（一）认证系统

认证系统（Certificate Authority，简称CA，又称证书）的目的有两个：第一，信源识别，即验证发信人确实不是冒充的；第二，检验发送信息的完整性，也就是说，即使信息确实是经过授权的信源发送者发送的，也要验证在传送过程中是否被篡改、重放或延迟。在认证理论中一般将信源识别和发送信息的完整性检验两者作为一个整体进行讨论。

1.CA的层次结构

开放的CA体系结构是一种支持交叉的树型结构，如图7-11所示。

图7-11　开放的CA体系结构

图7-11中，大写字母（圆圈内）表示CA，小写字母（方框内）表示最终用户。最上面的A是该CA构架中的根CA。从上到下相邻CA之间为父子CA关系，例如A、B之间，F、G之间等。

2.交叉认证

现假设有CA1和CA2，CA2将自己的公钥（签发证书时所用私钥对应的公钥）提交CA1，并向CA1提出申请，为CA2签名。对于这份申请，CA1签发一份证书，最终用户只要安装这份证书，任何信任CA1的用户都可验证CA签发的所有证书。这就实现了CA1到CA2的交叉认证，同样，也可以实现CA2到CA1的交叉认证。上述实例所描述的就是交叉认证。

交叉认证的缺点是：CA1对CA2没有完全的控制权，而CA1的用户又必须信任CA2。

CA不仅可实现由其自己创建的根CA辖内的交叉认证，还可和其他符合国际标准的CA实现交叉认证。不同根CA之间的交叉认证实现了相互信任，而在同一个根CA之内实现交叉认证则是为了缩短验证路径。通常用户之间的身份认证是通过CA的树型途径进行的。图7-11中，用户e的证书由G签发，而用户m的证书由N签发。当用户e要证明用户m的身份时，其通过CA树型体系的认证途径应是N-M-I-A-B-F-G。通过CA间的交叉认证，则可以选择较短的途径N-M-F-G。

（二）相关国际标准(www.daowen.com)

认证系统相关的国际标准主要包括：

（1）PKI（Public-key Infrastructure）公钥体系基础框架。

（2）PKIX（Public-key Infrastructure Using X.509）。它是使用X.509的公钥体系基础框架。

（3）X.500。它是由ISU和ITU提出的用于为大型网络提供目录服务的标准体系。

（4）X.509。它为X.500提供验证（Authenticating）体系的标准。

（5）PKCS（Public-key Cryptography Standards）公钥密钥标准。它为PKI提供一套完善的标准体系。

对于任何基于公钥体系的安全应用，必须确立其PKI，而电子签证机关（CA）是PKI中的一个关键的组成部分，它主要涉及两方面的内容，即公钥证书的发放和公钥证书的有效性证明。在PKIX中，CA遵循X.509标准规范。

X.509最早的版本X.509v1是在1988年提出的，到现在已升级到X.509v3，它所涉及的主要内容以及与前版本的比较有很大改进。