PKI技术及应用开发指南

• 注册机构转发证书撤消列表。操作员导入CRL，以多种不同的格式将CRL公布于众。
  用户浏览安全服务器，下载或浏览CRL。
  
  在一个PKI，特别是CA中，信息的存储是一个非常核心的问题，它包括两个方面：一是CA服务器利用数据库来备份当前密钥和归档过期密钥，该数据库需高度安全和机密，其安全等级同CA本身相同；另外一个就是目录服务器，用于分发证书和CRL，一般采用LDAP目录服务器。
  
  3.4 密钥管理
  密钥管理也是PKI（主要指CA）中的一个核心问题，主要是指密钥对的安全管理，包括密钥产生、密钥备份、密钥恢复和密钥更新等。
  
  1. 密钥产生
  密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用户保留，公钥和其他信息则交于CA中心进行签名，从而产生证书。根据证书类型和应用的不同，密钥对的产生也有不同的形式和方法。对普通证书和测试证书，一般由浏览器或固定的终端应用来产生，这样产生的密钥强度较小，不适合应用于比较重要的安全网络交易。而对于比较重要的证书，如商家证书和服务器证书等，密钥对一般由专用应用程序或CA中心直接产生，这样产生的密钥强度大，适合于重要的应用场合。
  另外，根据密钥的应用不同，也可能会有不同的产生方式。比如签名密钥可能在客户端或RA中心产生，而加密密钥则需要在CA中心直接产生。
  
  2. 密钥备份和恢复
  在一个PKI系统中，维护密钥对的备份至关重要，如果没有这种措施，当密钥丢失后，将意味着加密数据的完全丢失，对于一些重要数据，这将是灾难性的。所以，密钥的备份和恢复也是PKI密钥管理中的重要一环。
  使用PKI的企业和组织必须恩能够得到确认：即使密钥丢失，受密要加密保护的重要信息也必须能够恢复，并且不能让一个独立的个人完全控制最重要的主密钥，否则将引起严重后果。
  企业级的PKI产品至少应该支持用于加密的安全密钥的存储、备份和恢复。密钥一般用口令进行保护，而口令丢失则是管理员最常见的安全疏漏之一。所以，PKI产品应该能够备份密钥，即使口令丢失，它也能够让用户在一定条件下恢复该密钥，并设置新的口令。
  例如，在某些情况下用户可能有多对密钥，至少应该有两个密钥：一个用于加密，一个用于签名。签名密要不需要备份，因为用于验证签名的公钥（或公钥证书）广泛发布，即使签名私钥丢失，任何用于相应公要的人都可以对已签名的文档进行验证。但PKI系统必须备份用于加密的密钥对，并允许用户进行恢复，否则，用于解密的私钥丢失将意味着加密数据的完全不可恢复。
  另外，使用PKI的企业也应该考虑所使用密钥的生命周期，它包括密钥和证书的有效时间，以及已撤销密钥和证书的维护时间等。
  
  
  3. 密钥更新
  对每一个由CA颁发的证书都会有有效期，密钥对生命周期的长短由签发证书的CA中心来确定，各CA系统的证书有效期限有所不同，一般大约为2-3年。
  当用户的私钥被泄漏或证书的有效期快到时，用户应该更新私钥。这时用户可以废除证书，产生新的密钥对，申请新的证书。
  
  3.5 证书的使用
  在实际应用中，为了验证信息的数字签名，用户首先必须获取信息发送者的公钥证书，以及一些额外需要的证书（如CA证书等，用于验证发送者证书的有效性）。
  
  证书的获取可以有多种方式，如发送者发送签名信息时附加发送自己的证书，或以另外的单独信息发送证书，或者可以通过访问证书发布的目录服务器来获得，或者直接从证书相关的实体处获得。在一个PKI体系中，可以采取某种或某几种上述方式获得证书。
  
  在电子商务系统中，证书的持有者可以是个人用户、企事业单位、商家、银行等。无论是电子商务中的哪一方，在使用证书验证数据时，都遵循同样的验证流程。一个完整的验证过程有以下几步：
  
  将客户端发来的数据解密 (如解开数字信封)。
  将解密后的数据分解成原始数据，签名数据和客户证书三部分。
  用CA根证书验证客户证书的签名完整性。
  检查客户证书是否有效 (当前时间在证书结构中的所定义的有效期内)。
  检查客户证书是否作废 (OCSP方式或CRL方式)。
  验证客户证书结构中的证书用途。
  
• 上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• PKI技术及应用开发指南 相关文章：
• ·湖南省计算机应用能力初级考核模拟试题
• ·高手进阶，终极内存技术指南——完整/进阶版
• ·PKI技术及应用开发指南
• ·奋斗十年（南下打工仔的创业回忆））
• ·EZ-USB 68013A开发指南
• ·netcat使用指南
• ·MPEG、RM、WMV电影文件格式转换指南
• ·MT800业务配置指南---华为ADSL Modem
• ·河南网通宽带共享:破解河南网通宽带共享完全版
• ·SOAP协议初级指南
• PKI技术及应用开发指南 相关软件
• ·江南证券大智慧 V5.57
• ·重返狼穴III：越南视线 Line of Sight: Vietnam 简体中文版
• ·江南证券大智慧 V5.57
• ·南北战争(Civil War Bull Run) 试玩版
• ·南方公园版超级玛丽
• ·合金弹头V(越南战争mslug5)加强版
• ·越南战役
• ·指南针智能决策系统 V2.2.2.169
• ·侠盗猎车南丫梦幻岛
• ·战地1942：越南战场

上一篇:Access也可以实现limit类似的功能

下一篇:TOMCAT用https替换http的方法

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐