PKI核心—認(rèn)證中心（CA）簡(jiǎn)介

為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施之外，必須建立一種信任及信任驗(yàn)證機(jī)制，即參加電子商務(wù)的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí)，這就是數(shù)字證書。數(shù)字證書是各實(shí)體(持卡人/個(gè)人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明。

該數(shù)字證書具有唯一性。它將實(shí)體的公開密鑰同實(shí)體本身聯(lián)系在一起，為實(shí)現(xiàn)這一目的，必須使數(shù)字證書符合X.509國(guó)際標(biāo)準(zhǔn)，同時(shí)數(shù)字證書的來(lái)源必須是可靠的。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，這個(gè)機(jī)構(gòu)就是CA認(rèn)證機(jī)構(gòu)。各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的信任鏈。如果CA機(jī)構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴性，電子商務(wù)就根本無(wú)從談起。

數(shù)字證書認(rèn)證中心（Certficate Authority,CA）是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書。每一份數(shù)字證書都與上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)-根認(rèn)證中心（根CA）。

電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認(rèn)證中心機(jī)構(gòu)（CA）簽發(fā)的數(shù)字證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都需檢驗(yàn)對(duì)方數(shù)字證書的有效性，從而解決了用戶信任問題。CA涉及到電子交易中各交易方的身份信息、嚴(yán)格的加密技術(shù)和認(rèn)證程序?；谄淅喂痰陌踩珯C(jī)制，CA應(yīng)用可擴(kuò)大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù)。

數(shù)字證書認(rèn)證解決了網(wǎng)上交易和結(jié)算中的安全問題，其中包括建立電子商務(wù)各主體之間的信任關(guān)系，即建立安全認(rèn)證體系（CA）；選擇安全標(biāo)準(zhǔn)（如SET、SSL）；采用高強(qiáng)度的加、解密技術(shù)。其中安全認(rèn)證體系的建立是關(guān)鍵，它決定了網(wǎng)上交易和結(jié)算能否安全進(jìn)行，因此，數(shù)字證書認(rèn)證中心機(jī)構(gòu)的建立對(duì)電子商務(wù)的開展具有非常重要的意義。

認(rèn)證中心（CA），是電子商務(wù)體系中的核心環(huán)節(jié)，是電子交易中信賴的基礎(chǔ)。它通過自身的注冊(cè)審核體系，檢查核實(shí)進(jìn)行證書申請(qǐng)的用戶身份和各項(xiàng)相關(guān)信息，使網(wǎng)上交易的用戶屬性客觀真實(shí)性與證書的真實(shí)性一致。認(rèn)證中心作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數(shù)字證書。

PKI核心—CA/RA簡(jiǎn)介

開放網(wǎng)絡(luò)上的電子商務(wù)要求為信息安全提供有效的、可靠的保護(hù)機(jī)制。這些機(jī)制必須提供機(jī)密性、身份驗(yàn)證特性(使交易的每一方都可以確認(rèn)其它各方的身份)、不可否認(rèn)性(交易的各方不可否認(rèn)它們的參與)。這就需要依靠一個(gè)可靠的第三方機(jī)構(gòu)驗(yàn)證，而認(rèn)證中心（CA：Certification Authority）專門提供這種服務(wù)。

證書機(jī)制是目前被廣泛采用的一種安全機(jī)制，使用證書機(jī)制的前提是建立CA（Certification Authority --認(rèn)證中心）以及配套的RA（Registration Authority --注冊(cè)審批機(jī)構(gòu)）系統(tǒng)。

CA中心，又稱為數(shù)字證書認(rèn)證中心，作為電子商務(wù)交易中受信任的第三方，專門解決公鑰體系中公鑰的合法性問題。CA中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對(duì)應(yīng)。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。

在數(shù)字證書認(rèn)證的過程中，證書認(rèn)證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。認(rèn)證中心就是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。同樣CA允許管理員撤銷發(fā)放的數(shù)字證書，在證書廢止列表(CRL)中添加新項(xiàng)并周期性地發(fā)布這一數(shù)字簽名的CRL。

RA（Registration Authority），數(shù)字證書注冊(cè)審批機(jī)構(gòu)。RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負(fù)責(zé)證書申請(qǐng)者的信息錄入、審核以及證書發(fā)放等工作；同時(shí)，對(duì)發(fā)放的證書完成相應(yīng)的管理功能。發(fā)放的數(shù)字證書可以存放于IC卡、硬盤或軟盤等介質(zhì)中。RA系統(tǒng)是整個(gè)CA中心得以正常運(yùn)營(yíng)不可缺少的一部分。

PKI核心—認(rèn)證中心的功能

概括地說，認(rèn)證中心（CA）的功能有：證書發(fā)放、證書更新、證書撤銷和證書驗(yàn)證。CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述如下：

（1）接收驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)。

（2）確定是否接受最終用戶數(shù)字證書的申請(qǐng)-證書的審批。

（3）向申請(qǐng)者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。

（4）接收、處理最終用戶的數(shù)字證書更新請(qǐng)求-證書的更新。

（5）接收最終用戶數(shù)字證書的查詢、撤銷。

（6）產(chǎn)生和發(fā)布證書廢止列表（CRL）。

（7）數(shù)字證書的歸檔。

（8）密鑰歸檔。

（9）歷史數(shù)據(jù)歸檔。

認(rèn)證中心為了實(shí)現(xiàn)其功能，主要由以下三部分組成：

1.注冊(cè)服務(wù)器：通過 Web Server 建立的站點(diǎn)，可為客戶提供每日24小時(shí)的服務(wù)。因此客戶可在自己方便的時(shí)候在網(wǎng)上提出證書申請(qǐng)和填寫相應(yīng)的證書申請(qǐng)表，免去了排隊(duì)等候等煩惱。

2.證書申請(qǐng)受理和審核機(jī)構(gòu)：負(fù)責(zé)證書的申請(qǐng)和審核。它的主要功能是接受客戶證書申請(qǐng)并進(jìn)行審核。

3.認(rèn)證中心服務(wù)器：是數(shù)字證書生成、發(fā)放的運(yùn)行實(shí)體，同時(shí)提供發(fā)放證書的管理、證書廢止列表（CRL）的生成和處理等服務(wù)。

【編輯推薦】

1. PKI基礎(chǔ)內(nèi)容介紹（1）
2. PKI基礎(chǔ)內(nèi)容介紹（2）
3. PKI基礎(chǔ)內(nèi)容介紹（3）
4. PKI基礎(chǔ)內(nèi)容介紹（4）
5. PKI基礎(chǔ)內(nèi)容介紹（5）