《ca系统及功能》由会员分享,可在线阅读,更多相关《ca系统及功能(19页珍藏版)》请在金锄头文库上搜索。
1、CA系统及功能,作者:第二组,,CONTENTS,第五章要点,CA认证流程,PKI业务实例,,第六章要点,第五章要点,一、证书所有者,二、证书依赖者,三、证书注册机构,六、仓库,五、证书认证机构,四、档案文件,,第六章要点,,PKI系统中传输PKI消息的传输机制,一、基于协议的文件:通过某些协议传输包裹PKI消息的文件 二、直接基于PKI的管理协议:CA的一个监听程序能够在一个明 确的端口上接受PKI消息 三、通过E-mail的管理协议:可以通过Internet mail,为协议 ASN.1 编码的消息 四、通过HTTP的管理协议:通过HTTP协议也可以为协议传递 ASN.1编码的消 息,密钥
2、备份和恢复,进一步授权 (# 可定制),授权恢 复密钥,加密密钥的历史,新的签名密钥对 和证书,Password?,Help!,旧密钥及新密钥备份原因是方便 密钥丢失或过期后无法对文件解密,密钥生命周期,密钥生成,密钥生成及备份,,8,数字认证的过程,证书授权,李华,王丽,(1)证书请求 (证书+公钥),(2)消息(使用CA私钥 进行了签名),(4)验证CA签名,(3)王丽将证书交给李华,ca处理证书的流程,9,数字认证过程,王丽将一个签名的证书请求(包括她的名字、公钥、可能还有其他的一些信息)发送到CA CA使用王丽的请求创建一个消息。CA使用其私钥对消息进行签名,以便创建一个单独的签名。C
3、A将消息和签名返回给王丽。消息和签名共同构成了王丽的证书。,10,王丽将她的证书发送给李华,以便授权他访问他的公钥。李华使用CA的公钥对证书进行验证, 如果证明证书是有效的,他就承认证书中的公钥是王丽的公钥。 与数字签名的情况一样,任何有权访问CA公钥的接收者都可以确定证书是否是由特定CA签名的。这个过程不要求访问任何机密信息。上面这个方案假定李华有权访问CA的公钥。如果李华有权拥有包含该公钥的CA证书副本,则他就有权访问该密钥。,联想集团分销环节的电子化管理有明确的需要,联想在全国建立了完善的渠道体系 超过二千多家的渠道分销商分布全国各地 传统的、纸质的订单处理模式很难满足分销环节的要求 处
4、理时间慢,时效性差 人力成本的大量投入 处理存在很高的出错几率 无法和整个生产系统进行对接 希望通过电子化管理手段,实现无纸化订单处理 通过建设电子订单系统将联想和各分销商有机联系在一起 各分销商通过互联网,访问电子订单系统向联想下产品分销订单,并以收到联想的确认回执为准 联想根据电子订单组织生产并进行产品配货,PKI应用实例,联想电子订单操作流程,数据库,分销商,联想电子订单应用系统,Web服务器,1、联想分销商使用浏览器登录联想电子订单系统,提交电子订单; 2、联想电子订单系统进行订单处理; 3、联想电子订单系统返回确认回执; 4、并将订单及其确认回执保存到数据库中。,互联网应用存在信息安
5、全隐患,如何确认彼此的身份? 通过互联网被窃听,导致信息泄漏 信息被篡改,导致信息不完整 用户对发送信息进行抵赖,没有抗抵赖的依据,网上应用系统服务器,用户,数据库,窃听,篡改,抵赖,?,假冒的站点,?,假冒的用户,天威诚信为联想提供证书服务,天威诚信作为权威、可信、公正的第三方认证机构,为联想应用提供证书服务 联想和联想分销商分别与天威诚信签订使用数字证书的协议 联想和联想分销商之间签署在电子订单中使用数字证书的协议 天威诚信为联想和联想分销商提供数字证书服务 联想和联想分销商使用数字证书进行安全电子订单交易,分销商,1.天威诚信为联想和联想分销商发放数字证书,2.使用数字证书进行安全电子订
6、单交易,天威诚信为联想定制了专用的证书申请界面,电子订单安全交易流程,后台应用 服务器,分销商,前台Web 服务器,数据库,电子订单数据,联想电子订单系统,服务器证书,联想各大区证书,安装在服务器上,分销商使用USB key 中的证书进行登录 服务器验证分销商证书,完成身份认证和访问控制,建立SSL安全通道 分销商提交电子订单,使用USB Key上保存的证书(私钥)对电子订单进行签名,将电子订单表单及其签名一起提交给服务器 服务器完成电子订单签名的验证,将订单及其签名保存到数据库中 电子订单系统完成后续业务处理后,产生确认回执,使用联想相应大区的证书,对确认回执进行签名确认回执及其签名返回给分
7、销商,分销商可以完成验证,并下载,分销商证书,保存在USB key 中,回执数据,PKI/CA的应用为联想带来了良好的效益,电子订单系统的真实、可靠和权威,增强了联想的形象,消除了分销商的顾虑 有效的防止了越权操作行为 保证了电子订单数据是真实的、完整的、可用的 防止分销商、内部操作人员联合作案,系统所有操作都必须记录入日志,以便日后稽查,从而降低运营风险 防止内部人员伪造电子数据并将之往外流通 订单实现一次确认、无纸化办公,有效降低沟通成本 简化商务流程,提高商务效率,充分展现电子商务的即时性、高效性和准确性,联想方面的反馈,实施6个月,签署了15万份合同,合同金额几十 亿(04年4月6日一天接到9万台订单,商务人员称没有了过去加班加点处理合同的痛苦感觉) 合同平均处理时间从过去的13个小时缩短到了半个小时,其中85%是在1分钟完成的 减少的合同处理商务人员,降低了人力成本 降低了合同的存储成本 减少了合同在生效过程中的成本(长途电话、传真、邮寄费用) 加快了联想整个PC的交货过程,有效降低了成品库存和生产部件的库存,Thank You !,
