什么是ca
ca(certification authority)是以構(gòu)建在公鑰基礎(chǔ)設(shè)施pki(public key infrastructure)基礎(chǔ)之上的產(chǎn)生和確定數(shù)字證書(shū)的第三方可信機(jī)構(gòu)(trusted third party),其主要進(jìn)行身份證書(shū)的發(fā)放��,并按設(shè)計(jì)者制定的策略���,管理電子證書(shū)的正常使用�。ca具有權(quán)威性、可信賴(lài)性及公正性���,承擔(dān)著公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任����。ca為每個(gè)使用公開(kāi)密鑰的用戶(hù)發(fā)放一個(gè)數(shù)字證書(shū)�����,數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶(hù)合法擁有證書(shū)中列出的公開(kāi)密鑰��。ca的數(shù)字簽名使得攻擊者不能偽造和篡改證書(shū)�����,ca還負(fù)責(zé)吊銷(xiāo)證書(shū)并發(fā)布證書(shū)吊銷(xiāo)列表(crl)����,并負(fù)責(zé)產(chǎn)生、分配和管理所有網(wǎng)上實(shí)體所需的數(shù)字證書(shū)�,因此,它是安全電子政務(wù)的核心環(huán)節(jié)����。
ca認(rèn)證體系的組成
ca認(rèn)證體系由以下幾個(gè)部門(mén)組成:一是ca���,負(fù)責(zé)產(chǎn)生和確定用戶(hù)實(shí)體的數(shù)字證書(shū)。二是審核授權(quán)部門(mén)���,簡(jiǎn)稱(chēng)ra(registry authority)��,它負(fù)責(zé)對(duì)證書(shū)的申請(qǐng)者進(jìn)行資格審查,并決定是否同意給申請(qǐng)者發(fā)放證書(shū)�。同時(shí),承擔(dān)因?qū)徍隋e(cuò)誤而引起的�����、為不滿(mǎn)足資格的人發(fā)放了證書(shū)而引起的一切后果��,它應(yīng)由能夠承擔(dān)這些責(zé)任的機(jī)構(gòu)擔(dān)任�����。三是證書(shū)操作部門(mén)��,證書(shū)操作部門(mén)cp(certification processor)為已被授權(quán)的申請(qǐng)者制作�����、發(fā)放和管理證書(shū),并承擔(dān)因操作運(yùn)營(yíng)錯(cuò)誤所產(chǎn)生的一切后果����,包括失密和為沒(méi)有獲得授權(quán)的人發(fā)放了證書(shū)等,它可由ra自己擔(dān)任��,也可委托給第三方擔(dān)任�。四是密鑰管理部門(mén)(km),負(fù)責(zé)產(chǎn)生實(shí)體的加密鑰對(duì)�,并對(duì)其解密私鑰提供托管服務(wù)。五是證書(shū)存儲(chǔ)地(dir)�,包括網(wǎng)上所有的證書(shū)目錄。
在ca認(rèn)證體系中�����,各組成部分彼此之間的認(rèn)證關(guān)系一般如下:
(1)用戶(hù)與ra之間:用戶(hù)請(qǐng)求ra進(jìn)行審核����,用戶(hù)應(yīng)該將自己的身份信息提交給ra,ra對(duì)用戶(hù)的身份進(jìn)行審核后���,要安全地將該信息轉(zhuǎn)發(fā)給ca����。
(2)ra與ca之間:ra應(yīng)該以一種安全可靠的方式把用戶(hù)的身份識(shí)別信息傳送給ca。ca通過(guò)安全可行的方式將用戶(hù)的數(shù)字證書(shū)傳送給ra或直接送給用戶(hù)����。
(3)用戶(hù)與dir之間:用戶(hù)可以在dir中查詢(xún)、撤銷(xiāo)證書(shū)列表和數(shù)字證書(shū)�����。
(4)dir與ca之間:ca將自己產(chǎn)生的數(shù)字證書(shū)直接傳送給目錄dir��,并把它們登記在目錄中�,在目錄中登記數(shù)字證書(shū)要求用戶(hù)鑒別和訪(fǎng)問(wèn)控制����。
(5)用戶(hù)與km之間:km接受用戶(hù)委托,代表用戶(hù)生成加密密鑰對(duì)��;用戶(hù)所持證書(shū)的加密密鑰必須委托密鑰管理中心生成�;用戶(hù)可以申請(qǐng)解密私鑰恢復(fù)服務(wù);km應(yīng)該為用戶(hù)提供解密私鑰的恢復(fù)服務(wù)��。用戶(hù)的解密私鑰必須統(tǒng)一在密鑰管理中心托管�。
(6)ca與km之間:這二者之間的通訊必須是保密、安全的。要求它們之間用通訊證書(shū)來(lái)保證安全性��。通訊證書(shū)是認(rèn)證機(jī)關(guān)與密鑰管理中心���、上級(jí)或下級(jí)認(rèn)證機(jī)關(guān)進(jìn)行通訊時(shí)使用的計(jì)算機(jī)設(shè)備證書(shū)���。這些專(zhuān)用的計(jì)算機(jī)設(shè)備必須申請(qǐng)并安裝認(rèn)證機(jī)構(gòu)所發(fā)布的專(zhuān)用通訊證書(shū),同時(shí)���,還必須安裝密鑰管理中心�����、上級(jí)或下級(jí)認(rèn)證機(jī)構(gòu)專(zhuān)用通訊計(jì)算機(jī)設(shè)備所持有的通訊密鑰證書(shū)和認(rèn)證機(jī)構(gòu)的根證書(shū)���。
認(rèn)證體系的職責(zé)
從上述論述中,可以總結(jié)出��,ca至少擔(dān)負(fù)著以下幾項(xiàng)具體的職責(zé):
(1)驗(yàn)證并標(biāo)識(shí)公開(kāi)密鑰信息提交認(rèn)證的實(shí)體的身份��;
(2)確保用于產(chǎn)生數(shù)字證書(shū)的非對(duì)稱(chēng)密鑰對(duì)的質(zhì)量����;
(3)保證認(rèn)證過(guò)程和用于簽名公開(kāi)密鑰信息的私有密鑰的安全�;
(4)確保兩個(gè)不同的實(shí)體未被賦予相同的身份��,以便把它們區(qū)別開(kāi)來(lái)��;
(5)管理包含于公開(kāi)密鑰信息中的證書(shū)材料信息���,例如數(shù)字證書(shū)序列號(hào)�����、認(rèn)證機(jī)構(gòu)標(biāo)識(shí)等��;
(6)維護(hù)并發(fā)布撤銷(xiāo)證書(shū)列表���;
(7)指定并檢查證書(shū)的有效期;
(8)通知在公開(kāi)密鑰信息中標(biāo)識(shí)的實(shí)體�����,數(shù)字證書(shū)已經(jīng)發(fā)布��;
(9)記錄數(shù)字證書(shū)產(chǎn)生過(guò)程的所有步驟��。
ca安全認(rèn)證體系的功能
ca安全認(rèn)證體系的主要功能包括:簽發(fā)數(shù)字證書(shū)��、管理下級(jí)審核注冊(cè)機(jī)構(gòu)���、接受下級(jí)審核注冊(cè)機(jī)構(gòu)的業(yè)務(wù)申請(qǐng)���、維護(hù)和管理所有證書(shū)目錄服務(wù)、向密鑰管理中心申請(qǐng)密鑰�����、實(shí)體鑒別密鑰器的管理��,等等��。
CA金融體系就是金融系統(tǒng)的CA認(rèn)證.
希望對(duì)你有用!
