它的編碼規(guī)則X.680-X.690所有涉及X.208和X.209的參考內容。X.690DER應用程序不依賴屬性組件的順序。PKCS#6X.509版本3證書的擴展支持的增加，RSA實驗室正在逐漸取消對PKCS#6的支持。注釋–1.7[6]1.6混淆，[6]1.5版。參考文獻 RSALaboratories.PKCS#1:RSAEncryptionStandard.VersionOctober1998.RSA Laboratories. PKCS #7: Cryptographic Message Syntax Standard.Version1.5,November1993.RSALaboratories.PKCS#9:SelectedAttributeTypes.Version2.0,February2000.C.Adams,S.Farrell. RFC2510:InternetX.509PublicKeyInfrastructure –CertificateManagementProtocols.March1999.B.Kaliski.RFC1424:PrivacyEnhancementforInternetElectronicPartIV:KeyCertificationandRelatedServices.February1993.B. Kaliski. RFC 2314: PKCS #10: Certification Request Version1.5.March1998.ITU-TRecommendationX.500(1997)|ISO/IEC9594-1:1998,Informationtechnology-OpenSystemsInterconnection-TheDirectory:Overviewofconcepts,modelsandservices.ITU-TRecommendationX.501(1993)|ISO/IEC9594-2:1995,Informationtechnology-OpenSystemsInterconnection-TheDirectory:Models.ITU-TRecommendationX.509(1997)|ISO/IEC9594-8:1998,Informationtechnology-OpenSystemsInterconnection-TheDirectory:Authenticationframework.ITU-TRecommendationX.680(1997)|ISO/IEC8824-1:1998,InformationTechnology-AbstractSyntaxNotationOne(ASN.1):SpecificationBasicNotation.ITU-TRecommendationX.681(1997)|ISO/IEC8824-2:199