百度一下 藏锋者 就能快速找到本站! 每日资讯归档 下载藏锋者到桌面一键访问

当前位置:主页 > 网络安全 > PKI架构

PKI架构

所在栏目:网络安全 时间:08-15 11:41 分享:

电子认证的核心是建立电子认证机构(或叫作电子认证中心)以公钥方式进行本人认证。电子认证中心的任务是对传送到认证中心的企业、个人的数字签名(相当于现实社会的印章)进行核实,以证明其身份的可信性。类似于现实社会的公安局的户籍科或工商管理局的企业管理部门。

如果提出申请并提交了电子数据的个人、企业确实存在,身份确认了,就发行相当于印章或身份证的数字证书。在进行交易的时候,通过互相检验数字证书来确认彼此的身份。电子认证中心发行的数字证书通过认证中心的公钥复核来认证。

认证机构(CA中心)为了切实保证将数字证书发给本人,除了发行数字证书的机构CA之外,还必须有一个对申请者进行身份审核的机构———登记中心RA(ResistoryAuthority)。

登记中心是否能够正确地进行申请者身份鉴别决定了CA发行的证书是否可信。反之,CA如何保证能够对数字证书进行正确的签名也决定了数字证书的可信性。这就需要CA中心对它的签名私钥必须严格保管。如果CA中心的签名私钥被黑客窃取、或者流失,那么就意味着所有持有该CA发行的数字证书的信赖性出现了严重的问题。

这对于CA中心的运营来讲,是一个毁灭性的事件。

因此,CA中心的签名私钥必须保管于高度的安全设施(HSM)当中,而且在运营过程当中,该签名私钥的操作人员必须是两人以上,并且同时操作。诸如此类,所以说安全的环境和管理对于CA中心来讲是必不可少的。

另外,为了使网上信息传输时利用CA发行的数字证书进行签名校验的方便进行,CA中心还必须设置一个证书库CR(CertificateRegistry)。因为数字证书都有一个有效期限,而且因为丢失等其他原因在有效期内证书被废止的可能性都是存在的。

这样,当数字证书被吊销、更改或丢失时,CA中心就把它列入证书吊销列表(CRL)。这张表连同已经发行的有效证书一起公布在CR里。
 

PKI架构 免费邮件订阅: 邮件订阅

图片推荐

热点排行榜

CopyRight? 2013 www.cangfengzhe.com All rights reserved