pki技术理论及实现_pki技术_pki技术的原理与应用(10)

同CryptoAPI类似，CDSA也是以一个分层的服务提供者框架为基础，其的应用模式可分为四层，最上层是应用程序，应用程序的下层是中间件，例如SSL、IPSEC接口、语言接口转换器等，接下来是CSSM层，CSSM层是CDSA的核心层，CSSM的下层是具体的服务提供者，如加密服务、证书服务、政策服务、数据存储服务等，如图4所示。

图4 CDSA系统结构

---CSSM是CDSA的核心部分，它表现为一组公开的应用编程接口（API），为应用程序提供安全功能的调用，共包含4个基本的安全模块。

·加密服务提供（CryptographicServiceProvider，CSP）模块。CSP负责加/解密、数字签名和私钥保存等工作，是整个CDSA结构的基础。

·信任策略（TrustPolicy，TP）模块。TP负责信任策略的具体实施，判定特定行为（如开支票或访问涉密信息）所需的信任级别。由于具有模块化的结构，TP能够对不同的机构应用不同的策略，比如，对商业银行和机构运用的策略就有所不同。

·证书库（CertificateLibrary，CL）模块。CL提供证书的维护、撤销和数字签名等功能。

·数据存储库（DataStorageLibrary，DL）模块。DL进行安全相关数据对象的存储，包括证书、密钥和信任规则对象等，而实际的存储位置可能在大型、原始的文件系统或某种特定的硬件设备中。

----另外，任何软、硬件厂商都可以建立自己的服务提供模块，无缝嵌入到CDSA的开放式框架中。在CDSA2.0中又增加任选模块管理，支持更方便地增加模块。

另外，还可以对CSSM进行更高一层的抽象，提供高层的API，使开发者更容易使用CDSA提供的PKI安全功能。

6PKI标准

随着PKI的发展和应用的不断普及，PKI的产品也越来越多，为了保持个产品之间的兼容性，标准化成了PKI不可避免的发展趋势。

PKI的标准可分为两个部分：一类用于定义PKI，而另一类用于PKI的应用。

6.1定义PKI的标准

在PKI技术框架中，许多方面都经过严格的定义，如用户的注册流程、数字证书的格式、CRL的格式、证书的申请格式以及数字签名格式等。

国际电信联盟ITUX.509协议，是PKI技术体系中应用最为广泛、也是最为基础的一个国际标准。它的主要目的在于定义一个规范的数字证书的格式，以便为基于X.500协议的目录服务提供一种强认证手段。但该标准并非要定义一个完整的、可互操作的PKI认证体系。

PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。到1999年底，PKCS已经公布了以下标准：

·PKCS#1：定义RSA公开密钥算法加密和签名机制，主要用于组织PKCS#7中所描述的数字签名和数字信封。

·PKCS#3：定义Diffie-Hellman密钥交换协议。

·PKCS#5：描述一种利用从口令派生出来的安全密钥加密字符串的方法。使用MD2或MD5从口令中派生密钥，并采用DES-CBC模式加密。主要用于加密从一个计算机传送到另一个计算机的私人密钥，不能用于加密消息。

·PKCS#6：描述了公钥证书的标准语法，主要描述X.509证书的扩展格式。

·PKCS#7：定义一种通用的消息语法，包括数字签名和加密等用于增强的加密机制，PKCS#7与PEM兼容，所以不需其他密码操作，就可以将加密的消息转换成PEM消息。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22547-10.html