PKI的构建
订阅
PKI是新的安全技术和安全规范,它必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来进行。1)认证中心。CA是数字证
PKI是新的安全技术和安全规范,它必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来进行。1)认证中心。CA是数字证书的申请及签发机构。它的职责如下:(1)验证并标识证书申请者的身份;(2)确保CA用于签名证书的非对称密钥的质量;(3)确保整个签证过程的安全性,确保签名私钥的安全性;(4)证书材料信息的管理;(5)确定并检查证书的有效期限;(6)确保证书主体标识的唯一性,防止重名;(7)发布并维护作废证书表;(8)对整个证书签发过程做日志记录;(9)向申请人发通知。2)证书库。证书库是证书的集中存放地,它与网上“白页”类似,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统,用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性,防止伪造、篡改证书。3)密钥备份及恢复系统。如果用户丢失了用于脱密数据的密钥,密文数据将无法被脱密,造成数据丢失。为避免这种情况的出现,PKI应该提供备份与恢复脱密密钥的机制。密钥的备份与恢复应该由可信的机构来完成,例如,CA可以充当这一角色。密钥备份与恢复只能针对脱密密钥,签名私钥不能够作备份。4)证书作废处理系统。证书作废处理系统是PKI的一个重要组件。证书作废有如下三种策略:(1)作废一个或多个主体的证书;(2)作废由某一对密钥签发的所有证书;(3)作废由某CA签发的所有证书。作废证书一般通过将证书列入作废证书表(CRL)来完成。通常,系统中由CA负责创建并维护一张及时更新的CRL,而由用户在验证证书时负责检查该证书是否在CRL之列。CRL一般存放在目录系统中。
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请您通过400-62-96871或关注我们的公众号与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
阅读全文
请先 登录后发表评论 ~