典型的ca認證體系
1、ca認證是什麼意思?
CA是負責簽發證書、認證證書、管理已頒發證書的機關。CA認證即電子認證服務是指為電子簽名相關各方提供真實性、可靠性驗證的活動。
證書頒發機構(CA, Certificate Authority)即頒發數字證書的機構。是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。
CA中心為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中,CA不僅對持卡人、商戶發放證書,還要對獲款的銀行、網關發放證書。
(1)典型的ca認證體系擴展資料:
電子認證以其所具有的四大特徵在信息化應用中起著基礎性、關鍵性的作用。
(1)真實性 。確保交易雙方的真實身份、信息內容真實以及交易發生時間的真實性。
(2)完整性。確保雙方交易的信息是完整的、沒有被篡改過和偽造過。
(3)機密性。確保電子交易中數據電文、交換數據、信息的保密性,使之不被交易雙方以外的交易無關個體獲知。
(4)不可否認性。不可否認性確保了交易雙方不能對其參與過交易的事實進行抵賴,它為日後可能存在的交易糾紛提供了一個可信的證據。
2、ca認證的功能和作用
CA認證的作用就是PKI體系的作用.
PKI(Public Key Infrastructure),即公鑰基礎結構.PKI利用公鑰加密技術為網上電子商務的開展提供了一套安全基礎平台,用戶利用PKI平台提供的安全服務進行安全通信.
PKI(公開密鑰體系)一詞被解釋成為是一種框架體系,通過它,在不安全的信道上的通信的用戶可實現信息數據的安全交換,滿足商務對保密性,完整性,身份認證及不可否認性的安全需求,其構成主要包括硬體、軟體、人員、指導原則及方法.它的好處在於:第一,網上交易雙方可通過值得信賴的第三方機構完成交易,由於金融機構的特殊身份常使其充當第三方認證機構的角色,因此可將交易雙方的風險降至最低;其次,PKI的應用發展已從區域型逐步發展到全球性,如著名的Identrust 組織建立了一套支持全球數字證書發放的體系,包括不同證書機構之間合作的程序以及對爭議、索賠等問題的處理等,使具有法律約束力的電子商務得以在全球范圍內展開.
3、什麼是CA安全體系,CA認證體系,C A 分別代表什麼
什麼是ca ca(certification authority)是以構建在公鑰基礎設施pki(public key infrastructure)基礎之上的產生和確定數字證書的第三方可信機構(trusted third party),其主要進行身份證書的發放,並按設計者制定的策略,管理電子證書的正常使用。ca具有權威性、可信賴性及公正性,承擔著公鑰體系中公鑰的合法性檢驗的責任。ca為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。ca的數字簽名使得攻擊者不能偽造和篡改證書,ca還負責吊銷證書並發布證書吊銷列表(crl),並負責產生、分配和管理所有網上實體所需的數字證書,因此,它是安全電子政務的核心環節。 ca認證體系的組成 ca認證體系由以下幾個部門組成:一是ca,負責產生和確定用戶實體的數字證書。二是審核授權部門,簡稱ra(registry authority),它負責對證書的申請者進行資格審查,並決定是否同意給申請者發放證書。同時,承擔因審核錯誤而引起的、為不滿足資格的人發放了證書而引起的一切後果,它應由能夠承擔這些責任的機構擔任。三是證書操作部門,證書操作部門cp(certification processor)為已被授權的申請者製作、發放和管理證書,並承擔因操作運營錯誤所產生的一切後果,包括失密和為沒有獲得授權的人發放了證書等,它可由ra自己擔任,也可委託給第三方擔任。四是密鑰管理部門(km),負責產生實體的加密鑰對,並對其解密私鑰提供託管服務。五是證書存儲地(dir),包括網上所有的證書目錄。 在ca認證體系中,各組成部分彼此之間的認證關系一般如下: (1)用戶與ra之間:用戶請求ra進行審核,用戶應該將自己的身份信息提交給ra,ra對用戶的身份進行審核後,要安全地將該信息轉發給ca。 (2)ra與ca之間:ra應該以一種安全可靠的方式把用戶的身份識別信息傳送給ca。ca通過安全可行的方式將用戶的數字證書傳送給ra或直接送給用戶。 (3)用戶與dir之間:用戶可以在dir中查詢、撤銷證書列表和數字證書。 (4)dir與ca之間:ca將自己產生的數字證書直接傳送給目錄dir,並把它們登記在目錄中,在目錄中登記數字證書要求用戶鑒別和訪問控制。 (5)用戶與km之間:km接受用戶委託,代表用戶生成加密密鑰對;用戶所持證書的加密密鑰必須委託密鑰管理中心生成;用戶可以申請解密私鑰恢復服務;km應該為用戶提供解密私鑰的恢復服務。用戶的解密私鑰必須統一在密鑰管理中心託管。 (6)ca與km之間:這二者之間的通訊必須是保密、安全的。要求它們之間用通訊證書來保證安全性。通訊證書是認證機關與密鑰管理中心、上級或下級認證機關進行通訊時使用的計算機設備證書。這些專用的計算機設備必須申請並安裝認證機構所發布的專用通訊證書,同時,還必須安裝密鑰管理中心、上級或下級認證機構專用通訊計算機設備所持有的通訊密鑰證書和認證機構的根證書。 認證體系的職責 從上述論述中,可以總結出,ca至少擔負著以下幾項具體的職責: (1)驗證並標識公開密鑰信息提交認證的實體的身份; (2)確保用於產生數字證書的非對稱密鑰對的質量; (3)保證認證過程和用於簽名公開密鑰信息的私有密鑰的安全; (4)確保兩個不同的實體未被賦予相同的身份,以便把它們區別開來; (5)管理包含於公開密鑰信息中的證書材料信息,例如數字證書序列號、認證機構標識等; (6)維護並發布撤銷證書列表; (7)指定並檢查證書的有效期; (8)通知在公開密鑰信息中標識的實體,數字證書已經發布; (9)記錄數字證書產生過程的所有步驟。 ca安全認證體系的功能 ca安全認證體系的主要功能包括:簽發數字證書、管理下級審核注冊機構、接受下級審核注冊機構的業務申請、維護和管理所有證書目錄服務、向密鑰管理中心申請密鑰、實體鑒別密鑰器的管理,等等。 CA金融體系就是金融系統的CA認證. 希望對你有用!
記得採納啊
4、網上安全認證機構(CA)的認證原理
一、電子認證的概念
--電子簽名只是從技術手段上對簽名人身份做出辯認及能對簽署文件的發件人與發出電子文件所屬關系做出確認的方式。但如何解決上文提到判定公共密鑰的確定性以及私人密鑰持有者否認簽發文件的可能性等問題,則是電子簽名技術本身無法解決的問題。換言之,這裡面有一個解決私人密鑰持有人信用度的問題。這裡麵包括兩種可能性。一是密鑰持有人主觀惡意,即有意識否認自己做出的行為;二是客觀原因,即發生密鑰丟失、被竊或被解密情況,使發件人或收件人很難解釋歸責問題。事實上,相類似的問題在我們傳統商業交易活動中也存在,只不過我們有一套相對完整的解決方案罷了。當然這里包括相配套的法律規范及保護措施。在傳統的簽字(蓋章)使用中,為了防止簽字(蓋章)方提供偽造虛假或被篡改的簽字(蓋章)或者防止發送人以各種理由否認該簽字(蓋章)為其本人所為,一些國家或地區採取通過具有權威性公信力的授權機關對某印章提前做出備案,並可提供驗證證明的方式,防止抵賴或偽造等情形發生。例如,在我國台灣省,對一些重要法律文件(如房地產買賣交易文件),對印章真實性認證就採取下述方式處理:為保證蓋過章的文件的真實性,印章持有人在蓋章之前需把印章送到具有權威性的戶政事務所登記備案,並申請印鑒證明,之後再把印鑒證明同蓋過章的文件一並送給收件方,收件方將印鑒證明同原件相比較,如完全一致,就可確認文件及其印章的真實性了。ˉ在電子交易過程,同樣需要一個具有權威性公信力的第三者作為安全認證機關(Certificate Authority)對公開密鑰行使辨別及認證等管理職能,以防止發件人抵賴或減少因密鑰丟失、被偷竊或被解密等風險。由此可見,電子簽名的安全使用必須配合安全認證機關體系的建立。事實上,西方很多國家(美國、加拿大、德國等)以及日本都已經或正在建立相配套的公共密鑰基礎設施( public key infrastructure)。這樣,網路上電子簽名與CA認證的相互結合就解決了前面闡述的由於電子簽名技術方面無法解決的信用度的問題。
二、電子認證的程序
--電子認證的具體操作程序為:發件人在做電子簽名前,簽署者必須將他的公共密鑰送到一個經合法注冊,具有從事電子認證服務許可證的第三方,即CA認證中心,登記並由該認證中心簽發電子印鑒證明(Certificate)。爾後,發件人將電子簽名文件同電子印鑒證明一並發送給對方,收件方經由電子印鑒佐證及電子簽名的驗證,即可確信電子簽名文件的真實性和可信性。由此可見,在電子文件環境中,CA認證中心扮演的角色與上述傳統書面文件簽字(蓋章)環境中的第三者(戶政事務所)的角色有異曲同工之妙。CA認證中心正起到一個行使具有權威性公證的第三人的作用。而經CA認證機關頒發的電子印鑒證明就是證明兩者之間的對應關系的一個電子資料,該資料指明及確認使用者名稱及其公共密鑰。使用者從公開地方取得證明後,只要查驗證明書內容確實是由CA機關所發,即可推斷證明書內的公開密鑰確實為該證明書內相對應的使用者本人所擁有。如此,該公共密鑰持有人無法否認與之相對應的該密鑰為他所有,進而亦無法否認經該密鑰所驗證通過的電子簽名不為他所簽署。 電子認證的目的
--電子認證的目的就是通過CA機關對公共密鑰進行辨別和認證(包括跨國認證)以防止或減少因密鑰的丟失、損毀或解密等原因造成電子文件環境交易的不確定因素及不安全性風險。同時,認證證明書還能佐證密鑰申請人的資信狀況。 電子認證的機構
--1. 電子認證機構設立的形式。
--縱觀一些國家在電子認證(CA)設定的形式一般有兩大類。第一類是直接由國家有關負責部門下屬單位直接設立,從事電子認證服務工作。或者是由政府的相關部門扮演CA體系中最高一層的認證中心角色。第二大類是由政府相關部門做出授權,規定嚴格的審批條件和程序簽發認證證書(Certificate),同時行使監督權,以確保網路交易的安全性。無論是哪種形式,政府扮演的角色是至關重要的。其原因有以下幾點:
--1)權威性。
--只有經國家主管部門授權經營的電子認證服務公司或由主管部門批發經營許可證的CA認證機關簽發的電子認證證書最有權威性。在一定意義上,這正如只有經公安部門發出的個人身份證具有絕對可靠的權威性一樣。
--同時,由於電子認證在網路中的應用具有跨越國界的特性,只有國家主管部門以國家名義出面介入,從而使得電子認證的效力的可靠性具有為他國承認的後果。
--2)標准化。
--政府主管部門可規定法律統一的技術方案以及規范不同級別的CA機關的電子認證標准及程序。同時,政府主管機關可擔當最高一級的公共密鑰認證中心的角色。這是美國各州及聯邦政府以及德國等國公共密鑰基礎建設體系都普遍採用的一種形式。
--3)可執行性
--由於政府主管機關在CA認證中扮演國家的角色,因此在體系的建立,標準的設定,以及兼容跨國認證等方面具有絕對權威性及統一性的特點。因此,在實施電子認證服務過程中,其可操作性及可執行性的特點是顯而易見的。這就避免可能由於不同標准(技術及服務兩方面)的出現,從而使得電子認證變得無法實施,達不到消除網上交易缺乏安全性的顧慮的目的。
--2. 電子認證機關(CA)設立的條件
--CA機構申請從事電子認證服務牌照時,需滿足一定的審批條件。政府主管部門在審核及批發許可證時,除要審查申請人的硬體措施(如辦公場所的選定)、軟體條件(如公司中人員的技術專業知識),還要審查主體資格,承擔損害賠償的能力等多個方面。下面簡單介紹一下美國猶他州電子簽名法規定CA提供電子認證服務的條件。
--(1) 主體資格:可為執業律師;在猶他州注冊登記的信託機機能或保險機構;猶他州州長、州法院、市、郡等已經依法律或行政命令指定執行CA認證業務的公務人員並為該機構員工進行認證之組織;任何在猶他州取得營業許可的公司;
--(2) 程序:CA本身必須申請公開金鑰憑證且須存放在主管機關設置或承認的公開金鑰憑證資料庫中以供大眾檢視讀取;
--(3) 公證資格:須有公證人(a notary public)資格或至少聘僱一具有公證人資格之員工;
--(4) 從業人員不得有嚴重犯罪前科:所僱用的員工中不得有重大犯罪之前科或是犯有其他詐欺、虛偽陳述或欺騙之罪行;
--(5) 專業知識:所僱用員工必須具有執行認證業務之專業知識;
--(6) 經營擔保:除了政府官員或機關申請經營CA業務外,其他申請者必須提供營業擔保;
--(7) 軟硬體設施:對於經營CA業務所需軟硬體設施,必須對該設施擁有具有合法的權利;
--(8) 營業場所:必須在猶他州設有營業處所或是指定代理人代為執行業務;
--(9) 必須遵守主管機構的所有其他規定。
三、電子認證的效力
-- 電子認證的效力一般通過兩種途徑得到保障。第一種也是最直接的是通過立法的形式加以確認。這主要是通過法律授權政府機關主管部門制定相應規則,從而最終達到保障電子認證的效力具有法律上的依據與保障。美國很多州都是採取此種方式。這主要是表現在以下幾個方面:
--1、 以直接的立法形式明示直接承認可被接受的技術方案標准;(如美國猶他州;香港特別行政區法例等。)
--2、 授權政府主管部門制定相應規則如享有頒發、或吊銷CA機構從事電子認證業務許可的權力,同時對違規/違法經營操作的CA機構具有行政處罰權;
--3、 制定明確的設立及管理CA機構的條件及程序。同時,在監管CA機構層面上,政府主管部門還設置所有合法登記、注冊經營電子認證業務的CA機構的資料庫供客戶查詢。如美國猶他州法律規定,主管機構在其設置的公共密鑰憑證資料庫中,專門開辟一個存有所有登記注冊CA機構詳盡檔案資料庫。其中除了一般公司信息(如公司名稱、住址及電話及被授權的營業范圍)外,還包括目前使用的核發認證憑證的機構有無違規經營遭到處罰的記錄等等信息。
5、ca安全體系是什麼意思
CFCA認證系統採用國際領先的PKI技術,總體為三層CA結構,第一層為根CA;第二層為政策CA,可向不同行業、領域擴展信用范圍;第三層為運營CA,根據證書運作規范(CPS)發放證書。安全電子印章運營CA由CA系統和電子印章證書注冊審批機構(RA)兩大部分組成:
CA系統:承擔電子印章證書簽發、審批、廢止、查詢、數字簽名、電子印章證書/黑名單發布、密鑰恢復與管理、電子印章證書認定和政策制定,CA系統設在CFCA本部,不直接面對用戶;
RA系統:直接面向用戶,負責安全電子印章申請和持章人身份審核,並向CA申請為用戶轉發電子印章證書;CFCA安全電子印章RA系統設在CFCA本部,由CFCA授權印章行業電子商務網站《印章在線》負責向各地區印章生產企業提供安全電子印章受理、生產點(LRA)的運行平台;為更好地為各地區用戶服務,CFCA授權在各地區的印章企業(LRA)受理用戶的電子印章申請、變更和撤銷申請,並負責持章人等身份審核和安全電子印章發放。
CFCA安全電子印章認證系統在滿足高安全性、開放性、實用性、高擴展性、交叉認證等需求的同時,從物理安全、環境安全、網路安全、CA產品安全以及密鑰管理和操作運營管理等方面均按國際標准制定了相應的安全策略;專業化的技術隊伍和完善的運營服務體系,確保系統7X24小時安全高效、穩定運行。
6、什麼是CA認證
CA認證簡單來講就是經過權威的部門的驗證。
CA也稱為電子商務認證中心,是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。
CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。
CA 也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。
(6)典型的ca認證體系擴展資料:
CA認證的作用
1、保密性 - 只有收件人才能閱讀信息。
2、認證性 - 確認信息發送者的身份。
3、完整性 - 信息在傳遞過程中不會被篡改。
4、不可抵賴性 - 發送者不能否認已發送的信息。
參考資料:網路-CA認證
7、簡述一個典型的CA認證是如何實現的
目前互聯網實現身份認證主要是以個人證書,還有就是口令密碼等等形式來實現。 常見的身份認證安全技術有: PKI技術。PKI技術是基於公私鑰密碼體系的一種身份認證技術