更新时间:2023-11-28 16:45
密钥管理中心(KMC),是公钥基础设施中的一个重要组成部分,负责为CA系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务,以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。
一般来说,每一个CA中心都需要有一个KMC负责该CA区域内的密钥管理任务。KMC可以根据应用所需PKI规模的大小灵活设置,既可以建立单独的KMC,也可以采用镶嵌式KMC,让KMC模块直接运行在CA服务器上。
系统的存贮服务器,由大型数据库及目录服务器组成。负责用户证书、CRL及其它相关的信息的存贮。
系统支持两套密码模块:加密模块和符合PKCS#11标准的加密模块(硬设备)。支持高强度的密钥及加密算法,并提供客户端的支持环境。
通过PKCS#11接口直接硬件加密,实现了黑盒管理,系统密钥不出主机加密服务器,拥有很强的安全性和保密性。
系统中的密钥共分为以下几种:
1、CA的密钥:CA( Certification Authority ,证书认证中心)的密钥是整个系统的核心机密,它在系统安装时产生,生成之后加密存储在存储服务器的数据库或硬件主机加密服务器中。
2、 用户的密钥:用户的签名密钥由客户端产生,生成后加密存储在客户端本机文件或操作系统安全区中。
可以以加密的方式对密钥进行归档和备份。如果使用硬件加密,则支持密钥管理员身份IC卡的备份与管理;如果使用软件加密,则支持标准PBE/PKCS#5算法对密钥进行高强度的加密存贮与备份。
提供客户端软件,支持对客户端密钥的管理,包括:生成、存贮、备份。通过使用标准的PBE/PKCS#5实现对客户端密钥本地化存贮和备份的保护。