PKI的构建是怎样的?
PKI是新的安全技术和安全规范,它必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来进行。1)认证中心。CA是数字证
PKI是新的安全技术和安全规范,它必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来进行。1)认证中心。CA是数字证书的申请及签发机构。它的职责包括验证并标识证书申请者的身份,确保CA用于签名证书的非对称密钥的质量,确保整个签证过程的安全性,确保签名私钥的安全性,证书材料信息的管理,确定并检查证书的有效期限,确保证书主体标识的唯一性,防止重名,发布并维护作废证书表,对整个证书签发过程做日志记录,向申请人发通知。2)证书库。证书库是证书的集中存放地,用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统,系统必须确保证书库的完整性,防止伪造、篡改证书。3)密钥备份及恢复系统。如果用户丢失了用于脱密数据的密钥,密文数据将无法被脱密,造成数据丢失。为避免这种情况的出现,PKI应该提供备份与恢复脱密密钥的机制,密钥的备份与恢复应该由可信的机构来完成,例如,CA可以充当这一角色。4)证书作废处理系统(X.509 Version 3,CRL Version2)。证书作废处理系统是PKI的一个重要组件,它通过将证书列入作废证书表(CRL)来实现作废证书的机制,通常,系统中由CA负责创建并维护一张及时更新的CRL,而由用户在验证证书时负责检查该证书是否在CRL之列。5)客户端证书处理系统。客户端证书处理系统是PKI的一个重要组成部分,它用于管理客户端证书的发放、更新、作废和验证等操作。
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请您通过400-62-96871或关注我们的公众号与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
阅读全文
请先 登录后发表评论 ~