《认证中心及证书原理.ppt》由会员分享,可在线阅读,更多相关《认证中心及证书原理.ppt(32页珍藏版)》请在金锄头文库上搜索。
1、知识结构PKI与证书服与证书服务应用务应用公钥基础结构公钥基础结构CA在在Web服务器上服务器上设置设置SSL什么是什么是PKI公钥加密技术公钥加密技术生成证书申请生成证书申请提交证书申请提交证书申请颁发证书颁发证书什么是证书什么是证书CA的作用的作用证书的发放过程证书的发放过程在在Web服务器上安装证书服务器上安装证书安装证书服务安装证书服务启用安全通道启用安全通道使用使用HTTPS协议访问网站协议访问网站证书的导出和导入证书的导出和导入CA电子商务网络示意图什么是CApCA(CertificateAuthority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。pCA为电子
2、政务、电子商务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书;pCA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。pCA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。pCA是PKI的核心组成部分。CA的作用pCA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。n交易信息的保密性n交易信息的不可修改性n交易者身份的确定性n交易的不可抵赖性CA的功能pCA的核心功能就是发放和管理数字
3、证书。pCA认证中心的功能主要有:证书发放、证书更新、证书撤销和证书验证。p具体描述如下:p(1)接收验证用户数字证书的申请。(2)确定是否接受用户数字证书的申请,即证书的审批。(3)向申请者颁发(或拒绝颁发)数字证书。(4)接收、处理用户的数字证书更新请求。(5)接收用户数字证书的查询、撤销。(6)产生和发布证书的有效期。(7)数字证书的归档。(8)密钥归档。(9)历史数据归档。什么是数字证书p什么是数字证书p为什么要使用数字证书p数字证书的种类p数字证书的存储p数字证书的原理p数字证书的颁发数字证书p数字证书是各类实体数字证书是各类实体(持卡人持卡人/个人、商户个人、商户/企业、网关企业、
4、网关/银行等银行等)在网上进行信在网上进行信息交流及商务活动的身份证明,是一个经证书认证中心数字签名的包含公开息交流及商务活动的身份证明,是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。密钥拥有者信息以及公开密钥的文件。 Issuer (CA) Subject (Bob) Subjects Public KeyPublicBobDigital SignatureHASHSigned with trusted private keyPrivateCA包含用户身份信息的文件包含用户身份信息的文件:CA 的名称 (颁发机构)Bob 的名称 (对象)Bob 的公钥 由可信的第三
5、方进行由可信的第三方进行签名签名(CA)(CA) 使用使用CACA的私钥的私钥 保证信息的真实性和保证信息的真实性和完整性完整性数字证书PKI系统(CA系统)的产物数字证书是PKI技术的现实载体,通过数字证书我们可以实现身份认证、信息加密、签名等一系列的安全操作网络世界的电子身份证与现实世界的身份证类似能够证明个人、团体或设备的身份拥有者拥有证书公钥对应的私钥由可信的颁发机构颁发比如身份证由公安局颁发一样颁发机构对证书进行签名与身份证上公安局的盖章类似可以由颁发机构证明证书是否有效可防止擅改证书上的任何资料姓名地址公司电话号码Email地址数字证书的内容p公钥证书的主要内容n持有者(Subje
6、ct)标识n序列号n公钥n有效期n签发者(Issuer)标识nCA的数字签名p身份证主要内容n姓名n身份证号码n照片n有效期n签发者单位n签发单位盖章、防伪标志实现数字证书公钥基础设施公钥基础设施证书颁发机构证书颁发机构客户申请证书客户申请证书PKICAClient为什么要使用数字证书p来源电子商务对认证的需要n电子商务必须保证买卖双方在因特尔网上的交易真实、可靠,并具有绝对的信心。p因特网电子商务系统必须保证具有十分可靠的安全保密技术,即必须保证网络安全的四大要素:n信息传输的保密性n数据交换的完整性n发送信息的不可否认性n交易者身份的确定性数字证书的种类p个人身份证书p个人安全电子邮件证书
7、p企业身份证书p企业安全电子邮件证书p服务器身份证书p企业代码签名证书p个人代码签名证书B的公钥公钥A的私钥私钥B的私钥私钥A的公钥公钥数字证书的原理p利用一对互相匹配的密钥进行加密、解密。p用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户共享,用于加密和验证签名。用户用户 A用户用户 B加密加密签名签名解密解密验证验证数字证书的颁发p数字证书是由认证中心(CA)颁发的p数字证书颁发过程如下:n用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请
8、求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。 证书个人信息公钥信息证书个人信息公钥信息CA的签名信息的签名信息证书的发放证书的发放包括两部分:一、证书的申请、制作、发放。二、用户的身份认证。CA(证书服务中心)完成第一部分工作,RA(审核受理处)则完成第二部分工作。对于RA,持卡人RA由发卡银行,商家的RA由收单银行等能够认证用户身份的单位来担任。CA的组成框架CA可以分为RS(证书业务受理中心)和CP(证书制作中心)两部分。RS负责接收用户的证书申请、发放等
9、与用户打交道的外部工作,CP负责证书的制作、记录等内部工作。用户如果要获得数字证书,必须上网,进入CA网站,实际就是进入了RS网站,向RS申请证书;RS与用户对话后,可以获得用户的申请信息,然后传递给CP,CP与RA进行联系,并从RA处获得用户的身份认证信息后,由CP为用户制作证书,交给RS;当用户再上网要求获取证书时,RS将制作好的证书传给用户。在网上支付中,参与的每家银行都要建立自己的RA。面对众多的用户,光有一个RA是无法完成任务的。因此,RA下必须设立许多业务受理点,接待用户,进行申请登记工作。RA作为身份认证与审核部门,通过专线与各业务受理点连接。各业务受理点接收用户的申请,审查用户
10、的身份证件,通过专线与RA交换信息,完成用户的身份认证工作。证书服务中心CPCRL/黑名单库RSRARA业务受理点业务受理点业务受理点业务受理点证书用户证书用户证书用户什么是PKIp什么是PKIpPKI的主要组成pPKI技术及应用pPKI体系结构pPKI的功能操作什么是PKIpPKI(PublicKeyInfrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。p从字面上理解nPKI就是利用公钥理论和技术建立的提供安全服务的基础设施。n用户可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。pPKI是创建、颁发、管理、注销
11、公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。公钥基础设施PKICARA终端用户目录服务申请与审核证书归档证书终止证书注销证书发布证书生成PKI的主要组成p认证机构n证书的签发机构,是PKI的核心,是PKI应用中权威的、可信任的、公正的第三方机构。p证书库n是证书的集中存放地,提供公众查询。p密钥备份及恢复系统n对用户的解密密钥进行备份,当丢失时进行恢复,而签名密钥不能备份和恢复。p证书作废处理系统n证书由于某种原因需要作废、终止使用,这将通过证书作废列表CRL来完成。pPKI应用接口系统n是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,
12、确保所建立起来的网络环境安全可信,并降低管理成本。PKI技术及应用pPKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。p一个典型、完整、有效的PKI应用系统至少应具有以下部分:n公钥密码证书管理。n黑名单的发布和管理。n密钥的备份和恢复。n自动更新密钥。n自动管理历史密钥。n支持交叉认证。PKI的12种功能操作1 1产生、验证和分发密钥2 2签名和验证3 3证书的获取4 4验证证书5 5保存证书6 6本地保存的证书的获取7 7证书废止的申请8 8密钥的恢复9 9CRL的获取1010 密钥更新1111 审计12 12 存档(证书及废止证书)目录在CA中的应用pCA需要
13、解决的两个问题:1、证书生命周期管理问题:如何创建、维护和销毁证书2、证书定位问题:如何快速找到对方的证书p目录在CA中的作用:1、目录是整个证书生命周期的管理中心。2、在目录中存储、管理证书(Certificate)和撤销列表(CRL)3、通过目录服务提供有效的证书发布和查询功能4、通过目录服务安全可靠地发布CRL,提供CRL查询服务存储数字证书,只能由签发服务器进行写操作;把数字证书信息实时推向从LDAP。 与主服务器内数据保持一致,只接受查询不能修改和添加信息。 目录服务器在目录服务器在CACA中的位置中的位置知名CA厂商p国外厂商nVeriSign:是最大的公共CA,也是最早广泛推广P
14、KI并建立公共CA的公司之一。VeriSign除了是公认的最可信公共CA之一,还提供专用PKI工具,包括称为OnSite的证书颁发服务,这项服务充当了本地CA,而且连接到了VeriSign的公共CA。nMicrosoft:提供了一个证书管理服务作为WindowsNT的一个附加件,并且现在已经把完整的CA功能都合并到了Windows2000中。p国内厂商n天威诚信n信安世纪n北京数字证书认证中心证书的申请流程一、用户带相关证明到正是业务受理中心RS申请证书;二、用户在线填写证书申请表格和证书申请协议书;三、RS业务人员取得用户申请数据后,与RA中心联系,要求用户身份认证;四、RA下属的业务受理点审核员通过离线方式(面对面)审核申请者的身份、能力和信誉等;五、审核通过后,RA中心向CA中心转发证书的申请要求;六、CA中心响应RA中心的证书请求,为该用户制作、签发证书,并且交给RS;七、当用户再次上网要求获取证书时,RS将制作好的证书传给用户;如果证书介质是IC卡方式,则RS业务人员打印好相关密码信封传给用户,通知用户到相关业务受理点领取;八、用户根据收到的用户应用指南,使用相关的证书业务。推荐站点p中国PKI论坛http:/
