Windows 2000 公钥基础结构详解(5)

亿博 · 发表于 2008-12-14 11:27:15

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？注册

x

互操作性 　　 　　理想情况下，PKI 就是“基础结构”。CA 可能会基于标准证书请求协议，颁发一套可完全互操作的证书。随后，支持的应用程序以一致的方式对它们进行评估（包括是否已吊销），并且，整个过程不会有任何语法或语义方面的二义性。 　　 　　工业上，还没有实现这一级别的互操作性。所以，问题在于，什么时候所有这些均能实现呢？当有更多的应用程序使用基于 PK 的技术时，就有可能实现相对无缝的互操作性。现在，SSL/TLS 和 S/MIME 在多个供应商产品中的应用效果很好。但那些较新的和较少使用的应用程序则不能很好地执行跨产品的操作，如代码签名及数字签名形式。另一个令人关注，也更麻烦的问题是：至今还没有技术机制，可用来比较两个不同语言编码的名称。例如，Unicode 允许重要文字以多种等同的形式进行加密。 　　 　　确切地说，这些问题归因于基于 PK 的技术的相对成熟程度。今后几年，至少有两个主要的力量会推动互操作性的发展。 　　 　　经过最初的尝试，今后对基于 PK 的系统的依赖性会不断增强 　　 　　更加强调标准 　　 　　Microsoft 积极投入与 PK 相关的标准开发上，并致力于建立基于“事实”和“理论”标准的产品，以将其 PKI 的操作性提高到最大限度。 　　 　　Internet 标准虽然有助于实现互操作性，但并不保证互操作性。标准的问题由来已久，问题的起因是商业产品部署比合作过程速度快得多。PK 技术领域更是如此；IETF 目前在该领域有多个工作组，他们正在积极开发基于 PK 技术的建议标准。但是，虽然许多应用程序将是这些标准的潜在受益者，但它们早就开始发行产品了。而且，任何标准都不可能预测到每个应用程序的所有要求和依赖条件。因此，即使最综合的标准在实施时也会大打折扣。有鉴于此，互操作性正是市场对标准进行调整的结果。 　　 　　负责定义可互操作 PKI 的基础的 IETF 工作组是 PKIX (X.509)。经过大约整整三年的工作，基本的体系结构已就绪，“Internet 公钥基础结构 X.509 证书和 CRL 配置文件，第一部分” ( http://www.ietf.org/ids.by.wg/pkix.html ) 规范即将成为标准。Microsoft 在 IETF 的该标准中投入了大量工作，并承诺，其 PKI 产品必定与之兼容。获准后，该标准就会成为定义可靠 PKI 的一个重要文件，从而保证了可以以某种标准方式请求、解释和吊销证书。 　　 　　IETF 还在进行其他工作，这些工作将对 PKI 互操作性具有深远的影响。这些工作都是源于对基于 PK 的应用程序的需要，特别重要的有 TLS、S/MIME 及 IPSec。在每种情况中，这些应用程序都发现有必要定义一个满足其需要的 PKIX 子集，或常常需要取代 PKIX 定义的功能。尽管这看起来与设计过程有些脱节，但却为 PKI 设计者创造了一个封闭的反馈环。 　　 　　应用程序相关的标准中，最引人注目的一组是 IETF S/MIME 工作组 ( http://www.ietf.org/ids.by.wg/smime.html ) 的产品，这一点并不令人吃惊。其中，(S/MIME)“加密消息语法”、“S/MIME 版本 3 消息规范”、“S/MIME 版本 3 证书处理”以及“证书请求语法”最为重要。S/MIME 群体，与之前的 TLS 一样，具有从事实标准着手的优点。可以证实 PKIX 也是从标准 (X.509) 入手的；但已有证据表明，它不足以作为可互操作的基于 PK 系统的基础。这意味着，PKIX 第一部分（基础 IETF 标准）正从试用该标准的应用程序中汲取“经验”。反馈过程的一个新示例就是证书链验证。 　　 　　PKIX 第一部分建议（但并江西广告网娑ǎ┦褂弥な榱囱橹に惴ā６缘鼻

		自动登录	找回密码
密码			注册