- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
PKI系统中加密机的设计分析1
吉大正元信息技术股份有限公司高建峰
摘要PKI(PublicKeyInfrastructure)1技术是流行的网络身份认证技术和手段,
目前我们国家PKI系统开始大规模的建设。密码系统的设计是PKI系统的核心,本文主要分析了PKI系统中加密机的设计。
关键词CA1证书1
DesignofsecuriyserverinPKIsystem
JilinUniversityInformationTechnologiesCom.,LtdGaoJianfengAbstract PKIhasbeenrecognizedasoneofthemosteffectivetoolsforprovidingsecurityfornetworks.PKIsystemofourcoutrybegintobeconstructedonalargescale.ThesecuriyserveriskernelofthePKIsystem.DesignsofsecuriyserverinPKIsystemisanalyzedinthepaper.
Keywords certificateauthority certificate
前言
随着信息革命的兴起和信息时代的到来,世界范围内正在掀起一场迅猛的信息化浪潮,呈现出以信息为根本特征的崭新面貌。在这一新的发展机遇与历史抉择面前,许多国家纷纷确立以推进信息化为特征的发展战略,在信息化建设的过程中如何解决在开放的网络体系中用户身份的认证、传输信息的保密、信息的防篡改、信息的防抵赖行为是信息化建设过程中必须要解决的问题。
目前的安全技术,只有PKI技术通过加密、数字签名技术手段可以完美的解决以上的安全问题。建设PKI基础设施、使用PKI技术成为了信息化建设的一个关键步骤。
PKI技术简介
PKI(PublicKeyInfrastructure)即公开密钥基础设施,是一个包括硬件、软
作者简介:高建峰(1977-)男,吉大正元信息技术股份有限公司工程师
件、人员、策略和标准的集合,用来实现公钥密码体制证书的产生、存储、管理、分发、撤消和归档等功能,最终目标是要在网络空间建立类似于现实生活中的信任体系。PKI的信任关系是通过数字证书来传递的,数字证书是显示生活中身份证、护照、学历证书等在网络中的反映。
安全通信层证书签发系统证书注册系统证书发布系统OCSP系统PKI技术的核心是采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,如用户名和电子邮件地址等信息,从而在Internet网上标识用户的身份。PKI系统中的核心部件就是CA(certificateauthority),该系统主要负责用户证书的生成、更新、注
安全通信层
证书签发系统
证书注册系统
证书发布系统
OCSP系统
证书签发系统证书注册系统证书发布系统OCSP系统安全通信层基础密码模块编解码模块数据库模块
证书签发系统
证书注册系统
证书发布系统
OCSP系统
安全通信层
基础密码模块
编解码模块
数据库模块
目录服务模块
图0CA系统逻辑结构图
基础密码模块编解码模块数据库模块目录服务模块从以上的逻辑图可以看出,整个系统的密码运算都是由加密系统负责,该系统的主要功能归纳如下:
基础密码模块
编解码模块
数据库模块
目录服务模块
CA系统中的密钥的生成、存储,包括签名密钥对和会话密钥。
数据加解密运算功能。
数字签名、验证运算功能。
数字证书签发和验证等基本的证书运算功能。
数字信封的运算功能。
摘要运算功能。
加密系统是整个CA系统安全的基础,目前CA系统中使用的加密系统主要是加密机,加密机的设计直接关系到CA系统密钥的安全性和运行的效率。下面对CA系统中使用的加密机的设计做简单的分析。
加密机设计分析
系统逻辑结构
图1加密机逻辑结构
从以上的逻辑图可以看出加密机主要是由以下几个功能模块组成:操作系统、作业调度模块、密钥管理系统、监控管理、权限管理、服务程序。
功能模块分析
操作系统模块
加密机属于CA系统的核心、基础系统,作为一个密码服务的提供者本身的安全是很重要的,系统的设计选择了开放源代码的LINUX作为操作系统。为了避免网络攻击行为、加快系统的启动速度,一般都重新编译LINUX操作系统,去掉不必要的功能,关掉不需要的服务,如常见的WEB、FTP、TELNET等服务。为了防止掉电、机器的振荡等造成操作系统的破坏,国内的厂家都选择
文档评论(0)