术语表
一个
- Administrator
- 安装和配置一个或多个证书系统管理器并为他们设置特权用户或代理的人员。另请参阅 agent。
- agent
- APDU
- 应用程序协议数据单元。通信单元(与字节相同),用于智能卡和智能卡读卡器之间的通信。
- 代理批准的注册
- 在签发证书前需要代理批准请求的注册。
- 代理服务
- 1.可以通过由证书系统 agent 通过为代理分配所需权限的证书系统子系统提供的 HTML 页面管理的服务。2.用于管理这些服务的 HTML 页面。
- 审核员
- 此特权用户可以查看签名的审计日志。
- 审计日志
- 记录各种系统事件的日志。此日志可以被签名,提供未被篡改的证明,且只能由审核员用户读取。
- 属性值断言(AVA)
- 授权
- 访问服务器控制的资源的权限。通常,在与资源关联的 ACL 由服务器评估后,通常会进行授权。请参阅 访问控制列表(ACL)。
- 自动注册
- 配置证书系统子系统的方法,允许自动身份验证最终用户注册,而无需人为干预。通过这种身份验证形式,可以成功完成身份验证模块处理的证书请求被自动批准,以进行配置文件处理和证书颁发。
- 访问控制
- 控制允许哪些特定用户执行的操作。例如,对服务器的访问控制通常基于由密码或证书建立的身份,以及有关该实体可以执行的操作的规则。另请参阅 访问控制列表(ACL)。
- 访问控制列表(ACL)
- 一组访问控制条目,用于定义服务器收到对特定资源访问请求时要评估的访问规则的层次结构。请参阅 访问控制指令(ACI)。
- 访问控制指令(ACI)
- 指定请求访问权限的主体如何识别或拒绝特定主题的访问权限的访问规则。请参阅 访问控制列表(ACL)。
- 身份验证
- 身份验证模块
- 一组规则(作为 Java™ 类)来验证终端实体、代理、管理员或其他需要与证书系统子系统交互的其他实体。对于典型的最终用户注册,用户在用户提供注册表单请求的信息后,注册 servlet 会使用与该表单关联的身份验证模块来验证信息并验证用户身份。请参阅 servlet。
- 高级加密标准(AES)
- 高级加密标准(AES)类似它的数据加密标准(DES),是一个 FIPS 批准的对称密钥加密标准。AES 被美国政府在 2002 年采用。它定义了三个块密码、AES-128、AES-192 和 AES-256。国家标准与技术研究机构(NIST)在美国定义 AES 标准。FIPS PUB 197。有关更多信息,请参阅 http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf。
B
- 绑定 DN
- 用户 ID,格式为可分辨名称(DN),用于与 Red Hat Directory Server 进行身份验证的密码。
C
- CA 层次结构
- CA 服务器密钥
- 提供 CA 服务的服务器的 SSL 服务器密钥。
- CA 签名密钥
- 与 CA 证书中的公钥对应的私钥。CA 使用其签名密钥来签署证书和 CRL。
- CA 证书
- certificate
- 根据 X.509 标准格式化的数字数据,指定个人、公司或其他实体(证书的 主题名称 )的名称,证书也包含在证书中,该实体也属于该实体。公钥证书由 证书颁发机构(CA) 发布并数字签名。可以通过 数字签名 技术检查 CA 的 公钥加密 来验证证书的有效性。要在 公钥基础架构(PKI) 中信任,证书必须由在 PKI 中注册的其他实体信任的 CA 发布并签名。
- CMC
- CMC 注册
- 允许签名注册或签名撤销请求使用代理的签名证书发送到证书管理器的功能。然后,证书管理器会自动处理这些请求。
- CMMF
- 请参阅 证书管理消息格式(CMMF)。
- CRL
- 请参阅 证书撤销列表(CRL)。
- CRMF
- 请参阅 证书请求消息格式(CRMF)。
- Cryptographic Message Syntax (CMC)上的证书管理消息
- 用于将证书请求传递给证书管理器的消息格式。来自互联网工程任务强制(IETF) PKIX 工作组的提议标准。如需更多信息,请参阅 https://tools.ietf.org/html/draft-ietf-pkix-cmc-02。
- CSP
- 请参阅 加密服务提供商(CSP)。
- 信任链
- 请参阅 证书链。
- 加密服务提供商(CSP)
- 一个加密模块,它代表使用 PKCS 定义的标准接口,如密钥生成、密钥存储和加密等加密服务。
- 加密模块
- 请参阅 PKCS the module。
- 加密消息语法(CS)
- 用于数字签名、摘要、验证或加密任意消息的语法,如 CMMF。
- 加密算法
- 用于执行加密操作的一组规则或指示,如 encryption 和 解密。
- 基于证书的验证
- 根据证书和公钥加密进行身份验证。另请参阅 基于密码的身份验证。
- 客户端 SSL 证书
- 用于识别使用 SSL 协议到服务器的证书。请参阅 安全套接字层(SSL)。
- 客户端身份验证
- 密码
- 请参阅 加密算法。
- 证书扩展
- X.509 v3 证书包含一个 extensions 字段,允许向证书添加任意数量的其他字段。证书扩展提供了一种向证书添加信息(如备用主题名称和用量限制)的方法。PKIX 工作组定义了多个标准扩展。
- 证书指纹
- 与证书关联的 单向哈希。这个值不是证书本身的一部分,而是通过将哈希功能应用到证书的内容来生成。如果证书的内容发生了变化,即使单个字符也是如此,则同一函数也会生成不同的数字。因此,可以使用证书指纹来验证证书是否未被篡改。
- 证书撤销列表(CRL)
- 由 X.509 标准定义,按序列号吊销的证书列表,由 证书颁发机构(CA) 生成并签名。
- 证书管理器
- 用作证书颁发机构的独立证书系统子系统。证书管理器实例问题、续订和撤销证书,它可以与 CRL 一起发布到 LDAP 目录。它接受来自结束实体的请求。请参阅 证书颁发机构(CA)。
- 证书管理器代理
- 属于管理证书管理器代理服务的组授权的用户。这些服务包括访问和修改(批准和拒绝)证书请求和发布证书的能力。
- 证书管理消息格式(CMMF)
- 用来将证书请求和撤销从终端实体发送到证书管理器的消息格式,并将各种信息发送到最终实体。来自互联网工程任务强制(IETF) PKIX 工作组的提议标准。CMMF 被另一个提议的标准 Cryptographic Message Syntax (CMC)上的证书管理消息 使用。如需更多信息,请参阅 https://tools.ietf.org/html/draft-ietf-pkix-cmmf-02。
- 证书系统
- 证书系统子系统
- 证书系统控制台
- 可以为任何单一证书系统实例打开的控制台。证书系统控制台允许证书系统控制相应证书系统实例的配置设置。
- 证书请求消息格式(CRMF)
- 用于管理 X.509 证书的消息的格式。这个格式是 CMMF 的子集。另请参阅 证书管理消息格式(CMMF)。如需更多信息,请参阅 https://tools.ietf.org/html/rfc2511。
- 证书配置文件
- 定义特定类型的注册的一组配置设置。证书配置文件为特定类型的注册设置策略,以及证书配置文件中的身份验证方法。
- 证书链
- 由连续证书颁发机构签名的一系列证书。CA 证书标识了一个 证书颁发机构(CA),用于签署该机构发布的证书。CA 证书可反过由父 CA 的 CA 证书签名,以此类推 根 CA。证书系统允许任何最终实体检索证书链中的所有证书。
- 证书颁发机构(CA)
- 在验证证书要识别的人员或实体的身份后,发出 certificate 的可信实体。CA 还续订并撤销证书并生成 CRL。在证书的 issuer 字段中命名的实体始终是一个 CA。证书颁发机构可以使用证书颁发的服务器软件(如 Red Hat Certificate System)的独立第三方或机构。
- 跨对证书
- 一个 CA 发布的证书到另一个 CA,然后由两个 CA 存储,以此组成一个信任的圆圈。这两个 CA 相互发布证书,然后将跨修复证书存储为证书对。
- 跨技术
- 按不同认证层次结构中的两个 CA 或链中的证书交换。跨技术扩展了信任的链,使其包含这两个层次结构。另请参阅 证书颁发机构(CA)。
- 链 CA
- 请参阅 链接的 CA。
D
- delta CRL
- 包含自上次完整 CRL 后撤销的这些证书的 CRL 列表。
- 双密钥对
- 两个公钥-私钥对,四个密钥都对应两个单独的证书。一个对的私钥用于签名操作,另一个对的公钥和私钥用于加密和解密操作。每个对都对应一个独立的 certificate。另请参阅 加密密钥、公钥加密、签名密钥。
- 发布点
- 用于 CRL 来定义一组证书。每个发行版点都由一组发布的证书定义。可以为特定的发布点创建 CRL。
- 可区分名称(DN)
- 一系列识别证书主题的 AVAs。请参阅 属性值断言(AVA)。
- 密钥恢复授权
- 一个可选的独立证书系统子系统,用于管理用于结束实体的 RSA 加密密钥的长期归档和恢复。证书管理器可以配置为在发布新证书前,使用密钥恢复授权来归档最终实体的加密密钥。只有当最终实体加密数据(如敏感电子邮件)时,Key Recovery Authority 才很有用,组织可能需要每天恢复。它只能用于支持双密钥对的结束实体:两个单独的密钥对,一个用于加密,另一个用于数字签名。
- 密钥恢复授权代理
- 属于授权管理密钥恢复授权机构代理服务的用户,包括使用基于 HTML 的管理页面管理请求队列和授权恢复操作。
- 密钥恢复授权存储密钥
- 密钥恢复授权机构使用的特殊密钥加密最终实体的加密密钥,在使用密钥恢复授权机构的私钥解密后加密它。存储密钥永远不会离开密钥恢复授权。
- 密钥恢复授权恢复代理
- 拥有部分存储密钥的 n 人之一 密钥恢复授权。
- 密钥恢复授权机构传输证书
- 认证最终实体使用的公钥,以加密实体的加密密钥,以传输到密钥恢复授权。密钥恢复授权使用与认证公钥对应的私钥,在使用存储密钥加密之前解密最终实体的密钥。
- 数字 ID
- 请参阅 certificate。
- 数字签名
- 要创建数字签名,签名软件首先从要签名的数据(如新签发的证书)创建一个 单向哈希。然后,单向哈希使用签名人的私钥进行加密。生成的数字签名对于签名的每个数据都是唯一的。即使单个逗号添加到消息中也会更改该消息的数字签名。使用签名人的公钥成功解密数字签名,并与同一数据的另一个哈希进行比较,提供 篡改检测。为包含公钥的证书验证 证书链,提供签名人验证。另请参阅 nonRepudiation、encryption。
- 解密
- 未处理已加密的数据。请参阅 encryption。
E
- eavesdropping
- Surreptitious 截获通过网络发送的信息,由信息不预期的实体发送。
- elliptic Curve Cryptography (ECC)
- 使用 elliptic curves 为数学问题创建附加日志变体的加密算法,这是加密密钥的基础。ECC 密码比 RSA 密码更高效,并且由于其内部复杂性比 RSA 密码更强。
- encryption
- 以忽略其含义的方式处理信息。请参阅 解密。
- extensions 字段
- 请参阅 证书扩展。
- 加密密钥
- 注册
- 请求和接收 X.509 证书以便在 公钥基础架构(PKI) 中使用的过程。也称为 注册。
- 结束实体
- 在 公钥基础架构(PKI) 中,个人、路由器、服务器或其他使用 certificate 识别其自身的实体。
F
- fingerprint
- 请参阅 证书指纹。
- FIPS PUBS 140
- 联邦信息处理标准(FIPS PUBS) 140 是加密模块、硬件或软件实现的美国政府标准,用于加密和解密数据或执行其他加密操作,如创建或验证数字签名。销售到美国政府的许多产品都必须符合一个或多个 FIPS 标准。请参阅 http://www.nist.gov。
- firewall
- 在两个或多个网络间强制实施边界的系统或组合。
- 联邦信息处理标准证书颁发机构(FBCA)
- 两个 CA 形成一个信任的配置,方法是向彼此发布跨对证书,并将两个跨密钥对存储为单一证书对。
I
- IP 欺骗
- 客户端 IP 地址的伪造。
- 中间 CA
- 其证书位于 root CA 和 证书链 中发布的证书的 CA。
- 模拟
- 输入
- 在证书配置文件功能上下文中,它会为特定证书配置文件定义注册表单。设置每个输入,然后从为此注册配置的所有输入动态创建注册表单。
J
- JAR 文件
- 为压缩的文件集合进行数字信封,根据 Java™ 归档(JAR)格式 进行组织。
- Java™ Development Kit (JDK)
- 由 Sun Microsystems 提供的软件开发工具包,用于使用 Java™ 编程语言开发应用程序和小程序。
- Java™ 加密架构(JCA)
- 由 Sun Microsystems 为加密服务开发的 API 规格和引用。See http://java.sun.com/products/jdk/1.2/docs/guide/security/CryptoSpec.Introduction.
- Java™ 原生接口(JNI)
- 在给定平台上提供 Java™ 虚拟机(JVM)不同实现的标准编程接口,允许使用 C 或 C++ 等语言编写的现有代码,以便单一平台绑定到 Java™。请参阅 http://java.sun.com/products/jdk/1.2/docs/guide/jni/index.html。
- Java™ 安全服务(JSS)
- 用于控制由网络安全服务(NSS)执行的安全操作的 Java™ 接口。
- Java™ 归档(JAR)格式
- 用于将数字签名、安装程序脚本和其他信息与目录中的文件相关联的一组约定。
K
- KEA
- 请参阅 密钥交换算法(KEA)。
- key
- 密钥交换
- 然后有一个客户端和服务器来确定它们在 SSL 会话中使用的对称密钥。
- 密钥交换算法(KEA)
- 用于美国政府密钥交换的算法。
L
- 轻量级目录访问协议(LDAP)
- 一个目录服务协议,旨在通过 TCP/IP 和多个平台运行。LDAP 是目录访问协议(DAP)的简化版本,用于访问 X.500 目录。LDAP 处于 IETF 更改控制,并已扩展以满足互联网要求。
- 链接的 CA
- 一个内部部署的 证书颁发机构(CA),它的证书由公共的第三方 CA 签名。内部 CA 充当它发布的证书的 root CA,第三方 CA 充当链接到同一第三方 root CA 的其他 CA 发布的证书的根 CA。也称为"链 CA"以及由不同公共 CA 使用的其他术语。
M
N
- non-TMS
- 非令牌管理系统。指的是 不直接 处理智能卡的子系统(CA 以及可选的 KRA 和 OCSP)的配置。
参见令牌管理系统.
- nonRepudiation
- 消息发送者无法拒绝发送邮件。数字签名 提供了一种非缓解形式。
- 网络安全服务(NSS)
- 一组库,旨在支持启用了安全的通信应用程序的跨平台开发。使用 NSS 库构建的应用程序支持 安全套接字层(SSL) 协议进行身份验证、篡改检测和加密令牌接口,以及用于加密令牌接口的 PKCSROX 协议。NSS 也作为软件开发工具包单独提供。
O
- OCSP
- 在线证书状态协议。
- operation
- 在访问控制指令中允许或拒绝的特定操作,如读取或写入。
- output
- 在证书配置文件功能上下文中,它会定义从成功注册特定证书配置文件中的生成的表单。设置每个输出,然后从为此注册配置的所有输出动态创建表单。
- 单向哈希
- 1.很多固定长度从任意长度的数据生成,并帮助哈希算法。数字(也称为消息摘要)对于哈希数据是唯一的。数据的任何更改(甚至删除或更改单个字符)都会生成不同的值。2.哈希数据的内容不能从散列中分离。
- 对象签名
- 一个文件签名方法,使软件开发人员能够签署 Java 代码、JavaScript 脚本或任何类型的文件,并允许用户识别签名代码对本地系统资源的访问。
- 对象签名证书
- 关联的私钥证书用于为对象签名;与 对象签名 相关的证书。
P
- PKCS #10
- 管理证书请求的公钥加密标准。
- PKCS #12
- 管理关键可移植性的公钥加密标准。
- PKCS #7
- 管理签名和加密的公钥加密标准。
- PKCS THE
- 管理加密令牌(如智能卡)的公钥加密标准。
- PKCS the module
- 通过 PKCS the 接口提供加密服务的加密设备的驱动程序,如加密和解密。PKCS the 模块(也称为 加密模块或加密服务提供商 )可以在硬件或软件中实施。PKCS the 模块始终具有一个或多个插槽,它们可能以某种物理读取器的形式作为物理硬件插槽实施,如智能卡,或软件中的概念插槽。PKCS the module 的每个插槽都可以包含一个令牌,即实际提供加密服务的硬件和软件设备,以及可选的存储证书和密钥。红帽使用证书系统提供了内置的 PKCS the 模块。
- 公钥
- 公钥加密中使用的一对密钥。公钥是免费发布,并作为 certificate 的一部分发布。它通常用于加密发送到公钥所有者的数据,然后使用对应的 私钥 解密数据。
- 公钥加密
- 一组良好的技术和标准,允许实体以电子方式验证其身份或加密电子数据。涉及两个密钥,一个公钥和一个私钥。公钥 作为证书的一部分发布,该证书将该密钥与特定身份相关联。对应的私钥会保留 secret。使用公钥加密的数据只能使用私钥解密。
- 公钥基础架构(PKI)
- 有助于在网络环境中使用公钥加密和 X.509 v3 证书的标准和服务。
- 基于密码的身份验证
- 概念验证(POA)
- 使用私钥恢复授权传输密钥签名的数据,其中包含有关存档最终用户密钥的信息,包括密钥序列号、密钥恢复机构的名称、对应证书的 主题名称 以及归档日期。签名的概念验证数据是密钥恢复授权机构在成功密钥归档操作后向证书颁发机构返回的响应。另请参阅 密钥恢复授权机构传输证书。
- 私钥
- 公钥加密中使用的一对密钥。私钥已保存 secret,用于解密使用对应 公钥 加密的数据。
R
S
- sandbox
- Java™ 术语用于定义 Java™ 代码必须在其中操作的限制。
- servlet
- 代表证书系统子系统处理特定类型的与最终实体的 Java™ 代码。例如,证书注册、撤销和密钥恢复请求各自由单独的 servlet 处理。
- SHA
- 安全哈希算法,美国政府使用的哈希函数。
- SSL
- 请参阅 安全套接字层(SSL)。
- subject
- 由 certificate 标识的实体。特别是,证书的 subject 字段包含一个唯一描述认证实体的 主题名称。
- 主题名称
- 单点登录
- 1.在证书系统中,通过为内部数据库和令牌存储密码,简化了签署红帽证书系统的密码。每次用户登录时,都需要输入此单一密码。2.用户能够一次登录单个计算机,并由网络中的各种服务器自动进行身份验证。部分单点登录解决方案可以采用多种形式,包括自动跟踪与不同服务器一起使用的密码的机制。证书支持 公钥基础架构(PKI) 中的单点登录。用户可以一次登录到本地客户端的私钥数据库,只要客户端软件正在运行,则依赖 基于证书的验证 访问用户可访问的机构中的每个服务器。
- 子 CA
- 安全域
- PKI 子系统的集中存储库或清单。它的主要用途是通过在子系统之间自动建立可信关系来促进新 PKI 服务的安装和配置。
- 安全套接字层(SSL)
- 允许客户端和服务器间双向身份验证的协议,以及经过验证和加密的连接建立。SSL 在 TCP/IP 上运行,并在 HTTP、LDAP、III、NNTP 和其他高级别网络协议之上运行。
- 安全频道
- TPS 和智能卡之间的安全关联,允许根据 TKS 和智能卡 APDU 生成的共享主密钥进行加密。
- 对称加密
- 使用相同的加密密钥来加密和解密给定消息的加密方法。
- 插槽
- PKCS the module 的一部分,在硬件或软件中实施,其中包含 token。
- 智能卡
- 包含微处理器并存储加密信息(如密钥和证书)的小设备,并执行加密操作。智能卡实现一些或者所有 PKCS THE 接口。
- 服务器 SSL 证书
- 使用 安全套接字层(SSL) 协议将服务器标识到客户端的证书。
- 服务器身份验证
- 将服务器标识到客户端的过程。另请参阅 客户端身份验证。
- 欺骗
- 签名密钥
- 签名的审计日志
- 请参阅 审计日志。
- 签名算法
- 签名证书
- 公钥与用于创建数字签名的私钥对应的证书。例如,证书管理器必须具有一个签名证书,其公钥对应于它用来签署其问题的证书。
- 自我测试
- 在实例启动和按需测试证书系统实例时测试的功能。
T
- token
- 与 插槽 中的 PKCS the module 关联的硬件或者软件设备。它提供加密服务,并选择性地存储证书和密钥。
- trust
- 高度依赖于个人或其他实体。在 公钥基础架构(PKI) 中,信任是指证书用户和签发证书的 证书颁发机构(CA) 之间的关系。如果 CA 是可信的,则该 CA 发布的有效证书可以被信任。
- 令牌处理系统(TPS)
- 直接交互企业安全客户端和智能卡的子系统,以管理这些智能卡上的密钥和证书。
- 令牌密钥服务(TKS)
- 令牌管理系统中的子系统,它根据智能卡 APDU 和其他共享信息(如令牌 CUID)为每个智能卡生成特定的独立密钥。
- 令牌管理系统(TMS)
- 相互相关的子系统 - CA、TKS、TPS 和可选的 KRA - 用于管理智能卡(令牌)上的证书。
- 树层次结构
- LDAP 目录的层次结构。
- 篡改检测
- 确保以电子格式接收的数据与同一数据的原始版本完全对应。
V
- 虚拟专用网络(VPN)
- 连接企业地理位置的途径。VPN 允许划分通过加密频道进行通信,允许身份验证的、通常仅限于专用网络的机密事务。
