证书管理机构CA[编辑]
CA的基本概念:
CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体("证书申请者"拥有了证书后即成为"证书主体")与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份,保证电子商务的安全进行。
解 释: 受委托发放数字证书的第三方组织或公司。数字证书是用来建立数字签名和公-私(public-private)密钥对的。CA在这个过程中所起的作用就是保证获得这一独特证书的人就是被授权者本人。在数据安全和电子商务中,CA是一个非常重要的组成部分,因为它们确保信息交换各方的身份。
CA是PKI系统中通信双方都信任的实体,被称为可信第三方(Trusted Third Party,简称TTP)。CA作为可信第三方的重要条件之一就是CA的行为具有非否认性。作为第三方而不是简单的上级,就必须能让信任者有追究自己责任的能力。CA通过证书证实他人的公钥信息,证书上有CA的签名。用户如果因为信任证书而导致了损失,证书可以作为有效的证据用于追究CA的法律责任。正是因为CA愿意给出承担责任的承诺,所以也被称为可信第三方。在很多情况下,CA与用户是相互独立的实体,CA作为服务提供方,有可能因为服务质量问题(例如,发布的公钥数据有错误)而给用户带来损失。证书中绑定了公钥数据、和相应私钥拥有者的身份信息,并带有CA的数字签名。证书中也包含了CA的名称(图中为LOIS CA),以便于依赖方找到CA的公钥、验证证书上的数字签名。
CA的层级结构:
CA建立自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。
CA提供的服务:
颁发证书、废除证书、更新证书、验证证书、管理密钥。
CA的大概分类:
1、行业性CA
金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、
中国海关CA、中国银行CA、中国工商银行CA、中国建设
银行CA、招商银行CA、国家计委电子政务CA、南海自然
人CA(NPCA)
2、区域性CA
协卡认证体系(上海CA、北京CA、天津CA)
网证通体系(广东CA、海南CA、湖北CA、重庆CA)
3、独立的CA认证中心
– 山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙
江邮政CA、黑龙江政府CA、山东CA、深圳CA 、吉林省政
府CA、福建泉州市商业银行网上银行CA、天威诚信CA
国内CA现状:
互联网的开放性大大降低了网络环境的可信性。电子商务中的交易信任问题成为信息安全的主要问题和关键问题,而信任是交易的基础。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,还必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体在网上信息交流及商务交易活动中的身份证明,该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
电子商务对网络安全的要求,不仅推动着Internet上交易秩序和交易环节,同时也带来了巨大的商业机会。自1998年国内第一家以实体形式运营的上海CA中心成立以来,全国各地、各行业纷纷上马建成了几十家不同类型的CA认证机构。如果从CA中心建设的背景来分,国内的CA中心大致可以分为三类:行业建立的CA,如CFCA,CTCA等;政府授权建立的CA,如上海CA,北京CA等;商业性CA。不难看出,行业性CA不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与CA中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性CA更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安CA认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性CA,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性CA离不开与银行、邮电等行业的合作。
国内CA存在的问题:
在电子商务系统中,CA安全认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。在技术层面上,由于受到美国出口限制的影响,国内的CA认证技术完全靠自己研发,由于参与部门很多,导致了标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。在应用层面上,一些CA认证机构对证书的发放和审核不够严谨。目前国内相关的CA中心在颁发CA证书前虽然也竭力进行真实身份的审核,但由于进行相关审核的人员往往是CA中心自己的工作人员或其委托的其他人员,从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的CA中心本身往往也是交易或合同的一方,难免存在不公正性。为了抢占市场,在没有进行严格的身分确认和验证就随意发放证书,难以确保认证的权威性和公证性。在分布格局上,很多CA认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
证书管理、电子认证、数字签名
网络营销词典内容均由网友提供,仅供参考。如发现词条内容有问题,请发邮件至info # wm23.com。