超级会员免费看
智能卡访问控制与信任管理解决方案
在当今数字化时代,智能卡凭借其便携性和安全性,成为了身份验证和访问控制领域的热门选择。然而,当涉及到不同的加密 API 时,如何实现有效的信任管理和证书验证成为了一个关键问题。本文将深入探讨如何在 Microsoft CryptoAPI 和 RSA 实验室的 PKCS#11 这两个广泛使用的加密 API 中实现信任管理和属性证书授权,为智能卡的应用提供更强大的支持。
1. 证书验证与信任链构建
在进行用户证书及其认证路径的验证时,这一过程依赖于被存储为可信的证书列表(CTL)。通常,会调用 CryptoAPI 的信任链构建函数,如 CertGetCertificateChain 和 CertVerifyCertificateChainPolicy 来完成验证。
验证过程如下:
1. 初步检查 :检查证书类型的有效性、有效期以及证书的完整性。
2. 信任链验证 :CryptoAPI 函数会执行传统的验证流程,检查有效的认证路径。此过程从终端证书开始,逐步构建到根 CA,根 CA 必须位于受信任的根证书颁发机构(TRCA)存储中,或者颁发 CA 必须处于受信任的认证层次结构或 CTL 中。在构建链的过程中,路径中的每个证书都会被验证,这就需要与每个 CA 进行通信。
3. 异常处理 :若某个证书出现问题,如被撤销,或者无法找到某个证书,该认证路径将被视为不可信而被丢弃。最后,还会对策略约束进行验证。
然而,当根 CA 不在 TRCA 存储中,或者用户身份未知时,传统的验证过程可能不再适用。
订阅专栏 解锁全文
扫一扫
1624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
