一个PKI应用系统的组成部分有认证中心、证书库、Web安全通信平台等,其中认证中心与证书库是PKI应用系统的核心。
认证中心是PKI的核心,达到了PKI中有些非常重要的作用,概括地说,主要功能有证书颁发、更新、撒销和验证等。
(1)证书的颁发
证书分系统证书和用户证书,系统证书是指CA系统自身使用的证书。
申请者在CA的注册机构注册,RA对用户的信息审核,更高一级的证书需CA进一步审核,通过后,CA给用户颁发证书。证书的颁发有2种方式:在线直接在CA处下载;把证书保存在光盘、EC卡,e-KEY中由申请者带走。
(2)证书的更新
证书的有效期有限,此规定不仅存在理论上的原因,还存在实际操作的因素。现实应用中,证明密钥一定得有确定的更换频率,才能得到密钥使用的安全性。所以已颁发的证书给有过期的举措,方便更换新的证书。为处理掉密钥更新的繁琐与人工干预的问题,应让PKI自动进行密钥或证书的更新,完全不用用户的干预。概括来说,它不管用户的证书用于什么目的,在认证时,均要在线自动核查有效期,在失效日期之前的某间隔内,自动运行更新程序,得到新的证书来替换旧的证书。
(3)证书的撤销
因现实中的某些原因,如私钥的泄露,当事人的失踪、死亡等,应当对其证书进行撤销。这种撤销应是及时的,因若撤销推出,会使不再有效的证书还被用,导致一定的损失。在CA中,证书的撤销用的手段是证书撤销列表,即CRL。将要作废的证书放进CRL,并及时向公众公布,有不一样的实际情况可用周期性发布与在线查询2种机制。
(4)生成密钥对
用户公钥的产生有以下方式:
1)用户生成密钥对,之后把公钥通过安全方式传给CA。此过程一定得确保用户公钥的可验证性与完整性。
2)CA代替用户生成密钥对,之后把其它用安全方式传给用户,此过程一定要保证密钥对的机密、完整与可验证。此方式下因用户的私钥由CA产生,因此要求CA的可信性更加严格。事后CA一定得要把用户的私钥销毁。
(5)密钥的备份和恢复
若用户因某原因将解密密钥丢了,那被加密的密文是不能解开的,这将致使数据丢失。为防止此种情况发生,PKI给出了密钥备份与解密密钥的恢复机制。此应由CA来完成,且密钥的备份和恢复仅对解密密钥,但签名密钥不可备份。因为签名密钥是用来证明不可否认性的,若存有备份,将不利于保证不可否认性。
