CA中心
出自 MBA智库百科(https://wiki.mbalib.com/)
CA中心(Certificate Authority Center)
目錄 |
認證中心(CA─Certificate Authority)作為權威的、可信賴的、公正的第三方機構,專門負責發放並管理所有參與網上交易的實體所需的數字證書。它作為一個權威機構,對密鑰進 行有效地管理,頒發證書證明密鑰的有效性,並將公開密鑰同某一個實體(消費者、商戶、銀行)聯繫在一起。它負責產生、分配並管理所有參與網上信息交換各方所需的數字證書,因此是安全電子信息交換的核心。
為保證客戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對客戶的身份真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發並管理符合國內、國際安全電子交易協議標準的安全證書。
數字證書管理中心是保證電子商務安全的基礎設施。它負責電子證書的申請、簽發、製作、廢止、認證和管理,提供網上客戶身份認證、數字簽名、電子公證、安全電子郵件等服務等業務。
隨著認證中心(或稱CA中心)的出現,使得開放網路的安全問題得以迎刃而解。利用數字證書、PKI、對稱加密演算法、數字簽名、數字信封等加密技術,可以建立起安全程度極高的加解密和身份認證系統,確保電子交易有效、安全地進行,從而使信息除發送方和接收方外,不被其他方知悉(保密性);保證傳輸過程中不被篡改(完整性和一致性);發送方確信接收方不是假冒的(身份的真實性和不可偽裝性);發送方不能否認自己的發送行為(不可抵賴性)。
CA認證的主要工具是CA中心為網上作業主體頒發的數字證書。CA架構包括PKI結構、高強度抗攻擊的公開加解密演算法、數字簽名技術、身份認證技 術、運行安全管理技術、可靠的信任責任體系等等。從業務流程涉及的角色看, 包括認證機構、數字證書庫和黑名單庫、密鑰托管處理系統、證書目錄服務、證書審批和作廢處理系統。從CA的層次結構來看, 可以分為認證中心(根CA)、密鑰管理中心(KM)、認證下級中心(子CA)、證書審批中心(RA中心)、證書審批受理點(RAT)等。CA中心一般要發佈認證體系聲明書,向服務的對象鄭重聲明CA的政策、保證安全的措施、服務的範圍、服務的質量、承擔的責任、操作流程等條款。
根據PKI的結構,身份認證的實體需要有一對密鑰,分別為私鑰和公鑰。其中的私鑰是保密的,公鑰是公開的。從原理上講,不能從公鑰推導出私鑰,窮舉法來求私鑰則由於目前的技術、運算工具和時間的限制而不可能。每個實體的密鑰總是成對出現,即一個公鑰必定對應一個私鑰。公鑰 加密的信息必須由對應的私鑰才能解密,同樣,私鑰做出的簽名,也只有配對的公鑰才能解密。公鑰有時用來傳輸對稱密鑰,這就是數字信封技術。密鑰的管理政策是把公鑰和實體綁定,由CA中心把實體的信息和實體的公鑰製作成數字證書,證書的尾部必須有CA中心的數字簽名。由於CA中心的數字簽名是不可偽造的,因此實體的數字證書不可偽造。CA中心對實體的物理身份資格審查通過後,才對申請者頒發數字證書,將實體的身份與數字證書對應起來。由於實體都信任提供第三方服務的CA中心,因此,實體可以信任由CA中心頒發數字證書的其他實體,放心地在網上進行作業和交易。
CA中心主要職責是頒發和管理數字證書。其中心任務是頒發數字證書,並履行用戶身份認證的責任。CA中心在安全責任分散、運行安全管理、系統安全、物理安全、資料庫安全、人員安全、密鑰管理等方面,需要十分嚴格的政策和規程,要有完善的安全機制。另外要有完善的安全審計、運行監控、容災備份、事故快速反應等實施措施, 對身份認證、訪問控制、防病毒防攻擊等方面也要有強大的工具支撐。CA中心的證書審批業務部門則負責對證書申請者進行資格審查,並決定是否同意給該申請者發放證書,並承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的一切後果,因此,它應是能夠承擔這些責任的機構擔任;證書操作部門(Certificate Processor,簡稱CP)負責為已授權的申請者製作、發放和管理證書, 並承擔因操作運營錯誤所產生的一切後果,包括失密和為沒有授權者發放證書等,它可以由審核業務部門自己擔任,也可委托給第三方擔任。
數字安全證書就是標誌網路用戶身份信息的一系列數據,用來在網路通訊中識別通訊各方的身份,即要在Internet上解決"我是誰"的問題,就如同現實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執照一樣,以表明我們的身份或某種資格。
在網上電子交易中, 商戶需要確認持卡人是信用卡或借記卡的合法持有者,同時持卡人也必須能夠鑒別商戶是否是合法商戶,是否被授權接受某種品牌的信用卡或借記卡支付。為處理這 些關鍵問題,必須有一個大家都信賴的機構來發放數字安全證書。數字安全證書就是參與網上交易活動的各方(如持卡人、商家、支付網關) 身份的代表,每次交易時,都要通過數字安全證書對各方的身份進行驗證。數字安全證書是由權威公正的第三方機構即CA中心簽發的,它在證書申請被認證中心批 準後,通過登記服務機構將證書發放給申請者。
數字安全證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字 簽名。一般情況下證書中還包括密鑰的有效時間,發證機關(證書授權中心)的名稱,該證書的序列號等信息,證書的格式遵循ITUT X.509國際標準。
一個標準的X.509數字安全證書包含以下一些內容:
·證書的版本信息;
·證書的序列號,每個證書都有一個唯一的證書序列號;
·證書所使用的簽名演算法;
·證書的發行機構名稱,命名規則一般採用X.500格式;
·證書的有效期,現在通用的證書一般採用UTC時間格式;
·證書所有人的名稱,命名規則一般採用X.500格式;
·證書所有人的公開密鑰;
·證書發行者對證書的簽名
CA為電子商務服務的證書中心,是PKI(Public Key Infrastructure)體系的核心。它為客戶的公開密鑰簽發公鑰證書、發放證書和管理證書,並提供一系列密鑰生命周期內的管理服務。它將客戶的公 鑰與客戶的名稱及其他屬性關聯起來,為客戶之間電子身份進行認證。證書中心是一個具有權威性、可信賴性和公證性的第三方機構。它是電子商務存在和發展的基礎。認證中心在密碼管理方面的作用如下:
從根CA開始到直接給客戶發放證書的各層次CA,都有其自身的密鑰對。CA中心的密鑰對一般由硬體加密伺服器在機器內直接產生,並存儲於加密硬 件內,或以一定的加密形式存放於密鑰資料庫內。加密備份於IC卡或其他存儲介質中,並以高等級的物理安全措施保護起來。密鑰的銷毀要以安全的密鑰沖寫標 準,徹底清除原有的密鑰痕跡。需要強調的是,根CA密鑰的安全性至關重要,它的泄露意味著整個公鑰信任體系的崩潰,所以CA的密鑰保護必須按照最高安全級 的保護方式來進行設置和管理。
在客戶證書的生成與發放過程中,除了有CA中心外,還有註冊機構、審核機構和發放機構(對於有外部介質的證書)的存在。行業使用範圍內的證書, 其證書的審批控制,可由獨立於CA中心的行業審核機構來完成。CA中心在與各機構進行安全通信時,可採用多種手段。對於使用證書機制的安全通信,各機構 (通信端)的密鑰產生、發放與管理維護,都可由CA中心來完成。
每一張客戶公鑰證書都會有有效期,密鑰對生命周期的長短由簽發證書的CA中心來確定。各CA系統的證書有效期限有所不同,一般大約為2~3年。
密鑰更新不外為以下兩種情況:密鑰對到期、密鑰泄露後需要啟用新的密鑰對(證書吊銷)。密鑰對到期時,客戶一般事先非常清楚,可以採用重新申請的方式實施更新。
採用證書的公鑰吊銷,是通過吊銷公鑰證書來實現的。公鑰證書的吊銷來自於兩個方向,一個是上級的主動吊銷,另一個是下級主動申請證書的吊銷。當上級CA對下級CA不能信賴時(如上級發現下級CA的私鑰有泄露的可能),它可以主動停止下級CA公鑰證書的合法使用。當客戶發現自己的私鑰泄露時,也可 主動申請公鑰證書的吊銷,防止其他客戶繼續使用該公鑰來加密重要信息,而使非法客戶有盜取機密的可能。一般而言,在電子商務實際應用中,可能會較少出現私 鑰泄露的情況,多數情況是由於某個客戶由於組織變動而調離該單位,需要提前吊銷代表企業身份的該客戶的證書。
CA中心可為客戶提供密鑰對的生成服務,它採用集中或分散式的方式進行。在集中的情形下,CA中心可使用硬體加密伺服器,為多個客戶申請成批的生成密鑰對,然後採用安全的通道分發給客戶。也可由多個註冊機構(RA)分佈生成客戶密鑰對並分發給客戶。
CA中心可根據客戶的要求提供密鑰托管服務,備份和管理客戶的加密密鑰對。當客戶需要時可以從密鑰庫中提出客戶的加密密鑰對,為客戶恢復其加密 密鑰對,以解開先前加密的信息。這種情形下,CA中心的密鑰管理器,採用對稱加密方式對各個客戶私鑰進行加密,密鑰加密密鑰在加密後即銷毀,保證了私鑰存儲的安全性。密鑰恢復時,採用相應的密鑰恢復模塊進行解密,以保證客戶的私鑰在恢復時沒有任何風險和不安全因素。同時,CA中心也應有一套備份庫,避免密鑰資料庫的意外毀壞而無法恢復客戶私鑰。
CA中心在自身密鑰和客戶密鑰管理方面的特殊地位和作用,決定了它具有主密鑰、多級密鑰加密密鑰等多種密鑰的生成和管理功能。
對於為客戶提供公鑰信任、管理和維護整個電子商務密碼體系的CA中心來講,其密鑰管理工作是一項十分複雜的任務,它涉及到CA中心自身的各個安全區域和部件、註冊審核機構以及客戶端的安全和密碼管理策略。
目前,以數字安全證書為核心的PKI技術正在日趨成熟,其應用已覆蓋了安全電子郵件、虛擬專用網路(VPN)、Web交互安全、電子數據交換、Internet上的信用卡交易等,涉及電子商務、電子政務、電子事務安全等諸多領域。
隨著Internet應用在我國的不斷普及和深入,政府部門將利用數字安全證書技術來支持管理;商業企業內部、企業與企業之間、區域性服務網路、電子商務網站將使用PKI的技術和解決方案。
許多PKI新技術都在不斷地涌現,CA之間的信任模型、使用的加解密演算法、密鑰管理的方案等也在不斷地變化之中。網路,特別是Internet網 絡的安全應用離不開PKI技術的支持。網路應用中的機密性、真實性、完整性、不可否認性和存取控制等安全需求,只有以數字安全證書為核心的PKI技術才能 滿足。作為一個網路發展大國,我國的安全認證市場方興未艾,未來必將大有可為。
太好了