ASN1_BER_DER_编码子集入门指南.pdf-道客多多

资源描述

1、ASN.1/BER/D编码子集入门指南 RSA实验室的一份技术笔记作者： Burton S. Kaliski Jr. 1993年 11月 1日修订摘要：本文简单介绍了OSI 抽象语法符号（ASN.1）的子集和可辨别编码规则（DER）。本文的主要目的是为理解和实现PKCS协议族提供足够的背景材料。 ER 基本编码规则（BER）翻译：Da vid Zhu Yang Zhang 译稿版本： 1.0版 11、介绍众所周知，软件开发管理最主要的设计原理就是抽象。通过抽象，设计者可以定义系统的一部分，而不需要关心这部分实际上如何实现或如何表示。

2、这一方法使得实现很 open，它简化了定义过程，使得在实现部件之前可以声明某些 “公理 ”、并且在设计高层部件时假定下层部件是可以实现的。抽象是现代多数软件规范的特点。作为当今最复杂的系统之一，开放系统互联（ OSI，在 X.200 种定义）是一个包含了大量抽象的例子。 OSI 是一个国际通用的标准体系，从物理层一直到用户应用层，管理着计算机之间的互联。高层次的对象被抽象定义，并将由底层的对象来实现。比如，某层的一个服务可能需要在计算机之间传递某个抽象对象；某一底层则可能提供关于 0

3、、 1 字符串的实现，利用一些编码规则把高层的抽象对象转换成这些字符串。 OSI 之所以被称为开放系统是因为它在每一层上支持不同的服务实现。 OSI 定义抽象对象的方法称为 ASN.1(Abstract Syntax Notation One，X.208) ，把这些对象转换成“0”和“ 1”的比特流的一套规则称为 BER(Basic Encoding Rules ， X.209)。 ASN.1是一套灵活的记号，它允许定义多种数据类型，从 integer、 bit string 一类的简单类型到结构化类型，如 set 和 sequence，还可以使用这些类型构建复杂类型。

4、 BER 说明了如何把每种ASN.1 类型的值编码为 8bit 的 octet 流。通常每个值有不止一种的 BER 编码方法。一般使用另外一套编码规则 DER，它是 BER 的一个子集，对每个 ASN.1 值只有唯一一种编码方法。本文档的目的是通过描述 ASN.1、 BER 和 DER 的一套子集，以便提供足够的背景知识理解和实现一种基于 OSI 的应用 RSA 公司的 Public-Key Cryptography Standards。本文概括介绍了 ASN.1、 BER 和 DER，列举了一部分 ASN.1 类型和它们的 BER/DER 编码。第2 4

5、节概括介绍了 ASN.1、 BER 和 DER。第 5 节列出了部分 ASN.1 类型，给出了它们的符号、详细的编码规则和举例，并介绍了其在 PKCS 中的应用。第 6 节用一个 X.500 distinguished names 例子作为总结。本笔记没有谈到 ASN.1 的高级特点（例如宏），因为它们在实现 PKCS 时并不必要。关于其它特征和更多细节，请读者参考 CCITT 的建议文档： X.208、 X.209，这两份文档中定义了 ASN.1 和 BER。术语和符号。本文中， octet（字节）表示一个 8 bit 的无

6、符号整数。 Bit8 表示最高位，bit1 表示最低位。下列元语法用于定义 ASN.1 符号： BIT 类型和值用等宽字体表示。例如，它通常表示一个 16进制的字节值。 n1 粗斜体表示变量粗的方括号表示该项为可选项粗体大括号表示一组相关项 | 粗体竖杠表示一组之中的可任选其一粗体省略号表示重复出现 = 粗体等号，用一个子项表示该项 22. 抽象语法符号抽象语法符号一是描述抽象类型和值的符号，缩写为 ASN.1。在 ASN.1 中，一个类型就是一个值的集合。有些类型有有限个值，有些则有无限多个。一个给定的 ASN.1 类型的

7、值是该类型集合里的一个元素。ASN.1 有四种类型：简单类型，它相当于原子，没有组件；结构类型，有组件；标签类型，由其他类型生成；其他类型，包括 CHOICE 和 ANY 类型。可以使用 ASN.1 的分配符（ :=）给类型和值指定名字，这些名字可以用于定义其他类型或值。除了 CHOICE 和 ANY 类型以外，每种 ASN.1 类型都有一个标签，由一个类和一个非负的标签数组成。标签值可以唯一区分 ASN.1 类型。也就是说，ASN.1 类型的名字并不影响它的抽象含义，只有标签才有这个作用。有四类标签： Universal：该类型的含义在所有的 a

8、pplication中都相同。这种类型只在 X.208中定义。 Application：该类型的含义由 application决定，如 X.500目录服务。两个不同的application中的类型可以具有相同的 application-specific标签但是不同的含义。 Private：该类型的含义根据给定的企业而不同。 Context-specific：该类型的含义根据给定的结构类型而不同。 Context-specific标签用于在一个给定的结构类型上下文中区分使用相同的下层标签的组件类型。在两个不同的结构类型中组建类型可

9、以具有相同的标签但是含义不同。具有 universal 标签的类型在 X.208 中定义， X.208 也给出了类型的 universal 标签值。使用其他标签的类型在很多地方都有定义，通常是通过 implicit 或 explicit 标签获得。表一列出了部分 ASN.1 类型及其 universal-class 标签。 Type Tag number (decimal) Tag number (hexadecimal) INTEGER 2 02 BIT STRING 3 03 OCTET STRING 4 04 NULL 5 05 OBJECT IDENT

10、IFIER 6 06 SEQUENCE and SEQUENCE OF 16 10 SET and SET OF 17 11 PrintableString 19 13 T61String 20 14 IA5String 22 16 UTCTime 23 17 ASN.1 类型和值使用一种灵活的、类似编程语言的符号表示，规则如下： z 分层（换行）无特殊意义；多个空格和多个空行相当于一个空格。 z 注释由一对连字符（ -）开头，或者一对连字符和一个空行 z 标识符（值或字段的名字）和类型索引（类型的名字）由大小写字母、数字、连字符和空格组成；标识符

11、由小写字母开头，类型索引由大写字母开头。 3下面的四个子节概括介绍了简单类型、结构类型、隐式和显式标签类型，及其他类型。第 5 节定义了类型的更多细节。 2.1 简单类型简单类型没有子组件，是“原子级”的类型。 ASN.1定义了几个简单类型，其中与PKCS标准有关的类型如下： z BIT STRING:由 0和 1任意组成的比特流 z IA5String:由 IA5(ASCII)字符任意组成的字符流 z INTEGER:一个任意的整数 z NULL:null值 z OBJECT IDENTIFIER:对象标识符，有一列整数构成，用于确定对象，

12、如算法或属性类型 z OCTET STRING:任意的 octet（ 8 bit值）流 z PrintableString:任意可打印字符流 z T61String:T.61（ 8bit）字符的任意流 z UTCTime:“coordinated universal time“或者格林威治平均时（ GMT）值。简单类型分为两类： string 类型和 non-string 类型。 BIT STRING, IA5String, OCTET STRING, PrintableString, T61String, 和 UTCTime 是 string 类型。考虑到编码， String 类型

13、可以视为由组件组成，组件是 substring。这样即使事先不知道值的长度也可以使用结构化的、不定长的编码方式进行编码（例如，从一个 file stream 中输入的 octet string 值）。 String 类型可以指定大小限制，以限制值的长度。 2.2 结构类型结构类型由组件组成。ASN.1 定义了四种，都与 PKCS 标准有关： z SEQUENCE:一个或多个类型的有序集合 z SEQUENCE OF:0个或某个给定类型多次出现的有序集合 z SET:一个或多个类型的无序集合 z SET OF:0个或某给定类型多次出现的无序

14、集合结构类型允许有可选组件。可选组件可能有默认值。 2.3 隐式和显式标签类型在一个 application 中标签（ tagging）对于区分类型十分有用，标签通常也用于在一个结构类型中区分组件类型。例如， SET 或 SEQUENCE 类型的可选组件一般都给予不同的context-specific 标签以避免混淆。有两种方法可以标记一个类型：隐式 (implicitly)和显式 (explicitly)。隐式标签类型是在其它类型基础上通过改变其下层类型的标签而生成的。隐式标签使用ASN.1 关键词 class number

15、IMPLICIT（见第 5.1 节）表示。显式标签是在其他类型基础上通过在其下层类型的标签之外添加一个外层标签而生成的。从效果上看，显式标签类型是包含一个组件的结构类型，该组件即下层类型。显式标签由 ASN.1 关键词 class number EXPLICIT（见第 5.2节）表示。 4除非“模块 ”的 ASN.1 类型默认定义为隐式标签，关键词 class number默认总是与使用显式标签相同。（ “模块” 属于高级特性，不在本文档描述范围内）从编码的角度看，隐式标签类型可视为与下层类型相同，

16、只是标签不同。显式标签类型可视为有一个组件的结构类型，该组件即为下层类型。隐式标签可以使编码较短，但是如果下层类型是不确定的，显式标签必须避免含糊不清（例如下层类型是 CHOICE 或 ANY）。 ASN.1 中的其它类型包括 CHOICE 和 ANY 类型。 CHOICE 类型表示一个联合体，它具有一个或多个备选项（ alternative）； ANY 类型表示任意类型的任意值，其中任意类型可能在使用对象识别符或整数值注册中定义。 3. 基本编码规则（ Basic Encoding Rules） ASN.1 的基本编码规则定义了一

17、种或多种把任意 ASN.1 值表示成字节字符串的方法，缩写为 BER。（当然还有其它的方法，但是 BER 是 OSI 中转换这些值的标准）使用 BER，一个 ASN.1 的值有三种编码方法，选择哪种取决于值的类型和值的长度是否已知。这三种方法是：简单定长编码，结构化定长编码，及结构化不定长编码。简单的non-string 类型使用第一种（简单定长编码）；结构化类型可使用任一种结构化的编码方法；简单的 string 类型根据值的长度是否已知可使用任一种方法。隐式标签定义的类型可使用下层类型的方法，显式标签定义的类型使用结构化的编码方法。每种 BER

18、编码方法都有三或四部分： z Identifier octets:定义了 ASN.1 值的类和标签值，指明编码方法是简单的还是结构化的。 z Length octets:对于定长编码方法，它指出了内容字节个数；对于结构化非定长编码方法，它指明长度是不确定的。 z Contents octets:对于简单定长编码方法，它给出了值的具体表示；对于结构化的方法，它给出了值内容的 BER编码的串联。 z End-of-contents octets:对于结构化非定长的编码方法，它表示内容结束；对于其它方法，没有该部分。在下面的章节中介绍

19、了这三种编码方法。 3.1 简单定长方法（ Primitive, definite-length method）这种方法用于简单类型及通过对简单类型使用隐式标签生成的类型。它要求值的长度是事先预知的。 BER 编码的部分定义如下： 1. Identifier octets，有两种形式：较小的标签值（标签值在 0 和 30 之间）和较大的标签值（标签值大于等于 31） z Low-tag-number form：一个字节。 Bit8和 bit7表示类（如表 2）， bit6值为 0，表示编码方法为简单化的。 Bit5

20、 1给出了标签值。 5Class Bit 8 Bit 7universal 0 0 application 0 1context-specific 1 0 private 1 1z High-tag-number form：两个或多个 octet。第一个 octet形式如 low-tag-number form，但是 bit5 1均为 1。第二个和以后的字节给出标签值，基于 128，最高位在先，以便使用尽可能少的数字，除了最后一个字节以外，每个字节的 bit 8都置为 1。最后一个字节的为 0。 2. Length octets：有两种格式：短型（长

21、度在 0 至 127 之间）和长型（长度在 0 至 210081之间） z Short form: 一个字节， bit8为 0， bit 7 1表示长度。 z Long form: 2 127个字节。第一个字节的 Bit 8为 1， bit 7 1表示后面有多少个用于表示实际长度的 octet。第二个和随后的 octet给出实际长度，基于 256，高位数字在先。 3. Contents octets：给出了值的具体表示（如果类型是由隐式标签定义的，则给出了下层类型的值），特定类型的细节详见第 5 节。 3.2 结构化定长方法（ Co

22、nstructed, definite-length method）结构化定长方法适用于简单的 string 类型、结构类型、在二者基础上通过隐式标签生成的类型和在任何类型基础上由显式标签生成的类型。要求值的长度事先已知。 BER 编码方法各部分如下： 1. Identifier octets：与第 3.1 节介绍的一样，但 bit6 的值为 1，表示编码方法是结构化的。 2. Length octets：见第 3.1 节。 3. Contents octets，值的组件的 BER 编码的串联 z 对于简单 string类型和在其基础上

23、由隐式标签生成的类型，是值的连续子串的BER编码的串联（隐式标签的下层值） z 对于结构类型和在其基础上由隐式标签生成的类型，是值的组件的 BER编码的串联（隐式标签的下层值） z 对于在任何类型基础上使用显式标签生成的类型，是下层值的 BER编码特定类型的细节见第 5 节。 3.3 结构化非定长方法（ Constructed, indefinite-length method）结构化的、非定长编码用于简单 string 类型、结构类型、在二者基础上使用隐式标签生成的类型和在任何类型基础上使用显式标

24、签生成的类型。不要求事先知道值的长度。 BER编码各部分如下： z Identifier octets，见第 3.2 节 z Length octets.一个字节，值为 80 z Contents octets.见第 3.2 节。 z End-of-contents octets 两个字节，为 00 00。 6由于 end-of-contents octet 通常出现在普通 BER 编码出现的位置（例如，在一个 sequence值的内容 octet 出现的位置），可把 00 和 00 分别视为 identifier 和 length octet。因

25、此end-of-contents octet 实际上是一个具有 universal class，标签值为 0，长度为 0 的值的简单定长编码。 4. Distinguished Encoding Rules(DER，可辨别编码规则 ) DER 是 BER 的子集，它定义了使用一个 octet string 来表示任何 ASN.1 值的编码方法。DER 用于需要使用唯一的 octet string 编码的应用程序，例如根据一个 ASN.1 编码来计算数字签名。 DER 在 X.509 的第 8.7 节定义。 DER 在第 3 节给出的规则基础上增加了如下限制：

26、 1. 如果长度在 0 127 之间，必须使用短型长度表示法。 2. 如果长度大于等于 128，必须使用长型长度表示法。并且长度必须使用尽可能少的字节表示。 3. 对于简单 string 类型和在其基础上使用隐式标签生成的类型，必须使用简单定长编码方法。 4. 对于结构化类型和在其基础上使用隐式标签生成的类型、及在任何类型基础上使用显式标签生成的类型，必须使用结构化定长编码方法。对于特殊类型（如 BIT STRING、 SEQUENCE、 SET 和 SET OF）的其他限制见第 5 节。 5. 某些类型的符号和编码本

27、节给出了部分 ASN.1 类型的符号，并介绍了如何使用 BER 和 DER 对这些类型进行编码。这里介绍的类型是第 2 节提到的，按字母顺序列在下面。每个介绍包括 ASN.1 符号、 BER 编码和 DER 编码。编码的重点主要在内容字节上，标签和长度字节遵循第 3、 4 节的介绍。介绍还解释了每种类型用在 PKCS 中何处及相关的标准。 ASN.1 符号主要是针对类型的，但还是针对 OBJECT IDENTIFIER 给出了类型符号和值符号。 5.1 隐式标签类型隐式标签类型是在其他类型基础上通过改变下层类型的标签

28、生成的类型。隐式标签在整个 PKCS 中用于可选的 SEQUENCE 组件，其下层类型是除 ANY 以外的任何类型。也用于 PKCS #7 的 ExtendedCertificateOrCertificate 类型的 extendedCertificate 备选项。 ASN.1 表示法 : class number IMPLICIT Type class = UNIVERSAL | APPLICATION | PRIVATE 其中， Type 是类型， class 是可选的 class 名， number 是类内的标签值，是一个非负整数。在默认标签方法为隐式标签的 A

29、SN.1 模块中，也可以使用 class number Type 符号，关键词 IMPLICIT 是隐含的（见第 2.3 节）。在模块以外的地方进行定义声明，最好使用7关键词 IMPLICIT 以避免语义含混。如果没有 class 名称，则标签为 context-specific 类。 context-specific 类型的标签只能出现在结构类型或 CHOICE 类型的组件中。例： PKCS #8 的 PrivateKeyInfo 类型有一个可选的 attributes 组件，具有一个隐式的、 context-specific 标签： PrivateKeyIn

30、fo := SEQUENCE version Version, privateKeyAlgorithm PrivateKeyAlgorithmIdentifier, privateKey PrivateKey, attributes 0 IMPLICIT Attributes OPTIONAL 这里，下层类型为 Attributes， class是缺省的（即 context-specific类），在这个类内的标签值为 0。 BER encoding：根据下层类型可以采用简单化的或结构化的编码。内容字节与下层值的 BER编码有关。例：一个 PrivateKeyInfo值

31、的 attributes组件的 BER编码如下： z 如果下层的 Attributes值采用简单化的 BER编码（ bit 6为 0），则 identifier octet为 80；如果采用结构化的编码（ bit 6为 1），则 identifier octet为a0。 z length和 content octet分别与下层 Attributes值的 BER编码的相同。 DER encoding：根据下层类型选择简单或结构化编码方法。 Content octet 与下层值的DER 编码有关。 5.2 显式标签类型显示标签通过在一个类型的外层增加一个标签可以生

32、成一个新的类型。在整个 PKCS 中，显式标签用于下层类型为 ANY 的、可选的 SEQUENCE 类型组件，及 X.509 的 Certificate 类型的 version 组件。 ASN.1 表示法 : class number EXPLICIT Type class = UNIVERSAL | APPLICATION | PRIVATE Type 表示类型， class 是一个可选的类名， number 是一个非负整数，表示在类内的标签值。如果没有类名，则标签为 context-specific 类。 Context-specific 类标签只能出现在SEQ

33、UENCE、 SET 或 CHOICE 类型的组件中。在默认标签方法为显式标签的 ASN.1 模块中，也可以使用 class number Type 符号，关键词 EXPLICIT 是隐含的（见第 2.3 节）。在模块以外的地方进行定义声明，最好显式写明关键词 EXPLICIT 以避免语义不清。例： PKCS #7 中的 ContentInfo 类型有一个可选的 content 组件，具有一个显式的、context-specific 类的标签： ContentInfo := SEQUENCE contentType ContentType, 8content

34、0 EXPLICIT ANY DEFINED BY contentType OPTIONAL 这里下层的类型为 ANY DEFINED BY contentType，类名省略了（即为context-specific 类），类内的标签值为 0。例 2： X.509 的 Certificate 类型有一个 version 组件，具有显式的 context-specific类标签，其 EXPLICIT 关键词省略了： Certificate := . version 0 Version DEFAULT v1988, . 这个标签是显式的，因为在 X.509 中， ASN

35、.1 模块的默认标签方法定义 Certificate 类型为显式标签。 BER encoding. 结构化编码。 Contents octets 与下层值的 BER 编码有关。例： ContentInfo 值的 content 组件的 BER 编码如下： z identifier octets为 a0 z length octets为下层 ANY DEFINED BY contentType值的 BER编码长度 z contents octets为下层 ANY DEFINED BY contentType值的 BER编码 DER encoding. 结构化编码。 Content

36、s octets 与下层值的 BER 编码有关。 5.3 ANY ANY 类型用于表示任意类型的一个任意值，其中任意类型可能在对象描述符的注册中定义，或与一个整数值相关。 ANY 类型用于 PKCS #7 中的 ContentInfo 类型中特定的 content 值，或 X.509s AlgorithmIdentifier 类型中特定算法的参数，或 X.501 中 Attribute 类型和AttributeValueAssertion 类型的属性值。 Attribute 类型广泛应用在 PKCS #6, #7, #8, #9 and #10 中， Attribut

37、eValueAssertion 类型用于 X.501 DN 中。 ASN.1 表示法 : ANY DEFINED BY identifier 这里 identifier 是可选的识别符。在 ANY 形式下，实际的类型是不确定的。 ANY DEFINED BY identifier 形式只能出现在 SEQUENCE 或 SET 类型的组件中，对于这些组件 identifier 定义了一些其他的组件，其类型为 INTEGER 或 OBJECT IDENTIFIER（或者是在这两者基础上添加标签生成的类型）。这种形式下，实际的类型由其他组件的值决定，其他组件的

38、值可能由对象描述符注册也可能在一个整数表里。例： X.509 的 AlgorithmIdentifier 类型有一个 ANY 类型的组件： AlgorithmIdentifier := SEQUENCE algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL 这里 parameter 组件的实际类型由 algorithm 组件的值决定。实际类型在组件的对象描述符的注册中定义。 9BER encoding. 与实际值的 BER 编码相同。例： parameter 组件的 BE

39、R 编码值是实际类型值的 BER 编码。实际类型在algorithm 组件的对象描述符值的注册中定义。 DER encoding. 与实际值的 DER 编码相同。 5.4 BIT STRING BIT STRING 类型表示任意的 0和 1的比特流。一个 BIT STRING 值的长度可以是任意值，包括 0。该类型为 string 类型。 BIT STRING 类型用于 PKCS #6 ExtendedCertificate 类型中的 extended certificates 的 digital signatures，或 X.509 Certificate 类型的 certi

40、ficates 的 digital signatures，或 X.509 SubjectPublicKeyInfo 类型的 certificates 的 public keys。 ASN.1 表示法 : BIT STRING 例： X.509 的 SubjectPublicKeyInfo 类型有一个 BIT STRING 类型的组件： SubjectPublicKeyInfo := SEQUENCE algorithm AlgorithmIdentifier, publicKey BIT STRING BER encoding. 简单或结构化的编码。在简单编码中，第一个内容字节指出了该 bi

41、t string 凑成 8 的倍数所缺少的 bit 数（这些 bit 称为无用的比特）。第二个和随后的内容字节指出了转换成字节字符串的 bit string 的值。转换过程如下： 1. 在 bit string 的结尾填充 0 至 7 个任意值的比特，使整个 bit string 的长度是 8 的倍数。如果比特流的长度已经是 8 的倍数，则不需要填充 2. 填充后的比特流被分成 octet。前八个 bit 作为第一个 octet，分别为 bit8 至 bit1；这样一直分割下去，直到最后 8 个 bit 组成 octet。在结构化编码中， c

42、ontents octets 是 bit string 连续子串的 BER 编码的串联。除了最后一个子串，每个子串都是 8bit 的整数倍。例： BIT STRING “011011100101110111“的 BER 编码可以是下列任意一种，区别在于填充比特的选择、长度字节的格式、及编码是简单还是结构化的。 03 04 06 6e 5d c0 DER encoding 03 04 06 6e 5d e0 padded with “100000“ 03 81 04 06 6e 5d c0 long form of length octets 23 09 co

43、nstructed encoding: “0110111001011101“ + “11“ 03 03 00 6e 5d 03 02 06 c0 DER encoding. 简单编码。内容字节与 BER 简单编码类似，只是填充比特全部为 0 bit。例： BIT STRING 的 “011011100101110111“ DER 编码为： 03 04 06 6e 5d c0 105.5 CHOICE CHOICE 类型表示一个或多个备选项的联合体。 CHOICE 类型用于表示扩展证书的联合体和 PKCS #7 的ExtendedCertificateOrCertificate

44、类型中的 X.509 证书。 ASN.1 表示法 : CHOICE identifier1 Type1, nullnull, identifiern Typen 这里 identifier1，， identifiern是可选的，不同的 identifiers 表示不同的备选项。Type1，， Typen是备选项的类型。 Identifiers 主要是为了书面表示，并不影响类型的值或类型的编码。类型必须具有不同的标签值。可以在备选项上添加显式或隐式标签来满足此要求。例： PKCS #7 的 ExtendedCertificateOrCertifica

45、te 类型是一个 CHOICE 类型： ExtendedCertificateOrCertificate := CHOICE certificate Certificate, - X.509 extendedCertificate 0 IMPLICIT ExtendedCertificate 这里备选项的 identifiers 是 certificate 和 extendedCertificate，备选项的类型是 Certificate 和 0 IMPLICIT ExtendedCertificate。 BER encoding. 与被选中的选项的 BER 编码相同。由于备选项的标签值

46、不同，所以可以区分出不同的 BER 编码。例：如果选择 certificate 选项，则 BER 编码的 identifier octets 是 30，如果选择的是 extendedCertificate 选项则为 a0。 DER encoding. 与被选中的选项的 DER 编码相同。 5.6 IA5String IA5String 类型表示由 IA5 字符组成的任意流。 IA5 代表 International Alphabet 5，与ASCII 相同。该字符集包括不可打印的控制字符。一个 IA5String 值长度可以为任意值，包括 0。该类型属于 strin

47、g 类型。 IA5String 类型用于 PKCS #9 的 electronic-mail address, unstructured-name, and unstructured-address 属性。 ASN.1 表示法 : IA5String BER encoding. 简单或结构化的编码方式。使用简单编码方式时，内容字节为 IA5 string格式的字符，用 ASCII 编码。如果使用结构化编码方式，内容字节为 IA5 string 格式的连续子串的 BER 编码的串联。 11例：根据长度字节的形式和采用简单还是结构化编码方式， IA5String

48、““ 的 BER 编码可以是下列任一种： 16 0d 74 65 73 74 31 40 72 73 61 2e 63 6f 6d DER encoding 16 81 0d long form of length octets 74 65 73 74 31 40 72 73 61 2e 63 6f 6d 36 13 constructed encoding: “test1“ + “ + ““ 16 05 74 65 73 74 31 16 01 40 16 07 72 73 61 2e 63 6f 6d DER encoding. 简单化编码。 Contents octets 与 BER

49、编码相同。例： IA5String 类型值 ““ is 的 DER 编码为： 16 0d 74 65 73 74 31 40 72 73 61 2e 63 6f 6d 5.7 INTEGER INTEGER 类型表示任意的整数。 INTEGER 值可以为正数、负数或 0，具有任意大小。在整个 PKCS 中 INTEGER 类型用于表示版本号；也用于表示密码值，如在 PKCS #1的 RSAPublicKey和 RSAPrivateKey类型及 PKCS #3的 DHParameter类型中的模数、指数或素数等；在 PKCS #5 的 PBEParameter 类型中表示信息摘要重复次数；在 X.509 Certificate 类型中表示版本号和序列号。 ASN.1 表示法 : INTEGER identifier1(value1) identifiern(valuen) 这里 identifier1，

展开阅读全文