数字证书认证中心简介

原创 2005年04月28日 15:04:00

    CA中心,又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。当然CA中心还需要 配套的RA(Registration Authority --注册审批机构)系统。 下面我们就分别介绍中心以及注册中心:
  一,认证中心
认证中心(CA)可按照一定的信任模型来组织,通常组织成层状模型。各级CA认证机构的存在组成了整个网上信息交流的信任链。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根证书中心(根CA),即一个CA可用来证明另外一个CA的合法性,而且对于某些CA,这也是它们的唯一任务。这种认证体系将证书分层,各证书都有上级CA的数字签名。
1,认证中心的组成
(1)签名和加密服务器   对于数字证书,应该有认证机构的数字签名,对于被撤消的数字证书,也应有该认证机构的数字签名。签名和加密服务器就是用来接收来自证书管理服务器的申请,按规则对待签名证书和待签名的CRL进行数字签名,并进行证书管理服务器的加密/解密运算
(2)密钥管理服务器     密钥管理服务器与签名和加密服务器连接,按配置生成密钥、撤消密钥、恢复密钥和查询密钥
(3)证书管理服务器      主要完成证书的生成、作废等操作控制。维护证书库,作废证书库、证书状态库等有关数据库。证书管理服务器是对证书的生成、作废等操作实现的核心。
(4)证书发布和CRL服务器 证书发布服务器用于将证书信息按一定的时间间隔对外发布,可通过web server和LDAP实现,Server为客户提供证书下载和CRL下载等服务。
(5)在线证书状态查询服务器  证书用户随时都想知道某个证书的最新状态,这是由在线证书状态查询服务器提供的实时查询证书状态的服务服务来完成的。
(6)WEB服务器 用于证书的发布和有关数据认证系统政策的发布。
2,认证中心功能的实现
(1)证书发放  通过注册中心的初始身份认证后,注册中心将用户申请提交认证中心,认证中心根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置个字段,并采取不同的方法将证书返回给用户(如用电子邮件形式)
(2)证书更新  这个包含两个方面,一是用户证书已经过期或者与证书相关的密钥到了他有效生命终点,或者证书中一些属性已经改变,这都需要更新用户的证书。二是CA本身的证书也存在以上的问题,所以CA根证书也是需要更新的.
(3)证书注销  在某种情况下,证书的有效性要求在证书结束日期之前终止或者要求拥护与私钥分离时,证书要被撤消。例如签署者状态发生改变,证书中信息可能已经修改,与用户相关的私钥可能以某种方式泄露。大多数情况下,CA用来公布已更改的证书状态机制是一个证书撤消列表(CRL)。CRL包括已被撤消证书的序列号和撤消日期,还有标志撤消原因的状态。
(4)证书验证   它包括如下几个内容,一是证书是否包含一个有效的数字签名,以此证明证书内容没被修改。二是颁发者的公开密钥是否可以验证证书上的数字签名,以确认数据是否来源于真正的数据发送方。三是当前使用的证书是否在证书的有效期内。四是证书是否用于最初分发它的目的。五是检查证书撤消列表CRL,验证证书是否被撤消。

  二, 注册中心
注册中心是数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸,它负责证书申请者的信息录入,审核等工作;同时,对发放的证书完成相应的管理功能,一般来说,注册机构控制注册、证书传递、其他密钥和证书生命周期管理过程中主体、最终实体和PKI间的交换,然而任何环境下RA都不真正发起关于主体的可信声明。
1,RA的功能
(1)   主体注册证书的个人认证
(2)   确认主体所提供的信息的有效性
(3) 对被请求证书属性确定主体的权利
(4) 确认主体确实拥有注册的私钥
(5) 在需要撤消时报告密钥泄露或终止事件
(6) 为识别身份的目的分配名字
(7) 在注册初始化和证书获得阶段产生共享秘密
(8) 产生公/私密钥对
 (9) 认证机构代表最终实体开始注册过程
(10) 私钥的归档
(11) 开始密钥恢复处理
(12)包含私钥的物理环网(例如智能卡)的分发
2,基于WEB浏览器的简单注册操作过程
(1) 访问一个URL,得到一个Web页面,它提供输入表单来让申请者指定注册信息
(2) 页面上某处有一个程序用来生成公/私钥对,通常出现一个输入字段,让申请者选择密钥长度 (3) 输入完信息后提交表单,系统自动构造素数,使浏览器开始生成密钥对。
(4) 密钥对生成以后,私钥存储在一个本地应用密钥存储区内,如果是第一次构造密钥存储区,通常还会提示申请者输入口令,使用该口令构造一个加密或解密密钥存储区的对称密钥
(5) 当密钥产生完毕,公开密钥就与填入注册表单中的信息一起发送给注册机构的Web服务器接口。在有些情况下,申请者此时必须证明其拥有私有密钥,这可以通过对注册申请进行数字签名来证明,RA接收到申请时对签名进行验证。
(6) 注册机构检查申请信息并且开始验证用户提供的身份信息。
(7) 当证书服务器接收到RA的申请后,它根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置各字段。
(8) 生成的证书返回给用户,用何种方式返回根据CA的具体实现和CPS需求的不同而不同。
(9) 当用户单击URL时,证书被下载到浏览器
(10) 当浏览器发现证书加载操作时,它将返回的证书和先前生成的私钥一起存储到密钥存储区。


参考文献:《PKI原理与技术》, 谢冬青 冷健 编著  清华大学出版社

关于数字证书理解的简单整理以及12306网站证书简单分析

首先简单理解一下什么是数字证书。这里是一篇英文文档,描述的很形象。形象的描述了什么是公钥,什么是私钥,如果确保数字证书的可靠性等。 下面,我们看一个应用"数字证书"的实例:https协议。这个协议主要...
  • sundacheng1989
  • sundacheng1989
  • 2014年05月11日 12:55
  • 3973

数字证书认证中心简介

  CA中心,又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与...
  • pcno1
  • pcno1
  • 2007年01月15日 09:22
  • 1198

基于数字证书的UKEY安全登录 与身份认证技术研究

摘  要 本文在研究身份认证技术、uKey技术及Windows系统登录原理基础上,提出了基于数字证书的uKey身份认证与安全登录方案,设计了自定义登录模块,从而实现了使用uKey进行主机安全登录的功能...
  • helihongzhizhuo
  • helihongzhizhuo
  • 2014年08月25日 13:58
  • 3149

数字证书引入的原因 CA机构 授权认证中心

今天,我读到一篇好文章。 它用图片通俗易懂地解释了,"数字签名"(digital signature)和"数字证书"(digital certificate)到底是什么。 我对这些问题的理解,一...
  • zhangbinsijifeng
  • zhangbinsijifeng
  • 2016年05月31日 10:44
  • 1328

北京数字认证股份有限公司-数字证书认证管理解决方案

 数字证书认证管理解决方案 refurl:http://www.bjca.org.cn/solutions/zsszzsgl 一、方案背景   加强以密码技术为基础的信息保...
  • jackpk
  • jackpk
  • 2015年07月21日 10:21
  • 2085

https中的数字证书认证过程解析

RSA非对称加密的2个用途:加密(防窃听) RSA非对称加密会用到一对密钥,分别称为公钥和私钥,公钥加密之后的数据可以通过私钥来进行解密,私钥加密的数据也同样可以用对应的公钥进行解密。在web数据...
  • jb_peng
  • jb_peng
  • 2016年06月30日 17:09
  • 3248

用java实现签发数字证书

from  http://renhl169.blog.163.com/blog/static/20365322201023194724282/ 最近研究了一下数字签名和关于证书相关。 ...
  • u010820135
  • u010820135
  • 2016年09月07日 23:08
  • 2314

数字证书简介及Java编码实现

1.数字证书简介 数字证书具备常规加密解密必要的信息,包含签名算法,可用于网络数据加密解密交互,标识网络用户(计算机)身份。数字证书为发布公钥提供了一种简便的途径,其数字证书则成为加密算法以及公钥的...
  • linkunhao123
  • linkunhao123
  • 2015年12月22日 10:42
  • 548

数字签名和数字证书的学习总结

本文主要是对网上资源的一些列举和总结,主要涉及的内容有以下几点: 非对称加密,对称加密,摘要算法数字签名数字证书SSL/TLSiOS中的证书以及签名过程 非对称加密,对称加密,摘要算法 ...
  • u010675120
  • u010675120
  • 2017年03月16日 17:54
  • 605

中心认证服务(CAS)入门(一)

首先下载CAS程序修改host文件(c:/Windows/System32/drivers/etc/hosts): 修改tomcat配置 server.xml,找到 并行添加 在tomcat...
  • erhei0317
  • erhei0317
  • 2016年10月10日 10:54
  • 430
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:数字证书认证中心简介
举报原因:
原因补充:

(最多只允许输入30个字)