(1) CA的功能和组成
①CA认证体系组成
一ca,负责产生和确定用户实体的数字证书;
二审核授权部门ra,审查证书申请者的资格,决定是否同意给申请者发放证书;承担资格审核错误引起的一切后果 。
三证书操作部门cp,为已授权用户发放和管理证书,承担运营错误产生的一切后果,包括失密和为没有授权的人发放证书,可由ra或第三方担任 。
四密钥管理部门km,负责产生实体加密钥对,提供解密私钥托管服务 。
五证书存储池(dir),包括网上所有的证书目录 。
在ca认证体系中,各组成部分彼此之间认证关系:
用户与ra之间:用户将自己身份信息提交ra、请求ra审核,ra审核后、安全地将该信息转发ca 。
ra与ca之间:ra以安全可靠方式把用户身份识别信息传送ca 。ca以安全可行方式将用户数字证书传送ra或直接传送用户 。
用户与dir之间:用户可以在dir中查询、撤销证书列表和数字证书 。
dir与ca之间:ca将自己产生的数字证书直接传送给目录dir,登记在目录中,在目录中登记数字证书要求用户鉴别和访问控制 。
用户与km之间:km接受用户委托,代表用户生成加密密钥对;用户所持证书的加密密钥必须委托km生成;用户可以申请解密私钥恢复服务;km为用户提供解密私钥恢复服务 。用户解密私钥必须统一在km托管 。
ca与km之间:二者之间用通讯证书来保证安全性 。通讯证书是ca与km、上级或下级ca进行通讯时使用的计算机设备证书,这些专用设备必须安装ca发布的专用通讯证书、km、上级或下级认证机构专用通讯计算机设备所持有的通讯密钥证书和认证机构的根证书 。
②CA认证体系的职责
验证并标识公开密钥信息提交认证的实体的身份;确保用于产生数字证书的非对称密钥对的质量;保证认证过程和用于签名公开密钥信息的私有密钥的安全;
确保两个不同的实体未被赋予相同的身份,以便把它们区别开来;管理包含于公开密钥信息中的证书材料信息,例如数字证书序列号、认证机构标识等;维护并发布撤销证书列表;
指定并检查证书的有效期;通知在公开密钥信息中标识的实体,数字证书已经发布;记录数字证书产生过程的所有步骤 。
③CA认证体系的功能
签发数字证书、管理下级审核注册机构、接受下级审核注册机构的业务申请、维护和管理所有证书目录服务、向密钥管理中心申请密钥、实体鉴别密钥器的管理等等 。
(2) CA自身证书的管理
自身证书的查询 。PKI CA具有报表功能,它能够在CA中产生一个用户清单,用户可以使用这一工具对所有CA的证书和状态进行查询 。
CRL查询 。通过特定的应用程序和工具包,可以访问CRL 。
查询操作日志 。PKI安装了审计跟踪文件,提供了一个非常广泛的存档和审计能力,用于记录涉及认证的所有日常交易,包括管理员注册和注销以及用户初始化等 。每个审计记录是自动创建的管理员可以查询所有审计记录,但不能修改 。
统计报表输出 。PKI提供了创建报表的灵活方法,包括固定格式和自定义格式的报表 。这些报表内容可以是统计各类用户表单,或有关用户密钥恢复的信息等 。
(3) CA对用户证书的管理
如果用户想得到一份证书,他首先需要向CA提出申请 。CA对申请者的身份进行认证后,由用户或CA生成一对密钥,私钥由用户妥善保存,CA将公钥与申请者的相关信息绑定,并签名,形成证书发给申请者 。如果用户想验证CA签发的另一个证书,可以用CA得公钥对此证书上的签名进行验证,一旦验证通过,该证书就认为是有效地 。CA除了签发证书,还负责证书和密钥的管理 。
(4) 密钥管理和KMC
密钥管理是数据加密技术中的重要一环,密钥管理的目的是确保密钥的安全性 。
一个好的密钥管理系统应该做到:密钥难以被窃取;在一定条件下窃取了密钥也没有用,密钥有使用范围和时间的限制;密钥的分配和更换过程对用户透明,用户不一定要亲自掌管密钥 。
密钥管理中心(Key Management Center,KMC)向CA服务提供相关密钥服务,如密钥生成、密钥存储、密钥备份、密钥恢复、密钥更新和密钥销毁等,如图3-28所示 。
文章插图
⑴密钥生成 。
KMC职能是为用户产生加密密钥对、提供解密私钥的托管服务,加密密钥对是在独立设备中产生,支持在线生成和离线密钥池方式 。
推荐阅读
- SSL工作原理
- IT基础设施国产替代:依次为芯片、操作系统、中间件、数据库
- 个人服务器基础设施架构简介
- Zipkin架构简介
- 密码学及公钥基础设施入门
- 网络密钥交换与公钥分发的方法
- PKI如何帮助缓解网络安全挑战
- 柬埔寨希望中国先进技术经验惠及柬基础设施建设
- 军事应用和5G电信基础设施推动GaN射频市场持续增长
- 网络安全之PKI技术原理