術語和定義

下列術語和定義適用于本標準。

3.1　抽象語法記法一（ASN.1） Abstract Syntax Notation 1（ASN.1）

用來組織復雜數據對象的表示法。

3.2　公鑰證書 public key certificate

用戶的公鑰連同其它信息，并由發布該證書的證書認證機構的私鑰進行加密使其不可偽造。

3.3　證書持有者 certificate holder

有效證書的主體對應的實體。

3.4　證書用戶 certificate user

需要確切地知道另一實體的公開密鑰的某一實體。

3.5　證書認證機構（CA） Certificate Authority（CA）

負責創建和分配證書，受用戶信任的權威機構。用戶可以選擇該機構為其創建密鑰。

3.6　證書認證路徑 certification path

一個DIT中對象證書的有序序列，通過處理該有序序列及其起始對象的公鑰可以獲得該路徑的末端對象的公鑰。

3.7　認證業務說明（CPS） Certification Practice Statement(CPS)

證書認證機構發放證書時遵循的業務說明。

3.8　交叉證書 cross-certificate

兩個CA間為交叉認證所互相簽發的數字證書。

3.9　CRL分布點 CRL distribution point

一個CRL目錄項或其它CRL分發源；由CRL分布點分發的CRL可以包括僅對某CA所發證書全集某個子集的撤銷條目，或者可以包括有多個CA的撤銷條目。

3.10　證書撤銷列表（CRL） Certificate Revocation List（CRL）

一個已標識的列表，它指定了一套證書發布者認為無效的證書。除了普通CRL外，還定義了一些特殊的CRL類型用于覆蓋特殊領域的CRL。

3.11　發證 certify

頒發一個證書的行為。

3.12　可辨別編碼規則（DER） Distinguished Encoding Rules（DER）

對ASN.1對象進行編碼的規則。

注：本標準中使用DER對ASN.1對象進行編碼。

3.13　數字簽名 digital signature

允許接收者驗證簽名人的身份和數據完整性的數據單元。

3.14　目錄服務（DS） Directory Service（DS）

分布在網絡中的各種節點或服務器提供的分布式數據庫服務。

3.15　終端實體 end entity

不以簽署證書為目的而使用其私鑰的證書主體或者是依賴（證書）方。

3.16　散列函數 hash function

哈希函數

將值從一個大的（可能很大）定義域映射到一個較小值域的（數學）函數。“好的”散列函數是把該函數應用到大的定義域中的若干值的（大）集合的結果可以均勻地（和隨機地）被分布在該范圍上。

3.17　散列碼 Hash code

散列函數的輸出比特串。

3.18　消息認證碼（MAC） Message Authentication Code(MAC)

通過密碼技術由消息產生的認證數據。

3.19　消息摘要 message digest

散列一個消息后得到的固定長度數據。

3.20　個人安全環境(PSE) Personal Security Environment (PSE)

證書及私鑰的終端實體的安全本地存儲。

3.21　擁有證明（POP） Proof of Possession (POP)

終端實體用以證明自己擁有(即能夠使用)與為之申請證書的公鑰相對應的私鑰。

3.22　策略映射 policy mapping

當某個域中的一個CA認證另一個域中的一個CA時，在第二個域中的特定證書策略可能被第一個域中的證書認證機構認為等價（但不必在各方面均相同）于第一個域中認可的特定證書策略。

3.23　注冊機構（RA） Registration Authority（RA）

為用戶辦理證書申請、身份審核、證書下載、證書更新、證書注銷以及密鑰恢復等實際業務的辦事機構或業務受理點。

3.24　資料庫 repository

存儲證書和CRL等信息，并提供無需驗證的信息檢索服務的數據庫。

3.25　自頒發證書 self-issued certificate

證書的主體和頒發者相同的CA證書。