1、CA認(rèn)證功能介紹 發(fā)布日期：2008-12-30 11:38:25概括地說，認(rèn)證中心（CA）的功能有：證書發(fā)放、證書更新、 證書撤銷和證書驗證。CA的核心功能就是發(fā)放和管理數(shù)字證書，具 體描述如下：（1）接收驗證最終用戶數(shù)字證書的申請。（2）確定是否接受最終用戶數(shù)字證書的申請-證書的審批。（3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。（4）接收、處理最終用戶的數(shù)字證書更新請求-證書的更新。（5）接收最終用戶數(shù)字證書的查詢、撤銷。（6）產(chǎn)生和發(fā)布證書廢止列表（CRL）。（7）數(shù)字證書的歸檔。（8）密鑰歸檔。（9）歷史數(shù)據(jù)歸檔。認(rèn)證中心為了實現(xiàn)其功能，主要由以下三部分組成：（1） 注 冊服務(wù)器

2、：通過Web Server建立的站點，可為客戶提 供每日24小時的服務(wù)。因此客戶可在自己方便的時候在網(wǎng)上提出證 書申請和填寫相應(yīng)的證書申請表，免去了排隊等候等煩惱。（2） 證書申請受理和審核機構(gòu)：負(fù)責(zé)證書的申請和審核。它的主要功能 是接受客戶證書申請并進行審核。（3）認(rèn)證中心服務(wù)器：是數(shù)字 證書生成、發(fā)放的運行實體，同時提供發(fā)放證書的管理、證書廢止 列表（CRL）的生成和處理等服務(wù)。CA認(rèn)證簡介為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更 強的加密算法等措施之外，必須建立一種信任及信任驗證機制，即 參加電子商務(wù)的各方必須有一個可以被驗證的標(biāo)識，這就是數(shù)字證 書。數(shù)字證書是各實體（持卡人

3、/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等）在 網(wǎng)上信息交流及商務(wù)交易活動中的身份證明。該數(shù)字證書具有唯一 性。它將實體的公開密鑰同實體本身聯(lián)系在一起，為實現(xiàn)這一目的， 必須使數(shù)字證書符合X.509國際標(biāo)準(zhǔn)，同時數(shù)字證書的來源必須是 可靠的。這就意味著應(yīng)有一個網(wǎng)上各方都信任的機構(gòu)，專門負(fù)責(zé)數(shù) 字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，這個機構(gòu)就是CA認(rèn)證 機構(gòu)。各級CA認(rèn)證機構(gòu)的存在組成了整個電子商務(wù) 的信任鏈。如 果CA機構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴 性，電子商務(wù)就根本無從談起。數(shù)字證書認(rèn)證中心（Certficate Authority,CA）是整個網(wǎng) 上電子交易安全的關(guān)鍵環(huán)節(jié)。

4、它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參 與網(wǎng)上交易的實體所需的身份認(rèn)證數(shù)字證書。每一份數(shù)字證書都與 上一級的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的 并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機構(gòu)一根認(rèn)證中心（根CA）。 電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認(rèn)證中心機 構(gòu)（CA）簽發(fā)的數(shù)字證書，在交易的各個環(huán)節(jié)，交易的各方都需檢 驗對方數(shù)字證書的有效性，從而解 決了用戶信任問題。CA涉及到電 子交易中各交易方的身份信息、嚴(yán)格的加密技術(shù)和認(rèn)證程序?；?其牢固的安全機制，CA應(yīng)用可擴大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳 輸服務(wù)。數(shù)字證書認(rèn)證解決了網(wǎng)上交易和結(jié)算中的安全問題，其中包 括建立電子

5、商務(wù)各主體之間的信任關(guān)系，即建立安全認(rèn)證體系（CA）； 選擇安全標(biāo)準(zhǔn)（如SET、SSL）；采用高強度的加、解密技術(shù)。其中 安全認(rèn)證體系的建立是關(guān)鍵，它決定了網(wǎng)上交易和結(jié)算能否安全進 行，因此，數(shù)字證書認(rèn)證中心機構(gòu)的建立對電子商務(wù)的開展具有非 常重要的意義。認(rèn)證中心（CA），是電子商務(wù)體系中的核心環(huán)節(jié)，是電子交 易中信賴的基礎(chǔ)。它通過自身的注冊審核體系，檢查核實進行證書 申請的用戶身份和各項相關(guān)信息，使網(wǎng)上交易的用戶屬性客觀真實 性與證書的真實性一致。認(rèn)證中心作為權(quán)威的、可信賴的、公正的 第三方機構(gòu)，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實體所需的 數(shù)字證書。數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系

6、列數(shù)據(jù)，用來在 網(wǎng)絡(luò)通訊中識別通訊各方的身份，即要在Internet上解決我是誰 的問題，就如同現(xiàn)實中我們每一個人都要擁有一張證明個人身份的 身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的，以 數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解 密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性， 以及交易實體身份的真實性，簽名信息的不可否認(rèn)性，從而保障網(wǎng) 絡(luò)應(yīng)用的安全性。數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進 行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰（私 鑰），用它進行解密和簽名；同時擁有一把公共密鑰（公鑰）并可 以對外公開，用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送 方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密， 這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲， 由于沒有相應(yīng)的私鑰，也無法進行解密。通過數(shù)字的手段保證加密 過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰 密碼體制中，常用的一種是RSA體制。用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為 本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽 名。采用數(shù)字簽名，能夠確認(rèn)以下兩點：（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以 否；（2）保證