CA(certificattion authority)中文意思是数字证书认证中心,是发放数字证书的机构。在日常工作中,CA和UKey数字证书的概念容易混淆,经常会听到对方说“我们的系统要应用你们的CA”,准确的说法是要采用数字证书的方式实现身份认证。
什么是身份认证authority?简单说“证明你是你”或者“证明你是谁”的过程。
最常用的身份认证是口令方式,证明你是注册在网站里的小明。前提条件是,你必须先注册,用户名是小明并设置口令。登录过程中,你输入用户名和口令,即完成了一次身份认证,系统确认你是小明。
常用的身份认证方式包括,数字证书、口令、指纹、手势、人脸、声纹、动态口令、手机号等。数字证书是采用密码方式实现的身份认证,是目前安全级较高的认证方式。数字证书基于公钥技术,采用数字签名技术实现身份的验证。
其他方式,口令最常见,指纹人脸等生物信息认证也越来越广,虽然使用方便,但这些信息在传递的过程中都可能泄露,被窃取。有一个网络公司大佬声称,他目前仍未开启指纹和人脸识别的电子支付,因为指纹和人脸一旦泄露,只能关闭指纹和人脸认证。而且,服务端也要存储指纹和人脸信息,用来在用户登录时候比对认证,这些信息如果被黑客窃取,或者恶意内部管理人员盗取,那么你个人的生物信息就永久泄露了,黑客就可以在你开启的认证服务上仿冒你。原本只有你能提供你的生物信息证明你是你,但黑客也可以证明他是你,并且你无法像改变口令一样,改变你的指纹和人脸信息。
数字证书是通过信任传递的方式实现身份认证的。CA机构需要通过多种方式核实用户的身份,如提交身份证、固定电话、社保卡、手机号等,通过电话方式访谈你的单位等,通过声明的身份验证过程,确认用户对象身份,签发用户公钥证书。用户的公钥证书用来实现身份认证,需要用到数字签名,服务端验证签名的过程要应用CA的证书或者证书链【详见参考文献1、2】。
狭义的CA就是接受RA请求的服务,完成证书签名和吊销,发布到LDAP和OCSP。前面讲了签发数字证书之前,要经过严格的人工审核流程,RA负责接受用户请求,审核用户身份证明。RA含义是注册服务机构或注册服务点。LRA和RA的功能一样,是向下一级的服务机构。
国家标准
- GM/T 0034 基于SM2密码算法的证书认证系统密码机相关安全技术规范
- 国家电子政务外网电子认证 注册服务机构建设指南
RA制证终端和RA服务在同一个局域网内,RA服务和CA之间通过加密通道。安全性要求CA不能采用web方式在广域网上提供服务,必须建立RA或LRA分支机构。
因此,根据身份核验的需求,和远程接入安全性的要求,须建设RA。
参考文献:
1. 什么是证书链?https://blog.csdn.net/u011893782/article/details/106519284
2. 数字证书的可信https://blog.csdn.net/u011893782/article/details/106453282