确保cA用
于签名证书的非对称密钥的质量和安
全性。为了防止被破译,cA用于签名
的私钥长度必须足够长,并且私钥必
于签名证书的非对称密钥的质量和安
全性。为了防止被破译,cA用于签名
的私钥长度必须足够长,并且私钥必
须由硬件卡产生.私钥不出卡。
KMc的主要工作:通过与cA模
块进行通信,进行密钥备份及恢复。
用户由于某些原因将解密数据的密钥
丢失.从而使已被加密的密文无法解
开。为避免这种情况的发生,PKl提供
了密钥备份与密钥恢复机制,当用户
证书生成时.加密密钥即被cA备份
存储:当需要恢复时.用户只需向cA
提出申请.cA就会为用户自动进行
恢复。
1.证书格式
我们采用的是x 509证书的标准
格式。x 509是由国际电信联盟(ITu—
T)制定的数字证书标准,在x.500确
保用户名称唯一性的基础上,x 509
为x 5∞用户名称提供了通信实体的
鉴别机制,并规定了实体鉴别过程中
广泛适用的证书语法和数据接口。x
509的最初版本公布于1 988年.其证
书由用户公共密钥和用户标识符组
成。此外还包括版本号、证书序列号、
cA标识符、签名算法标识、签发者名
称、证书有效期等信息。这一标准的
最新版本是×509 w.它定义了包含
扩展信息的数字证书,该版数字证书
提供了一个扩展信息字段,用来提供
更多的灵活性及特殊应用环境下所需
的信息传送。
2.证书的存取方式
通过LDAP目录服务器,对证书
进行存放及证书撤消列表的存放。
L D A P服务器采用的是开源软件
oPENLDAP.其性能稳定、可靠。
准备用RSA(非对称)和3DES(对称),这两个主流的密码算法。