公开密钥设施PKIPublickeyinfrastructure.pptVIP

*4.证书作废处理系统它是PKI的一个重要组件。有三种策略:作废一个或多个主体的证书;作废由某一对密钥签发的所有证书;作废由某CA签发的所有证书。?通过将证书列入作废证书表（CRL）来完成。CA创建并维护一张及时更新的CRL，而由用户在验证证书时负责检查该证书是否在CRL之列。CRL一般存放在目录系统中。?证书的作废处理必须安全、可验证，必须保证CRL的完整性。第八章公开密钥设施PKI*5.PKI应用接口系统?PKI的价值：提供加密、数字签名等安全服务，因此需要良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性，同时降低管理维护成本。?向应用系统屏蔽密钥管理的细节：完成证书的验证工作，为所有应用以一致、可信的方式使用公钥证书提供支持；以安全、一致的方式与PKI的密钥备份与恢复系统交互，为应用提供统一的密钥备份与恢复支持；第八章公开密钥设施PKI*在所有应用系统中，确保用户的签名私钥始终只在用户本人的控制之下，阻止备份签名私钥的行为；根据安全策略自动为用户更换密钥；为方便用户访问加密的历史数据，向应用提供历史密钥的安全管理服务；为所有应用访问公用证书库提供支持；向所有应用提供统一的证书作废处理服务；为所用应用提供统一模式的交叉验证支持；支持多种密钥存放介质，如IC卡、PC