CA(certificattion authority)中文意思是數字證書認證中心,是發放數字證書的機構。在日常工作中,CA和UKey數字證書的概念容易混淆,經常會聽到對方說“我們的系統要應用你們的CA”,準確的說法是要採用數字證書的方式實現身份認證。
什麼是身份認證authority?簡單說“證明你是你”或者“證明你是誰”的過程。
最常用的身份認證是口令方式,證明你是註冊在網站裏的小明。前提條件是,你必須先註冊,用戶名是小明並設置口令。登錄過程中,你輸入用戶名和口令,即完成了一次身份認證,系統確認你是小明。
常用的身份認證方式包括,數字證書、口令、指紋、手勢、人臉、聲紋、動態口令、手機號等。數字證書是採用密碼方式實現的身份認證,是目前安全級較高的認證方式。數字證書基於公鑰技術,採用數字簽名技術實現身份的驗證。
其他方式,口令最常見,指紋人臉等生物信息認證也越來越廣,雖然使用方便,但這些信息在傳遞的過程中都可能泄露,被竊取。有一個網絡公司大佬聲稱,他目前仍未開啓指紋和人臉識別的電子支付,因爲指紋和人臉一旦泄露,只能關閉指紋和人臉認證。而且,服務端也要存儲指紋和人臉信息,用來在用戶登錄時候比對認證,這些信息如果被黑客竊取,或者惡意內部管理人員盜取,那麼你個人的生物信息就永久泄露了,黑客就可以在你開啓的認證服務上仿冒你。原本只有你能提供你的生物信息證明你是你,但黑客也可以證明他是你,並且你無法像改變口令一樣,改變你的指紋和人臉信息。
數字證書是通過信任傳遞的方式實現身份認證的。CA機構需要通過多種方式覈實用戶的身份,如提交身份證、固定電話、社保卡、手機號等,通過電話方式訪談你的單位等,通過聲明的身份驗證過程,確認用戶對象身份,簽發用戶公鑰證書。用戶的公鑰證書用來實現身份認證,需要用到數字簽名,服務端驗證簽名的過程要應用CA的證書或者證書鏈【詳見參考文獻1、2】。
狹義的CA就是接受RA請求的服務,完成證書籤名和吊銷,發佈到LDAP和OCSP。前面講了簽發數字證書之前,要經過嚴格的人工審覈流程,RA負責接受用戶請求,審覈用戶身份證明。RA含義是註冊服務機構或註冊服務點。LRA和RA的功能一樣,是向下一級的服務機構。
國家標準
- GM/T 0034 基於SM2密碼算法的證書認證系統密碼機相關安全技術規範
- 國家電子政務外網電子認證 註冊服務機構建設指南
RA制證終端和RA服務在同一個局域網內,RA服務和CA之間通過加密通道。安全性要求CA不能採用web方式在廣域網上提供服務,必須建立RA或LRA分支機構。
因此,根據身份覈驗的需求,和遠程接入安全性的要求,須建設RA。
參考文獻:
1. 什麼是證書鏈?https://blog.csdn.net/u011893782/article/details/106519284
2. 數字證書的可信https://blog.csdn.net/u011893782/article/details/106453282