业务相关 快速通道

首页 / 专业文库

PKI的核心——CA

字号:      

  一、 什么是CA?

  为解决互联网的安全问题,世界各国信息安全业者进行了多年的研究,形成了全方位、多层次的安全解决方案。其中,目前被广泛采用的PKI技术,在安全解决方案中占据了重要位置,它可以保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。

  一个完整地PKI系统是由认证机构、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中认证机构(Certification Authority,CA)在PKI系统中居于核心地位。

  我们知道,为了在信息传输的过程中,确保信息的机密性、真实性、完整性和不可否认性,采用了公开密钥加密机制。而公钥机制所涉及的公钥是公开的、需要通过互联网传送。因此,需要解决的一个重要问题就是公钥的信任问题。必须有一个可信任的机构对任何一个主体公钥进行公证,证明主体的身份以及它与公钥的匹配关系。CA就是这样的机构。为了确保CA的公信力,它必须具有高度的权威性、公正性和第三方性。目前在国内存在的CA基本上可以分为三类:第一类是行业性的CA,如中国金融认证中心(CFCA)、海关CA、商务部CA(国富安CA)等,这些CA是由相应行业的主管部门牵头建立的;第二类是地方性CA,如北京CA、上海CA、浙江CA等,这些CA是由当地地方政府牵头建立的;第三类CA是商业性CA,如天威诚信CA。这类CA进行商业化经营,并不从属于任何行业或地域,但它们也必须具有良好的公信力,必须由国家主管部门审批通过才能投入运营,以确保其权威、公正性。

  二、CA的基本功能

  作为CA,必须具有如下基本功能:

  (1)签发数字证书

  (2)CA密钥的管理

  (3)接受证书申请,审核申请者身份

  (4)证书管理

  (5)提供证书和证书状态的查询

  以上功能中,最为重要的是签发证书。CA对其签发的数字证书全部内容,包括证书用户姓名标识、公钥信息、颁发者标识、证书有效期、签名算法标识等信息,进行数字签名。从而权威地证明了证书持有者和公钥的唯一匹配关系。

  CA的另一项重要功能是证书查询。CA的证书库可以作为公钥的来源地。此外,证书有效性的查询对于安全认证也是至关重要的。由于证书遗失或其他原因,证书可能需要在失效期未到时就予以撤销。CA提供证书撤销列表(Certificate Revocation List,CRL)或其他方法供证书依赖方实时查询。

  CA自己的一对密钥管理,必须确保其具备高度的机密性,防止其被伪造而颠覆CA的权威性。在CFCA,根密钥被存放在安全的屏蔽机房,其访问受到了严格的管理。CA的密钥由通过国家认证的加密机产生,私钥一经产生将不能通过明文方式离开加密机。这些措施保证了CFCA根密钥的安全与CFCA的权威性。

  三、CA的组成部分

  CA主要由以下部分组成:

  1、CA服务器:这是CA的核心,是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。

  2、证书下载中心:该中心连接在互联网上,用户通过登录CA网站访问证书下载中心,CA服务器生成的证书通过证书下载中心供用户下载。

  3、目录服务器:它的功能是提供数字证书的存储,以及数字证书和证书撤销列表(CRL)的查询。业者有时把它称为”LDAP”,这是因为目录服务的技术标准遵循LDAP (轻量级目录访问协议)的缘故。

  4、OCSP服务器:该服务器向用户提供证书在线状态的查询。

  5、密钥管理中心(KMC):根据国家密码管理规定,加密用私钥必须由权威、可靠的机构进行备份和保管。CFCA被授权建立KMC,以备份和保管用户的加密密钥。

  6、证书注册机构(Registration Authority,RA):它负责受理证书的申请和审核,其主要功能是接受客户证书申请并进行审核。 RA主要是远程的,CFCA的RA部署在各家用户银行、税务机关、或企业所在地。因为,这样一方面便于进行客户资料的审查,另一方面也便于银行将证书与客户的帐号进行绑定,以实现认证。但即使RA部署在远程所在地,这些RA也仍然是CA的组成部分。

  此外,CFCA还在其所在地部署了直属CA,对一些比较零散的,不适合或者不必要建立RA的用户提供注册服务。

PKI的核心——CA

  图一 CA组成示意图

  四、CA的结构

  一般的PKI/CA系统都为层次结构,这里就以CFCA系统结构为例来说明:

  在系统设计之初,CA系统由根CA(1个)、政策CA(3个)和运营CA(多个) 三部分组成,其树形结构如图二所示。

PKI的核心——CA

  图二最初设计的CFCA系统结构

  当初设计这种结构的初衷是, CFCA希望做成全国性的金融CA,向公众提供服务。这样根CA的作用主要是负责制定和审批CA的总策略,向政策CA发放证书,以及与国际其他PKI域的CA进行交叉认证。三个政策CA则分别负责制定和审批银行、证券、保险领域CA的策略,向运营CA发放证书。运营CA则负责颁发最终用户的证书。

  由于三层结构CA的证书链较长,认证速度效率较低,而且认证业务并没有按原来所设想的方向发展,政策CA实际上只建了1个,原来的初衷未能实现。因此,CFCA后来新建的CA系统全部采用RCA — OCA两层的扁平结构,省却了政策CA这层。

PKI的核心——CA

  图三 扁平结构CA系统

  五、CA的运作

   从权威性、公正性出发,大部分CA都是作为独立的机构运营,为用户提供PKI数字证书认证服务,也有一些CA是作为本系统的IT单位之一,为系统内提供证书认证服务。

  由于CA是PKI系统的核心,CA的运作要求是很高的。如果CA出现故障停止对外服务,整个PKI系统就会瘫痪。因此,CA自身的安全性显得无比重要。

  CA的安全是多方面的。从物理安全上讲,要求CA机 房建筑必须 防火、防水、防震、防电磁辐射、防物理破坏和外人侵入。防电磁辐射是防止入侵者企图通过仪器接收计算机运算时发出的电磁波,来分析密码信息。为了达到这些目的,CA机房墙面地板和天花板一般采用厚钢板六面体焊接,门也要采用电磁屏蔽门。此外,除了一般的人工把守的门禁外,还要安装双人双指纹检测的门禁系统以及磁卡门禁记录系统。CA系统重要的操作必须有两人以上同时在场。

  由于CA要与互联网相连,所以CA在网络安全防护上也要采取严密的措施以防止病毒、非授权访问和恶意攻击。为了确保7乘24小时的不中断服务,系统必须采取高冗余度的配置,要求部署灾难备份中心。

  CA在人事管理上也是很严格的,在CA工作的员工必须安全可靠,要签署保密协议。

  按照信息产业部《电子认证服务管理办法》的规定,CA的密码方案必须经过国家密码管理局的审批认证,CA信息系统必须通过国家信息安全产品的评测认证,取得国家认可的资质,才能投入运营。

  CA 的运作必须符合《认证运作规范(CPS)》。

  六、认证运作规范(CPS)

  CPS(Certification Practice Statement)也叫认证运作规范,是关于认证机构在全部数字证书服务生命周期中的业务实践(如签发、吊销、更新)所遵循规范的详细描述和声明。在CPS中,提供了相关业务、法律和技术方面的细节。它涉及CA的运营范围,遵循标准、证书生命周期管理、CA的运作管理、安全管理、CRL管理等全部范围。

  根据IETF RFC 3647 (公钥基础设施证书策略和证书运行框架)以及国家信息产业部《电子认证服务管理办法》、《电子认证业务规则规范》等规定,中国的CPS由九部分组成,分别是:

  (1)概述性描述

  (2)信息发布与信息管理

  (3)身份识别与鉴别

  (4)证书生命周期操作要求

  (5)认证机构设施管理和操作控制

  (6)认证系统技术安全控制

  (7)证书、证书吊销列表和在线证书状态协议

  (8)认证机构的审计

  (9)法律责任

  这九部分内容详细地阐述了一个CA从诞生、运营,到生命终止的方方面面规定,是CA的纲领性的文件。有人形象地把CPS比作CA的宪法。不但CA的运营者必须严格遵守CPS中的规定,CA的CPS还必须在网站上公布,以接受证书持有者和依赖方的查询和监督。

  七、CFCA的国产化

  中国的PKI市场起步较晚,CFCA作为国内较早的运营CA,在2000年正式对公众提供服务。由于当时国内并没有成熟的CA软件提供商,经过严格的国际招标流程,结果,CFCA选择采用Entrust公司提供的CA系统软件产品进行认证服务。在CFCA运营之初,Entrust CA软件由于其严谨的设计,强大丰富的功能,对CFCA业务发展起到了积极的推动作用。但随着客户的增加,其弊端也不断的暴露出来:由于其本土化能力有限,产品支持是一个难题,困扰着CFCA的业务拓展;同时其高昂的收费策略也影响了CFCA的持续发展。

  随着国内CA产品系统的日渐成熟,以及国家对于CA业务的重视程度不断提高,2002年,在科技部和人民银行的大力支持下,CFCA国产化改造作为国家863项目之一正式启动了。经过各方努力,2004年底CFCA国产化CA项目宣告完成,正式对外提供服务。截至2007年9月,CFCA国产化系统共发放证书50万余张。同时,CFCA开发人员经过多年的开发和经验积累,不断向客户提供具有自主知识产权的丰富多彩的证书应用软件。国产PKI系统正成为CFCA的骄傲,推动着中国的信息安全事业更好地向前发展。

版权所有 CFCA

地址:北京市西城区菜市口南大街平原里20-3 邮编:100054

客服电话:400-880-9888(业务咨询请按4) 投诉电话:010-80864105 传真:010-63555032 

京ICP备05045998-1号 京ICP证080272号 京公网安备11010202009083