CA認(rèn)證功能介紹

1、CA認(rèn)證功能介紹 發(fā)布日期：2008-12-30 11:38:25概括地說，認(rèn)證中心（CA）的功能有：證書發(fā)放、證書更新、 證書撤銷和證書驗(yàn)證。CA的核心功能就是發(fā)放和管理數(shù)字證書，具 體描述如下：（1）接收驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)。（2）確定是否接受最終用戶數(shù)字證書的申請(qǐng)-證書的審批。（3）向申請(qǐng)者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。（4）接收、處理最終用戶的數(shù)字證書更新請(qǐng)求-證書的更新。（5）接收最終用戶數(shù)字證書的查詢、撤銷。（6）產(chǎn)生和發(fā)布證書廢止列表（CRL）。（7）數(shù)字證書的歸檔。（8）密鑰歸檔。（9）歷史數(shù)據(jù)歸檔。認(rèn)證中心為了實(shí)現(xiàn)其功能，主要由以下三部分組成：（1） 注 冊(cè)服務(wù)器

2、：通過Web Server建立的站點(diǎn)，可為客戶提 供每日24小時(shí)的服務(wù)。因此客戶可在自己方便的時(shí)候在網(wǎng)上提出證 書申請(qǐng)和填寫相應(yīng)的證書申請(qǐng)表，免去了排隊(duì)等候等煩惱。（2） 證書申請(qǐng)受理和審核機(jī)構(gòu)：負(fù)責(zé)證書的申請(qǐng)和審核。它的主要功能 是接受客戶證書申請(qǐng)并進(jìn)行審核。（3）認(rèn)證中心服務(wù)器：是數(shù)字 證書生成、發(fā)放的運(yùn)行實(shí)體，同時(shí)提供發(fā)放證書的管理、證書廢止 列表（CRL）的生成和處理等服務(wù)。CA認(rèn)證簡(jiǎn)介為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更 強(qiáng)的加密算法等措施之外，必須建立一種信任及信任驗(yàn)證機(jī)制，即 參加電子商務(wù)的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí)，這就是數(shù)字證 書。數(shù)字證書是各實(shí)體（持卡人

3、/個(gè)人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等）在 網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明。該數(shù)字證書具有唯一 性。它將實(shí)體的公開密鑰同實(shí)體本身聯(lián)系在一起，為實(shí)現(xiàn)這一目的， 必須使數(shù)字證書符合X.509國(guó)際標(biāo)準(zhǔn)，同時(shí)數(shù)字證書的來源必須是 可靠的。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)數(shù) 字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，這個(gè)機(jī)構(gòu)就是CA認(rèn)證 機(jī)構(gòu)。各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù) 的信任鏈。如 果CA機(jī)構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴 性，電子商務(wù)就根本無從談起。數(shù)字證書認(rèn)證中心（Certficate Authority,CA）是整個(gè)網(wǎng) 上電子交易安全的關(guān)鍵環(huán)節(jié)。

4、它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參 與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書。每一份數(shù)字證書都與 上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個(gè)已知的 并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)一根認(rèn)證中心（根CA）。 電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認(rèn)證中心機(jī) 構(gòu)（CA）簽發(fā)的數(shù)字證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都需檢 驗(yàn)對(duì)方數(shù)字證書的有效性，從而解 決了用戶信任問題。CA涉及到電 子交易中各交易方的身份信息、嚴(yán)格的加密技術(shù)和認(rèn)證程序?；?其牢固的安全機(jī)制，CA應(yīng)用可擴(kuò)大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳 輸服務(wù)。數(shù)字證書認(rèn)證解決了網(wǎng)上交易和結(jié)算中的安全問題，其中包 括建立電子

5、商務(wù)各主體之間的信任關(guān)系，即建立安全認(rèn)證體系（CA）； 選擇安全標(biāo)準(zhǔn)（如SET、SSL）；采用高強(qiáng)度的加、解密技術(shù)。其中 安全認(rèn)證體系的建立是關(guān)鍵，它決定了網(wǎng)上交易和結(jié)算能否安全進(jìn) 行，因此，數(shù)字證書認(rèn)證中心機(jī)構(gòu)的建立對(duì)電子商務(wù)的開展具有非 常重要的意義。認(rèn)證中心（CA），是電子商務(wù)體系中的核心環(huán)節(jié)，是電子交 易中信賴的基礎(chǔ)。它通過自身的注冊(cè)審核體系，檢查核實(shí)進(jìn)行證書 申請(qǐng)的用戶身份和各項(xiàng)相關(guān)信息，使網(wǎng)上交易的用戶屬性客觀真實(shí) 性與證書的真實(shí)性一致。認(rèn)證中心作為權(quán)威的、可信賴的、公正的 第三方機(jī)構(gòu)，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的 數(shù)字證書。數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系

6、列數(shù)據(jù)，用來在 網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份，即要在Internet上解決我是誰 的問題，就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的 身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的，以 數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解 密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性， 以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng) 絡(luò)應(yīng)用的安全性。數(shù)字證書采用公鑰密碼體制，即利用一對(duì)互相匹配的密鑰進(jìn) 行加密、解密。每個(gè)用戶擁有一把僅為本人所掌握的私有密鑰（私 鑰），用它進(jìn)行解密和簽名；同時(shí)擁有一把公共密鑰（公鑰）并可 以對(duì)外公開，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送 方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密， 這樣，信息就可以安全無誤地到達(dá)目的地了，即使被第三方截獲， 由于沒有相應(yīng)的私鑰，也無法進(jìn)行解密。通過數(shù)字的手段保證加密 過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密。在公開密鑰 密碼體制中，常用的一種是RSA體制。用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為 本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽 名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以 否；（2）保證