CA是什么意思
ca(certification authority)是以构建在公钥基础设施pki(public key infrastructure)基础之上的产生和确定数字证书的第三方可信机构(trusted third party),其主要进行身份证书的发放,并按设计者制定的策略,管理电子证书的正常使用。ca具有权威性、可信赖性及公正性,承担着公钥体系中公钥的合法性检验的责任。ca为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca的数字签名使得攻击者不能伪造和篡改证书,ca还负责吊销证书并发布证书吊销列表(crl),并负责产生、分配和管理所有网上实体所需的数字证书,因此,它是安全电子政务的核心环节。
ca认证体系的组成
ca认证体系由以下几个部门组成:一是ca,负责产生和确定用户实体的数字证书。二是审核授权部门,简称ra(registry authority),它负责对证书的申请者进行资格审查,并决定是否同意给申请者发放证书。同时,承担因审核错误而引起的、为不满足资格的人发放了证书而引起的一切后果,它应由能够承担这些责任的机构担任。三是证书操作部门,证书操作部门cp(certification processor)为已被授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权的人发放了证书等,它可由ra自己担任,也可委托给第三方担任。四是密钥管理部门(km),负责产生实体的加密钥对,并对其解密私钥提供托管服务。五是证书存储地(dir),包括网上所有的证书目录。
在ca认证体系中,各组成部分彼此之间的认证关系一般如下:
(1)用户与ra之间:用户请求ra进行审核,用户应该将自己的身份信息提交给ra,ra对用户的身份进行审核后,要安全地将该信息转发给ca。
(2)ra与ca之间:ra应该以一种安全可靠的方式把用户的身份识别信息传送给ca。ca通过安全可行的方式将用户的数字证书传送给ra或直接送给用户。
(3)用户与dir之间:用户可以在dir中查询、撤销证书列表和数字证书。
(4)dir与ca之间:ca将自己产生的数字证书直接传送给目录dir,并把它们登记在目录中,在目录中登记数字证书要求用户鉴别和访问控制。
(5)用户与km之间:km接受用户委托,代表用户生成加密密钥对;用户所持证书的加密密钥必须委托密钥管理中心生成;用户可以申请解密私钥恢复服务;km应该为用户提供解密私钥的恢复服务。用户的解密私钥必须统一在密钥管理中心托管。
(6)ca与km之间:这二者之间的通讯必须是保密、安全的。要求它们之间用通讯证书来保证安全性。通讯证书是认证机关与密钥管理中心、上级或下级认证机关进行通讯时使用的计算机设备证书。这些专用的计算机设备必须申请并安装认证机构所发布的专用通讯证书,同时,还必须安装密钥管理中心、上级或下级认证机构专用通讯计算机设备所持有的通讯密钥证书和认证机构的根证书。
认证体系的职责
从上述论述中,可以总结出,ca至少担负着以下几项具体的职责:
(1)验证并标识公开密钥信息提交认证的实体的身份;
(2)确保用于产生数字证书的非对称密钥对的质量;
(3)保证认证过程和用于签名公开密钥信息的私有密钥的安全;
(4)确保两个不同的实体未被赋予相同的身份,以便把它们区别开来;
(5)管理包含于公开密钥信息中的证书材料信息,例如数字证书序列号、认证机构标识等;
(6)维护并发布撤销证书列表;
(7)指定并检查证书的有效期;
(8)通知在公开密钥信息中标识的实体,数字证书已经发布;
(9)记录数字证书产生过程的所有步骤。
ca安全认证体系的功能
ca安全认证体系的主要功能包括:签发数字证书、管理下级审核注册机构、接受下级审核注册机构的业务申请、维护和管理所有证书目录服务、向密钥管理中心申请密钥、实体鉴别密钥器的管理,等等。