(接上期)
(一)CA的作用
在公钥加密体系中,一个基本而关键的问题就是公钥的分发与管理。某一公钥究竟属于谁必须由一个公众都信赖的权威机构进行认证,否则整个业务体系将出现致命的安全漏洞。担当这一使命的就是CA。
CA在整个公钥加密体制中的地位是至关重要的。几乎所有的基于公钥的机制都认为CA的行为是规范并且可靠的。在信任一个证书前需检验证书中的信息,CA应确保证书所有者的身份。例如:您用一个证书加密某个敏感的信息给您的朋友,这个证书被声称是您朋友的证书。这里有两种情况:(1)证书确实是您的朋友的,只有他才有与之对应的私钥,所以只有他才能解密,达到了您的目的。(2)证书不是您朋友的,您的朋友根本没有相应的私钥,他解不开您所加密的信息。更糟的情况是:假冒是您朋友的那个人有相应的私钥,他可以解密,您的秘密被他所窃获。这时候,您要到CA去验证证书的可靠性。因为这个证书是CA签发的,CA能够确认证书真正的主人。
(二)CA的层次结构
一个CA可为其他CA颁发证书,称为子CA,可以想象,多层CA可以构成一个树状结构,上一级CA对下一级CA担保。在检验某一证书时,您需要检验其颁发者的证书,即上一级CA,直至检验到您信任的CA。每个证书都需要其颁发者(CA)对证书内容进行确认。最高一级的CA证书是自签发(SeftSiged)的,即证书的所有者和证书的颁发者相同。
例如,大写字母表示CA,小写字母表示用户。最上面的A是该CA构架中的根CA。从上到下相邻CA之间为父子CA关系,例如A、B之间,F、G之间等。所有父子CA之间相互认证(互相签名),同时也支持任意两个CA间的交叉认证,如F-J及I-Q之间。
CA间的交叉认证是为了使认证途径缩短,提高效率。通常用户之间的身份认证是通过CA的树型途径进行的。例如:用户e的证书由G签发,而用户k的证书由L签发。当用户e要证明用户k的身份时,其通过CA树型体系的认证途径应是L-J-I-A-B-F-G。而通过CA间的交叉认证,则可以选择较短的途径L-J-F-G。(未完待续)
 |
