系統介紹
一般來說,每一個CA中心都需要有一個KMC負責該CA區域內的密鑰管理任務。KMC可以根據套用所需PKI規模的大小靈活設定,既可以建立單獨的KMC,也可以採用鑲嵌式KMC,讓KMC模組直接運行在CA伺服器上。
系統的存貯伺服器,由大型資料庫及目錄伺服器組成。負責用戶證書、CRL及其它相關的信息的存貯。
密鑰管理服務
系統支持兩套密碼模組:加密模組和符合PKCS#11標準的加密模組(硬設備)。支持高強度的密鑰及加密算法,並提供客戶端的支持環境。
通過PKCS#11接口直接硬體加密,實現了黑盒管理,系統密鑰不出主機加密伺服器,擁有很強的安全性和保密性。
密鑰生成及其存儲
系統中的密鑰共分為以下幾種:
1、CA的密鑰:CA( Certification Authority ,證書認證中心)的密鑰是整個系統的核心機密,它在系統安裝時產生,生成之後加密存儲在存儲伺服器的資料庫或硬體主機加密伺服器中。
2、 用戶的密鑰:用戶的簽名密鑰由客戶端產生,生成後加密存儲在客戶端本機檔案或作業系統安全區中。
密鑰歸檔與備份
可以以加密的方式對密鑰進行歸檔和備份。如果使用硬體加密,則支持密鑰管理員身份IC卡的備份與管理;如果使用軟體加密,則支持標準PBE/PKCS#5算法對密鑰進行高強度的加密存貯與備份。
客戶端密鑰的管理
提供客戶端軟體,支持對客戶端密鑰的管理,包括:生成、存貯、備份。通過使用標準的PBE/PKCS#5實現對客戶端密鑰本地化存貯和備份的保護。
