超级会员免费看
企业级安全与云密钥管理深度解析
1. 密钥与凭证管理
在企业级安全体系中,密钥和凭证管理是至关重要的一环。对于基于网络的应用和服务,人类特定的凭证会被安全地映射为基于加密密钥的凭证,如PKI X.509凭证、TLS传输头和ELS会话令牌。为减少对密钥和凭证存储的暴力攻击,对“加固”和“防篡改”硬件有诸多技术要求,同时软件密钥和凭证存储也需要“强”加密。
CA(证书颁发机构)自身必须拥有受信任的证书才能签署其颁发的任何证书。该证书可能由组织权限层次结构中更高级别的CA颁发,这种CA链一直延伸到企业的受信任根CA,根CA拥有自签名证书。然而,使用支持PKI的TLS(如HTTPS)访问这些受信任证书存在“鸡与蛋”的问题,因为它需要获取受信任根CA证书来确保获取该证书的通道安全。因此,PKI管理必须提供一种替代的安全方法,将根CA证书的有效副本分发给企业内的所有实体。可以在向个人发放新机器时从受信任源进行安装,在凭证生成时包含在CAC、PIV或HSM中,或者发布在广为人知且外部行为者无法更改的公共场所,但公共网站不属于此类场所,因为无法对其进行适当验证。
PKI服务包括撤销证书和检查证书的撤销状态。终端实体证书(如为应用程序、服务、用户或其他请求者颁发的证书)包含用于验证的在线证书状态协议(OCSP)统一资源定位符(URL)。每个OCSP端点包含CA颁发证书的撤销状态信息,由PKI服务提供商管理。实体可以通过向OCSP端点查询来检查撤销状态,OCSP端点必须进行适当定位和扩展,以处理企业范围的访问模式。对于断开连接、间歇性和有限带宽(DIL)环境,可以使用缓存的CRL设置本地OCSP服务器。
撤销服务提供了在实体证书丢失、受损或被盗用后撤销该证书的方法。必须对请求撤销
订阅专栏 解锁全文
扫一扫
1981
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
