术语表
A
- administrator
- 安装并配置一个或多个证书证书证书的人员;系统管理器并为其设置特权用户或代理。另请参阅 agent。
- agent
- APDU
- 应用程序协议数据单元。一个通信单元(类似于字节),用于智能卡和智能卡读取器之间的通信。
- auditor
- 此特权用户,可以查看签名的审计日志。
- 代理批准的注册
- 在发布证书前,需要代理批准请求的注册。
- 代理服务
- 1. 可通过证书证书系统nbsp 管理的服务;系统 agent 通过证书证书系统nbsp 提供的 HTML 页面;为代理分配了必要的权限的系统子系统。2.用于管理此类服务的 HTML 页面。
- 审计日志
- 记录各种系统事件的日志。此日志可以签名,提供不被篡改的证明,并且只能被审核员用户读取。
- 属性值断言(AVA)
- 授权
- 访问由服务器控制的资源的权限。授权通常会在服务器评估与资源关联的 ACL 后进行。请参阅 访问控制列表(ACL)。
- 自动注册
- 配置证书证书系统空间的方法;System 子系统允许自动进行终端注册,而无需人为干预。通过这种身份验证,成功完成身份验证模块的处理的证书请求将自动批准以进行配置集处理,并且证书能够保证。
- 访问控制
- 控制允许特定用户执行的操作的进程。例如,对服务器的访问控制通常基于一个由密码或证书建立的身份,以及有关该实体可以执行的操作的规则。另请参阅 访问控制列表(ACL)。
- 访问控制列表(ACL)
- 访问控制条目的集合,该条目定义服务器收到对特定资源的请求时要评估的访问层次结构。请参阅 访问控制指令(ACI)。
- 访问控制指令(ACI)
- 访问规则,指定如何识别请求访问权限的主题或特定主题允许或拒绝什么权限。请参阅 访问控制列表(ACL)。
- 身份验证
- 身份验证模块
- 一组规则(实施为 Java™ 类),用于对最终实体、代理、管理员或其他需要与之交互的实体进行身份验证;系统子系统。对于典型的最终用户注册,在用户提供了注册表请求的信息后,注册 servlet 使用与该表单关联的身份验证模块来验证信息并验证用户身份。请参阅 servlet。
- 高级加密标准(AES)
- 高级加密标准(AES)与其前身数据加密标准(DES)是 FIPS 批准的对称加密标准。AES 由 2002 年美国政府采用。它定义三个块密码: AES-128、AES-192 和 AES-256。美国国家标准与技术研究所(NIST)在美国中定义了 AES 标准。FIPS PUB 197。如需更多信息,请参阅 http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf。
B
- bind DN
- 用户 ID,格式为可分辨名称(DN),密码用于向 Red Hat Directory Server 进行身份验证。
C
- CA 层次结构
- root CA 将授权签发证书到下级 CA 的 CA 的层次结构。从属 CA 也可通过委派发出状态到其他 CA 来扩展层次结构。另请参阅 证书颁发机构(CA)、subordinate CA、Root CA。
- CA 服务器密钥
- 提供 CA 服务的服务器的 SSL 服务器密钥。
- CA 签名密钥
- 与 CA 证书中的公钥对应的私钥。CA 使用它的签名密钥来签署证书和 CRL。
- CA 证书
- certificate
- 根据 X.509 标准格式的数字数据,指定独立、公司或其他实体的名称(证书 主题名称 )并验证 public key 也包含在该实体(也属于该实体)。证书由 证书颁发机构(CA) 发布并用数字签名。可以通过通过 数字签名 技术检查 CA 的 public-key cryptography 来验证证书的有效性。要在 公钥基础架构(PKI) 中信任,该证书必须由在 PKI 中注册的其他实体信任的 CA 发布并签名。
- Certificate System
- cipher
- CMC
- CMC 注册
- 允许使用代理的签名证书将签名注册或经过签名的撤销请求发送到证书管理器的功能。这些请求随后由证书管理器自动处理。
- CMMF
- 请参阅 证书管理消息格式(CMMF)。
- CRL
- 请参阅 证书撤销列表(CRL)。
- CRMF
- 请参阅 证书请求消息格式(CRMF)。
- cross-certification
- 证书交换,由两个不同的认证层次结构或链的两个 CA 交换。跨认证集扩展了信任链,涵盖这两个层次结构。另请参阅 证书颁发机构(CA)。
- cryptographic algorithm
- 用于执行加密操作的规则或指示集合,如 encryption 和 解密。
- CSP
- 请参阅 加密服务供应商(CSP)。
- 信任链
- 请参阅 证书链。
- 加密服务供应商(CSP)
- 代表使用标准接口(如 PKCS #11 定义)使用标准接口(如 PKCS #11 定义)的软件,用来执行加密服务(如密钥生成、密钥存储和加密)的加密模块。
- 加密模块
- 请参阅 PKCS #11 模块。
- 加密消息语法(CS)
- 用于数字签名、摘要、身份验证或加密任意消息的语法,如 CMMF。
- 基于证书的验证
- 基于证书和公钥加密的身份验证。另请参阅 基于密码的身份验证。
- 客户端 SSL 证书
- 用于使用 SSL 协议识别客户端到服务器的证书。请参阅 安全套接字层(SSL)。
- 客户端身份验证
- 证书扩展
- X.509 v3 证书包含一个 extensions 字段,允许向证书添加任意数量的附加字段。证书扩展提供了向证书添加信息(如替代主题名称和使用量限制)的方法。很多标准扩展已经由 PKIX 工作组定义。
- 证书指纹
- 与证书关联的 单向哈希。数字不是证书本身的一部分,而是通过将 hash 功能应用到证书的内容来生成。如果证书的内容发生变化,即使单个字符也是如此,则同一功能也会生成不同的数字。因此,可以使用证书指纹来验证证书没有被篡改。
- 证书撤销列表(CRL)
- 根据 X.509 标准定义,由序列号(由 证书颁发机构(CA) 生成并签名)的撤销证书列表。
- 证书管理器
- 独立证书证书系统nbsp; 充当证书颁发机构的系统子系统。证书管理器实例问题、更新并撤销证书,该证书可与 CRL 一起发布至 LDAP 目录。它接受来自最终用户的请求。请参阅 证书颁发机构(CA)。
- 证书管理器代理
- 属于一组授权来管理证书管理器的代理服务的用户。这些服务包括访问和修改(批准和拒绝)证书请求和发布证书的功能。
- 证书管理消息格式(CMMF)
- 用于传达证书请求和撤销从最终用户到证书管理器的请求的消息格式,并将各种信息发送到最终实体。从互联网工程任务组(IETF)PKIX 工作组中提出标准。CMMF 被另一个建议的标准 通过 Cryptographic 消息语法(CMC)的证书管理消息 恢复。有关详细信息,请参阅 https://tools.ietf.org/html/draft-ietf-pkix-cmmf-02。
- 证书系统子系统
- 证书系统控制台
- 为任何单一证书证书系统nbsp;System 实例打开的控制台。CertificateCertificate Systemnbsp;System 控制台允许 CertificateCertificate Systemnbsp;System Administrator 控制对应证书证书系统证书系统nbsp;System 实例的配置设置。
- 证书请求消息格式(CRMF)
- 用于与 X.509 证书管理相关的消息的格式。这个格式是 CMMF 的子集。另请参阅 证书管理消息格式(CMMF)。有关详细信息,请参阅 https://tools.ietf.org/html/rfc2511。
- 证书配置集
- 组配置设置,用于定义特定类型的注册。证书配置集为特定类型的注册设置策略,以及证书配置集中的身份验证方法。
- 证书链
- 由连续证书颁发机构签名的证书的等级系列。CA 证书标识 证书颁发机构(CA),用于签署该授权发布的证书。CA 证书可由父 CA 的 CA 证书注册,以此类推。Root CACertificateCertificate Systemnbsp;System 允许任何端点检索证书链中的所有证书。
- 证书颁发机构(CA)
- 验证证书要识别的个人或实体的身份后,一个可信实体会发出 certificate。CA 还更新并撤销证书并生成 CRL。证书在签发者字段中命名的实体始终是 CA。证书颁发机构可以独立使用证书认证服务器软件(如 Red Hat Certificate Systemnbsp)的独立第三方或机构 ;Hat Certificate Red Hat Certificate Systemnbsp;System.
- 跨对证书
- 由一个 CA 向另一个 CA 发布的证书,然后由两个 CA 存储以组成一个信任圆形。两个 CA 互相发布证书,然后将这两个证书存储为证书对。
- 通过 Cryptographic 消息语法(CMC)的证书管理消息
- 用于向证书管理器发出请求的消息格式。从互联网工程任务组(IETF)PKIX 工作组中提出标准。有关详细信息,请参阅 https://tools.ietf.org/html/draft-ietf-pkix-cmc-02。
- 链 CA
- 请参阅 链接的 CA。
D
- delta CRL
- 包含自最后完整 CRL 开始已撤销的证书的 CRL 列表。
- digital ID
- 请参阅 certificate。
- 双密钥对
- 两个公钥对,四个密钥完全对应于两个独立的证书。一个对的私钥用于签名操作,其他对的公钥和私钥用于加密和解密操作。每个对对应一个独立 certificate。另请参阅 加密密钥、public-key cryptography、签名密钥。
- 发行点
- 用于 CRL 来定义一组证书。每个发布点由一组发布的证书定义。可以为特定发布点创建 CRL。
- 可分辨名称(DN)
- 一系列 AVAs 来标识证书的主题。请参阅 属性值断言(AVA)。
- 密钥恢复授权
- 可选的独立证书证书系统板;System 子系统,用于管理用于最终实体的 RSA 加密密钥的长期归档和恢复。在发布新证书前,可以将证书管理器配置为通过密钥恢复授权归档最终实体的加密密钥。只有当最终实体(如敏感电子邮件)加密数据时,密钥恢复授权才很有用,该组织可能需要恢复一些天的时间。它只能与支持双键对的最终用户使用:两个单独的密钥对,一个用于加密,另一个用于数字签名。
- 密钥恢复授权中心存储密钥
- 在密钥恢复授权使用密钥恢复授权密钥解密后,由密钥恢复授权机构用来加密最终用户的加密密钥。存储密钥永不会离开密钥恢复授权。
- 密钥恢复授权代理
- 属于一组授权来管理密钥恢复机构的代理服务的用户,包括使用基于 HTML 的管理页面管理请求队列和授权恢复操作。
- 密钥恢复授权传输证书
- 认证由终端实体使用的公钥加密该实体的加密密钥,以传输到密钥恢复授权。密钥恢复授权使用与认证公钥对应的私钥来解密最终用户的密钥,然后使用存储密钥加密它。
- 密钥恢复机构恢复代理
- 那些拥有部分存储密钥的 n 人之一 密钥恢复授权。
- 数字签名
- 要创建数字签名,签名软件首先会从要签名的数据创建一个 单向哈希,比如新发布的证书。然后,使用签名者的私钥加密单向哈希。得到的数字签名对于每个数据已签名来说是唯一的。即使在消息中添加一个逗号也会更改该消息的数字签名。与签名者的公钥成功解密数字签名,并与相同数据的另一个哈希进行比较 tamper 检测。对包含公钥的证书验证 证书链 可提供签名者的身份验证。另请参阅 nonrepudiation、encryption。
- 解密
- 解放已加密的数据。请参阅 encryption。
E
- eavesdropping
- 对通过接收不打算信息的实体通过网络发送的信息进行破坏。
- Elliptic Curve Cryptography(ECC)
- 一个加密算法,使用 elliptic curves 为加密密钥基础的数学问题创建附加日志变量。ECC 密码比 RSA 密码更有效,由于其复杂性比 RSA 密码更强大,因此比 RSA 密码更强大。
- encryption
- 以推断其含义的方式生成信息。请参阅 解密。
- enrollment
- 请求和接收 X.509 证书以用于 公钥基础架构(PKI) 的过程。也称为 注册。
- extensions 字段
- 请参阅 证书扩展。
- 加密密钥
- 端点实体
- 在 公钥基础架构(PKI) 中,一个使用 certificate 的人、路由器、服务器或其他实体识别其自身。
F
- fingerprint
- 请参阅 证书指纹。
- FIPS PUBS 140
- 联邦信息标准公共(FIPS PUBS)140 是加密模块实施的美国政府标准,用于加密和解密数据的硬件或执行其他加密操作,如创建或验证数字签名。给美国政府的很多产品必须符合一个或多个 FIPS 标准。请参阅 http://www.nist.gov/itl/fipscurrent.cfm。
- firewall
- 在两个或多个网络之间强制边界的系统或组合。
- 联邦网桥证书颁发机构(FBCA)
- 一个配置,其中两个 CA 组成一个信任方,方法是向彼此发出跨对证书,并将两个跨对证书存储为一个证书。
I
- impersonation
- 作为通过网络发送的信息的预期接收者执行。模拟器可以采用两种形式: 欺骗 和 misrepresentation。
- IP 欺骗
- 客户端 IP 地址的需要。
- 中间 CA
- 证书位于 证书链 中 root CA 和颁发的证书之间的 CA。
- 输入
- 在证书配置集功能的上下文中,它定义了特定证书配置集的注册表单。设定了每个输入,然后根据为此注册配置的所有输入动态创建注册表单。
J
- JAR 文件
- 根据 Java™ 归档(JAR)格式 压缩的文件集合的数字信封。
- Java™ Cryptography Architecture(JCA)
- 由 Sun Microsystems 为加密服务开发的 API 规格和引用。请参阅 http://java.sun.com/products/jdk/1.2/docs/guide/security/CryptoSpec.Introduction。
- Java™ 原生接口(JNI)
- 标准接口在指定平台上提供不同实施 Java™ 虚拟机(JVM)的二进制兼容性,允许以 C 或 C++ 等语言编写的现有代码,以便统一平台绑定到 Java™。请参阅 http://java.sun.com/products/jdk/1.2/docs/guide/jni/index.html。
- Java™ 安全服务(JSS)
- 用于控制网络安全服务(NSS)执行的安全操作的 Java™ 接口。
- Java™ 开发套件(JDK)
- 由 Sun Microsystems 提供的软件开发套件,用于开发使用 Java™ 编程语言的应用程序和应用程序。
- Java™ 归档(JAR)格式
- 将数字签名、安装程序脚本和其他信息与目录中的文件相关联的一组约定。
K
- KEA
- 请参阅 主要交流算法(KEA)。
- key
- 主要交流算法(KEA)
- 供美国政府用于密钥交换的算法。
- 密钥交换
- 遵循客户端和服务器来确定在 SSL 会话过程中将使用的对称密钥。
L
- 轻量级目录访问协议(LDAP)
- 一个目录服务协议,旨在在多个平台间通过 TCP/IP 运行。LDAP 是目录访问协议(DAP)的简化版本,用于访问 X.500 目录。LDAP 受 IETF 更改控制,并已演变为满足互联网要求。
- 链接的 CA
- 内部部署的 证书颁发机构(CA),其证书由公共第三方 CA 签名。内部 CA 充当其问题的证书的 root CA,第三方 CA 充当链接到同一第三方 root CA 的其他 CA 发布的证书。也称为 "chained CA" 以及不同公共 CA 使用的其他术语。
M
- MD5
- 由 Ronald Rivest 开发的消息摘要算法。另请参阅 单向哈希。
- misrepresentation
- 将实体的表示为不是个人或组织。例如,当网站真正使用信用卡支付但从未发送任何货物的站点时,网站可能假定成为发放。Misrepresentation 是 impersonation 的一种形式。另请参阅 欺骗。
- 手动身份验证
- 配置证书证书系统nbsp 的方法;需要人工批准每个证书请求的系统子系统。使用这种身份验证方式时,servlet 在成功验证模块处理后将证书请求转发到请求队列。然后,在配置集处理和证书可以继续前,具有适当权限的代理必须单独批准每个请求。
- 消息摘要
- 请参阅 单向哈希。
N
- non-TMS
- 非令牌管理系统。指的是配置 无法直接 处理智能卡的子系统(CA 以及可选的 KRA 和 OCSP)。
参见令牌管理系统(TMS).
- nonrepudiation
- 无法由消息的发件人拒绝发送消息。数字签名 提供了一个非验证形式。
- 网络安全服务(NSS)
- 一组库,用于支持支持安全通信应用程序的跨平台开发。使用 NSS 库构建的应用程序支持 安全套接字层(SSL) 协议进行身份验证、tamper 检测和加密功能,以及用于加密令牌接口的 PKCS #11 协议。NSS 也作为软件开发套件单独提供。
O
- OCSP
- 在线证书状态协议.
- operation
- 在访问控制指令中允许或拒绝的特定操作,如读取或写入。
- output
- 在证书配置集功能的上下文中,它从成功注册特定证书配置文件时,定义结果形式。每个输出都会被设置,然后动态地从为此注册配置的所有输出动态创建表单。
- 单向哈希
- 1. 很多固定长度从任意长度的数据生成,并附带哈希算法。数字也称为消息摘要,对散列数据是唯一的。数据更改(即使删除或更改单个字符)都会获得不同的值。2.散列数据的内容无法从哈希中分离。
- 对象签名
- 一种文件签名方法,允许软件开发人员为 Java 代码、JavaScript 脚本或任何类型的文件进行签名,并允许用户识别信号,并通过签名的代码来控制对本地系统资源的访问。
- 对象签名证书
- 关联的私钥用于为对象签名的证书 ; 与 对象签名 相关。
P
- PKCS #10
- 公钥加密标准管理证书请求。
- PKCS #11
- 管理加密令牌的公钥加密标准,如智能卡。
- PKCS #11 模块
- 通过 PKCS #11 接口提供加密服务的加密设备的驱动程序,如加密和解密。PKCS #11 模块(也称为 加密模块或加密服务提供商 )可以在硬件或软件中实施。PKCS #11 模块总是有一个或多个插槽,可以以某种形式的物理读取形式实施为物理硬件插槽,比如用于智能卡或软件中概念的插槽。PKCS #11 模块的每个插槽可以依次包含一个令牌,这是实际提供加密服务并选择性地存储证书和密钥的硬件或软件设备。Red Hatnbsp;Hat 提供了一个内置的 PKCS #11 模块,它带有证书Certificate Systemnbsp;System.
- PKCS #12
- 公钥加密标准管理密钥可移植性。
- PKCS #7
- 管理签名和加密的公钥加密标准。
- public key
- 在公钥加密中使用的一对密钥之一。公钥可以自由发布,并作为 certificate 的一部分发布。它通常用来加密发送到公钥所有者的数据,然后使用对应的 私钥 解密数据。
- public-key cryptography
- 组成熟的技术和标准,允许实体以电子方式验证其身份或加密电子数据。两个密钥均涉及一个公钥和私钥。public key 作为证书的一部分发布,该证书将该密钥与特定身份关联。对应的私钥是保密的。使用公钥加密的数据只能使用该私钥解密。
- 公钥基础架构(PKI)
- 便于在网络环境中使用公钥加密和 X.509 v3 证书的标准和服务。
- 基于密码的身份验证
- 概念验证(POA)
- 使用私钥恢复认证机构传输密钥签名的数据,其中包含存档最终密钥的信息,包括密钥序列号、密钥恢复机构的名称、对应证书 主题名称 以及归档日期。签名的概念验证数据是密钥恢复授权机构在成功密钥存档操作后向证书管理器返回的响应。另请参阅 密钥恢复授权传输证书。
- 私钥
- 在公钥加密中使用的一对密钥之一。私钥被保留,用于解密使用对应 public key 加密的数据。
R
- RC2, RC4
- 由 Rivest 为 RSA 数据安全而开发的密码算法。另请参阅 cryptographic algorithm。
- RedRed Hat Certificate Systemnbsp;Hat CertificateRed Hat Certificate Systemnbsp;System
- Root CA
- RSA 密钥交换
- SSL 的密钥更改算法,基于 RSA 算法。
- RSA 算法
- 缩写为 Rivest-Shamir-Adleman,它是一个用于加密和身份验证的公共密钥算法。它是由 Ronald Rivest、Adi Shamir 和 Leonard Adleman 开发,于 1978 年推出。
- 注册
- 请参阅 enrollment。
S
- sandbox
- 针对 Java™ 代码必须操作的明确定义限制的 Java™ 术语。
- servlet
- 代表证书证书系统nbsp;System 子系统,处理特定类型与最终用户交互的 Java™ 代码。例如,证书注册、撤销和密钥恢复请求各自由单独的 servlet 处理。
- SHA
- 安全散列算法,由美国政府使用的哈希功能。
- slot
- PKCS #11 模块 的一部分,在包含 token 的硬件或软件中实施。
- SSL
- 请参阅 安全套接字层(SSL)。
- subject
- 由 certificate 标识的实体。特别是,证书的 subject 字段包含一个 主题名称,它唯一描述了已认证实体。
- subordinate CA
- 主题名称
- 单点登录
- 1. 在 CertificateCertificate Systemnbsp;System 中,该密码简化了到 Red Hat Certificate Systemnbsp 签名的密码;Hat Certificate Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System by store password for internal database and tokens.每次用户登录时,都需要输入此单一密码。2.用户一次登录单个计算机,并由网络中的各种服务器自动进行身份验证。部分单点登录解决方案采用多种形式,包括自动跟踪用于不同服务器的密码的机制。证书支持 公钥基础架构(PKI) 中的单点登录。用户可以一次登录本地客户端的私钥数据库,只要客户端软件正在运行,则依靠 基于证书的验证 来访问该用户的机构中的每个服务器。
- 安全域
- PKI 子系统的集中存储库或清单。其主要目的是通过在子系统之间自动建立可信关系来促进新 PKI 服务的安装和配置。
- 安全套接字层(SSL)
- 允许在客户端和服务器间进行 mutual身份验证的协议,并建立经过身份验证的和加密连接。SSL 在 TCP/IP 和以下 HTTP、LDAP、IMAP、NNTP 和其他高级别网络协议上运行。
- 安全频道
- TPS 和智能卡间的安全关联,允许基于 TKS 和智能卡 APDU 生成的共享主密钥加密。
- 对称加密
- 使用同一加密密钥来加密和解密给定消息的加密方法。
- 智能卡
- 包含微处理器并存储加密信息(如密钥和证书)的小型设备,并执行加密操作。智能卡实现一些或所有 PKCS #11 接口。
- 服务器 SSL 证书
- 用来使用 安全套接字层(SSL) 协议将服务器标识到客户端的证书。
- 服务器身份验证
- 识别服务器到客户端的进程。另请参阅 客户端身份验证。
- 欺骗
- 刚开始成为其他人.例如,个人可以预告具有电子邮件地址 jdoe@example.com,或者计算机可以在不能识别为名为 www.redhat.com 的网站。欺骗是 impersonation 的一种形式。另请参阅 misrepresentation。
- 签名密钥
- 签名的审计日志
- 请参阅 审计日志。
- 签名算法
- 用于创建数字签名的加密算法。CertificateCertificate Systemnbsp;System 支持 MD5 和 SHA 签名算法。另请参阅 cryptographic algorithm、数字签名。
- 签名证书
- 公钥与用于创建数字签名的私钥对应的证书。例如,证书管理器必须具有其公钥与用于为其发出的证书签名的私钥的签名证书。
- 自我测试
- 测试证书证书系统空间的功能;当实例启动时和按需启动时,System 实例都会启动和按需。
T
- tamper 检测
- 确保以电子形式接收的数据的机制与同一数据的原始版本完全对应。
- token
- 与 slot 中的 PKCS #11 模块 关联的硬件或者软件设备。它提供了加密服务,并选择性地存储证书和密钥。
- trust
- 信心依赖个人或其他实体。在 公钥基础架构(PKI) 中,信任指的是证书的用户和签发证书的 证书颁发机构(CA) 之间的关系。如果 CA 受信任,则 CA 发布的有效证书可以被信任。
- 令牌处理系统(TPS)
- 直接与企业安全客户端和智能卡交互的子系统,以管理这些智能卡上的密钥和证书。
- 令牌密钥服务(TKS)
- 令牌管理系统中的子系统,根据智能卡 APDU 和其他共享信息为每个智能卡生成特定的密钥,如令牌 CUID。
- 令牌管理系统(TMS)
- 相互相关的子系统 - CA、TKS、TPS 以及可选的 KRA,用于管理智能卡(token)上的证书。
- 树结构
- LDAP 目录的分层结构。
V
- 虚拟专用网络(VPN)
- 连接企业地理距离的分部的方法。VPN 允许部门通过加密频道进行通信,从而允许验证的、通常仅限于私有网络的机密事务。
