《【5A版】认证中心(CA)》由会员分享,可在线阅读,更多相关《【5A版】认证中心(CA)(60页珍藏版)》请在金锄头文库上搜索。
1、认证中心(CA),CA简介 CA的技术基础 CA的功能 CA的组成框架与数字证书的申请流程,如何确认彼此的身份?,网上应用系统服务器,用户,数据库,?,假冒的站点,?,假冒的用户,互联网应用存在信息安全隐患,在传统的商务中,用来认证商家或客户真实身份的认证证书大多是被认为公正的第三方机构(如政府部门)颁发的。,中国工商行政管理 总局,保证,发行、 管理营业证书,合法性,而作为电子商务平台的Internet是没有“政府”的,那由谁来验证商家的真实性呢?,什么是CA,CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。 CA的作用是检查证
2、书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。 CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。 CA是PKI的核心组成部分。,CA的作用,CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。 交易信息的安全性 交易信息的完整性 交易者身份的可靠性 交易信息的不可抵赖性,CA技术基础,CA的技术基础是PKI体系。,什么是PKI,什么是PKI PKI的主要组成 PKI技术及应用 PKI体系结构 PKI的功能操作 PKI体系的互通
3、性,什么是PKI,PKI(Public Key Infrastructure )是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 从字面上理解 PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 用户可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。 PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。,PKI的主要组成,认证机构 证书的签发机构,是PKI的核心,是PKI应用中权威的、可信任的、公正的第三方机构。 证书库 是证书的集中存放地,提供公众查询。 密钥备
4、份及恢复系统 对用户的解密密钥进行备份,当丢失时进行恢复,而签名密钥不能备份和恢复。 证书作废处理系统 证书由于某种原因需要作废、终止使用,这将通过证书作废列表CRL来完成。 PKI应用接口系统 是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保所建立起来的网络环境安全可信,并降低管理成本。,PKI技术及应用,PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 一个典型、完整、有效的PKI应用系统至少应具有以下部分: 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。,PKI体系结构,PAA
5、,PCA1,PCAn,CA1,CAn,CA1,CAn,EE1,EE1,ORA,ORA,PAA-政策批准机构 PCA-政策CA CA-认证机构 ORA-在线证书申请,知名CA厂商,国外厂商 VeriSign: 是最大的公共 CA ,也是最早广泛推广 PKI 并建立 公 共 CA 的公司之一。 VeriSign 除了是公认的最可信公共 CA 之 一,还提供专用 PKI 工具, 包括称为 OnSite 的证书颁发服 务,这项服务充当了本地 CA ,而且连接到了 VeriSign 的公 共 CA 。 Microsoft :提供了一个证书管理服务作 为 Windows NT 的 一个附加件,并且现在已经
6、把完整的 CA 功能都合并到了 Windows 2000 中。 国内厂商 天威诚信 信安世纪 北京数字证书认证中心,相关技术,对称密码算法 非对称密码算法 LDAP OCSP,对称密码算法,传统密码算法 加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加密解密密钥是相同的。,优点: 效率高(加解密速度能达到数十兆秒或更多),算法简单,系统开销小,适合加密大量数据。 缺点: 迸行安全通信前需要以安全方式进行密钥交换,实现困难。 规模复杂。 n个用户的团体需要N2/2个不同的密钥。,对称密码算法,常用算法:DES、3DES、AES DES:Data Encryption Sta
7、ndard(数据加密标准)的缩写 由IBM研制 DES是一个分组加密算法,以64位为分组对数据加密 密匙长度是56位(因为每个第8位都用作奇偶校验),非对称密码算法,非对称密码术是建立在数学函数基础上的,而不是建立在位方式的操作上的。 在加/解密时,分别使用了两个不同的密钥:一个可对外界公开,称为“公钥”;一个只有所有者知道,称为“私钥”。 用公钥加密的信息只能用相应的私钥解密,反之亦然。 同时,要想由一个密钥推知另一个密钥,在计算上是不可能的。,非对称密码算法,优点 通信双方事先不需要通过保密信道交换密钥。 密钥持有量大大减少。 非对称密码技术还提供了对称密码技术无法或很难提供的服务:如与哈
8、希函数联合运用可组成数字签名,可证明的安全伪随机数发生器的构造,零知识证明等。 缺点 加解密速度慢、耗用资源大。 常用算法 RSA DH,LDAP,LDAP(Lightweight Directory Access Protocol):轻量级目录访问协议。 LDAP规范(RFC1487)简化了笨重的X.500目录访问协议,支持TCP/IP,这对访问Internet是必须的。 1997年,LDAP第3版本成为互联网标准。目前,LDAP v3已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。 LDAP不是数据库而是用来访问存储在信息目录(也就是LDA
9、P目录)中的信息的协议。LDAP主要是优化数据读取的性能。,OCSP,OCSP(Online Certificate status Protocol)在线证书状态协议 是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。 该标准提供给PKI用户一条方便快捷的数字证书状态查询通道,使PKI体系能够更有效、更安全地在各个领域中被广泛应用。 它为电子商务提供了一种检验数字证书有效性的途径,比下载和处理证书撤销清单(CRL)的传统方式更快、更方便和更具独立性。,推荐站点,中国PKI论坛 http:/ CA认证中心的功能主要有:证书发放、证书更新、证书撤销和证书验证。 具体描述如下: (1
10、)接收验证用户数字证书的申请。 (2)确定是否接受用户数字证书的申请,即证书的审批。 (3)向申请者颁发(或拒绝颁发)数字证书。 (4)接收、处理用户的数字证书更新请求。 (5)接收用户数字证书的查询、撤销。 (6)产生和发布证书的有效期。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。,我国的CA技术,CA涉及许多先进的密码技术,以此它的建立 与运作需要强大的技术支撑。 比如: 先进的公开密钥与数字摘要机制。 一定长度的密码位数。 高水平的服务质量与认证速度以及管理机制。,我国还没有建立起高水平的跨区域的认证中心,虽然近几年各个地方建立了一些CA,但规模都较小。以此阻碍了我国
11、电子商务的发展以及网上支付的大规模普及。,CA的功能,生成密钥对及CA证书 验证申请人身份 颁布数字证书 证书以及持有者身份认证查询 证书管理及更新 吊销证书 制定相关政策 保护数字证书服务器安全,CA的组成框架,CA可以分为RS(证书业务受理中心)和CP(证书制作中心)两部分。 RS负责接收用户的证书申请、发放等与用户打交道的外部工作,CP负责证书的制作、记录等内部工作。用户如果要获得数字证书,必须上网,进入CA网站,实际就是进入了RS网站,向RS申请证书;RS与用户对话后,可以获得用户的申请信息,然后传递给CP,CP与RA进行联系,并从RA处获得用户的身份认证信息后,由CP为用户制作证书,
12、交给RS;当用户再上网要求获取证书时,RS将制作好的证书传给用户。,在网上支付中,参与的每家银行都要建立自己的RA。面对众多的用户,光有一个RA是无法完成任务的。因此,RA下必须设立许多业务受理点,接待用户,进行申请登记工作。RA作为身份认证与审核部门,通过专线与各业务受理点连接。各业务受理点接收用户的申请,审查用户的身份证件,通过专线与RA交换信息,完成用户的身份认证工作。,证书服务中心,CP,CRL/黑名单库,RS,RA,RA,业务 受理点,业务 受理点,业务 受理点,业务 受理点,证书 用户,证书 用户,证书 用户,证书的发放,证书的发放包括两部分: 一、证书的申请、制作、发放。 二、用
13、户的身份认证。 CA(证书服务中心 )完成第一部分工作,RA(审核受理处)则完成第二部分工作。对于RA,持卡人RA由发卡银行,商家的RA由收单银行等能够认证用户身份的单位来担任。,证书的申请流程,一、用户带相关证明到正是业务受理中心RS申请证书; 二、用户在线填写证书申请表格和证书申请协议书; 三、RS业务人员取得用户申请数据后,与RA中心联系,要求用户身份认证; 四、RA下属的业务受理点审核员通过离线方式(面对面)审核申请者的身份、能力和信誉等; 五、审核通过后,RA中心向CA中心转发证书的申请要求; 六、CA中心响应RA中心的证书请求,为该用户制作、签发证书,并且交给RS; 七、当用户再次
14、上网要求获取证书时,RS将制作好的证书传给用户;如果证书介质是IC卡方式,则RS业务人员打印好相关密码信封传给用户,通知用户到相关业务受理点领取; 八、用户根据收到的用户应用指南,使用相关的证书业务。,什么是数字证书,数字安全证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决“我是谁“的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 一
15、般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息。,为什么要使用数字证书,来源电子商务对认证的需要 电子商务必须保证买卖双方在因特尔网上的交易真实、可靠,并具有绝对的信心。 因特网电子商务系统必须保证具有十分可靠的安全保密技术,即必须保证网络安全的四大要素 : 信息传输的保密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性,数字证书的种类,个人身份证书 个人安全电子邮件证书 企业身份证书 企业安全电子邮件证书 服务器身份证书 企业代码签名证书 个人代码签名证书,数字证书的存储,数字证书的存储介质主要有 软盘 硬盘 IC卡 Usb Key,数
16、字证书的原理,利用一对互相匹配的密钥进行加密、解密。 用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户共享,用于加密和验证签名。,用户 A,用户 B,数字证书的颁发,数字证书是由认证中心(CA)颁发的 数字证书颁发过程如下: 用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。,证书个人信息公钥信息CA的签名信息,什么是X.509标准,X.509:它是国际标准化组织CCITT(即国际电话委员会)建议作为X.500目录检索的一
