密钥密钥管理中心

密钥管理中心KMC密钥管理中心向CA服务提供相关密钥服务如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。

一密钥生成

密钥管理中心最重要的职能就是为用户产生加密密钥对并提供解密私钥的托管服务加密密钥对的产生是在独立的设备中产生支持在线生成和离线密钥池方式。

(1)认证机构将证书序列号、法人实体的验证签名公钥及法人相关信息提交给密钥管理中心请求密钥管理中心代法人产生加密密钥对。

认证机构的密钥生成请求信息包括:

法人永久性ID

实体鉴别密码器m(可选)

证书服务编号(可选)

密钥长度

(2)密钥管理中心在收到认证机构提交的密钥对产生请求后立即产生加密密钥对。

(3)密钥管理中心向CA中心返回处理结果返回的信息包括:

加密公钥

经加密的解密私钥

密钥管理中心对密钥对的签名

对于密钥对的产生 以下二种方式:a签名密钥有使用者自己产生此方式可以保证密钥只有使用者自己知道,不会泄漏给不相干的第三者。b在CA中心产生加密密钥再将密钥在实体的保护下交给使用者并将产生密钥有关的数据及密钥本身销毁。

当用户证书生成后用户信息通过注册审核机构上传到密钥管理中心与加密密钥一起存到当前库进行托管保存以便以后查询和恢复操作。所有的托管密钥都必须以分割和加密的方式保存在密钥数据库服务器中

二、密钥存储

双证书绑定同一个用户其对应的私钥通过硬件介质保护起来。签名证书的私钥是用户自己产生的该用户以外的任何实体都不知道该私钥的任何信息因此信任方完全可以相信经过签名证书中所包含的公钥所验证过的信息确实经过证书所绑定的实体所签过名的这保证了信息的完整性和不可抵赖性。然而加密证书的私钥却不是用户自己产生的而是由一个非常权威的机构代替用户产生的这

个机构就是密钥管理中心 〔KMC,Key Management Center)。它代替用户来产生加密证书所对应的私钥并在该机构的对安全性极敏感的数据库中备份了用户的私钥来实现用户密钥的托管。在这种情沉下用户和密钥管理中心都拥有用户加密证书所对应的私钥。

用户本地存储私钥起码需要口令加密保存防止被盗用当需要使用私钥是要有输入口令对话框读取相应私钥进行相应的操作。

用户公钥明文同用户信息存储与一个数据表中私钥经过加密可以采用根CA公钥进行加密存储与另一表中其读取应输入相应管理员口令公钥与私钥可以通过ID进行联系。

根CA公钥私钥暂时可以与用户同理对待。

三、密钥传输

用户提交申请信息 同时在用户端产生签名公钥与私钥公钥经过加密上传给CA中心经审核后产生双证书使用该用户的签名公钥进行加密返回给用户返回方式可以使用网站挂起或者经过用户邮箱进行发送。

四密钥备份

1、冷备(Cold Standby)

冷备通常是通过定期的对生产系统数据库进行备份并将备份数据存储在磁带、磁盘等介质上。备份的数据平时处于一种非激活的状态直到故障发生导致生产数据库系统部可用时才激活。冷备数据的时效性取决于最近一次的数据库备份。数据库冷备的周期一般较长。

2、热备(Warm Standby)

热备的实现通常需要一个备用的数据库系统。它与冷备相似只不过当生产数据库发生故障时可以通过备用数据库的数据进行业务恢复。因此热备的恢复时间比冷备大大缩短。许多热备都是通过不断将生产数据库的日志加载到备份数据库来实现的。热备数据的时效性也同样取决于最近一次的数据库备份。

冷备采用硬件实现不需要单独写代码

热备可以每天定时对当天的数据进行备份其备份文件应经过口令加密与存储相同公钥与私钥分开备份不过都要进行基本的口令加密其间通过ID进行相应的操作。

五密钥和证书的更新

证书更新的过程和证书签发非常相似。因为用户只是更新证书他在申请证书时己经通过了审核在证书更新时不再需要审核过程。a.认证中心可依其实际的需要对于新旧证书的有有效期限制定自己的策略。前后证书的期限可以重叠或不重叠。若允许有效期重叠可以避免认证中心可能在同一失有期限内必须重新签发大量的证书问题。b.已逾期的证书必须从目录服务中删除。但认证中心若是有提供不可否认(Non-Repudiation)服务时认证中心必须将旧的证书保存一段时间 以备将来有争议时验证签名解决争议之用。当有一些 特殊状况时认证中心必须停止某些证书的使用注销此证书。例如使用者在证书有效期未满之前 自觉其密钥不安全或是认证中心对此使用者已丧失管辖权等状况必须注销此证书。在X.509中提示了四个相关的重点:a).认证中心有义务将已被注销的证书(不论是一般使用者的或是其它认证中心的证书)公布让使用者知道。被注销证书的使用者或认证中心在适当的情形下 由他所属的认证中心签发新的证书供其使用。认证中心可以用离线的方式通知该证书的所有人相关的信息。b).认证中心必须维护两个证书废止列表

令由此认证中心所签发的未过期证书而此证书废止列表中的被注销的证书必须包含时

间戳。

令其它己注销的认证中心的证书废止列表(也包含有时间戳)。

此二列表即使内容是空的也必须存在且都必须有认证中心的签名。c).维护目录服务中有关认证中心证书注销数据必须由目录服务的使用者及目录服务服务器根据安全策略共同执行。例如使用者以新的证书取代旧的证书之前必须先经过认证的程序。d).所有的吊销列表均储存于目录服务之

六查询

OCSP是 一 种相对简单的请求/响应协议它使得客户端应用程序可以测定所需验证书证体的状态。一个OCSP客户端发送一个证书状态查询给一个(CSP响应器并且等待直到响应器返回了一个响应。协议对OCSP客户端和OCSP响应器之间所需要交换的数据进行了描述。一个OCSP请求包含以下数据:协议版本、服务请求、 目标证书标识和可选的扩展项等。 OCSP响应器对收到的请求返回一个响应(或是出错信息、或是确定的回复)。 OCSP响应器返回出错信息时该响应不用签名。出错信息包括以下类型:请求编码格式不正确、 内部错误、稍后再试、请求需要签名、未授权OCSP。响应器返回确定的回复时该响应必须进行数字签名一个确定的同复信息由以F组成:版本号、响应器名称、对侮一张被请求证书的回复、可选扩展项、签名算法对象标识和签名值。在对每一张被请求证书的回复中包含有证书状态值、正常、撤销、末知。 “止常”状态表示这张证书没有被撤销; “撤销”状态表示证书己被撤销; “未知”状态表示响应器不能判断请求的证书状态。

七注销

当有一些特殊状况时认证中心必须停止某些证书的使用注销此证书。例如使用者在证书有效期未满之前 自觉其密钥不安全或是认证中心对此使用者已丧失管辖权等状况必须注销此证书。在X509中提示了四个相关的重点:a认证中心有义务将已被注销的证书(不论是一般使用者的或是其它认证中心的证书)公布让使用者知道。被注销证书的使用者或认证中心在适当的情形下 由他所属的认证中心签发新的证书供其使用。认证中心可以用离线的方式通知该证书的所有人相关的信息。b认证中心必须维护两个证书废止列表令由此认证中心所签发的未过期证书而此证书废止列表中的被注销的证书必须包含时间戳。令其它己注销的认证中心的证书废止列表(也包含有时间戳)。

此二列表即使内容是空的也必须存在且都必须有认证中心的签名。c维护目录服务中有关认证中心证书注销数据必须由目录服务的使用者及目录服务服务器根据安全策略共同执行。例如使用者以新的证书取代旧的证书之前必须先经过认证的程序。d所有的废止列表(即RevocationL ist,若用一般业界较熟知名字就是所谓的黑名单("block-lists")均储存于目录服务之中。

证书注销主要是改变用户证书在CA数据库中的状态。将证书正常有效的状态改变为撤消的状态同时从证书发布表中将该证书项删除在证书撤消列表CRL中增加该证书项即完成了该证书的撤消。

原系统查询功能基本完成对于一些对证书不是很了解的用户注册时 向CA中心发送签名密钥 由根证书公钥自动完成加密操作用户查询其他用户公钥并下载事时使用用户在中心存储的加密公钥进行加密防止公钥在传输过程中被篡改。