何为认证中心(CA)

认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。认证中心主要有以下几种功能:

   (1) 证书的颁发
   中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请,则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后,发送到目录服务器供用户下载和查询。为了保证消息的完整性,返回给用户的所有应答信息都要使用认证中心的签名。

   (2) 证书的更新
   认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书。

   (3)证书的查询
证书的查询可以分为两类,其一是证书申请的查询,认证中心根据用户的查询请求返回当前用户证书申请的处理过程;其二是用户证书的查询,这类查询由目录服务器来完成,目录服务器根据用户的请求返回适当的证书。

   (4)证书的作废
   当用户的私钥由于泄密等原因造成用户证书需要申请作废时,用户需要向认证中心提出证书作废的请求,认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期,认证中心自动将该证书作废。认证中心通过维护证书作废列表(Certificate Revocation List,CRL)来完成上述功能。
  
   (5)证书的归档
   证书具有一定的有效期,证书过了有效期之后就将作废,但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。基于此类考虑,认证中心还应当具备管理作废证书和作废私钥的功能。

   总的说来,基于认证中心的安全方案应该很好地解决网上用户身份认证和信息安全传输问题。一般一个完整的安全解决方案包括以下几个方面:
   认证中心的建立;
   密码体制的选择,现在一般都采用混合密码体制(即对称密码和非对称密码的结合);
   安全协议的选择,目前较常用安全协议有:SSL(Secure Socket Layers)、S-HTTP(Secure Http) 和 SEL等。