PKI核心—認證中心（CA）簡介

為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強的加密算法等措施之外，必須建立一種信任及信任驗證機制，即參加電子商務(wù)的各方必須有一個可以被驗證的標識，這就是數(shù)字證書。數(shù)字證書是各實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明。

該數(shù)字證書具有唯一性。它將實體的公開密鑰同實體本身聯(lián)系在一起，為實現(xiàn)這一目的，必須使數(shù)字證書符合X.509國際標準，同時數(shù)字證書的來源必須是可靠的。這就意味著應(yīng)有一個網(wǎng)上各方都信任的機構(gòu)，專門負責數(shù)字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，這個機構(gòu)就是CA認證機構(gòu)。各級CA認證機構(gòu)的存在組成了整個電子商務(wù)的信任鏈。如果CA機構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴性，電子商務(wù)就根本無從談起。

數(shù)字證書認證中心（Certficate Authority,CA）是整個網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實體所需的身份認證數(shù)字證書。每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的并被廣泛認為是安全、權(quán)威、足以信賴的機構(gòu)-根認證中心（根CA）。

電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認證中心機構(gòu)（CA）簽發(fā)的數(shù)字證書，在交易的各個環(huán)節(jié)，交易的各方都需檢驗對方數(shù)字證書的有效性，從而解決了用戶信任問題。CA涉及到電子交易中各交易方的身份信息、嚴格的加密技術(shù)和認證程序?；谄淅喂痰陌踩珯C制，CA應(yīng)用可擴大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù)。

數(shù)字證書認證解決了網(wǎng)上交易和結(jié)算中的安全問題，其中包括建立電子商務(wù)各主體之間的信任關(guān)系，即建立安全認證體系（CA）；選擇安全標準（如SET、SSL）；采用高強度的加、解密技術(shù)。其中安全認證體系的建立是關(guān)鍵，它決定了網(wǎng)上交易和結(jié)算能否安全進行，因此，數(shù)字證書認證中心機構(gòu)的建立對電子商務(wù)的開展具有非常重要的意義。

認證中心（CA），是電子商務(wù)體系中的核心環(huán)節(jié)，是電子交易中信賴的基礎(chǔ)。它通過自身的注冊審核體系，檢查核實進行證書申請的用戶身份和各項相關(guān)信息，使網(wǎng)上交易的用戶屬性客觀真實性與證書的真實性一致。認證中心作為權(quán)威的、可信賴的、公正的第三方機構(gòu)，專門負責發(fā)放并管理所有參與網(wǎng)上交易的實體所需的數(shù)字證書。

PKI核心—CA/RA簡介

開放網(wǎng)絡(luò)上的電子商務(wù)要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性(使交易的每一方都可以確認其它各方的身份)、不可否認性(交易的各方不可否認它們的參與)。這就需要依靠一個可靠的第三方機構(gòu)驗證，而認證中心（CA：Certification Authority）專門提供這種服務(wù)。

證書機制是目前被廣泛采用的一種安全機制，使用證書機制的前提是建立CA（Certification Authority --認證中心）以及配套的RA（Registration Authority --注冊審批機構(gòu)）系統(tǒng)。

CA中心，又稱為數(shù)字證書認證中心，作為電子商務(wù)交易中受信任的第三方，專門解決公鑰體系中公鑰的合法性問題。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。

在數(shù)字證書認證的過程中，證書認證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。認證中心就是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。同樣CA允許管理員撤銷發(fā)放的數(shù)字證書，在證書廢止列表(CRL)中添加新項并周期性地發(fā)布這一數(shù)字簽名的CRL。

RA（Registration Authority），數(shù)字證書注冊審批機構(gòu)。RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發(fā)放等工作；同時，對發(fā)放的證書完成相應(yīng)的管理功能。發(fā)放的數(shù)字證書可以存放于IC卡、硬盤或軟盤等介質(zhì)中。RA系統(tǒng)是整個CA中心得以正常運營不可缺少的一部分。

PKI核心—認證中心的功能

概括地說，認證中心（CA）的功能有：證書發(fā)放、證書更新、證書撤銷和證書驗證。CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述如下：

（1）接收驗證最終用戶數(shù)字證書的申請。

（2）確定是否接受最終用戶數(shù)字證書的申請-證書的審批。

（3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。

（4）接收、處理最終用戶的數(shù)字證書更新請求-證書的更新。

（5）接收最終用戶數(shù)字證書的查詢、撤銷。

（6）產(chǎn)生和發(fā)布證書廢止列表（CRL）。

（7）數(shù)字證書的歸檔。

（8）密鑰歸檔。

（9）歷史數(shù)據(jù)歸檔。

認證中心為了實現(xiàn)其功能，主要由以下三部分組成：

1.注冊服務(wù)器：通過 Web Server 建立的站點，可為客戶提供每日24小時的服務(wù)。因此客戶可在自己方便的時候在網(wǎng)上提出證書申請和填寫相應(yīng)的證書申請表，免去了排隊等候等煩惱。

2.證書申請受理和審核機構(gòu)：負責證書的申請和審核。它的主要功能是接受客戶證書申請并進行審核。

3.認證中心服務(wù)器：是數(shù)字證書生成、發(fā)放的運行實體，同時提供發(fā)放證書的管理、證書廢止列表（CRL）的生成和處理等服務(wù)。

【編輯推薦】

1. PKI基礎(chǔ)內(nèi)容介紹（1）
2. PKI基礎(chǔ)內(nèi)容介紹（2）
3. PKI基礎(chǔ)內(nèi)容介紹（3）
4. PKI基礎(chǔ)內(nèi)容介紹（4）
5. PKI基礎(chǔ)內(nèi)容介紹（5）