PKI公钥基础设施都有哪些组成部分?麻烦告诉我

2024-10-29 17:16:42
推荐回答(1个)
回答1:

  密钥管理中心(KMC):密钥管理中心向CA服务提供相关密钥服务,如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。
  CA认证机构 :CA认证机构是PKI公钥基础设施的核心,它主要完成生成/签发证书、生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。
  RA注册审核机构:RA是数字证书的申请、审核和注册中心。它是CA认证机构的延伸。在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核以及发证功能。
  发布系统:发布系统主要提供LDAP服务、OCSP服务和注册服务。注册服务为用户提供在线注册的功能;LDAP提供证书和CRL的目录浏览服务;OCSP提供证书状态在线查询服务。
  应用接口系统:应用接口系统为外界提供使用PKI安全服务的入口。应用接口系统一般采用API、COM等多种形式。一个典型、完整、有效的PKI应用系统至少应具有以下部分
  公钥密码证书管理(证书库)
  黑名单的发布和管理(证书撤销)
  密钥的备份和恢复
  自动更新密钥
  自动管理历史密钥
  分布式体系结构的建立
  认证机构是PKI安全体系的核心,对于一个大型的分布式企业应用系统,需要根据应用系统的分布情况和组织结构设立多级CA机构。CA信任体系描述了PKI安全体系的分布式结构。
  证书签发管理机构
  CA在内的各级CA。根CA是整个CA体系的信任源。负责整个CA体系的管理,签发并管理下级CA证书。从安全角度出发,根CA一般采用离线工作方式。
根以下的其他各级CA负责本辖区的安全,为本辖区用户和下级CA签发证书,并管理所发证书。理论上CA体系的层数可以没有限制的,考虑到整个体系的信任强度,在实际建设中,一般都采用两级或三级CA结构。
  RA注册审核机构设置
  从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。除了根CA以外,每一个CA机构都包括一个RA机构,负责本级CA的证书申请、审核工作。
RA机构的设置可以根据企业行政管理机构来进行,RA的下级级构可以是RA分中心或业务受理点LRA。
  受理点LRA与注册机构RA共同组成证书申请、审核、注册中心的整体。LRA面向最终用户,负责对用户提交的申请资料进行录入、审核和证书制作。
  KMC密钥管理中心
  一般来说,每一个CA中心都需要有一个KMC负责该CA区域内的密钥管理任务。KMC可以根据应用所需PKI规模的大小灵活设置,既可以建立单独的KMC,也可以采用镶嵌式KMC,让KMC模块直接运行在CA服务器上。
  发布系统
  发布系统是PKI安全体系中的一个重要组成部分。它由用于发布数字证书和CRL的证书发部系统、在线证书状态查询系统(OCSP)和在线注册服务系统组成。证书和CRL采用标准的LDAP协议发布到LDAP服务器上,应用程序可以通过发布系统验证用户证书的合法性。OCSP提供证书状态的实时在线查询功能。