何 为 认 证 中 心(CA)
http://www.51xue.org.cn 2007/6/5 源自:中华职工学习网 【字体:
】
】
政 府 上 网 和 电 子 商 务 是 今 年 计 算 机 应 用 领 域 的 两 大 热 点。 要 推 广 这 两 方 面 的 应 用, 解 决 网 络 安 全 是 其 中 十 分 关 键 的 一 环, 例 如 不 久 前 中 国 人 民 银 行 筹 建 的 金 融 认 证 中 心(Root CA) 就 是 为 建 设 我 国 电 子 商 务 提 供 安 全 保 障 的 基 础 设 施。
那 么, 到 底 什 么 是 认 证 中 心 呢 ? 在 回 答 这 个 问 题 之 前, 我 们 首 先 需 要 介 绍 数 字 证 书 的 概 念。
数 字 证 书 就 是 网 络 通 信 中 标 志 通 信 各 方 身 份 信 息 的 一 系 列 数 据, 其 作 用 类 似 于 现 实 生 活 中 的 身 份 证。 它 是 由 一 个 权 威 机 构 发 行 的, 人 们 可 以 在 交 往 中 用 它 来 识 别 对 方 的 身 份。 数 字 证 书 的 格 式 一 般 采 用X.509 国 际 标 准。 一 个 标 准 的X.509 数 字 证 书 包 含 以 下 一 些 内 容: 证 书 的 版 本 信 息; 证 书 的 序 列 号, 每 个 用 户 都 有 一 个 唯 一 的 证 书 序 列 号; 证 书 所 使 用 的 签 名 算 法; 证 书 的 发 行 机 构 名 称, 命 名 规 则 一 般 采 用X.400 格 式; 证 书 的 有 效 期, 现 在 通 用 的 证 书 一 般 采 用UTC 时 间 格 式, 它 的 计 时 范 围 为1950 ~2049; 证 书 所 有 人 的 名 称, 命 名 规 则 一 般 采 用X.400 格 式; 证 书 所 有 人 的 公 开 密 钥( 关 于 公 开 密 钥 的 信 息 详 见 非 对 称 密 码 算 法 的 有 关 内 容); 证 书 发 行 者 对 证 书 的 签 名。
此 外,X.509 证 书 格 式 还 预 留 了 扩 展, 用 户 可 以 根 据 自 己 的 需 要 进 行 扩 展。 目 前 比 较 典 型 的 扩 展 如: Microsoft IE 的 扩 展、Netscape 的 扩 展 和SET(Secure Electronic Transaction) 的 扩 展 等。
我 们 可 以 使 用 数 字 证 书, 通 过 运 用 对 称 和 非 对 称 密 码 体 制 等 密 码 技 术 建 立 起 一 套 严 密 的 身 份 认 证 系 统, 从 而 保 证: 信 息 除 发 送 方 和 接 收 方 外 不 被 其 他 人 窃 取; 信 息 在 传 输 过 程 中 不 被 篡 改; 发 送 方 能 够 通 过 数 字 证 书 来 确 认 接 收 方 的 身 份; 发 送 方 对 于 自 己 发 送 的 信 息 不 能 抵 赖。
认 证 中 心 就 是 一 个 负 责 发 放 和 管 理 数 字 证 书 的 权 威 机 构。 对 于 一 个 大 型 的 应 用 环 境, 认 证 中 心 往 往 采 用 一 种 多 层 次 的 分 级 结 构, 各 级 的 认 证 中 心 类 似 于 各 级 行 政 机 关, 上 级 认 证 中 心 负 责 签 发 和 管 理 下 级 认 证 中 心 的 证 书, 最 下 一 级 的 认 证 中 心 直 接 面 向 最 终 用 户。 处 在 最 高 层 的 是 金 融 认 证 中 心(Root CA), 它 是 所 有 人 公 认 的 权 威, 如 人 民 银 行 总 行 的 CA。 认 证 中 心 的 系 统 结 构 如 下 图 所 示。
认 证 中 心 主 要 有 以 下 几 种 功 能:
证 书 的 颁 发
中 心 接 收、 验 证 用 户( 包 括 下 级 认 证 中 心 和 最 终 用 户) 的 数 字 证 书 的 申 请, 将 申 请 的 内 容 进 行 备 案, 并 根 据 申 请 的 内 容 确 定 是 否 受 理 该 数 字 证 书 申 请。 如 果 中 心 接 受 该 数 字 证 书 申 请, 则 进 一 步 确 定 给 用 户 颁 发 何 种 类 型 的 证 书。 新 证 书 用 认 证 中 心 的 私 钥 签 名 以 后, 发 送 到 目 录 服 务 器 供 用 户 下 载 和 查 询。 为 了 保 证 消 息 的 完 整 性, 返 回 给 用 户 的 所 有 应 答 信 息 都 要 使 用 认 证 中 心 的 签 名。
证 书 的 更 新
认 证 中 心 可 以 定 期 更 新 所 有 用 户 的 证 书, 或 者 根 据 用 户 的 请 求 来 更 新 用 户 的 证 书。
证 书 的 查 询
证 书 的 查 询 可 以 分 为 两 类, 其 一 是 证 书 申 请 的 查 询, 认 证 中 心 根 据 用 户 的 查 询 请 求 返 回 当 前 用 户 证 书 申 请 的 处 理 过 程; 其 二 是 用 户 证 书 的 查 询, 这 类 查 询 由 目 录 服 务 器 来 完 成, 目 录 服 务 器 根 据 用 户 的 请 求 返 回 适 当 的 证 书。
证 书 的 作 废
当 用 户 的 私 钥 由 于 泄 密 等 原 因 造 成 用 户 证 书 需 要 申 请 作 废 时, 用 户 需 要 向 认 证 中 心 提 出 证 书 作 废 请 求, 认 证 中 心 根 据 用 户 的 请 求 确 定 是 否 将 该 证 书 作 废。
另 外 一 种 证 书 作 废 的 情 况 是 证 书 已 经 过 了 有 效 期, 认 证 中 心 自 动 将 该 证 书 作 废。 认 证 中 心 通 过 维 护 证 书 作 废 列 表(Certificate Revocation List,CRL) 来 完 成 上 述 功 能。
证 书 的 归 档
证 书 具 有 一 定 的 有 效 期, 证 书 过 了 有 效 期 之 后 就 将 被 作 废, 但 是 我 们 不 能 将 作 废 的 证 书 简 单 地 丢 弃, 因 为 有 时 我 们 可 能 需 要 验 证 以 前 的 某 个 交 易 过 程 中 产 生 的 数 字 签 名, 这 时 我 们 就 需 要 查 询 作 废 的 证 书。 基 于 此 类 考 虑, 认 证 中 心 还 应 当 具 备 管 理 作 废 证 书 和 作 废 私 钥 的 功 能。
总 的 说 来, 基 于 认 证 中 心 的 安 全 方 案 应 该 很 好 地 解 决 网 上 用 户 身 份 认 证 和 信 息 安 全 传 输 问 题。 一 般 一 个 完 整 的 安 全 解 决 方 案 包 括 以 下 几 个 方 面:
认 证 中 心 的 建 立;
密 码 体 制 的 选 择, 现 在 一 般 都 采 用 混 合 密 码 体 制( 即 对 称 密 码 和 非 对 称 密 码 的 结 合);
安 全 协 议 的 选 择, 目 前 较 常 用 的 安 全 协 议 有:SSL(Secure Socket Layer)、S -HTTP(Secure HTTP) 和SET 等。
其 中, 认 证 中 心 的 建 立 是 实 现 整 个 网 络 安 全 解 决 方 案 的 关 键 和 基 础, 它 的 建 立 对Internet 上 电 子 商 务 与 政 府 上 网 应 用 的 开 展 具 有 非 常 重 要 的 意 义。
那 么, 到 底 什 么 是 认 证 中 心 呢 ? 在 回 答 这 个 问 题 之 前, 我 们 首 先 需 要 介 绍 数 字 证 书 的 概 念。
数 字 证 书 就 是 网 络 通 信 中 标 志 通 信 各 方 身 份 信 息 的 一 系 列 数 据, 其 作 用 类 似 于 现 实 生 活 中 的 身 份 证。 它 是 由 一 个 权 威 机 构 发 行 的, 人 们 可 以 在 交 往 中 用 它 来 识 别 对 方 的 身 份。 数 字 证 书 的 格 式 一 般 采 用X.509 国 际 标 准。 一 个 标 准 的X.509 数 字 证 书 包 含 以 下 一 些 内 容: 证 书 的 版 本 信 息; 证 书 的 序 列 号, 每 个 用 户 都 有 一 个 唯 一 的 证 书 序 列 号; 证 书 所 使 用 的 签 名 算 法; 证 书 的 发 行 机 构 名 称, 命 名 规 则 一 般 采 用X.400 格 式; 证 书 的 有 效 期, 现 在 通 用 的 证 书 一 般 采 用UTC 时 间 格 式, 它 的 计 时 范 围 为1950 ~2049; 证 书 所 有 人 的 名 称, 命 名 规 则 一 般 采 用X.400 格 式; 证 书 所 有 人 的 公 开 密 钥( 关 于 公 开 密 钥 的 信 息 详 见 非 对 称 密 码 算 法 的 有 关 内 容); 证 书 发 行 者 对 证 书 的 签 名。
此 外,X.509 证 书 格 式 还 预 留 了 扩 展, 用 户 可 以 根 据 自 己 的 需 要 进 行 扩 展。 目 前 比 较 典 型 的 扩 展 如: Microsoft IE 的 扩 展、Netscape 的 扩 展 和SET(Secure Electronic Transaction) 的 扩 展 等。
我 们 可 以 使 用 数 字 证 书, 通 过 运 用 对 称 和 非 对 称 密 码 体 制 等 密 码 技 术 建 立 起 一 套 严 密 的 身 份 认 证 系 统, 从 而 保 证: 信 息 除 发 送 方 和 接 收 方 外 不 被 其 他 人 窃 取; 信 息 在 传 输 过 程 中 不 被 篡 改; 发 送 方 能 够 通 过 数 字 证 书 来 确 认 接 收 方 的 身 份; 发 送 方 对 于 自 己 发 送 的 信 息 不 能 抵 赖。
认 证 中 心 就 是 一 个 负 责 发 放 和 管 理 数 字 证 书 的 权 威 机 构。 对 于 一 个 大 型 的 应 用 环 境, 认 证 中 心 往 往 采 用 一 种 多 层 次 的 分 级 结 构, 各 级 的 认 证 中 心 类 似 于 各 级 行 政 机 关, 上 级 认 证 中 心 负 责 签 发 和 管 理 下 级 认 证 中 心 的 证 书, 最 下 一 级 的 认 证 中 心 直 接 面 向 最 终 用 户。 处 在 最 高 层 的 是 金 融 认 证 中 心(Root CA), 它 是 所 有 人 公 认 的 权 威, 如 人 民 银 行 总 行 的 CA。 认 证 中 心 的 系 统 结 构 如 下 图 所 示。
认 证 中 心 主 要 有 以 下 几 种 功 能:
证 书 的 颁 发
中 心 接 收、 验 证 用 户( 包 括 下 级 认 证 中 心 和 最 终 用 户) 的 数 字 证 书 的 申 请, 将 申 请 的 内 容 进 行 备 案, 并 根 据 申 请 的 内 容 确 定 是 否 受 理 该 数 字 证 书 申 请。 如 果 中 心 接 受 该 数 字 证 书 申 请, 则 进 一 步 确 定 给 用 户 颁 发 何 种 类 型 的 证 书。 新 证 书 用 认 证 中 心 的 私 钥 签 名 以 后, 发 送 到 目 录 服 务 器 供 用 户 下 载 和 查 询。 为 了 保 证 消 息 的 完 整 性, 返 回 给 用 户 的 所 有 应 答 信 息 都 要 使 用 认 证 中 心 的 签 名。
证 书 的 更 新
认 证 中 心 可 以 定 期 更 新 所 有 用 户 的 证 书, 或 者 根 据 用 户 的 请 求 来 更 新 用 户 的 证 书。
证 书 的 查 询
证 书 的 查 询 可 以 分 为 两 类, 其 一 是 证 书 申 请 的 查 询, 认 证 中 心 根 据 用 户 的 查 询 请 求 返 回 当 前 用 户 证 书 申 请 的 处 理 过 程; 其 二 是 用 户 证 书 的 查 询, 这 类 查 询 由 目 录 服 务 器 来 完 成, 目 录 服 务 器 根 据 用 户 的 请 求 返 回 适 当 的 证 书。
证 书 的 作 废
当 用 户 的 私 钥 由 于 泄 密 等 原 因 造 成 用 户 证 书 需 要 申 请 作 废 时, 用 户 需 要 向 认 证 中 心 提 出 证 书 作 废 请 求, 认 证 中 心 根 据 用 户 的 请 求 确 定 是 否 将 该 证 书 作 废。
另 外 一 种 证 书 作 废 的 情 况 是 证 书 已 经 过 了 有 效 期, 认 证 中 心 自 动 将 该 证 书 作 废。 认 证 中 心 通 过 维 护 证 书 作 废 列 表(Certificate Revocation List,CRL) 来 完 成 上 述 功 能。
证 书 的 归 档
证 书 具 有 一 定 的 有 效 期, 证 书 过 了 有 效 期 之 后 就 将 被 作 废, 但 是 我 们 不 能 将 作 废 的 证 书 简 单 地 丢 弃, 因 为 有 时 我 们 可 能 需 要 验 证 以 前 的 某 个 交 易 过 程 中 产 生 的 数 字 签 名, 这 时 我 们 就 需 要 查 询 作 废 的 证 书。 基 于 此 类 考 虑, 认 证 中 心 还 应 当 具 备 管 理 作 废 证 书 和 作 废 私 钥 的 功 能。
总 的 说 来, 基 于 认 证 中 心 的 安 全 方 案 应 该 很 好 地 解 决 网 上 用 户 身 份 认 证 和 信 息 安 全 传 输 问 题。 一 般 一 个 完 整 的 安 全 解 决 方 案 包 括 以 下 几 个 方 面:
认 证 中 心 的 建 立;
密 码 体 制 的 选 择, 现 在 一 般 都 采 用 混 合 密 码 体 制( 即 对 称 密 码 和 非 对 称 密 码 的 结 合);
安 全 协 议 的 选 择, 目 前 较 常 用 的 安 全 协 议 有:SSL(Secure Socket Layer)、S -HTTP(Secure HTTP) 和SET 等。
其 中, 认 证 中 心 的 建 立 是 实 现 整 个 网 络 安 全 解 决 方 案 的 关 键 和 基 础, 它 的 建 立 对Internet 上 电 子 商 务 与 政 府 上 网 应 用 的 开 展 具 有 非 常 重 要 的 意 义。
|
|
相关链接
|
|