《第8章:认证中心及证书原理》由会员分享,可在线阅读,更多相关《第8章:认证中心及证书原理(32页珍藏版)》请在金锄头文库上搜索。
1、知识结构,CA电子商务网络示意图,什么是CA,CA(CertificateAuthority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA为电子政务、电子商务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书;CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。CA是PKI的核心组成部分。,CA的作用,CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安
2、全性、完整性、可靠性和交易的不可抵赖性。交易信息的保密性交易信息的不可修改性交易者身份的确定性交易的不可抵赖性,CA的功能,CA的核心功能就是发放和管理数字证书。 CA认证中心的功能主要有:证书发放、证书更新、证书撤销和证书验证。 具体描述如下:(1)接收验证用户数字证书的申请。(2)确定是否接受用户数字证书的申请,即证书的审批。(3)向申请者颁发(或拒绝颁发)数字证书。(4)接收、处理用户的数字证书更新请求。(5)接收用户数字证书的查询、撤销。(6)产生和发布证书的有效期。(7)数字证书的归档。(8)密钥归档。(9)历史数据归档。,什么是数字证书,什么是数字证书为什么要使用数字证书数字证书的
3、种类数字证书的存储数字证书的原理数字证书的颁发,数字证书,数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。,包含用户身份信息的文件:CA 的名称 (颁发机构)Bob 的名称 (对象)Bob 的公钥 由可信的第三方进行签名(CA)使用CA的私钥保证信息的真实性和完整性,数字证书,PKI系统(CA系统)的产物数字证书是PKI技术的现实载体,通过数字证书我们可以实现身份认证、信息加密、签名等一系列的安全操作网络世界的电子身份证与现实世界的身份证类似能够证明个人、团体或设备的身份
4、拥有者拥有证书公钥对应的私钥由可信的颁发机构颁发比如身份证由公安局颁发一样颁发机构对证书进行签名与身份证上公安局的盖章类似可以由颁发机构证明证书是否有效可防止擅改证书上的任何资料,姓名地址公司电话号码Email地址 ,数字证书的内容,公钥证书的主要内容持有者(Subject)标识序列号公钥有效期签发者(Issuer)标识CA的数字签名,身份证主要内容姓名身份证号码照片有效期签发者单位签发单位盖章、防伪标志,实现数字证书,为什么要使用数字证书,来源电子商务对认证的需要电子商务必须保证买卖双方在因特尔网上的交易真实、可靠,并具有绝对的信心。因特网电子商务系统必须保证具有十分可靠的安全保密技术,即必
5、须保证网络安全的四大要素 :信息传输的保密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性,数字证书的种类,个人身份证书 个人安全电子邮件证书 企业身份证书 企业安全电子邮件证书 服务器身份证书 企业代码签名证书 个人代码签名证书,数字证书的原理,利用一对互相匹配的密钥进行加密、解密。用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户共享,用于加密和验证签名。,用户 A,用户 B,数字证书的颁发,数字证书是由认证中心(CA)颁发的 数字证书颁发过程如下: 用户首先产生自己的密钥对,并将公共密钥及部分个人身
6、份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。,证书个人信息公钥信息CA的签名信息,证书的发放,证书的发放包括两部分:一、证书的申请、制作、发放。二、用户的身份认证。CA(证书服务中心 )完成第一部分工作,RA(审核受理处)则完成第二部分工作。对于RA,持卡人RA由发卡银行,商家的RA由收单银行等能够认证用户身份的单位来担任。,CA的组成框架,CA可以分为RS(证书业务受理中心)和CP(证
7、书制作中心)两部分。RS负责接收用户的证书申请、发放等与用户打交道的外部工作,CP负责证书的制作、记录等内部工作。用户如果要获得数字证书,必须上网,进入CA网站,实际就是进入了RS网站,向RS申请证书;RS与用户对话后,可以获得用户的申请信息,然后传递给CP,CP与RA进行联系,并从RA处获得用户的身份认证信息后,由CP为用户制作证书,交给RS;当用户再上网要求获取证书时,RS将制作好的证书传给用户。,在网上支付中,参与的每家银行都要建立自己的RA。面对众多的用户,光有一个RA是无法完成任务的。因此,RA下必须设立许多业务受理点,接待用户,进行申请登记工作。RA作为身份认证与审核部门,通过专线
8、与各业务受理点连接。各业务受理点接收用户的申请,审查用户的身份证件,通过专线与RA交换信息,完成用户的身份认证工作。,证书服务中心,CP,CRL/黑名单库,RS,RA,RA,业务受理点,业务受理点,业务受理点,业务受理点,证书用户,证书用户,证书用户,什么是PKI,什么是PKIPKI的主要组成PKI技术及应用PKI体系结构PKI的功能操作,什么是PKI,PKI(Public Key Infrastructure )是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。从字面上理解PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 用户可利用PKI平台提供的服
9、务进行安全的电子交易,通信和互联网上的各种活动。PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。,公钥基础设施PKI,PKI的主要组成,认证机构证书的签发机构,是PKI的核心,是PKI应用中权威的、可信任的、公正的第三方机构。证书库是证书的集中存放地,提供公众查询。密钥备份及恢复系统对用户的解密密钥进行备份,当丢失时进行恢复,而签名密钥不能备份和恢复。证书作废处理系统证书由于某种原因需要作废、终止使用,这将通过证书作废列表CRL来完成。PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保所建立
10、起来的网络环境安全可信,并降低管理成本。,PKI技术及应用,PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 一个典型、完整、有效的PKI应用系统至少应具有以下部分: 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。,PKI的12种功能操作,1 产生、验证和分发密钥 2 签名和验证 3 证书的获取 4 验证证书 5 保存证书 6 本地保存的证书的获取,7 证书废止的申请 8 密钥的恢复 9 CRL的获取10 密钥更新11 审计12 存档(证书及废止证书),目录在CA中的应用,CA需要解决的两个问题:
11、1、证书生命周期管理问题:如何创建、维护和销毁证书 2、证书定位问题:如何快速找到对方的证书目录在CA中的作用: 1、目录是整个证书生命周期的管理中心。 2、在目录中存储、管理证书(Certificate)和撤销列表(CRL) 3、通过目录服务提供有效的证书发布和查询功能 4、通过目录服务安全可靠地发布CRL,提供CRL查询服务,存储数字证书,只能由签发服务器进行写操作;把数字证书信息实时推向从LDAP。,与主服务器内数据保持一致,只接受查询不能修改和添加信息。,目录服务器在CA中的位置,知名CA厂商,国外厂商VeriSign: 是最大的公共 CA ,也是最早广泛推广 PKI 并建立 公 共
12、CA 的公司之一。 VeriSign 除了是公认的最可信公共 CA 之 一,还提供专用 PKI 工具, 包括称为 OnSite 的证书颁发服 务,这项服务充当了本地 CA ,而且连接到了 VeriSign 的公 共 CA 。Microsoft :提供了一个证书管理服务作 为 Windows NT 的 一个附加件,并且现在已经把完整的 CA 功能都合并到了 Windows 2000 中。国内厂商天威诚信信安世纪北京数字证书认证中心,证书的申请流程,一、用户带相关证明到正是业务受理中心RS申请证书;二、用户在线填写证书申请表格和证书申请协议书;三、RS业务人员取得用户申请数据后,与RA中心联系,要求用户身份认证;四、RA下属的业务受理点审核员通过离线方式(面对面)审核申请者的身份、能力和信誉等;五、审核通过后,RA中心向CA中心转发证书的申请要求;六、CA中心响应RA中心的证书请求,为该用户制作、签发证书,并且交给RS;七、当用户再次上网要求获取证书时,RS将制作好的证书传给用户;如果证书介质是IC卡方式,则RS业务人员打印好相关密码信封传给用户,通知用户到相关业务受理点领取;八、用户根据收到的用户应用指南,使用相关的证书业务。,推荐站点,中国PKI论坛 http:/
