📄 757.html
字号:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
<title>简单证书认证协议 </title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="Keywords" content="安全焦点, xfocus, 陷阱网络, honeynet, honeypot, 调查取证, forensic, 入侵检测, intrusion detection, 无线安全, wireless security, 安全论坛, security forums, 安全工具, security tools, 攻击程序, exploits, 安全公告, security advisories, 安全漏洞, security vulnerabilities, 安全教程, security tutorials, 安全培训, security training, 安全帮助, security help, 安全标准, security standards, 安全代码, security code, 安全资源, security resources, 安全编程, security programming, 加密, cryptography,scvp" />
<link rel="stylesheet" href="../../css/plone.css" type="text/css">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="top">
<div class="searchBox">
<form name="searchform" action="http://www.google.com/search" method="get">
<input type="hidden" name="domains" value="www.xfocus.net">
<input type="hidden" name="sitesearch" value="www.xfocus.net">
<input type="text" name="q" size="20">
<input type="submit" name="btnG" value="Google Search">
</form>
</div>
<img src="../../images/logo.gif" border="0" width="180" height="80" alt="xfocus logo">
<img src="../../images/title.gif" border="0" width="230" height="20" alt="xfocus title">
</div>
<div class="tabs">
<a href="../../index.html" class="plain">首页</a>
<a href="../../releases/index.html" class="plain">焦点原创</a>
<a href="../../articles/index.html" class="selected">安全文摘</a>
<a href="../../tools/index.html" class="plain">安全工具</a>
<a href="../../vuls/index.html" class="plain">安全漏洞</a>
<a href="../../projects/index.html" class="plain">焦点项目</a>
<a href="https://www.xfocus.net/bbs/index.php?lang=cn" class="plain">焦点论坛</a>
<a href="../../about/index.html" class="plain">关于我们</a>
</div>
<div class="personalBar">
<a href='https://www.xfocus.net/php/add_article.php'>添加文章</a> <a href='http://www.xfocus.org/'>English Version</a>
</div>
<table class="columns">
<tr>
<td class="left">
<div class="box">
<h5> 文章分类 </h5>
<div class="body">
<div class="content odd">
<div style="white-space: nowrap;">
<img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/4.html'><b>专题文章 <<</b></a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/2.html'>漏洞分析</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/3.html'>安全配置</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/1.html'>黑客教学</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/5.html'>编程技术</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/7.html'>工具介绍</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/6.html'>火墙技术</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/8.html'>入侵检测</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/9.html'>破解专题</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/11.html'>焦点公告</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/12.html'>焦点峰会</a><br>
</div>
</div>
</div>
</div>
<div class="box">
<h5> 文章推荐 </h5>
<div class="body">
<div class="content odd">
<img src='../../images/document_icon.gif' border='0'> <a href='../../articles/200408/733.html'>补丁管理最佳安全实践之资产评估</a><br><img src='../../images/document_icon.gif' border='0'> <a href='../../articles/200404/689.html'>国内网络安全风险评估市场与技术操作</a><br><img src='../../images/document_icon.gif' border='0'> <a href='../../articles/200410/743.html'>协作的信息系统风险评估</a><br>
</div>
</div>
</div>
</td>
<td class="main">
<h1>简单证书认证协议</h1><br>创建时间:2004-11-28<br>文章属性:翻译<br>文章提交:<a href='https://www.xfocus.net/bbs/index.php?lang=cn&act=Profile&do=03&MID=75828'>Cat----itaq</a> (liumiao1983cn_at_yahoo.com.cn)<br><br>简单证书认证协议<br />
(Simple Certificate Validation Protocol (SCVP) )2004 October<br />
<a href='http://www.infosecurity.org.cn/content/standard/pki-draft/draft-ietf-pkix-scvp-16.txt' target='_blank'>http://www.infosecurity.org.cn/content/standard/pki-draft/draft-ietf-pkix-scvp-16.txt</a><br />
翻译:Cat----itaq<br />
<a href='http://www.itaq.org' target='_blank'>http://www.itaq.org</a><br />
1 介绍 <br />
证书认证是很复杂的, 证书处理广泛发展在很多应用程序和环境,有很多的应用程序中利用了公匙证书,但是这些应用程序必须自已负担对证书路径构造和确认的开销。SCVP将会降低应用程序利用公匙证书时资源的开销。利用公匙证书的应用程序大致分为两类.<br />
第一类应用程序想要确定两方面,第一,他们要确定公匙是属于用户标识的证书,第二,他们想要知道这个公匙利用是否能够达到想要的目的。客户端授权到达服务端的证书路径的构造和确认,这类应用程序常常当作授权路径确认(DPV)。<br />
<br />
第二类应用程序可以确认证书路径运行,但是这些应用程序没有可靠的方法去构造一个到达信任目的端的证书路径,客户端仅仅授权到达SCVP服务端的证书路径构造。这类应用程序常常被称为DPD.<br />
不受信任的SCVP服务器可以提供客户端的证书路径,他们也提供客户端撤消信息,比如:CRLS和OCSP的回复,客户端需要被SCVP服务器认证证书路径构成.这些服务不包括那些需要下载中间证书的协议的服务,这对客户端很有价值..<br />
<br />
信任的SCVP服务器可以为客户端运行证书路径构造和确认.一个客户端可以利用这些服务,这个客户端始终信任这个scvp服务器.就像这个客户端拥有自已的证书路径构造软件一样,一个客户端去信任这样的SCVP服务器主要有两个原因:<br />
<br />
1 这个客户端不想使得证书路径认证软件每接收一次证书时都要运行一次.<br />
2 这个客户端是在一个想要认证它的PKI的机构里,这些政策可能规定了个别信任的终端被用和在认证路径确认期间运行的政策类型..<br />
<br />
1.3 Validation Policies (认证政策)<br />
当SCVP在认证一个证书时,一个认可政策,特别是规则和参数会被SCVP服务器使用.在简单证书认证协议里,一个认证政策可以在客户端和服务器端相互同意.在请求中,需要明确的表达必需的参数..<br />
政策的定义是相当的漫长和复杂的,一些政策可能设定一些参数就像设定一个信任终端一样.一个请求如果先前的协议政策所依赖的参数被一个相互同意的OIK或者URL值请求就可能变得简单.这个参考值表述了一部分或者全部的设定格式..<br />
这个客户端可以从一个请求中忽略这些已协定的参数.只有通过了任何的不是被先前协定的政策所叙述的参数.因为在这些最简单的表单里 ,认证政策定义了每一个参数都是必须的.一个SCVP请求需要只有包含了一个可认可的证书,认可政策和任何的运行时间参数才给这个请求 <br />
SCVP服务器也发布它的默认的认证政策设置,默认的政策可被认证请求,在请求时如果需要的话客户端可以覆盖任何默认的值.在请求中这个默认的值也可以被利用,当处理请求参考一个认证政策除了那个默认的不包含全部参数和客户端已经省略掉的值.<br />
<br />
一个客户端可以因为默认的值公布后已被服务器所接受了就可以省略一些参数来简化请求<br />
1.4 Validation Algorithm (认证算法)<br />
认证算法是由客户端和服务器所同意决定的,这个算法定义了检验那个将会被服务器运行来决定是否证书是否认可,叙述每一个定义在政策里参数,SCVP定义了一个基本的认证算法..<br />
<br />
应用程序叙述认证算法除了那些被定义在这个文档里也可以定义到没有被基本的认证算法复盖的叙述需求,这个认证算法文档应该作为一个发展更进一步应用程序-specific的向导 <br />
<br />
例如:一个新的应用程序-specific认证算法可能需要出现一个独特的名字形式来替代扩充的证书.<br />
. <br />
某一个认证路径在一个特别的认证政策里被认为有效..这一定是一个有效的认证路径(被定义在[PKIX-1])和所有认证政策限制适应的认证路径必须被确认.<br />
撤消检验是认证路径确认的一个方面,已被定义在[PKIX-1],所以,认证政策必须叙述撤消信息的来源,有五种可能:<br />
1 全部的CRLs必须收集.<br />
2 OCSP回复,如果正在用中,必须收集 <br />
3. CRLs和 the relevant associated full CRLs (or full <br />
Authority Revocation Lists) are to be collected; <br />
4 任何可得的撤消的信息必须被收集.<br />
5 没有撤消信息必须收集<br />
<br />
<br />
2 Protocol Overview (协议概观)<br />
SCVP用一个简单的请求-回复模型.也就是,SCVP客户端创建一个请求然后发送请求到SCVP服务器,然后SCVP服务器创建一个单一的回复然后发送到客户端,这种典型利用SCVP被认为超过了HTTP,但是它也可以发送EMAIL或者其它的协议也可以传输数据信号..附录A和附录B提供了通过HTTP利用SCVP的详细需要.<br />
SCVP包含了两个请求-回复.第一个请求-回复用来处理证书认证,第二个请求-回复用来决定认证政策列表 和定义一个具体的SCVP服务器所支持的格式.<br />
第三段定义证书认证请求<br />
第四段定义了相对应的证书认证回复.<br />
第五段定义了认政政策请求.<br />
第六段定义了相应的认证政策的回复.<br />
<br />
<br />
3 Validation Request (认证请求)<br />
一个SCVP客户端请求到服务器必须是一个单一的CVRequest .当一个CVRequest被装入到一个多用途互联网邮件扩充(MIME),应用程序/CVRequest必须被用.<br />
<br />
有两种形式的SCVP请求,有符号的和无符号的,一个有符号的请求 常常用来证明客户端到服务端或者提供对一个匿名的客户端的请求—回复对的完整性约束.一个服务器可能需要所有的请求被签名,一个服务器可能丢弃所有无符号请求.或者,一个服务器可能选择处理无符号请求.<br />
无符号请求由一个CVRequest装入到一个CMS. 下面提供了这些结构.它们已被在ASN.1定义了,很多详细的细节没有显示,但是下面是一个例子清楚地说明了SCVP利用CMS.<br />
////////////////////////////////////////////////////////////////////<br />
ContentInfo { <br />
contentType id-ct-scvp-certValRequest, <br />
-- (1.2.840.113549.1.9.16.1.10) <br />
content CVRequest } <br />
/////////////////////////////////////////////////////////////<br />
有符号的请求由一个CVRequest封装在一个已签名的数据(SignedData)或者是已验证的数据(AuthenticatedData)里,它们是轮着封装一个ContentInfo, 下面提供了它的结构. 它们已被在ASN.1定义了,很多详细的细节没有显示,但是下面是一个例子清楚地说明了SCVP利用CMS.<br />
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -