学校ca系统是什么?
CA是认证机构(Certificate Authority)的简称,是一个由可信第三方认证的实体。在互联网上,所有用户对任何其它用户的访问都可以通过证书来验证它的真实身份。 简单来说就是网上公证人,它负责证书的颁发和验证,并负责证书发放后可能的纠纷,是互联网安全的核心之一。
目前常用的网络服务基本上都有ca认证机制,例如mail(邮箱)需要用户拥有邮件服务商提供给你的ca证书才能顺利登录;而ftp、web服务等则是通过客户端/服务器形式的certificate授权实现,通常是由操作系统提供已经签署好的root证书给应用程序使用。
当然这个机制并不是完全可靠,由于ca本身有可能被攻击或被操纵,因此就需要数字签名等辅助机制来确保证书的正确性。一个完整的ca认证工作过程如下: 从上述过程可以看到,如果攻击者得到了其中任一环节的控制权就可以取得对整个认证过程的干涉权,进而得到他不希望看到的结果,比如让某个本来不该知道密码的用户获取到该密码,或者让系统授予某个不明来历的身份以最高权限。
所以,如何保证ca系统的自身安全和数据完整是首先需要注意的问题。为了防止本地机器被劫持而导致的认证过程失败,很多服务都采用了远程认证的方式,即通过远程服务器来确认请求者的身份,这时就需要考虑远程服务器遭受攻击时可能对系统造成的影响了;还有一些方案是通过硬件安全芯片来提升认证过程的安全,这也是值得注意的地方。