CA的概念及作用
      CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。CA机构的数字签名使得第三者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。
    CA是负责确定公钥归属的组件,所以CA必须得到大家的信任才能充当这样的角色,其确定公钥归属的技术手段也必须是可靠的。CA通过证书方式为用户提供公钥的拥有证明,而这样的证明可以被用户接受。   在用户验证公钥归属的过程中,有数据起源鉴别、数据完整性和非否认性的安全要求。CA对某公钥拥有人的公钥证明必须实现这些安全要求才能够为公钥的用户所接受。首先,不论用户获得通信对方公钥的途径是什么,他必须确定信息最初始的来源是可信的CA、而不是其它的攻击者。其次,我们要保证在获得信息的过程中,信息没有被篡改、是完整的。最后,公钥的拥有证明是不可否认的,即通过证书验证都能够确保CA不能否认它提供了这样的公钥拥有证明。在PKI中,CA也具有自己的公私密钥对,对每一个“公钥证明的数据结构”进行数字签名,实现公钥获得的数据起源鉴别、数据完整性和非否认性。用于公钥证明的数据结构,就是数字证书。
数字证书是用来建立数字签名和公-(public-private)密钥对的。CA在这个过程中所起的作用就是保证获得这一独特证书的人就是被授权者本人。在数据安全和电子商务中,CA是一个非常重要的组成部分,因为它们确保信息交换各方的身份。   CA的层级结构:   CA建立自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。   CA提供的服务:   颁发证书、废除证书、更新证书、验证证书、管理密钥。   CA大概分以下几种:   1、行业性CA   金融CA体系、电信CA体系、邮政CA体系、外经贸部CA   中国海关CA、中国银行CA、中国工商银行CA、中国建设   银行CA、招商银行CA、国家计委电子政务CA、南海自然   人CANPCA   2、区域性CA   协卡认证体系(上海CA、北京CA、天津CA   网证通体系(广东CA、海南CA、湖北CA、重庆CA   3、独立的CA认证中心   – 山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙   江邮政CA、黑龙江政府CA、山东CA、深圳CA 、吉林省政   府CA、福建泉州市商业银行网上银行CA、天威诚信CA
 
 
    为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。
  
     数字证书管理中心是保证电子商务安全的基础设施。它负责电子证书的申请、签发、制作、废止、认证和管理,提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。
     
    CA为电子商务服务的证书中心, 是PKI系统中通信双方都信任的实体,被称为可信第三方(Trusted Third Party,简称TTP)。CA作为可信第三方的重要条件之一就是CA的行为具有非否认性。作为第三方而不是简单的上级,就必须能让信任者有追究自己责任的能力。CA通过证书证实他人的公钥信息,证书上有CA的签名。用户如果因为信任证书而导致了损失,证书可以作为有效的证据用于追究CA的法律责任。正是因为CA愿意给出承担责任的承诺,所以也被称为可信第三方。在很多情况下,CA与用户是相互独立的实体,CA作为服务提供方,有可能因为服务质量问题(例如,发布的公钥数据有错误)而给用户带来损失。证书中绑定了公钥数据、和相应私钥拥有者的身份信息,并带有CA的数字签名。认证中心在密码管理方面的作用如下:
  
  1.自身密钥的产生、存储、备份/恢复、归档和销毁
  
  从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。需要强调的是,根CA密钥的安全性至关重要,它的泄露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。
  
  2.为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务
  
  在客户证书的生成与发放过程中,除了有CA中心外,还有注册机构、审核机构和发放机构(对于有外部介质的证书)的存在。行业使用范围内的证书,其证书的审批控制,可由独立于CA中心的行业审核机构来完成。CA中心在与各机构进行安全通信时,可采用多种手段。对于使用证书机制的安全通信,各机构(通信端)的密钥产生、发放与管理维护,都可由CA中心来完成。
  
  3.确定客户密钥生存周期,实施密钥吊销和更新管理
  
  每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发证书的CA中心来确定。各CA系统的证书有效期限有所不同,一般大约为23年。
  
  密钥更新不外为以下两种情况:密钥对到期、密钥泄露后需要启用新的密钥对(证书吊销)。密钥对到期时,客户一般事先非常清楚,可以采用重新申请的方式实施更新。
  
  采用证书的公钥吊销,是通过吊销公钥证书来实现的。公钥证书的吊销来自于两个方向,一个是上级的主动吊销,另一个是下级主动申请证书的吊销。当上级CA对下级CA不能信赖时(如上级发现下级CA的私钥有泄露的可能),它可以主动停止下级CA公钥证书的合法使用。当客户发现自己的私钥泄露时,也可主动申请公钥证书的吊销,防止其他客户继续使用该公钥来加密重要信息,而使非法客户有盗取机密的可能。一般而言,在电子商务实际应用中,可能会较少出现私钥泄露的情况,多数情况是由于某个客户由于组织变动而调离该单位,需要提前吊销代表企业身份的该客户的证书。
  
  4.提供密钥生成和分发服务
  
  CA中心可为客户提供密钥对的生成服务,它采用集中或分布式的方式进行。在集中的情形下,CA中心可使用硬件加密服务器,为多个客户申请成批的生成密钥对,然后采用安全的信道分发给客户。也可由多个注册机构(RA)分布生成客户密钥对并分发给客户。
  
  5.提供密钥托管和密钥恢复服务
  
  CA中心可根据客户的要求提供密钥托管服务,备份和管理客户的加密密钥对。当客户需要时可以从密钥库中提出客户的加密密钥对,为客户恢复其加密密钥对,以解开先前加密的信息。这种情形下,CA中心的密钥管理器,采用对称加密方式对各个客户私钥进行加密,密钥加密密钥在加密后即销毁,保证了私钥存储的安全性。密钥恢复时,采用相应的密钥恢复模块进行解密,以保证客户的私钥在恢复时没有任何风险和不安全因素。同时,CA中心也应有一套备份库,避免密钥数据库的意外毁坏而无法恢复客户私钥。
  
  6.其他密钥生成和管理、密码运算功能
  
  CA中心在自身密钥和客户密钥管理方面的特殊地位和作用,决定了它具有主密钥、多级密钥加密密钥等多种密钥的生成和管理功能。
  
对于为客户提供公钥信任、管理和维护整个电子商务密码体系的CA中心来讲,其密钥管理工作是一项十分复杂的任务,它涉及到CA中心自身的各个安全区域和部件、注册审核机构以及客户端的安全和密码管理策略。