文档介绍：CA技术体系及应用领域的研究报告
工业和信息化部软件与集成电路促进中心
二0一0年一月
CA概述
数字证书是一种数字标识,上的安全护照或身份证明。当人们到其他国家旅行时,用户护照可以证实其的身份,并被获准进入这个国家。数字证书提供的是网络上的身份证明。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
CA (CertificationAuthority)是数字证书认证中心,是指对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签名),以防证书被伪造或篡改。
相关专业术语
CA:certification authority的缩写,是以构建在公钥基础设施PKI基础之上的产生和确定数字证书的第三方可信机构(trusted third party),其主要进行身份证书的发放,并按设计者制定的策略,管理电子证书的正常使用。CA具有权威性、可信赖性及公正性,承担着公钥体系中公钥的合法性检验的责任。CA为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA的数字签名使得攻击者不能伪造和篡改证书,CA还负责吊销证书并发布证书吊销列表(
CRL),并负责产生、分配和管理所有网上实体所需的数字证书,因此,它是安全电子政务的核心环节。
政策批准机构PAA:创建各个PKI系统的方针,批准本PAA下属的PCA的政策,为下属PCA签发公钥证书,建立整个PKI体系的安全策略,并具有监控各PCA行为的责任。
政策PCA机构:PCA为政策CA,制定本PCA的具体政策,可以是上级PAA政策的扩充或细化,但不能与之相背离。这些政策可能包括本PCA范围内密钥的产生、钥密的长度、证书的有效期规定及CRL的管理等等。并为下属CA签发公钥证书。
桥证书中心(BCA):是多信任域PKI体系(连接多个信任域)中的核心,是不同信任域之间的桥梁,主要负责为不同信任域的主CA颁发交叉认证的证书,建立各个信任域的证书策略与桥CA的证书策略之间的一一映射关系,更新交叉认证证书,发布交叉认证证书黑名单等。
RA: Registry Authority的缩写,意为“审核授权部门”。RA作为CA认证体系中的一部分,该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能,为整个机构体系提供电子认证服务。能够直接从CA提供者那里继承CA认证的合法性。能够使客户以自己的名义发放证书,便于客户开展工作。
CP:(Certificate Processor)的缩写,意为“证书操作部门”。RA作为CA认证体系中的另一主要部分,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等。
CRL:(Certificate Revocation List)的缩写,意为“证书注销列表”。CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单,通知大家某些电子证书不再有效。
PKI:Public Key Infrastructure的缩写,意为“公钥基础设施”。PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
密钥:是加密算法用于加密和解密的种子,通过特定的算法对数据进行处理。
加密:我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。
解密:我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。
SSL:Secure Sockets Layer的缩写,意为“安全套接层”。上保密性的在线协议。它允许客户/服务器应用以一种不能被偷听的方式通讯。网上安全通讯与交易的标准。SSL协议使用通讯双方的证书,在通讯双方间建立一条安全的、可信任的通讯通。
我国CA认证中心的发展现状
电子商务、电子政务对网络安全的要求,不仅推动着互联网交易秩序和交易环境的建设,同时也带来了巨大的商业利润。从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统,到2000年6月29日,中国第一家金融认证中心一中国金融认证中心(CFCA)的正式挂牌,标志着中国正式开始了CA的认证工作。中国CA认证市场犹如雨后春笋,全国各地有几十家CA认证中心。从2004年8月8