新闻动态
CA
CA(Certificate Authority)是数字证书认证中心的简称,是指被一个或多个用户所信任、发放和管理公钥证书和作废证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。它是PKI的核心组成部分。CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。CA的核心功能就是发放和管理数字证书,主要功能还有:证书发放、证书更新、证书撤销和证书验证。
CA信任关系
当一个实体看到另一个实体出示的证书时,他是否信任此证书?信任难以度量,总是与风险联系在一起。
• 可信CA:如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定,则他可以信任该CA,该CA为可信CA。
• 信任模型:基于层次结构的信任模型
• 交叉认证:以用户为中心的信任模型
CA层次结构
对于一个运行CA的大型权威机构而言,签发证书的工作不能仅仅由一个CA来完成,它可以建立一个CA层次结构。
CA层次结构的建立
根CA具有一个自签名的证书;根CA依次对它下面的CA进行签名;层次结构中叶子节点上的CA用于对安全个体进行签名。对于个体而言,它需要信任根CA,中间的CA可以不必关心(透明的);同时它的证书是由底层的CA签发的,在CA的机构中,要维护这棵树,在每个节点CA上,需要保存两种cert。
(1) Forward Certificates:其他CA发给它的certs
(2) Reverse Certificates:它发给其他CA的certs
层次结构CA中证书的验证
假设个体A看到B的一个证书,B的证书中含有签发该证书的CA的信息,沿着层次树往上找,可以构成一条证书链,直到根证书。
验证过程:
沿相反的方向,从根证书开始,依次往下验证每一个证书中的签名。其中,根证书是自签名的,用它自己的公钥进行验证,一直到验证B的证书中的签名,如果所有的签名验证都通过,则A可以确定所有的证书都是正确的,如果他信任根CA,则他可以相信B的证书和公钥。
交叉认证:两个不同的CA层次结构之间可以建立信任关系
• 单向交叉认证:一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书
• 双向交叉认证
上一条:没有了 下一条:没有了
- 资料下载
- 咨询中心
-
咨询热线:
400-886-0755
邮件咨询