3.3 PKI管理机构——认证中心

开放网络上的电子商务要求为信息安全提供有效的、可靠的保护机制。这些机制必须提供机密性、身份验证特性和不可否认性。证书机制是目前被广泛采用的一种安全机制，使用证书机制的前提是建立可靠的第三方机构验证，如CA以及配套的注册审批机构（Registration Authority，RA）系统。

CA是PKI的核心执行机构，是PKI的主要组成实体。CA是电子商务和网上银行等应用中所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构，负责为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；用户拥有自己的公钥/私钥对。

RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘等介质中。RA系统是整个CA得以正常运营的不可缺少的一部分。

RA只对唯一的CA负责，但一个CA可以拥有多个RA。如无其他限制，RA将依据以下两种方式确认证书申请。

1）由运作良好的公证机关执行此项职责。该公证机关可以由CA指定，但通常是中立的，同时又能提供证书申请验证。

2）通常的识别方式，如身份证、护照、驾照等具有法律效力的有效身份证件。

值得说明的是，CA是广泛存在的，并可能独立于PKI而存在，如中国的实际情况是，全国各地已经有很多的CA，但全国的PKI体系目前还未建立成型。

3.3.1 CA的功能

CA就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，CA往往采用一种多层次的分级结构，各级的CA类似于各级行政机关，上级CA负责签发和管理下级CA的证书，最下一级CA直接面向最终用户。CA的主要功能如下。

（1）证书的颁发

CA接收、验证用户（包括下级CA和最终用户）的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果CA接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用CA的私钥签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用CA的签名。

（2）证书的更新

CA可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。

（3）证书的查询

证书的查询可以分为两类，其一是证书申请的查询，CA根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。

（4）证书的作废

当用户的私钥由于泄密等原因造成用户证书要申请作废时，用户要向CA提出证书作废的请求，CA根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是，证书已经过了有效期，CA自动将该证书作废。CA通过维护证书废除列表（Certificate Revocation List，CRL）来完成上述功能。

（5）证书的归档

证书具有一定的有效期，过了有效期之后就将作废，但是不能将作废的证书简单地丢弃，因为有时可能需要验证以前的某个交易过程中产生的数字签名，这时就需要查询作废的证书。基于此类考虑，CA还应当具备管理作废证书和作废私钥的功能。

CA发放的证书分为两类，即SSL证书和SET证书。一般地，SSL（安全套接层）证书是服务于银行对企业或企业对企业的电子商务活动的，而SET（安全电子交易）证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书，但它们的信任体系完全不同，而且遵循的标准也不一样。简单地说，SSL证书的作用是通过公开密钥证明持证人的身份。而SET证书的作用则是，通过公开密钥证明持证人在指定银行确实拥有该信用卡账号，同时也证明了持证人的身份。

3.3.2 CA的组成

CA为了实现其各项功能，主要由以下三部分组成，如图3-2所示。

1）注册服务器：通过Web Server建立的站点，可为客户提供每日24小时服务，因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表。

2）证书申请受理和审核机构：负责证书的申请和审核。

3）CA服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废除列表的生成和处理等服务。

3.3.3 CA的体系结构

CA有着严格的层次结构。按照SET协议要求，CA的体系结构如图3-3所示。

其中，根CA是离线的并且是被严格保护的，仅在发布新的品牌CA时才被访问；品牌CA发布地域政策CA、持卡人CA、商户CA和支付网关CA的证书，并负责维护及分发其签字的证书和电子商务文字建议书；地域政策CA是考虑到地域或政策的因素而设置的，因而是可选的；持卡人CA负责生成并向持卡人分发证书；商户CA负责发放商户证书；支付网关CA为支付网关（银行）发放证书。