请论述认证机构提供的服务和功能。
答:认证机构用来保证网上通信的合法身份,它通过电子证书机制来实现。认证机构应提供以下四个方面的服务:证书申请、证书更新、证书吊销或撤销、证书的公布和查询。
(1)证书申请(新证书的发放)
证书的申请包括用户证书的申请和商家证书的申请。申请方式包括网上申请和亲自到认证机构当面申请。
①网上申请
网上申请可分为Web申请和E-Mail申请。
•Web申请:申请者通过因特网用Web方法来申请证书,通过申请软件访问认证机构的网页,填写相应的表单表明自己的身份,并由认证机构来审核,审核过程中,将会使用认证机构带自签名的公钥证书和信息加密证书,审核通过后向申请者发放证书。
•E-Mail申请:申请者通过电子邮件向认证机构发送申请信息,由认证机构来审核,审核通过后,向申请者发放其申请的证书。
②离线申请证书
申请者到认证机构离线申请证书,当认证机构审核通过后,认证机构将公钥证书和信息加密证书,并同申请者申请的证书以电子介质的方式交给申请者。若申请者是一商家,则认证中心应同时在网上公布。
(2)证书更新。当证书持有者的证书过期、证书被窃取、受到攻击时通过更新证书的方法,使其用新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。证书的更换实际上是重新颁发证书,因此证书的更换过程和证书的申请流程基本一致。而证书的延期只是将证书有效期延长,其签名和加密信息的公私密钥没有改变。证书持有者向认证机构提岀申请,认证机构进行必要的审查,若审查通过就向证书持有者发放新证书。可以通过WWW或E-Mail方式向证书持有者发放新的证书。
(3)证书吊销或撤销。证书是网上交易各方在交易进行前对各自身份进行确认的一种手段。当证书持有者违反证书使用政策、证书丢失或受到攻击、证书过期或服务提供者停止服务等情况下,应吊销其证书并予以公布。吊销有主动申请吊销和被动强制性吊销两种形式。
①证书持有者申请吊销。当证书持有者认为不再用此证书参与网上事务,主动上网申请吊销或亲自到认证机构吊销此证书。证书持有者通过WWW或E-Mail的方式通过网络申请吊销。证书吊销后,认证机构必须更新证书吊销表,将吊销证书放入证书吊销表,并在网上及时公布。认证机构以正式的信函或E-Mail通知证书持有者此证书已作废。
②认证机构强制吊销证书。这是一种强制性的吊销方式。认证机构吊销证书持有者的证书,将其放入证书吊销表,并在网上予以公布。
当认证机构认为证书持有者的证书过期或违反证书使用政策时,主动吊销证书持有者的证书。证书吊销后,认证机构更新证书吊销表,并在网上及时公布。认证机构以正式信函或E-Mail通知证书持有者该证书已作废。
(4)证书的公布和查询。认证机构应该及时地通过网络公布对用户和服务提供者的认证信息,以方便用户和服务提供者查询相应的认证信息。
证书状态查询采用X.500标准或其简化版本LDAP协议。
用户、服务提供者提出证书查询请求,请求返回以前申请的证书的状态——授予、拒绝授予还是待决中。
认证机构返回证书状态,若决定授予,返回证书,否则返回证书的当前状态。
