IETF
InternetEngineeringTaskForce:互聯網工程任務組
PKIX
Public Key Infrastructure for X.509 Certificates:公鑰基礎設施爲509證書
PKI
Public Key Infrastructure:公鑰基礎設施,又稱公鑰體系,用於發佈和傳輸公開祕鑰(即公鑰)的系統
Certificate
證書:即公鑰的載體,用於保證公鑰的完整性和真實性
IETF的安全領域的公鑰基礎實施(PKIX)工作組爲互聯網上使用的公鑰證書定義一系列的標準。PKIX工作組在1995年10月成立。
Internet工程任務組(IETF)主要負責制定標準化協議/功能並推動其運用。正是這些協議/功能使得Internet具有巨大用處且充滿趣味(如TCP/IP、SMTP、FTP、TELNET、HTTP等)。這些工作被很多工作組分擔,它們分別致力於不同的領域。
在IETF的安全領域中,其中一個工作組負責公開密鑰基礎設施(PKI)及X.509,通常稱爲PKIX工作組,旨在使X.509標準中所做的證書和證書撤銷列表工作,滿足於在Internet環境中建立Internet公開密鑰基礎設施(IPKI)的需要。
PKIX主要目的
PKIX的目的是要開發必須的互聯網標準來支持可互操作的PKI。工作組的第一項任務就是要創建一個概要文件,把證書數據結構、擴展域和數據取值限定在一個特定的可選範圍內。X.509標準的巨大靈活性使得互操作難以實現,PKIX工作組希望通過限定允許的選項,提高PKI系統間的互操作性。
PKIX工作組定義了公鑰證書及CRL的概要文件。在一些情況下,他還定義了其他的證書擴展字段或證書屬性,還有這些屬性的對象標識。PKIX也正在開發新的協議,以便於PKI生命週期中自始至終對PKI信息的管理。這些協議部分包括證書管理協議(CMP)、安全多用途郵件擴展(S/MIME)和在線證書狀態協議(OCSP)。
PKIX主要內容
PKIX作爲IETF設定的工作組,其目的更多的在於Internet PKI,而不僅僅是刻畫X.509證書和做證書撤銷列表工作。所以,PKIX的章程中包含了如下4項專門領域:
1、 證書和證書撤銷列表概貌(Profile);
2、 證書管理協議;
3、 證書操作協議;
4、 證書策略(CP)和認證業務聲明(CSP)結構。
第一項是有創造性的工作——制定X.509的語法,包括對強制性的、可選擇性的、必要的和非必要的擴展的詳細說明,這些擴展用於PKIX相容的證書和證書撤銷列表中。
第二項對在IPKI中管理操作需求所用到的協議進行了詳細說明。這些操作包括對實體及密鑰對的初始化/認證、證書撤銷、密鑰備份和恢復,以及CA密鑰更換、交叉認證等。
第三項詳細描述了日常IPKI操作中需要用到的協議,比如從公共存儲庫中收回證書/證書撤銷列表,證書的在線撤銷狀態檢查等。
第四項爲書寫CP和CSP文檔的作者提供了指導,對特殊環境中所應包括的主題和格式做了建議。
公鑰體系簡介
X.509標準