第第6章章 安全认证实例安全认证实例�上海财经大学 劳帼龄26.1 6.1 数字认证服务概述数字认证服务概述数字认证服务概述数字认证服务概述6.2 CA6.2 CA建设分析建设分析建设分析建设分析6.3 6.3 典型典型典型典型CACA证书管理策略分析证书管理策略分析证书管理策略分析证书管理策略分析———— 以以以以CFCACFCA为例为例为例为例6.4 6.4 国内典型国内典型国内典型国内典型CACA数字证书申请与使用数字证书申请与使用数字证书申请与使用数字证书申请与使用———— 以以以以SHECASHECA为例为例为例为例6.5 6.5 国外典型国外典型国外典型国外典型CACA数字证书申请与使用数字证书申请与使用数字证书申请与使用数字证书申请与使用———— 以以以以VeriSignVeriSign为例为例为例为例目录目录�上海财经大学 劳帼龄3引例引例—— 全国第一个数字认证许可证放行全国第一个数字认证许可证放行我国的数字认证中心在我国的数字认证中心在我国的数字认证中心在我国的数字认证中心在20202020世纪世纪世纪世纪90909090年代末就已经年代末就已经年代末就已经年代末就已经出现,为何出现,为何出现,为何出现,为何2005200520052005年山东数字认证中心才成为首年山东数字认证中心才成为首年山东数字认证中心才成为首年山东数字认证中心才成为首家国内合法的数字签名认证机构呢?这些认证家国内合法的数字签名认证机构呢?这些认证家国内合法的数字签名认证机构呢?这些认证家国内合法的数字签名认证机构呢?这些认证机构如何提供认证服务呢?机构如何提供认证服务呢?机构如何提供认证服务呢?机构如何提供认证服务呢?�上海财经大学 劳帼龄4•CA CA 作为具有权威的、可信赖的、公正的第三方服作为具有权威的、可信赖的、公正的第三方服务机构,承担着网上安全电子交易中重要的认证务机构,承担着网上安全电子交易中重要的认证服务,需要完成数字证书的申请、签发及对数字服务,需要完成数字证书的申请、签发及对数字证书的管理工作。
证书的管理工作6.1 数字认证服务概述数字认证服务概述�上海财经大学 劳帼龄5•6.2.1国内外认证中心现状概要分析–欧美的CA美国政府CA体系与加拿大政府CA体系对比6.2 CA6.2 CA建设分析建设分析美国政府美国政府CACA体系体系加拿大政府加拿大政府CACA体系体系运营时间运营时间2001年6月7日2000年组成成员组成成员除了各级政府和不同的政府结构以外,还包括与政府或政府机构有商业往来的合作伙伴都是联邦的各级政府或者政府机构体系结构体系结构它包含树型结构、网状结构和信任列表等,是复杂的结构体系它只是一个树型结构,体系结构简单认证实现认证实现通过FBCA建立认证关系,FBCA 仅是一个桥梁,将这些结构连接起来,不颁发数字证书由联邦政策管理机构(FPMA)来管理通过CCF来实现相互认证,CCF是不同树型CA的汇结点,可为下级CA签发数字证书由政策管理机构(PMA)来管理采用的技术采用的技术整个体系的成员采用的产品和技术来自不同的公司,如VeriSign ,Baltimore和Entrust等强调使用Entrust公司的产品和技术�上海财经大学 劳帼龄6美国美国CACA体系结构体系结构图片来源见[11]PMA:政策管理机构,提供政策指导,监督执行。
CCF:中央认证中心,加拿大政府CA体系中唯一的级别为“0”级的认证中心,位于渥太华CA:由政府运营LRA:当地注册机构 加拿大加拿大CACA体系体系6.2 CA6.2 CA建设分析建设分析�上海财经大学 劳帼龄7–亚太地区的CA日本与韩国日本与韩国CACA体系对比体系对比日本日本韩国国主要主要应用市用市场电子化政府领域,金融领域很少使用而在政府领域,电子采购应用又比电子归档用得多金融领域第一,政府领域第二互通模式互通模式BCA模式,将商业登记CA、公民CA、政府部门CA、以及非政府部门CA连成一体,如图3-3简单的树型结构,通过根CA进行相互之间的认证,如图3-4体系架构体系架构分公众和私人两大领域,公众领域包括政府CA体系,以及政府BCA建设两个领域采用不同的法律规则目前只有7家CA,以KCAC(Korea Certification & Authentication Central)为根CA,以KOSCOM、KICA、KETC、NCA、CrossCert和KTNET为下层CA近期任近期任务整合国家身份证智慧卡和其他电子化政府凭证卡(如驾照卡、护照等)加强电子签名在国际贸易上的应用,解决国际金融CA互通问题。
6.2 CA6.2 CA建设分析建设分析�上海财经大学 劳帼龄8日本认证服务公司DATABANK公司总务省CA民众公司法人公司法人BCA经济产业省CA国土省CA法务省CA地方政府CA商业注册CA民众民众……图图6-3 6-3 日本日本CACA体系结构体系结构KCACKOSCOMKICAKETCNCACrossCertKTNet韩国韩国CACA体系结构体系结构6.2 CA6.2 CA建设分析建设分析�上海财经大学 劳帼龄96.2 CA6.2 CA建设分析建设分析6.2.2 国内认证中心建设分析行业性行业性CACA建设分析建设分析区域性区域性CACA建设分析建设分析商业性商业性CACA建设分析建设分析行业、区域、商业三类行业、区域、商业三类CACA的对比的对比 �上海财经大学 劳帼龄106.3典型典型CA证书管理策略分析证书管理策略分析 ——以以CFCA为为例例•6.3.1 CFCA6.3.1 CFCA简介简介•6.3.2 CFCA6.3.2 CFCA的结构的结构•6.3.3 CFCA6.3.3 CFCA的功能的功能•6.3.4 CFCA Non-SET6.3.4 CFCA Non-SET系统的技术优势系统的技术优势•6.3.5 CFCA6.3.5 CFCA的安全保障的安全保障•6.3.6 CFCA6.3.6 CFCA的证书策略的证书策略�上海财经大学 劳帼龄11•6.3.1 CFCA简介 中国金融认证中心中国金融认证中心 (China Finance (China Finance Certification Authority, CFCA)Certification Authority, CFCA),,是由中国人是由中国人民银行牵头,联合中国工商银行、中国银行、民银行牵头,联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生发展银行、深圳发展银行、光大银行、民生银行等银行等1212家商业银行参加建设,由银行卡信家商业银行参加建设,由银行卡信息交换总中心承建的息交换总中心承建的。
6.3 6.3 6.3 6.3 典型典型典型典型CACACACA证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以CFCACFCACFCACFCA为例为例为例为例�上海财经大学 劳帼龄12•6.3.2 CFCA的结构–SET系统–Non-SET系统–RA系统6.3 6.3 6.3 6.3 典型典型典型典型CACACACA证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以CFCACFCACFCACFCA为例为例为例为例�上海财经大学 劳帼龄13•6.3.3 CFCA的功能–证书的申请证书的申请–证书的审批证书的审批–证书的发放证书的发放–证书的归档证书的归档–证书的撤销证书的撤销–证书的更新证书的更新–证书撤销表的管理证书撤销表的管理–CACA的管理功能的管理功能–CACA自身密钥的管理功能自身密钥的管理功能6.3 6.3 6.3 6.3 典型典型典型典型CACACACA证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以CFCACFCACFCACFCA为例为例为例为例�上海财经大学 劳帼龄14•6.3.4 CFCA Non-SET系统的技术优势•6.3.5 CFCA的安全保障–从自身安全保障角度看,主要目标在于维护从自身安全保障角度看,主要目标在于维护系统信息的保密性、有效性和完整性,具体系统信息的保密性、有效性和完整性,具体内容包括系统安全、通信安全和数据安全。
内容包括系统安全、通信安全和数据安全–安全保障还包括设备安全和环境安全安全保障还包括设备安全和环境安全6.3 6.3 6.3 6.3 典型典型典型典型CACACACA证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以CFCACFCACFCACFCA为例为例为例为例�上海财经大学 劳帼龄15•6.3.6 CFCA的证书策略–CFCACFCA证书管理策略概述证书管理策略概述• •证书简介证书简介• •证书的种类证书的种类• •证书的内容证书的内容–金融认证服务相关业务规则金融认证服务相关业务规则• •网关(银行)业务规则网关(银行)业务规则• •商户(企业)业务规则商户(企业)业务规则• •持卡人(个人)业务规则持卡人(个人)业务规则• •中介机构业务规则中介机构业务规则–CFCACFCA的的CPSCPS管理管理6.3 6.3 6.3 6.3 典型典型典型典型CACACACA证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以证书管理策略分析-以CFCACFCACFCACFCA为例为例为例为例�上海财经大学 劳帼龄166.4国内典型国内典型CA数字证书申请与使用数字证书申请与使用 ——以以SHECA为例为例•6.4.1 SHECA6.4.1 SHECA简介简介•6.4.2 SHECA6.4.2 SHECA的数字证书的数字证书•6.4.3 SHECA6.4.3 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄17•6.4.1 SHECA6.4.1 SHECA简介简介上海市电子商务安全证书管理有限公司上海市电子商务安全证书管理有限公司上海市电子商务安全证书管理有限公司上海市电子商务安全证书管理有限公司( ( ( (简称上海市简称上海市简称上海市简称上海市CACACACA中心,中心,中心,中心,SHECA)SHECA)SHECA)SHECA),,,,是由上海市信息投资股份有限公司、上海邮电、上海银行卡网是由上海市信息投资股份有限公司、上海邮电、上海银行卡网是由上海市信息投资股份有限公司、上海邮电、上海银行卡网是由上海市信息投资股份有限公司、上海邮电、上海银行卡网络服务中心、上海联合投资公司联合出资组建,经上海市政府批准,上络服务中心、上海联合投资公司联合出资组建,经上海市政府批准,上络服务中心、上海联合投资公司联合出资组建,经上海市政府批准,上络服务中心、上海联合投资公司联合出资组建,经上海市政府批准,上海市唯一从事数字证书的签发和管理业务的权威性认证中心。
海市唯一从事数字证书的签发和管理业务的权威性认证中心海市唯一从事数字证书的签发和管理业务的权威性认证中心海市唯一从事数字证书的签发和管理业务的权威性认证中心–作为可信赖的第三方从四方面保证了交易的安作为可信赖的第三方从四方面保证了交易的安全:全:• •信息传输的机密性信息传输的机密性信息传输的机密性信息传输的机密性• •信息的不可篡改性信息的不可篡改性信息的不可篡改性信息的不可篡改性• •身份的认证身份的认证身份的认证身份的认证• •交易的不可抵赖交易的不可抵赖交易的不可抵赖交易的不可抵赖6.4 6.4 国内典型国内典型CACA数字证书申请与使用数字证书申请与使用————以以SHECASHECA为例为例�上海财经大学 劳帼龄18•6.4.2 SHECA6.4.2 SHECA的数字证书的数字证书–SHECASHECA数字证书的格式遵循数字证书的格式遵循ITU-TX.509ITU-TX.509标准,标准,包含包含::• •公钥公钥• •名称名称• •SHECASHECA的数字签名的数字签名• •密钥的有效时间密钥的有效时间• •证书序列号证书序列号–SHECASHECA数字证书存放的介质可以是下列任意一数字证书存放的介质可以是下列任意一种:种:• •硬盘硬盘• •软盘软盘• •ICIC卡卡• •加密卡加密机加密卡加密机6.4 SHECA6.4 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄19•6.4.3 SHECA6.4.3 SHECA数字证书的申请与使用数字证书的申请与使用–数字证书的申请数字证书的申请• •下载根证书下载根证书• •递交个人数字证书申请递交个人数字证书申请6.4 SHECA6.4 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄20•6.4.3 SHECA数字证书的申请与使用–安装并查看个人数字证书6.4 SHECA6.4 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄21•6.4.3 SHECA数字证书的申请与使用–个人数字证书的使用6.5 SHECA6.5 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄22•6.4.3 SHECA数字证书的申请与使用–下载对方的数字证书6.4 SHECA6.4 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄23•6.4.3 SHECA数字证书的申请与使用–个人数字证书的废除6.4 SHECA6.4 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄24•6.4.3 SHECA数字证书的申请与使用–证书的导出和导入6.4 SHECA6.4 SHECA数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄256.5 国外典型国外典型CA数字证书申请与使用数字证书申请与使用 ——以以VeriSign为例为例•6.5.1 VeriSign公司简介•6.5.2 VeriSign的数字证书•6.5.3 VeriSign数字证书的申请和使用�上海财经大学 劳帼龄26•6.5.1 VeriSign公司简介–主要提供四种核心服务:主要提供四种核心服务:• •安全服务安全服务• •支付服务支付服务• •域名与目录服务域名与目录服务• •电子交流服务电子交流服务6.5 6.5 国外典型国外典型CACA数字证书申请与使用数字证书申请与使用————以以 VeriSignVeriSign为例为例�上海财经大学 劳帼龄27•6.5.2 VeriSign的数字证书–三种类型的数字证书:三种类型的数字证书:• •服务器数字证书服务器数字证书• •针对软件开发商的开发者数字证书针对软件开发商的开发者数字证书• •SSLSSL数字证书数字证书• •个人安全电子邮件数字证书个人安全电子邮件数字证书6.5 VeriSign6.5 VeriSign数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄28•6.5.3 VeriSign数字证书的申请与使用–数字证书的申请和使用数字证书的申请和使用6.5 VeriSign6.5 VeriSign数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄29•6.5.3 VeriSign数字证书的申请与使用–查看个人数字证书查看个人数字证书6.56.5 VeriSignVeriSign数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄30•6.5.3 VeriSign数字证书的申请与使用–个人数字证书的使用个人数字证书的使用6.5 VeriSign6.5 VeriSign数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄31•6.5.3 VeriSign数字证书的申请与使用–下载对方的数字证书6.5 VeriSign6.5 VeriSign数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄32•6.5.3 VeriSign数字证书的申请与使用–个人数字证书的废除6.5 VeriSign6.5 VeriSign数字证书的申请与使用数字证书的申请与使用�上海财经大学 劳帼龄33•6.5.3 VeriSign数字证书的申请与使用–证书的导出和导入6.5 VeriSign6.5 VeriSign数字证书的申请与使用数字证书的申请与使用�Thanks!�。