CA(인증 기관)는 공개 키 인프라 pki(공개 키 인프라)를 기반으로 디지털 인증서를 생성하고 결정하는 제3자 신뢰 기관(신뢰할 수 있는 제3자)으로, 주로 신원 인증서 발급을 수행합니다. 설계자가 수립한 전략에 따라 전자증명서의 정상적인 사용을 관리합니다. CA는 권위 있고 신뢰할 수 있으며 공정하며 공개 키 시스템에서 공개 키의 적법성 검증을 담당합니다. CA는 공개 키를 사용하는 각 사용자에게 디지털 인증서를 발급합니다. 디지털 인증서의 기능은 인증서에 나열된 사용자가 인증서에 나열된 공개 키를 합법적으로 소유하고 있음을 증명하는 것입니다. CA의 디지털 서명은 공격자가 인증서를 위조하거나 변조하는 것을 방지합니다. CA는 인증서 폐기 및 CRL(인증서 폐기 목록) 발급도 담당하며, 모든 온라인 엔터티에서 요구하는 디지털 인증서를 생성, 배포 및 관리하는 역할도 담당합니다. 안전한 전자정부 핵심링크입니다.
CA 인증 시스템의 구성
CA 인증 시스템은 다음과 같은 부서로 구성된다. 첫째, 사용자 개체의 디지털 인증서를 생성하고 결정하는 역할을 담당하는 CA이다. 두 번째는 ra(등록 기관)라고 하는 검토 및 승인 부서로, 인증서 신청자의 자격을 검토하고 신청자에게 인증서 발급에 대한 동의 여부를 결정하는 역할을 담당합니다. 동시에, 감사 오류로 인해 발생하는 모든 결과와 자격을 충족하지 못한 사람에게 인증서를 발급하는 것은 이러한 책임을 질 수 있는 기관이 부담해야 합니다. 세 번째는 인증서 운영부서입니다. 인증서 운영부서 CP(인증처리자)는 승인된 신청자를 위한 인증서를 생성, 발급, 관리하며, 비밀유지 상실, 비인가자에 대한 인증서 발급 등 운영상의 오류로 인해 발생하는 모든 결과에 대한 책임을 집니다. 등을 RA가 직접 수행하거나 제3자에게 위탁할 수 있습니다. 네 번째는 키 관리 부서(km)로, 엔터티의 암호화 키 쌍을 생성하고 복호화 개인 키에 대한 보관 서비스를 제공하는 역할을 담당합니다. 다섯 번째는 인터넷의 모든 인증서 디렉터리를 포함하는 인증서 저장 위치(dir)입니다.
CA 인증 시스템에서 각 구성 요소 간의 인증 관계는 일반적으로 다음과 같습니다.
(1) 사용자와 ra 사이: 사용자가 ra에게 검토를 요청하고 사용자는 ra에 자신의 신원 정보를 제출해야 하며, ra가 사용자의 신원을 검토한 후 해당 정보를 ca에 안전하게 전달해야 합니다.
(2) ra와 ca 사이: ra는 안전하고 신뢰할 수 있는 방법으로 사용자의 식별 정보를 ca에 전송해야 합니다. ca는 안전하고 실행 가능한 방식으로 사용자의 디지털 인증서를 ra로 전송하거나 사용자에게 직접 전송합니다.
(3) 사용자와 dir 간: 사용자는 dir에 있는 인증서 목록과 디지털 인증서를 쿼리하고 취소할 수 있습니다.
(4) dir과 ca 사이: ca는 생성한 디지털 인증서를 dir 디렉터리에 직접 전송하고 디렉터리에 등록합니다. 디렉터리에 디지털 인증서를 등록하려면 사용자 인증과 액세스 제어가 필요합니다.
(5) 사용자와 km 사이: km는 사용자의 인증을 수락하고 사용자를 대신하여 암호화 키 쌍을 생성하며, 사용자가 보유한 인증서의 암호화 키를 키 관리에 위탁해야 합니다. 센터에서 이를 생성하고, 사용자는 암호 해독 개인 키 복구 서비스를 신청할 수 있습니다. km는 사용자에게 암호 해독된 개인 키에 대한 복구 서비스를 제공해야 합니다. 사용자의 암호 해독 개인 키는 키 관리 센터에서 호스팅되어야 합니다.
(6) ca와 km 사이: 둘 사이의 통신은 기밀이고 안전해야 합니다. 보안을 보장하려면 통신 인증서를 사용해야 합니다. 통신인증서는 인증기관이 핵심관리센터, 상하위 인증기관과 통신하기 위해 사용하는 전산장비 인증서이다. 이러한 특수전산장비는 인증기관에서 발급한 특수통신인증서를 신청하여 설치하여야 하며, 동시에 키관리센터, 상위 또는 하위 인증기관의 특수통신전산장비 및 보유하고 있는 통신키인증서를 함께 설치하여야 한다. 인증 기관의 루트 인증서입니다.
인증 시스템의 책임
위의 논의를 통해 CA는 최소한 다음과 같은 구체적인 책임을 갖고 있다는 결론을 내릴 수 있습니다.
(1) 검증 및 인증을 위해 공개 키 정보를 제출하는 주체의 신원을 식별합니다.
(2) 디지털 인증서 생성에 사용되는 비대칭 키 쌍의 품질을 확인합니다.
(3) 공개 키 정보에 서명하는 데 사용되는 인증 프로세스 및 개인 키의 보안
(4) 두 개체를 구별하기 위해 동일한 ID가 부여되지 않도록 해야 합니다.
(5) 디지털 인증서 일련번호, 인증 기관 식별 정보 등 공개 키 정보에 포함된 인증서 중요 정보를 관리합니다.
(6) 폐기된 인증서 목록을 유지하고 게시합니다.
(7) 인증서의 유효 기간을 지정하고 확인합니다.
(8) 공개 키 정보에서 식별된 주체에 디지털 인증서가 발급되었음을 알립니다. (9) 디지털 인증서 생성 프로세스의 모든 단계를 기록합니다.
CA보안인증시스템의 기능
CA보안인증시스템의 주요 기능으로는 전자인증서 발급, 하위 감사등록기관 관리, 하위 감사등록기관의 업무신청 접수 등이 있다. , 모든 인증서 디렉토리 서비스 유지 및 관리, 키 관리 센터에서 키 신청, 개체 인증 키어 관리 등