ca認證體系的組成
ca認證體系由以下幾個部門組成:壹是ca,負責產生和確定用戶實體的數字證書。二是審核授權部門,簡稱ra(registry authority),它負責對證書的申請者進行資格審查,並決定是否同意給申請者發放證書。同時,承擔因審核錯誤而引起的、為不滿足資格的人發放了證書而引起的壹切後果,它應由能夠承擔這些責任的機構擔任。三是證書操作部門,證書操作部門cp(certification processor)為已被授權的申請者制作、發放和管理證書,並承擔因操作運營錯誤所產生的壹切後果,包括失密和為沒有獲得授權的人發放了證書等,它可由ra自己擔任,也可委托給第三方擔任。四是密鑰管理部門(km),負責產生實體的加密鑰對,並對其解密私鑰提供托管服務。五是證書存儲地(dir),包括網上所有的證書目錄。
在ca認證體系中,各組成部分彼此之間的認證關系壹般如下:
(1)用戶與ra之間:用戶請求ra進行審核,用戶應該將自己的身份信息提交給ra,ra對用戶的身份進行審核後,要安全地將該信息轉發給ca。
(2)ra與ca之間:ra應該以壹種安全可靠的方式把用戶的身份識別信息傳送給ca。ca通過安全可行的方式將用戶的數字證書傳送給ra或直接送給用戶。
(3)用戶與dir之間:用戶可以在dir中查詢、撤銷證書列表和數字證書。
(4)dir與ca之間:ca將自己產生的數字證書直接傳送給目錄dir,並把它們登記在目錄中,在目錄中登記數字證書要求用戶鑒別和訪問控制。
(5)用戶與km之間:km接受用戶委托,代表用戶生成加密密鑰對;用戶所持證書的加密密鑰必須委托密鑰管理中心生成;用戶可以申請解密私鑰恢復服務;km應該為用戶提供解密私鑰的恢復服務。用戶的解密私鑰必須統壹在密鑰管理中心托管。
(6)ca與km之間:這二者之間的通訊必須是保密、安全的。要求它們之間用通訊證書來保證安全性。通訊證書是認證機關與密鑰管理中心、上級或下級認證機關進行通訊時使用的計算機設備證書。這些專用的計算機設備必須申請並安裝認證機構所發布的專用通訊證書,同時,還必須安裝密鑰管理中心、上級或下級認證機構專用通訊計算機設備所持有的通訊密鑰證書和認證機構的根證書。
認證體系的職責
從上述論述中,可以總結出,ca至少擔負著以下幾項具體的職責:
(1)驗證並標識公開密鑰信息提交認證的實體的身份;
(2)確保用於產生數字證書的非對稱密鑰對的質量;
(3)保證認證過程和用於簽名公開密鑰信息的私有密鑰的安全;
(4)確保兩個不同的實體未被賦予相同的身份,以便把它們區別開來;
(5)管理包含於公開密鑰信息中的證書材料信息,例如數字證書序列號、認證機構標識等;
(6)維護並發布撤銷證書列表;
(7)指定並檢查證書的有效期;
(8)通知在公開密鑰信息中標識的實體,數字證書已經發布;
(9)記錄數字證書產生過程的所有步驟。
ca安全認證體系的功能
ca安全認證體系的主要功能包括:簽發數字證書、管理下級審核註冊機構、接受下級審核註冊機構的業務申請、維護和管理所有證書目錄服務、向密鑰管理中心申請密鑰、實體鑒別密鑰器的管理,等等。