CMP与SCEP协议在身份认证系统中的应用
吉大正元身份认证系统是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统,由证书注册管理系统(RA)、证书签发管理系统(CA)、密钥管理系统(KM)、证书状态查询系统(OCSP)组成,下面为大家介绍CMP与SCEP协议在身份认证系统中的应用。
1、CMP协议
CMP协议是公钥基础设施(PKI)的重要组成部分,作为一种通用的、标准的PKI的证书管理协议,它定义了与证书产生和管理相关的各方面所需要的协议信息。
基于CMP协议,公钥基础设施中的四类实体CA、RA、终端实体、证书/CRL库之间可以做到标准化的无障碍通信,并且不损失安全性。从而可实现对四类实体的高度自由、高度灵活的实施和管理,即便这四类实体分别属于不同厂商,通过标准CMP协议都可进行无缝对接。
CMP协议适用于在安全或非安全环境中实施PKI组件并进行管理,可作为PKI运营机构、PKI组件开发者的参考指南。
PKI体系内部以及PKI体系与PKI体系外部的服务和设备之间均可使用CMP协议,使用场景如图1所示。
图1CMP使用场景图
在电子政务外网项目中,RA使用CMP协议与其他厂商CA进行对接,实现了证书的全生命周期管理,使得吉大正元身份认证系统具备了良好的系统兼容能力。
2、SCEP协议
SCEP协议是公钥基础设施(PKI)的重要组成部分,作为一种通用的、标准的PKI的网络设备证书管理的通讯协议,它规定了设备证书管理所需的协议信息。
基于SCEP协议,公钥基础设施中的终端实体可获得安全、可靠的网络设备证书在线注册与下载服务,目前是网络设备部署PKI的唯一可行的选择。
SCEP协议适用于公钥密码技术体系下网络设备所需的证书自动注册和下载。可用于指导为设备提供证书自动注册和下载的证书认证机构的设计、建设及检测。
PKI体系与PKI体系外部的第三方设备之间可使用SCEP协议,使用场景如图2所示。
图2SCEP使用场景图
在某石油项目中,吉大正元通过该协议为手持加油设备签发设备证书,实现了设备证书的自动注册与下载。在车联网项目中使用SCEP协议为TBox-车载智能终端设备签发设备证书并实现证书的自动注册与下载,这些项目案例的成功实施,顺利交付,是对吉大正元技术、服务工作的认可。作为安全行业的龙头企业,吉大正元将继续发挥企业优势,将CMP协议和SCEP协议的优势价值运用到更多商业领域,为客户的信息安全提供强有力的安全保障,助力实现国家网络空间安全。