PKI体系的文档加密软件和图纸加密软件中CA 的核心功能
认证中心CA 作为PKI 的核心部分,CA 实现了PKI 中一些很重要的功能,概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA 的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证 终用户数字证书的申请。
(2)确定是否接受 终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理 终用户的数字证书更新请求-证书的更新。
(5)接收 终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心CA 为了实现其功能,主要由以下三部分组成:
注册服务器:通过 Web Server 建立的站点,可为客户提供24×7 不间断的服务。客户在网上提出证书申请和填写相应的证书申请表。
证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。
认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
PKI体系的文档加密软件和图纸加密软件中CA 的要求
在具体实施时,CA 的必须做到以下几点:
1) 验证并标识证书申请者的身份。
2) 确保CA 用于签名证书的非对称密钥的质量。
3) 确保整个签证过程的安全性,确保签名私钥的安全性。
4) 证书资料信息(包括公钥证书序列号,CA 标识等)的管理。
5) 确定并检查证书的有效期限。
6) 确保证书主体标识的唯一性,防止重名。
7) 发布并维护作废证书列表。
8) 对整个证书签发过程做日志记录。
9) 向申请人发出通知。
在这其中 重要的是CA 自己的一对密钥的管理,它必须确保其高度的机密性,防止他方伪造证书。CA 的公钥在网上公开,因此整个网络系统必须保证完整性。CA 的数字签名保证了证书(实质是持有者的公钥)的合法性和权威性。
用户公钥的方式
用户的公钥有两种产生的方式:
(1)用户自己生成密钥队,然后将公钥以安全的方式传送给CA,该过程必须保证用户公钥的验证性和完整性。
(2)CA 替用户生成密钥队,然后将其以安全的方式传送给用户,该过程必须确保密钥对的机密性,完整性和可验证性。该方式下由于用户的私钥为CA 所产生,所以对CA 的可信性有更高的要求。CA 必须在事后销毁用户的私钥。
一般而言公钥有两大类用途,就像本文前面所述,一个是用于验证数字签名,一个是用于加密信息。相应的在CA 系统中也需要配置用于数字签名/验证签名的密钥对和用于数据加密/脱密的密钥对,分别称为签名密钥对和加密密钥对。由于两种密钥对的功能不同,管理起来也不大相同,所以在CA 中为一个用户配置两对密钥,两张证书。
CA 中比较重要的几个概念点有:证书库。证书库是CA 颁发证书和撤销证书的集中存放地,它像网上的“白页“一样,是网上的一种公共信息库,供广大公众进行开放式查询。这是非常关键的一点,因为我们构建CA 的 根本目的就是获得他人的公钥。目前通常的做法是将证书和证书撤消信息发布到一个数据库中,成为目录服务器,它采用LDAP 目录访问协议,其标准格式采用X.500 系列。随着该数据库的增大,可以采用分布式存放,即采用数据库镜像技术,将其中一部分与本组织有关的证书和证书撤消列表存放到本地,以提高证书的查询效率。这一点是任何一个大规模的PKI 系统成功实施的基本需求,也是创建一个有效的认证机构CA 的关键技术之一。
另一个重要的概念是证书的撤消。由于现实生活中的一些原因,比如说私钥的泄漏,当事人的失踪死亡等情况的发生,应当对其证书进行撤消。这种撤消应该是及时的,因为如果撤消延迟的话,会使得不再有效的证书仍被使用,将造成一定的损失。在CA 中,证书的撤消使用的手段是证书撤消列表或称为CRL。即将作废的证书放入CRL 中,并及时的公布于众,根据实际情况不同可以采取周期性发布机制和在线查询机制两种方式。
密钥的备份和恢复也是很重要的一个环节。如果用户由于某种原因丢失了解密数据的密钥,那么被加密的密文将无法解开,这将造成数据丢失。为了避免这种情况的发生,PKI提供了密钥备份于解密密钥的恢复机制。这一工作也是应该由可信的机构CA 来完成的,而且,密钥的备份与恢复只能针对解密密钥,而签名密钥不能做备份,因为签名密钥匙用于不不可否认性的证明的,如果存有备份的话,将会不利于保证不可否认性。
还有,一个证书的有效期是有限的,这样规定既有理论上的原因,又有实际操作的因素。在理论上诸如关于当前非对称算法和密钥长度的可破译性分析,同时在实际应用中,证明密钥必须有一定的更换频度,才能得到密钥使用的安全性。因此一个已颁发的证书需要有过期的措施,以便更换新的证书。为了解决密钥更新的复杂性和人工干预的麻烦,应由PKI本身自动完成密钥或证书的更新,完全不需要用户的干预。它的指导思想是:无论用户的证书用于何种目的,在认证时,都会在线自动检查有效期,当失效日期到来之前的某时间间隔内,自动启动更新程序,生成一个新的证书来替代旧证书。
稳定安全的文档加密软件中一般采用PKI体系,通过对PKI 的核心部分CA原理的介绍,可以初步让我们理解高端的文档加密软件之所以采用PKI的技术,是为了更好的保证文档加密软件的广泛适用性和高度的安全性。也为用户在选择文档加密软件和图纸加密软件时对技术方面有一定的认知。
通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。