認證中(zhōng)心（CA）

發布時間：2007-09-26 10:45 浏覽次數：2076

公(gōng)鑰加密需要解決一個關鍵問題：加密信息的發送者需要認定公(gōng)鑰确實是接收者的，如果他(tā)用(yòng)第三者的公(gōng)鑰去加密，他(tā)希望的接收者無法解密該信息，而擁有(yǒu)對應私鑰的第三者卻可(kě)以做到。這實際上就涉及到應用(yòng)公(gōng)鑰技(jì )術的關鍵：如何确認某個人真正擁有(yǒu)公(gōng)鑰（及對應的私鑰）。
在PKI 中(zhōng)，為(wèi)了确保用(yòng)戶的身份及他(tā)所持有(yǒu)密鑰的正确匹配，公(gōng)開密鑰系統需要一個值得信賴而且獨立的第三方機構充當認證中(zhōng)心(Certification Authority，CA)，來确認公(gōng)鑰擁有(yǒu)人的真正身份。就象公(gōng)安(ān)局發放的身份證一樣，認證中(zhōng)心發放一個叫"數字證書"的身份證明。這個數字證書包含了用(yòng)戶身份的部分(fēn)信息及用(yòng)戶所持有(yǒu)的公(gōng)鑰。象公(gōng)安(ān)局對身份證蓋章一樣，認證中(zhōng)心利用(yòng)本身的私鑰為(wèi)數字證書加上數字簽名(míng)。
任何想發放自己公(gōng)鑰的用(yòng)戶，可(kě)以去認證中(zhōng)心申請自己的證書。認證中(zhōng)心在鑒定該人的真實身份後，頒發包含用(yòng)戶公(gōng)鑰的數字證書。其他(tā)用(yòng)戶隻要能(néng)驗證證書是真實的，并且信任頒發證書的認證中(zhōng)心，就可(kě)以确認用(yòng)戶的公(gōng)鑰。
認證中(zhōng)心是公(gōng)鑰基礎設施的核心，有(yǒu)了大家信任的認證中(zhōng)心，用(yòng)戶才能(néng)放心方便的使用(yòng)公(gōng)鑰技(jì )術帶來的安(ān)全服務(wù)。
概括起來，進行電(diàn)子交易的互聯網用(yòng)戶所面臨的安(ān)全問題有(yǒu)：
* 保密性如何保證電(diàn)子商(shāng)務(wù)中(zhōng)涉及的大量保密信息在公(gōng)開網絡的傳輸過程中(zhōng)不被竊取
* 完整性如何保證電(diàn)子商(shāng)務(wù)中(zhōng)所傳輸的交易信息不被中(zhōng)途篡改及通過重複發送進行虛假交易
* 身份認證與授權在電(diàn)子商(shāng)務(wù)的交易過程中(zhōng)，如何對雙方進行認證，以保證交易雙方身份的正确性
* 抗抵賴在電(diàn)子商(shāng)務(wù)的交易完成後，如何保證交易的任何一方無法否認已發生的交易
對于這些安(ān)全問題，目前最有(yǒu)效的解決方案是建立在公(gōng)開密鑰技(jì )術基礎上的PKI/CA (Public Key Infrastructure/Certification Authority)技(jì )術。

上一篇：加密概念和PKI基礎知識簡述

下一篇：權威解讀：密碼标準常見問題解釋