收藏
下载资源

PKCS-#15-v1.1-密码令牌信息语法标准

上传人:206****923 文档编号:91851192 上传时间:2019-07-02 格式:DOC 页数:67 大小:739.52KB
返回 下载 相关 举报
PKCS-#15-v1.1-密码令牌信息语法标准_第1页
第1页 / 共67页
PKCS-#15-v1.1-密码令牌信息语法标准_第2页
第2页 / 共67页
PKCS-#15-v1.1-密码令牌信息语法标准_第3页
第3页 / 共67页
PKCS-#15-v1.1-密码令牌信息语法标准_第4页
第4页 / 共67页
PKCS-#15-v1.1-密码令牌信息语法标准_第5页
第5页 / 共67页
点击查看更多>>
资源描述

《PKCS-#15-v1.1-密码令牌信息语法标准》由会员分享,可在线阅读,更多相关《PKCS-#15-v1.1-密码令牌信息语法标准(67页珍藏版)》请在金锄头文库上搜索。

1、组织: PKI 论坛 (http:/) PKCS/PKIX 中文翻译计划 论坛 E-mail: 译者: Raina(Z) 版权:本中文翻译文档版权归 PKI 论坛的注册用户所共有。可以用于非商业用途自由转载,但必须保留 本 文档的翻译及版权信息。如用于商业目的,所得利润需用于 PKI 论坛的发展。 更改记录 日期修改章节类型修改描述修改人 2003/09/18C创建文档Raina * 修改类型分为 C-CREATE A - ADDED M - MODIFIED D - DELETED PKCS #15 v1.1: 密码令牌信息语法标准密码令牌信息语法标准 (PKCS #15 v1.1: Cry

2、ptographic Token Information Syntax Standard) RSA实验室 2000 年 6 月 6 日 目录目录 1引言引言 5 1.1背景.5 1.2信息访问模型.6 2术语和定义术语和定义 6 3符号,缩略语和文档约定符号,缩略语和文档约定 8 3.1符号.8 3.2缩略语.8 3.3文档约定.8 4概述概述 9 4.1对象模型.9 4.1.1对象的类.9 4.1.2属性类型.9 4.1.3访问方法.9 5IC 卡文件格式卡文件格式.10 5.1概述.10 5.2IC 卡需求10 5.3卡文件结构.10 5.4MF 目录内容11 5.4.1EF(DIR).1

3、1 5.5PKCS #15 应用目录的内容 12 5.5.1EF(ODF).12 5.5.2私钥目录文件(PrKDFs).12 5.5.3公钥目录文件(PuKDFs)13 5.5.4秘密密钥目录文件(SKDFs).13 5.5.5证书目录文件 (CDFs).14 5.5.6数据对象目录文件(DODFs)14 5.5.7鉴别对象目录文件 (AODFs)15 5.5.8令牌信息EF(TokenInfo)15 5.5.9未用空间EF(UnusedSpace).15 5.5.10PKCS #15目录内的其他基本文件.16 5.6文件标识符.16 5.7PKCS #15 应用 16 5.7.1PKCS

4、#15 应用选择16 5.7.2PKCS #15 应用的AID 16 5.8对象管理.17 5.8.1添加(创建)新的对象.17 5.8.2删除对象.18 5.8.3修改对象.18 6ASN.1 中的信息符号中的信息符号 19 6.1基本的 ASN.1 定义的类型.19 6.1.1Identifier19 6.1.2Reference.19 6.1.3Label19 6.1.4CredentialIdentifier.19 6.1.5ReferencedValue and Path20 6.1.6ObjectValue.21 6.1.7PathOrObjects.21 6.1.8CommonO

5、bjectAttributes21 6.1.9CommonKeyAttributes 22 6.1.10CommonPrivateKeyAttributes.23 6.1.11CommonPublicKeyAttributes23 6.1.12CommonSecretKeyAttributes 24 6.1.13KeyInfo24 6.1.14CommonCertificateAttributes24 6.1.15CommonDataObjectAttributes25 6.1.16CommonAuthenticationObjectAttributes 25 6.1.17PKCS15Obje

6、ct 25 6.2PKCS15OBJECTS.25 6.3私钥.26 6.3.1私钥对象.26 6.3.2RSA 私钥对象27 6.3.3椭圆曲线私钥对象.27 6.3.4Diffie-Hellman 私钥对象.28 6.3.5DSA私钥对象.28 6.3.6KEA私钥对象28 6.4公钥.29 6.4.1公钥类型.29 6.4.2RSA 公钥对象29 6.4.3椭圆曲线公钥对象.30 6.4.4Diffie-Hellman 公钥对象.30 6.4.5DSA公钥对象.31 6.4.6KEA公钥对象31 6.5秘密密钥.31 6.5.1秘密密钥类型.31 6.5.2普通秘密密钥对象.32 6.5

7、.3带标签的密钥对象.32 6.5.4其它密钥类型.32 6.6证书.33 6.6.1证书类型.33 6.6.2X.509证书对象33 6.6.3X.509属性证书33 6.6.4SPKI (简单公钥基础设施)证书对象.34 6.6.5PGP (Pretty Good Privacy) certificate objects.34 6.6.6WTLS证书对象34 6.6.7ANSI X9.68轻量证书对象.34 6.6.8卡可验证的证书对象.35 6.7数据对象.35 6.7.1数据对象类型.35 6.7.2不透明数据对象.35 6.7.3外部数据对象.35 6.7.4由OBJECT IDEN

8、TIFIERS标识的数据对象36 6.8认证对象.36 6.8.1认证对象类型.36 6.8.2Pin对象36 6.8.3生物特征参考数据对象.38 6.8.4用于外部认证的认证对象.39 6.9加密的令牌信息文件, EF(TOKENINFO).40 7软令牌(虚拟卡)格式软令牌(虚拟卡)格式 43 7.1引言.43 7.2有用的类型.43 7.2.1EnvelopedData类型.43 7.2.2EncryptedContentInfo类型43 7.3PKCS15TOKEN类型.43 7.4允许的算法.44 7.4.1密钥导出算法.44 7.4.2其它算法.44 A.ASN.1 模块模块 4

9、6 B.文件访问条件文件访问条件 57 B.1范围.57 B.2背景.57 B.3只读及只写的卡.57 C.PKCS #15 的电子识别概述的电子识别概述59 C.1范围.59 C.2PKCS #15 对象 59 C.3其它文件.60 C.4ASN.1 类型的限制.60 C.5IC 卡内的文件关系60 C.6访问控制规则.61 D.PKCS #15 拓扑例拓扑例.63 E.使用使用 PKCS #15 软令牌软令牌64 E.1使用软件构建 PKCS#15 令牌.64 E.1.1范围.64 E.1.2构造口令保护的ENVELOPED DATA类型值.64 E.1.3完整性保护.64 F.注意事项注

10、意事项 65 F.1DIFFIE-HELLMAN, DSA 和 KEA 参数65 F.2EXPLICIT TAGGING OF PARAMETERIZED TYPES65 G.知识产权知识产权 65 H.修订史修订史 65 I.参考参考 65 J.关于关于 PKCS67 1 引言引言 1.1背景背景 密码令牌,如集成电路卡(或 IC 卡) ,本身就是安全的计算平台,非常适合于为应用提供增强的安 全性和私密性的功能。它们可以处理认证信息,如数字证书和权力,授权和加密密钥等。此外,它们能 够为敏感信息提供安全的存储和计算工具,这些敏感信息可能有: 私钥和密钥片断; 计数和保存的值; 口令和共享的秘

11、密; 授权和许可。 同时,许多令牌也提供孤立的处理工具,在存在来自敌对方代码(病毒,木马等等)的潜在危险的 主机环境里无需暴露而能够使用这些信息。这对诸如下列的某些操作已经变得十分重要: 对个人身份识别,使用私钥产生数字证书; 基于共享的秘密的网络认证; 变量的电子符号的维护; 离线情况下的便携式许可证的使用。 不幸的是,用于认证和授权的这些令牌由于缺乏在不同级别上的互操作性而使其应用受阻。首先,在 令牌上的数字凭证(密钥,证书等)的存放格式缺乏工业标准。这已经使得创建能够使用来自不同的技 术产生的凭证工作的应用变得很困难。试图在应用领域解决这个问题必定会增加开发和维护的成本。由 于凭证与在特

12、定的硬件结构下使用特定的应用编程接口的特定的应用绑定在一起,也给最终用户带来了 很大的问题, 其次,允许多种应用有效的共享数字凭证的机制还不成熟。虽然这个问题不只存在于密码卡例如, 在 WWW 浏览器中的证书的使用中早已出现了,许多卡片空间有限制,而用户又期望通用性,这将会迫 使凭证在凭证的各提供者间共享。 如果不能在凭证共享上达成标准,应用开发者和用户对其接受和使用 就会受到限制。 要使行业和最终用户都获得最大的利益,以支持各种操作环境、应用编程接口和广泛的应用基础的方 法开发对方案是十分重要的。只要通过这种方法,才能满足用户的需要,并促进凭证有效的应用的开发, 这也是满足各种这样的市场需求

13、的廉价的解决方案。 因此,本文旨在: 使在运行于各种平台的各部分间具有互操作性(平台无关) ; 使应用可使用不同制造商的产品(厂商无关) ; 使无需重写应用级的软件即可更新技术(应用无关); 在维护现有的相关的标准的一致性的同时,进行必要的和实际的扩展。 举个例子来说,一个包含数字证书的 IC 卡的持有者,应该能够在运行在任意主机上的任意应用上提 交卡片,并可在向应用提交了所包含的证书后,顺利的使用卡片。 作为要达到这些目标的第一步,本文对在密码令牌上存放与安全有关的信息定义了一个文件和目录的 格式。具有如下特性: 动态结构,以便于在各种介质(包括储值卡)上实现; 运行多个应用驻留在卡上(甚至

14、是多个 EID 应用) ; 支持存储各种类型的对象(密钥,证书和数据等) ; 令牌支持时,支持多个 PIN。 总之,在保留互操作性的需求的同时,人们一直在努力增加其灵活性,以便能使用多种不同的令牌类 型。在 IC 卡的情况下一个关键的因素是目录文件(“Directory Files”)的概念。目录文件提供了一个在卡 片上的对象与这些对象的实际格式间的一个间接层。 本文取代了 PKCS #15 v1.0,但可向前兼容。 1.2信息访问模型信息访问模型 PKCS #15 令牌信息能够在令牌提交了这些信息时被读出,并被作为软件环境一部分的 PKCS#15 解 释器使用。如下图所示: 图图 1 PKC

15、S #15 解释器嵌入实例解释器嵌入实例 2 术语和定义术语和定义 本文中应用了如下的定义: 应用应用为满足一个特定的功能所需要的数据结构,数据元素和程序模块 应用标识符应用标识符表示卡内应用的数据元素 注根据14编写 应用协议数据单元应用协议数据单元卡和接口设备(例如主机)之间的信息 卡-终端接口 卡 独立的应用驱动 PKCS#15 解释器 应用 PKCS#11-接口 注根据13编写 应用提供者应用提供者提供某个应用的实体 注根据14编写 认证对象目录文件认证对象目录文件可选的基本文件(EF) ,包含 PKCS #15 应用中认证对象的信息 二进制编码的十进制二进制编码的十进制一种数字的表示

16、方法,这里的数字以一串十进制数表示,而每一位十进 制数编码为一个四位的二进制数 例如:十进制数 92 编码成 8 位的序列 1001 0010 卡持有者卡持有者使用卡的人 卡发行者卡发行者发行智能卡及其应用的组织或实体 证书目录文件证书目录文件可选的基本文件(EF) ,包含 PKCS #15 中有关证书的信息 命令命令启动一个动作并请求卡的相应的信息 数据对象目录文件数据对象目录文件可选的基本文件,包含 PKCS #15 应用中数据对象有关的信息 专用文件(专用文件(DF)包含文件控制信息,并且可用的存储空间可以重新分配(此功能为可选 的)的文件,可能是 EF 和/或其他 DF 的父文件 注根据13编写 目录(目录(DIR)文件)文件可选的 EF,包含卡所支持的应用的列表,以及可选的相关的数据元素 注根据14编写 基本文件(基本文件(EF)数据元或具有相同文件标识符的记录的集合,EF

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号