计算机网络安全技术CA认证及应用计算机网络安全技术CA认证及应用•1.1CA认证的基本概念1.CA认证中心所谓CA(CertificateAuthority)认证中心,它是采用PKI(PublicKeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心两大类。计算机网络安全技术CA认证及应用常规业务中,交易双方现场交易,可以确认购买双方的身份。但在网上交易时,由于交易双方并不现场,如何保证交易双方身份的真实性和交易的不可抵赖性,就成为人们迫切关心的一个问题。在电子商务过程中,必须从技术上保证在交易过程中能够实现身份认证、安全传输、不可否认性、数据一致性。在采用CA证书认证体系之前,交易安全一直未能真正的得到解决。由于CA数字证书认证技术采用了加密传输和数字签名技术,能够实现上述要求,因此在国内外的电子商务中,都达到了广泛的采用,以数字证书认证来保证交易能够得到正常的执行。计算机网络安全技术CA认证及应用证书机构用于创建和发布证书,通常为一个称为安全域(SecurityDomain)的有限群体发放证书。创建证书的时候,CA系统首先获取用户的请求信息,其中包括用户公钥(公钥一般由用户端产生,如电子邮件程序或浏览器等),CA将根据用户的请求信息产生证书,并用自己的私钥对证书进行签名。其他用户、应用程序或实体将使用CA的公钥对证书进行验证。如果一个CA系统是可信的,则验证证书的用户可以确信,他所验证的证书中的公钥属于证书所代表的那个实体。计算机网络安全技术CA认证及应用CA还负责维护和发布证书废除列表CRL(CertificateRevocationLists,又称为证书黑名单)。当一个证书,特别是其中的公钥因为其他原因无效时(不是因为到期),CRL提供了一种通知用户和其他应用的中心管理方式。CA系统生成CRL以后,要么是放到LDAP服务器中供用户查询或下载,要么是放置在Web服务器的合适位置,以页面超级连接的方式供用户直接查询或下载。一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图6.18所示。计算机网络安全技术CA认证及应用用户申请业务受理注册机构RACA服务器证书用户数据库服务器LADP服务器LADP服务器数据库服务器证书下载或查询安全服务器安全服务器图6.18典型CA中心示意图计算机网络安全技术CA认证及应用(1)安全服务器安全服务器面向普通用户,用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务。安全服务器与用户的通信采取安全信道方式(如SSL的方式,不需要对用户进行身份认证)。用户首先得到安全服务器的证书(该证书由CA颁发),然后用户与服务器之间的所有通信,包括用户填写的申请信息以及浏览器生成的公钥均以安全服务器的密钥进行加密传输,只有安全服务器利用自己的私钥解密才能得到明文,这样可以防止其他人通过窃听得到明文。从而保证了证书申请和传输过程中的信息安全性。计算机网络安全技术CA认证及应用(2)CA服务器CA服务器是整个证书机构的核心,负责证书的签发。CA首先产生自身的私钥和公钥(密钥长度至少为1024位),然后生成数字证书,并且将数字证书传输给安全服务器。CA还负责为操作员、安全服务器以及注册机构服务器生成数字证书。安全服务器的数字证书和私钥也需要传输给安全服务器。CA服务器是整个结构中最为重要的部分,存有CA的私钥以及发行证书的脚本文件,出于安全的考虑,应将CA服务器与其他服务器隔离,任何通信采用人工干预的方式,确保认证中心的安全。计算机网络安全技术CA认证及应用(3)注册机构RA登记中心服务器面向登记中心操作员,在CA体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。计算机网络安全技术CA认证及应用(4)LDAP服务器LDAP服务器提供目录浏览服务,负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。这样其他...
