密钥密钥管理中心

密钥管理  时间:2021-02-24  阅读:()

密钥管理中心KMC密钥管理中心向CA服务提供相关密钥服务如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。

一密钥生成

密钥管理中心最重要的职能就是为用户产生加密密钥对并提供解密私钥的托管服务加密密钥对的产生是在独立的设备中产生支持在线生成和离线密钥池方式。

(1)认证机构将证书序列号、法人实体的验证签名公钥及法人相关信息提交给密钥管理中心请求密钥管理中心代法人产生加密密钥对。

认证机构的密钥生成请求信息包括:

法人永久性ID

实体鉴别密码器m(可选)

证书服务编号(可选)

密钥长度

(2)密钥管理中心在收到认证机构提交的密钥对产生请求后立即产生加密密钥对。

(3)密钥管理中心向CA中心返回处理结果返回的信息包括:

加密公钥

经加密的解密私钥

密钥管理中心对密钥对的签名

对于密钥对的产生 以下二种方式:a签名密钥有使用者自己产生此方式可以保证密钥只有使用者自己知道,不会泄漏给不相干的第三者。b在CA中心产生加密密钥再将密钥在实体的保护下交给使用者并将产生密钥有关的数据及密钥本身销毁。

当用户证书生成后用户信息通过注册审核机构上传到密钥管理中心与加密密钥一起存到当前库进行托管保存以便以后查询和恢复操作。所有的托管密钥都必须以分割和加密的方式保存在密钥数据库服务器中

二、密钥存储

双证书绑定同一个用户其对应的私钥通过硬件介质保护起来。签名证书的私钥是用户自己产生的该用户以外的任何实体都不知道该私钥的任何信息因此信任方完全可以相信经过签名证书中所包含的公钥所验证过的信息确实经过证书所绑定的实体所签过名的这保证了信息的完整性和不可抵赖性。然而加密证书的私钥却不是用户自己产生的而是由一个非常权威的机构代替用户产生的这

个机构就是密钥管理中心 〔KMC,Key Management Center)。它代替用户来产生加密证书所对应的私钥并在该机构的对安全性极敏感的数据库中备份了用户的私钥来实现用户密钥的托管。在这种情沉下用户和密钥管理中心都拥有用户加密证书所对应的私钥。

用户本地存储私钥起码需要口令加密保存防止被盗用当需要使用私钥是要有输入口令对话框读取相应私钥进行相应的操作。

用户公钥明文同用户信息存储与一个数据表中私钥经过加密可以采用根CA公钥进行加密存储与另一表中其读取应输入相应管理员口令公钥与私钥可以通过ID进行联系。

根CA公钥私钥暂时可以与用户同理对待。

三、密钥传输

用户提交申请信息 同时在用户端产生签名公钥与私钥公钥经过加密上传给CA中心经审核后产生双证书使用该用户的签名公钥进行加密返回给用户返回方式可以使用网站挂起或者经过用户邮箱进行发送。

四密钥备份

1、冷备(Cold Standby)

冷备通常是通过定期的对生产系统数据库进行备份并将备份数据存储在磁带、磁盘等介质上。备份的数据平时处于一种非激活的状态直到故障发生导致生产数据库系统部可用时才激活。冷备数据的时效性取决于最近一次的数据库备份。数据库冷备的周期一般较长。

2、热备(Warm Standby)

热备的实现通常需要一个备用的数据库系统。它与冷备相似只不过当生产数据库发生故障时可以通过备用数据库的数据进行业务恢复。因此热备的恢复时间比冷备大大缩短。许多热备都是通过不断将生产数据库的日志加载到备份数据库来实现的。热备数据的时效性也同样取决于最近一次的数据库备份。

冷备采用硬件实现不需要单独写代码

热备可以每天定时对当天的数据进行备份其备份文件应经过口令加密与存储相同公钥与私钥分开备份不过都要进行基本的口令加密其间通过ID进行相应的操作。

五密钥和证书的更新

证书更新的过程和证书签发非常相似。因为用户只是更新证书他在申请证书时己经通过了审核在证书更新时不再需要审核过程。a.认证中心可依其实际的需要对于新旧证书的有有效期限制定自己的策略。前后证书的期限可以重叠或不重叠。若允许有效期重叠可以避免认证中心可能在同一失有期限内必须重新签发大量的证书问题。b.已逾期的证书必须从目录服务中删除。但认证中心若是有提供不可否认(Non-Repudiation)服务时认证中心必须将旧的证书保存一段时间 以备将来有争议时验证签名解决争议之用。当有一些 特殊状况时认证中心必须停止某些证书的使用注销此证书。例如使用者在证书有效期未满之前 自觉其密钥不安全或是认证中心对此使用者已丧失管辖权等状况必须注销此证书。在X.509中提示了四个相关的重点:a).认证中心有义务将已被注销的证书(不论是一般使用者的或是其它认证中心的证书)公布让使用者知道。被注销证书的使用者或认证中心在适当的情形下 由他所属的认证中心签发新的证书供其使用。认证中心可以用离线的方式通知该证书的所有人相关的信息。b).认证中心必须维护两个证书废止列表

令由此认证中心所签发的未过期证书而此证书废止列表中的被注销的证书必须包含时

间戳。

令其它己注销的认证中心的证书废止列表(也包含有时间戳)。

此二列表即使内容是空的也必须存在且都必须有认证中心的签名。c).维护目录服务中有关认证中心证书注销数据必须由目录服务的使用者及目录服务服务器根据安全策略共同执行。例如使用者以新的证书取代旧的证书之前必须先经过认证的程序。d).所有的吊销列表均储存于目录服务之

六查询

OCSP是 一 种相对简单的请求/响应协议它使得客户端应用程序可以测定所需验证书证体的状态。一个OCSP客户端发送一个证书状态查询给一个(CSP响应器并且等待直到响应器返回了一个响应。协议对OCSP客户端和OCSP响应器之间所需要交换的数据进行了描述。一个OCSP请求包含以下数据:协议版本、服务请求、 目标证书标识和可选的扩展项等。 OCSP响应器对收到的请求返回一个响应(或是出错信息、或是确定的回复)。 OCSP响应器返回出错信息时该响应不用签名。出错信息包括以下类型:请求编码格式不正确、 内部错误、稍后再试、请求需要签名、未授权OCSP。响应器返回确定的回复时该响应必须进行数字签名一个确定的同复信息由以F组成:版本号、响应器名称、对侮一张被请求证书的回复、可选扩展项、签名算法对象标识和签名值。在对每一张被请求证书的回复中包含有证书状态值、正常、撤销、末知。 “止常”状态表示这张证书没有被撤销; “撤销”状态表示证书己被撤销; “未知”状态表示响应器不能判断请求的证书状态。

七注销

当有一些特殊状况时认证中心必须停止某些证书的使用注销此证书。例如使用者在证书有效期未满之前 自觉其密钥不安全或是认证中心对此使用者已丧失管辖权等状况必须注销此证书。在X509中提示了四个相关的重点:a认证中心有义务将已被注销的证书(不论是一般使用者的或是其它认证中心的证书)公布让使用者知道。被注销证书的使用者或认证中心在适当的情形下 由他所属的认证中心签发新的证书供其使用。认证中心可以用离线的方式通知该证书的所有人相关的信息。b认证中心必须维护两个证书废止列表令由此认证中心所签发的未过期证书而此证书废止列表中的被注销的证书必须包含时间戳。令其它己注销的认证中心的证书废止列表(也包含有时间戳)。

此二列表即使内容是空的也必须存在且都必须有认证中心的签名。c维护目录服务中有关认证中心证书注销数据必须由目录服务的使用者及目录服务服务器根据安全策略共同执行。例如使用者以新的证书取代旧的证书之前必须先经过认证的程序。d所有的废止列表(即RevocationL ist,若用一般业界较熟知名字就是所谓的黑名单("block-lists")均储存于目录服务之中。

证书注销主要是改变用户证书在CA数据库中的状态。将证书正常有效的状态改变为撤消的状态同时从证书发布表中将该证书项删除在证书撤消列表CRL中增加该证书项即完成了该证书的撤消。

原系统查询功能基本完成对于一些对证书不是很了解的用户注册时 向CA中心发送签名密钥 由根证书公钥自动完成加密操作用户查询其他用户公钥并下载事时使用用户在中心存储的加密公钥进行加密防止公钥在传输过程中被篡改。

DiyVM(50元起)老牌商家,香港沙田CN2直连vps/不限流量/五折终身优惠

diyvm怎么样?diyvm是一家国内成立时间比较久的主机商家了,大约在6年前站长曾经用过他家的美国机房的套餐,非常稳定,适合做站,目前商家正在针对香港沙田机房的VPS进行促销,给的是五折优惠,续费同价,香港沙田机房走的是CN2直连的线路,到大陆地区的速度非常好,DiyVM商家采用小带宽不限流量的形式,带宽2Mbps起步,做站完全够用,有需要的朋友可以入手。diyvm优惠码:五折优惠码:OFF50...

wordpress外贸企业主题 wordpress高级全行业大气外贸主题

wordpress高级全行业大气外贸主题,wordpress通用全行业高级外贸企业在线询单自适应主题建站程序,完善的外贸企业建站功能模块 + 高效通用的后台自定义设置,更实用的移动设备特色功能模块 + 更适于欧美国外用户操作体验 大气简洁的网站风格设计 + 高效优化的网站程序结构,更利于Goolge等SEO搜索优化和站点收录排名。点击进入:wordpress高级全行业大气外贸主题主题价格:¥398...

香港E3-1230v2 16GB 30M 326元/月 数脉科技

官方网站:https://www.shuhost.com/公司名:LucidaCloud Limited尊敬的新老客户:艰难的2021年即将结束,年终辞旧迎新之际,我们准备了持续优惠、及首月优惠,为中小企业及个人客户降低IT业务成本。我们将持续努力提供给客户更好的品质与服务,在新的一年期待与您有美好的合作。# 下列价钱首月八折优惠码: 20211280OFF (每客户限用1次) * 自助购买可复制...

密钥管理为你推荐
万维读者网《读者》要订购有网站吗?刷网站权重提升百度权重的几个方法ghostxp3ghost xp sp3 和 windows xp3有啥区别arm开发板新手入门应如何选择 ARM 开发板?godaddy通过什么网址可以查godaddy的域名信息迅雷云点播账号求迅雷云播账号机械键盘轴打游戏用机械键盘到底什么轴好?srv记录SRV记录的定义什么是云平台什么是家庭云平台?网站地图制作我想给网站做网站地图不知道怎么做的,请教高手!
国内最好的虚拟主机 域名管理 私服服务器租用 qq空间域名 smartvps 淘宝抢红包攻略 hostmonster 主机 国内永久免费云服务器 vmsnap3 国外bt 美国主机代购 浙江独立 大容量存储器 美国网站服务器 1美金 主机管理系统 石家庄服务器托管 云服务器比较 免费php空间 更多