CA认证系统.doc

CA 认证系统 引入 CA 认证系统的必要性对于电子政务的交易安全而言,其基本要求为: 1) 信息保密性( Confidentiality ): 即通过密码学的方式加密, 所传递的信息以防止窃取; 2) 信息真实性和完整性( Authenticity and integrity ): 即通过数字签章( Digital signature ) 的方式,用 Hash 方式保证信息不会被改变和假冒; 3 )不可否认性( Non-repudiation ): 即身份认证,通过可信任的 CA 中心发放的 CA 证书来证明使用的身份。安全传递和存储信息应用权限控制其中最为关键的就是建立基于证书的认证体系,或者使用可信的 CA 认证中心发放的 CA 证书。 CA 认证系统结构 CA 认证系统结构客户端/ 浏览器 WEB 服务器 CA 注册认证中心申请、发放、注销、恢复证书 CA 身份验证执行需进行认证的应用结构说明如下: 采用第三方认证机构建立 CA 认证中心和 RA (证书注册中心) ,实现 CA 证书的注册、验证、管理功能; 通过专线连接 CA 认证中心, 在需要安装进行 CA 证书验证的应用服务器上安装接口程序,实现对 CA 证书的验证功能。当用户进行需进行 CA 认证的应用操作时 WEB SERVER 服务器自动使用 CA 认证接口程序,完成对用户身份的验证。 CA 认证中心是一负责发放和管理数字证书的权威机构。 CA 的主要功能是:接收注册请求、处理、批准、拒绝请求、颁发证书等。用户向 CA 提交代表自己身份的信息( 如身份证号码或 E- mail 地址), CA 验证了用户的有效身份之后, 向用户颁发一个经过 CA 私有密钥签名的证书。对于一个大型的应用环境, 认证中心往往采用一种多层次的分级结构, 各级的认证中心类似于各级行政机关, 上级认证中心负责签发和管理下级认证中心的证书, 最下一级的认证中心直接面向最终用户。处在最高层的是认证根中心(Root CA) 。 认证中心主要有以下几种功能: 证书的颁发中心接收、验证用户( 包括下级认证中心和最终用户) 的数字证书的申请, 将申请的内容进行备案, 并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请, 则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后, 发送到目录服务器供用户下载和查询。为了保证消息的完整性, 返回给用户的所有应答信息都要使用认证中心的签名。证书的更新认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书。证书的查询证书的查询可以分为两类, 其一是证书申请的查询, 认证中心根据用户的查询请求返回当前用户证书申请的处理过程;其二是用户证书的查询,这类查询由目录服务器来完成,目录服务器根据用户的请求返回适当的证书。证书的作废当用户的私钥由于泄密等原因, 用户证书需要申请作废时, 用户需要向认证中心提出证书作废请求,认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期, 认证中心自动将该证书作废。认证中心通过维护证书作废列表( CertificateRevocationList,CRL ) 来完成上述功能。证书的归档证书具有一定的有效期, 证书过了有效期之后将被作废