3.3 PKI管理機構——認證中心

開放網絡上的電子商務要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性和不可否認性。證書機制是目前被廣泛采用的一種安全機制，使用證書機制的前提是建立可靠的第三方機構驗證，如CA以及配套的注冊審批機構（Registration Authority，RA）系統。

CA是PKI的核心執行機構，是PKI的主要組成實體。CA是電子商務和網上銀行等應用中所有合法注冊用戶所信賴的具有權威性、信賴性及公正性的第三方機構，負責為電子商務環境中各個實體頒發數字證書，以證明各實體身份的真實性，并負責在交易中檢驗和管理證書；用戶擁有自己的公鑰/私鑰對。

RA系統是CA的證書發放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發放等工作；同時，對發放的證書完成相應的管理功能。發放的數字證書可以存放于IC卡、硬盤等介質中。RA系統是整個CA得以正常運營的不可缺少的一部分。

RA只對唯一的CA負責，但一個CA可以擁有多個RA。如無其他限制，RA將依據以下兩種方式確認證書申請。

1）由運作良好的公證機關執行此項職責。該公證機關可以由CA指定，但通常是中立的，同時又能提供證書申請驗證。

2）通常的識別方式，如身份證、護照、駕照等具有法律效力的有效身份證件。

值得說明的是，CA是廣泛存在的，并可能獨立于PKI而存在，如中國的實際情況是，全國各地已經有很多的CA，但全國的PKI體系目前還未建立成型。

3.3.1 CA的功能

CA就是一個負責發放和管理數字證書的權威機構。對于一個大型的應用環境，CA往往采用一種多層次的分級結構，各級的CA類似于各級行政機關，上級CA負責簽發和管理下級CA的證書，最下一級CA直接面向最終用戶。CA的主要功能如下。

（1）證書的頒發

CA接收、驗證用戶（包括下級CA和最終用戶）的數字證書的申請，將申請的內容進行備案，并根據申請的內容確定是否受理該數字證書申請。如果CA接受該數字證書申請，則進一步確定給用戶頒發何種類型的證書。新證書用CA的私鑰簽名以后，發送到目錄服務器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應答信息都要使用CA的簽名。

（2）證書的更新

CA可以定期更新所有用戶的證書，或者根據用戶的請求來更新用戶的證書。

（3）證書的查詢

證書的查詢可以分為兩類，其一是證書申請的查詢，CA根據用戶的查詢請求返回當前用戶證書申請的處理過程；其二是用戶證書的查詢，這類查詢由目錄服務器來完成，目錄服務器根據用戶的請求返回適當的證書。

（4）證書的作廢

當用戶的私鑰由于泄密等原因造成用戶證書要申請作廢時，用戶要向CA提出證書作廢的請求，CA根據用戶的請求確定是否將該證書作廢。另外一種證書作廢的情況是，證書已經過了有效期，CA自動將該證書作廢。CA通過維護證書廢除列表（Certificate Revocation List，CRL）來完成上述功能。

（5）證書的歸檔

證書具有一定的有效期，過了有效期之后就將作廢，但是不能將作廢的證書簡單地丟棄，因為有時可能需要驗證以前的某個交易過程中產生的數字簽名，這時就需要查詢作廢的證書。基于此類考慮，CA還應當具備管理作廢證書和作廢私鑰的功能。

CA發放的證書分為兩類，即SSL證書和SET證書。一般地，SSL（安全套接層）證書是服務于銀行對企業或企業對企業的電子商務活動的，而SET（安全電子交易）證書則服務于持卡消費、網上購物。雖然它們都是用于識別身份和數字簽名的證書，但它們的信任體系完全不同，而且遵循的標準也不一樣。簡單地說，SSL證書的作用是通過公開密鑰證明持證人的身份。而SET證書的作用則是，通過公開密鑰證明持證人在指定銀行確實擁有該信用卡賬號，同時也證明了持證人的身份。

3.3.2 CA的組成

CA為了實現其各項功能，主要由以下三部分組成，如圖3-2所示。

1）注冊服務器：通過Web Server建立的站點，可為客戶提供每日24小時服務，因此客戶可在自己方便的時候在網上提出證書申請和填寫相應的證書申請表。

2）證書申請受理和審核機構：負責證書的申請和審核。

3）CA服務器：是數字證書生成、發放的運行實體，同時提供發放證書的管理、證書廢除列表的生成和處理等服務。

3.3.3 CA的體系結構

CA有著嚴格的層次結構。按照SET協議要求，CA的體系結構如圖3-3所示。

其中，根CA是離線的并且是被嚴格保護的，僅在發布新的品牌CA時才被訪問；品牌CA發布地域政策CA、持卡人CA、商戶CA和支付網關CA的證書，并負責維護及分發其簽字的證書和電子商務文字建議書；地域政策CA是考慮到地域或政策的因素而設置的，因而是可選的；持卡人CA負責生成并向持卡人分發證書；商戶CA負責發放商戶證書；支付網關CA為支付網關（銀行）發放證書。