认证中心
所谓认证中心(CA:CertificateAuthority),它是采用PKI(PublkickeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就想我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心两大类。一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。
1、概述
认证中心(CA─CertificateAuthority)作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体(消费者、商户、银行)联系在一起。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。
为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。
数字证书管理中心是保证电子商务安全的基础设施。它负责电子证书的申请、签发、制作、废止、认证和管理,提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。
随着认证中心(或称CA中心)的出现,使得开放网络的安全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的加解密和身份认证系统,确保电子交易有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。
2、认证中心的架构
CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的角色看,包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从CA的层次结构来看,可以分为认证中心(根CA)、密钥管理中心(KM)、认证下级中心(子CA)、证书审批中心(RA中心)、证书审批受理点(RAT)等。CA中心一般要发布认证体系声明书,向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。
根据PKI的结构,身份认证的实体需要有一对密钥,分别为私钥和公钥。其中的私钥是保密的,公钥是公开的。从原理上讲,不能从公钥推导出私钥,穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现,即一个公钥必定对应一个私钥。公钥加密的信息必须由对应的私钥才能解密,同样,私钥做出的签名,也只有配对的公钥才能解密。公钥有时用来传输对称密钥,这就是数字信封技术。密钥的管理政策是把公钥和实体绑定,由CA中心把实体的信息和实体的公钥制作成数字证书,证书的尾部必须有CA中心的数字签名。由于CA中心的数字签名是不可伪造的,因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后,才对申请者颁发数字证书,将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心,因此,实体可以信任由CA中心颁发数字证书的其他实体,放心地在网上进行作业和交易。
3、认证中心的功能
概括地说,认证中心(CA)功能主要有:证书发放、证书更新、证书撤销、证书验证。
CA的核心功能就是发放和管理数字证书,具体描述如下:
接收验证最终用户数字证书的申请。
确定是否接受最终用户数字证书的申请-证书的审批。
向申请者颁发、拒绝颁发数字证书-证书的发放。
接收、处理最终用户的数字证书的查询、撤销。
产生和发布证书废止列表(CRL)。
数字证书的归档。
密钥归档。
历史数据归档。
4、认证中心的组成部分
注册服务器:通过WebServer建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候的烦恼。
证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。
认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书的废止列表(CRL)的生成和处理等服务。
5、相关技术
PKI/CA的技术概述
公开密钥基础设施(PKI)是目前解决Internet安全问题采用的技术。PKI技术采用证书管理公钥,通过第三方的可信任机构——认证中心(CA),将用户的公钥和用户的其他标识信息捆绑在一起,在Internet上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过吧要传输的数字信息进行加密和签名,保证信息传输的机密性,从而保证信息的安全传输。
PKI/CA的基本原理
建立CA系统前,必须根据安全需求制定证书策略,包括用户注册手续(如名字限制、用户注册认证方法等)、保护机制(CA的保护、密钥的保护等、密钥管理过程(如密钥的生成、分发、恢复和证书的有效期等)、证书的管理和验证过程以及审计等。证书策略的制定尤其重要,它将指导CA系统建立和管理维护整个过程。
PKI/CA的应用前景
其实,PKI的市场需求非常大,基于PKI和应用包括了许多内容,如WWW安全、电子邮件安全、电子数据交换和信用卡交易安全、VPN。电子商务、电子政务、远程教育等都离不开PKI技术。
6、CA认证技术在电子政务上的应用
在某区电子政务的一站式访问系统中,网上申请驾照、网上申请准认证等模块都用到了基于CA认证技术实现身份认证的技术。
基于CA认证技术实现身份认证的前提条件
首先要有认证中心CA实施的支持,即交易各方能够申请到自己的数字证书,能够从认证中心获得证书库信息和证书撤销列表,并对其进行有效性和完整性验证,交易各方面都能够支持系统所需的加密算法,摘要算法等。
建立通信模型
在传输文件前,首先进行身份认证和密钥协商,一是验证对方证书是否有效,即证书是否过期,是否已被撤销等;而是要评估当前用户,在文件传输中的访问权限
加载数字证书身份认证模块的程序设计
对于安全认证系统来说,在程序设计中加载数字证书,来实现其通信各方面的身份认证和发送者行为的时候无法否认性,在如下方案中采用了安全套接层(SSL)传输方式。加载数字证书的身份认证模块:
创建会话连接使用的协议。
申请SSL绘画的环境CTX。
SSL使用TCP协议,需要把SSLattach捆绑到已经连接的套连接层上。
SSL握手协议。
握手协议成功后,得到对方的数字证书,与从认证中心CA获得的数字证书进行比较。两者证书如果不同,断开连接请求,结束会话;如果相同,对方的身份得到确认。
通讯结束后,需要释放前面申请的SSL资源。
系统安全认证分析(单项认证)
通信身份认证通信过程开始时,服务器向浏览器发行自己的数字证书,浏览器从认证中心CA获取数字证书,浏览器使用认证中心CA系统的公开密钥解开服务器的数字证书,从而得到服务器的身份和公开密钥,二者进行比较后,确认服务器是否为真,完成身份认证。
不可否认性通信过程中,信息的摘要要是使用发送方自己的私有密钥进行签字的,除发送者自己以外,其他人无法知道签名者的私有密钥,所以确定了发送的行为无法再事后否认。
7、相关报道
规范CA认证中心的建设已成当务之急
国家信息安全测评认证中心主任吴世忠研究员认为,当前我国电子商务CA认证中心的建设很不规范,与我国对此没有指导性的政策有关。就全国而言,从市场的需求及未来发展看,有四、五个认证中心足矣。即使是在电子商务很发达的美国,也只有两、三个大型的认证中心。现在国内一哄而上建认证中心,完全没有必要。他说,我们已经有中国电信的CA(CTCA)、中国人民银行的CA(CFCA),它们都是利用国外先进经验,采用自主安全技术构建的大型CA中心,已经获得或正在进行“国家信息安全认证”,起点都比较高。以后再重点发展一到两个商业性CA,当时机成熟时,在此基础上再建一个*的根CA,全国的认证问题基本上就解决了。滥建CA有悖信息化潮流,所以要给全国各地的“CA认证中心热”泼点冷水,是因为这种热衷于各搞一套的做法是条块分割的老路子,与打破时间空间限制的网络化潮流大相径庭。网络时代的各自为政无异画地为牢。重复建设所带来的不是利益的最大化,而是国家利益的最小化、公众利益的最小化。以金融CA为例,中国人民银行总行为CFCA制定了管理规范,为金融行业的认证提供了条件和基础。以此观之,其他银行自己建的认证中心,实无多大必要。吴世忠认为,银行应该遵循一个CA,不能再走信用卡的老路。以前各银行自己搞自己的信用卡,结果,商场、宾馆的收款台要放五、六台刷卡机,为国家管理和社会公众带来了负担。
而且,面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚;其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时,如果认证的周期太长,别人已经成交了,你这里还堵着,那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之,CA中心能否提供安全可靠的服务,不能仅凭其自身的宣传,而是要通过“国家信息安全认证”。
吴世忠认为,面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚;其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时,如果认证的周期太长,别人已经成交了,你这里还堵着,那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之,CA中心能否提供安全可靠的服务,不能仅凭其自身的宣传,而是要通过“国家信息安全认证”。