何为认证中心（CA） <转>

答案：何为认证中心（CA）
清华大学--黄伟

------------------------

----易做图上网和电子商务是今年计算机应用领域的两大热点。要推广这两方面的应用，解决网络安全是其中十分关键的一环，例如不久前中国人民银行筹建的金融认证中心（RootCA）就是为建设我国电子商务提供安全保障的基础设施。

----那么，到底什么是认证中心呢？在回答这个问题之前，我们首先需要介绍数字证书的概念。

----数字证书就是网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。数字证书的格式一般采用X.509国际标准。一个标准的X.509数字证书包含以下一些内容：

证书的版本信息；
证书的序列号，每个用户都有一个唯一的证书序列号；
证书所使用的签名算法；
证书的发行机构名称，命名规则一般采用X.400格式；
证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950～2049；
证书所有人的名称，命名规则一般采用X.400格式；
证书所有人的公开密钥（关于公开密钥的信息详见非对称密码算法的有关内容）；
证书发行者对证书的签名。
----此外，X.509证书格式还预留了扩展，用户可以根据自己的需要进行扩展。目前比较典型的扩展如：MicrosoftIE的扩展、Netscape的扩展和SET（SecureElectronicTransaction）的扩展等。

----我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己发送的信息不能抵赖。

----认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是金融认证中心（RootCA），它是所有人公认的权威，如人民银行总行的CA。认证中心的系统结构如下图所示。


----认证中心主要有以下几种功能：

----证书的颁发

----中心接收、验证用户（包括下级认证中心和最终用户）的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。

----证书的更新

----认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。

----证书的查询

----证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。

----证书的作废

----当用户的私钥由于泄密等原因造成用户证书需要申请作废时，用户需要向认证中心提出证书作废请求，认证中心根据用户的请求确定是否将该证书作废。

----另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表(CertificateRevocationList，CRL)来完成上述功能。

----证书的归档

----证书具有一定的有效期，证书过了有效期之后就将被作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。基于此类考虑，认证中心还应当具备管理作废证书和作废私钥的功能。

----总的说来，基于认证中心的安全方案应该很好地解决网上用户身份认证和信息安全传输问题。一般一个完整的安全解决方案包括以下几个方面：

----认证中心的建立；

----密码体制的选择，现在一般都采用混合密码体制（即对称密码和非对称密码的结合）；

----安全协议的选择，目前较常用的安全协议有：SSL（SecureSocketLayer）、S－HTTP（SecureHTTP）和SET等。

----其中，认证中心的建立是实现整个网络安全解决方案的关键和基础，它的建立对Internet上电子商务与易做图上网应用的开展具有非常重要的意义。

几个著名的
电子商务协议
中国科学院数学研究所
周龙骧

--------------------------------------------------------------------------------

一Digicash
----Digicash是一个匿名的数字现金协议。所谓匿名是指消费者在消费中不会暴露其身份，例如现金交易(虽然钞票有号码，但交易中一般不会加以记录)。该协议的步骤如下：
消费者从银行取款，他收到一个加密的数字钱币(Token)，此Token可当钱用；
消费者对该Token作加密变换，使之仍能被商家检验其有效性，但已不能追踪消费者的身份；
消费者在某商家消费即使用该Token以购物或购买服务，消费者进一步对该Token用密码变换以纳入商家的身份；
商家检验该Token以确认以前未收到过此Token；
商家给消费者发货；
商家将该电子Token送银行；
银行检验该Token的唯一性。至此消费者的身份仍保密。除非银行查出该Token被消费者重复使用，则消费者的身份将会被暴露，消费者的欺诈行为也暴露了。
----在以上的第3步若发生了通信故障，则消费者无法判断商家究竟是否已收到该电子Token。此时消费者有两种选择：

将其电子Token返回给银行或到另一商家处消费。如果消费者这样做了，而商家事实上在第3步已收到了该Token，则当商家去银行将该Token兑现时会发现该Token的重复使用。
消费者不采取行动，既不另行消费也不退还给银行。如果消费者这样做了，而商家在第3步事实上未收到该Token，则商家自然不会发货。这样一来，消费者既未收到所购之物，也未花费该电子钱币，肯定受到了损失。
----可见该数字现金协议是有缺陷的。

二FirstVirtual
----FirstVirtual允许客户自由地购买商品，然后FirstVirtual使用Email同客户证实每一笔交易。FirstVirtual对通信安全持怀疑态度并采取某种加密形式，并将每个电子商务交易转换为信用卡交易。FirstVirtual比Digicash要好一些，但比其他电子商务系统要差。
三SSL
----Netscape的安易做图接层方法(SecureSocketLayer，SSL)使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传送给商家。它等价于使用一个安全电话连接将用户的信用卡通过电话读给商家。这一协议当然不能防止心术不正的商家的欺诈，因为该商家掌握了客户的信用卡号。商家欺诈是信用卡业所面临的最严重的问题之一。
四SET
----SET(SecureElectronicTransaction)是Visa和MasterCard联合开发的一个协议，它具有很强的安全性。该协议由若干以前发表的协议形成，它们是：STT(Visa/Microsoft)、SEPP(MasterCard)和iKP协议族(IBM)。SET及其适合的诸协议是基于安全信用卡协议的一个例子。按照SET，客户将采购请求和价格进行数字签名，然后用银行公共密钥将付款信息(例如信用卡号)加密。商家认可该采购并将该请求传给银行。银行加工该请求，若价格匹配，则银行对客户的帐号扣款并指令商家完成该笔买卖。
----SET的安全性超过SSL，它可防止商家欺诈。值得指出的是，SET协议不同寻常地复杂，该协议的描述有好几百页之多!

----SET显式地允许开一“后门”，商家可通过它获取客户的信用卡，这是否是一个安全问题？着实值得考究。

五Netbill
----卡内基·梅隆大学(现加州大学克利分校)的J.D.Tygar教授的研究组开发了Netbill协议，并正和CyberCash、MellonBank和VisaInternational一起在卡内基·梅隆开发Netbill的Alpha版。该协议已获得CyberCash的商业用途许可，CyberCash的CyberCoin协议也使用Netbill的方法。
----Netbill协议涉及三方：客户、商家及Netbill服务器。客户持有的Netbill帐号等价于一个虚拟电子信用卡帐号。协议步骤如下：

客户向商家查询某商品价格；
商家向该客户报价；
客户告知商家他接受该报价；
商家将所请求的信息商品(例如一个软件或一首歌曲)用密钥K加密后发送给客户；
客户准备一份电子采购订单(ElectronicPurchaseOrder，EPO)，即三元式（价格、加密商品的密码单据、超时值）的数字签名值，客户将该已数字签名的EPO发送给商家。
商家会签该EPO，商家也签上K的值，然后将此二者送给Netbill服务器；
Netbill服务器验证EPO签名和会签。然后检查客户的帐号，保证有足够的资金以便批准该交易，同时检查EPO上的超时值看是否过期。确认没有问题时，Netbill服务器即从客户的帐号上将相当于商品价格的资金划往商家的帐号上，并存贮密钥K和加密商品的密码单据。然后准备一份包含值K的签好的收据，将该收据发给商家；
商家记下该收据单传给客户，然后客户将第4步收到的加密信息商品解密。
----Netbill协议就这样传送信息商品的加密拷贝，并在Netbill服务器的契据中记下解密密钥。

构架认证中心
信息产业部信息化推进司
王宏

--------------------------------------------------------------------------------

----对于在Internet上进行交易的双方来说，数字证书对他们之间建立信任是至关重要的。Internet从一个公共信息交换平台变为一个可信赖的商务载体，并成为电子化的、开放的市场，实现这种转变的非常重要的一个条件是数字证书的广泛应用。虽然有许多各种类型的组织或公司都想成为提供数字证书服务的认证中心(CA)，但它们很少真正认识和能够承担认证中心，以及一个可信任的、发布和管理数字证书的组织机构所应起的作用和承担的责任，同时也并不具备建立、运行和维护一个

上一个：(资料)WINDOWS 2000搭載ASP3.0和IIS5.0
下一个：Linux+Apache+iASP