《认证中心课件优秀PPT.ppt》由会员分享,可在线阅读,更多相关《认证中心课件优秀PPT.ppt(60页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、认证中心(CA)vCA简介vCA的技术基础vCA的功能vCA的组成框架与数字证书的申请流程如何确认彼此的身份?如何确认彼此的身份?网上应用系统服务器网上应用系统服务器用户用户数据库数据库?假冒的站点假冒的站点?假冒的用户假冒的用户互联网应用存在信息平安隐患 在传统的商务中,用来认证商家或客户真实身份的认证证书大多是被认为公正的第三方机构(如政府部门)颁发的。中国工商行政管理总局保证发行、管理营业证书合法性 而作为电子商务平台的Internet是没有“政府”的,那由谁来验证商家的真实性呢?什么是CAvCA(CertificateAuthority)是数字证书认证中心的简称,是指发放、管理、废除数
2、字证书的机构。vCA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。vCA必需是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。vCA是PKI的核心组成部分。CA的作用CA供应的平安技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的平安性、完整性、牢靠性和交易的不行抵赖性。交易信息的平安性交易信息的完整性交易者身份的牢靠性交易信息的不行抵赖性CA技术基础vCA的技术基础是PKI体系。什么是PKIv什么是PKIvPKI的主要组成vPKI技术及应用vPKI体系结构vPKI的功能操作
3、vPKI体系的互通性什么是PKIvPKI(PublicKeyInfrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展供应一套平安基础平台的技术和规范。v从字面上理解vPKI就是利用公钥理论和技术建立的供应平安服务的基础设施。v用户可利用PKI平台供应的服务进行平安的电子交易,通信和互联网上的各种活动。vPKI是创建、颁发、管理、注销公钥证书所涉及到的全部软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。PKI的主要组成v认证机构v证书的签发机构,是PKI的核心,是PKI应用中权威的、可信任的、公正的第三方机构。v证书库v是证书的集中存放地,供应公众查询。
4、v密钥备份及复原系统v对用户的解密密钥进行备份,当丢失时进行复原,而签名密钥不能备份和复原。v证书作废处理系统v证书由于某种缘由须要作废、终止运用,这将通过证书作废列表CRL来完成。vPKI应用接口系统v是为各种各样的应用供应平安、一样、可信任的方式与PKI交互,确保所建立起来的网络环境平安可信,并降低管理成本。PKI技术及应用vPKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。v一个典型、完整、有效的PKI应用系统至少应具有以下部分:v公钥密码证书管理。v黑名单的发布和管理。v密钥的备份和复原。v自动更新密钥。v自动管理历史密钥。v支持交叉认证。PKI体系结构PA
5、APCA1PCAnCA1CAnCA1CAnEE1EE1ORAORAvPAA-政策批准机构vPCA-政策CAvCA-认证机构vORA-在线证书申请知名CA厂商v国外厂商vVeriSign:是最大的公共CA,也是最早广泛推广PKI并建立公共CA的公司之一。VeriSign除了是公认的最可信公共CA之一,还供应专用PKI工具,包括称为OnSite的证书颁发服务,这项服务充当了本地CA,而且连接到了VeriSign的公共CA。vMicrosoft:供应了一个证书管理服务作为WindowsNT的一个附加件,并且现在已经把完整的CA功能都合并到了Windows2000中。v国内厂商v天威诚信v信安世纪v北
6、京数字证书认证中心相关技术v对称密码算法v非对称密码算法vLDAPvOCSP对称密码算法v传统密码算法v加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加密解密密钥是相同的。v优点:v效率高(加解密速度能达到数十兆秒或更多),算法简洁,系统开销小,适合加密大量数据。v缺点:v迸行平安通信前须要以平安方式进行密钥交换,实现困难。v规模困难。n个用户的团体须要N2/2个不同的密钥。对称密码算法v常用算法:DES、3DES、AESDES:DataEncryptionStandard(数据加密标准)的缩写由IBM研制DES是一个分组加密算法,以64位为分组对数据加密密匙长度是56位
7、(因为每个第8位都用作奇偶校验)非对称密码算法v非对称密码术是建立在数学函数基础上的,而不是建立在位方式的操作上的。v在加/解密时,分别运用了两个不同的密钥:一个可对外界公开,称为“公钥”;一个只有全部者知道,称为“私钥”。v用公钥加密的信息只能用相应的私钥解密,反之亦然。v同时,要想由一个密钥推知另一个密钥,在计算上是不行能的。非对称密码算法v优点v通信双方事先不须要通过保密信道交换密钥。v密钥持有量大大削减。v非对称密码技术还供应了对称密码技术无法或很难供应的服务:如与哈希函数联合运用可组成数字签名,可证明的平安伪随机数发生器的构造,零学问证明等。v缺点v加解密速度慢、耗用资源大。v常用算
8、法vRSAvDHLDAPvLDAP(LightweightDirectoryAccessProtocol):轻量级书目访问协议。vvLDAP规范(RFC1487)简化了笨重的X.500书目访问协议,支持TCP/IP,这对访问Internet是必需的。v1997年,LDAP第3版本成为互联网标准。目前,LDAPv3已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。vLDAP不是数据库而是用来访问存储在信息书目(也就是LDAP书目)中的信息的协议。LDAP主要是优化数据读取的性能。OCSPvOCSP(OnlineCertificatestatusPr
9、otocol)在线证书状态协议v是IETF颁布的用于检查数字证书在某一交易时刻是否仍旧有效的标准。v该标准供应应PKI用户一条便利快捷的数字证书状态查询通道,使PKI体系能够更有效、更平安地在各个领域中被广泛应用。v它为电子商务供应了一种检验数字证书有效性的途径,比下载和处理证书撤销清单(CRL)的传统方式更快、更便利和更具独立性。举荐站点v中国PKI论坛vv:/chinapkiforum.org/CA的功能vCA的核心功能就是发放和管理数字证书。vCA认证中心的功能主要有:证书发放、证书更新、证书撤销和证书验证。v具体描述如下:v(1)接收验证用户数字证书的申请。(2)确定是否接受用户数字证
10、书的申请,即证书的审批。(3)向申请者颁发(或拒绝颁发)数字证书。(4)接收、处理用户的数字证书更新恳求。(5)接收用户数字证书的查询、撤销。(6)产生和发布证书的有效期。(7)数字证书的归档。(8)密钥归档。(9)历史数据归档。我国的CA技术CA涉及很多先进的密码技术,以此它的建立与运作须要强大的技术支撑。比如:先进的公开密钥与数字摘要机制。确定长度的密码位数。高水平的服务质量与认证速度以及管理机制。我国还没有建立起高水平的跨区域的认证中心,虽然近几年各个地方建立了一些CA,但规模都较小。以此阻碍了我国电子商务的发展以及网上支付的大规模普及。CA的功能v生成密钥对及CA证书v验证申请人身份v
11、颁布数字证书v证书以及持有者身份认证查询v证书管理及更新v吊销证书v制定相关政策v爱护数字证书服务器平安CA的组成框架CA可以分为RS(证书业务受理中心)和CP(证书制作中心)两部分。RS负责接收用户的证书申请、发放等与用户打交道的外部工作,CP负责证书的制作、记录等内部工作。用户假如要获得数字证书,必需上网,进入CA网站,实际就是进入了RS网站,向RS申请证书;RS与用户对话后,可以获得用户的申请信息,然后传递给CP,CP与RA进行联系,并从RA处获得用户的身份认证信息后,由CP为用户制作证书,交给RS;当用户再上网要求获得证书时,RS将制作好的证书传给用户。在网上支付中,参与的每家银行都要
12、建立自己的RA。面对众多的用户,光有一个RA是无法完成任务的。因此,RA下必需设立很多业务受理点,接待用户,进行申请登记工作。RA作为身份认证与审核部门,通过专线与各业务受理点连接。各业务受理点接收用户的申请,审查用户的身份证件,通过专线与RA交换信息,完成用户的身份认证工作。证书服务中心CPCRL/黑名单库RSRARA业务受理点业务受理点业务受理点业务受理点证书用户证书用户证书用户证书的发放证书的发放包括两部分:一、证书的申请、制作、发放。二、用户的身份认证。CA(证书服务中心)完成第一部分工作,RA(审核受理处)则完成其次部分工作。对于RA,持卡人RA由发卡银行,商家的RA由收单银行等能够
13、认证用户身份的单位来担当。证书的申请流程一、用户带相关证明到正是业务受理中心RS申请证书;二、用户在线填写证书申请表格和证书申请协议书;三、RS业务人员取得用户申请数据后,与RA中心联系,要求用户身份认证;四、RA下属的业务受理点审核员通过离线方式(面对面)审核申请者的身份、实力和信誉等;五、审核通过后,RA中心向CA中心转发证书的申请要求;六、CA中心响应RA中心的证书恳求,为该用户制作、签发证书,并且交给RS;七、当用户再次上网要求获得证书时,RS将制作好的证书传给用户;假如证书介质是IC卡方式,则RS业务人员打印好相关密码信封传给用户,通知用户到相关业务受理点领取;八、用户依据收到的用户
14、应用指南,运用相关的证书业务。什么是数字证书v数字平安证书就是标记网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决我是谁的问题,就犹如现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。v数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。v最简洁的证书包含一个公开密钥、名称以及证书授权中心的数字签名。v一般状况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息。为什么要运用数字证书v来源电子商务对认证的须要v电子商务必需保证买卖双方在因特尔网上的
15、交易真实、牢靠,并具有确定的信念。v因特网电子商务系统必需保证具有特别牢靠的平安保密技术,即必需保证网络平安的四大要素:v信息传输的保密性v数据交换的完整性v发送信息的不行否认性v交易者身份的确定性数字证书的种类v个人身份证书v个人平安电子邮件证书v企业身份证书v企业平安电子邮件证书v服务器身份证书v企业代码签名证书v个人代码签名证书数字证书的存储v数字证书的存储介质主要有软盘硬盘IC卡UsbKeyB的公钥公钥A的私钥私钥B的私钥私钥A的公钥公钥数字证书的原理v利用一对相互匹配的密钥进行加密、解密。v用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥
16、(公钥)并由本人公开,为一组用户共享,用于加密和验证签名。用户用户 A用户用户 B加密加密签名签名解密解密验证验证数字证书的颁发v数字证书是由认证中心(CA)颁发的v数字证书颁发过程如下:v用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信恳求的确由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以运用自己的数字证书进行相关的各种活动。证书个人信息公钥信息证书个人信息公钥信息CA的签名信息的签名信息什么是X.509标准vX.509:它是国际
17、标准化组织CCITT(即国际电话委员会)建议作为X.500书目检索的一部分供应平安书目检索服务,是一种行业标准或者行业解决方案,在X.509方案中,默认的加密体制是公钥密码体制。v为进行身份认证,X.509标准及公共密钥加密系统供应了数字签名的方案。v用户可生成一段信息及其摘要(亦称作信息指纹)。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息指纹进行比较,以确定其真实性。什么是X.509证书vX.509是一种特别通用的证书格式。v一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。vX.509标准定义了证书中应当包含
18、哪些信息,并描述了这些信息是如何编码的(即数据格式)。项目引入:小李想在网上做生意,可是一个问题却困扰着他:对于网络上的交易双方,身份是如何认证的呢,现实中的公安局、工商局等执法部门的审查功能在网络交易中就显得不那么强大了,因此,网上认证就成了一个困惑问题。为了解决这个怀疑,小李参考了大量资料,最终相识到了CA认证的重要意义。项目分析:v数字证书是一种数字标识,是由权威公正的第三方机构即数字证书认证中心(CA)签发的,标记网络用户身份信息的电子文档。v数字证书比身份证只多了一个公共密钥(简称公钥)。犹如身份证用来证明每一个人的身份一样,数字证书用来保证公钥和特定实体之间的联系。数字证书供应的是
19、网络上的身份证明。因此,也有人称数字证书是“网络身份证”。任务分解:v为了更好的学习CA认证中心这个项目,我们把此项目分解为以下几个任务:v任务一:个人CA证书的申请及下载v任务二:个人CA证书的运用v任务三:企业CA证书v任务四:CA认证管理任务一:个人CA证书的申请及下载v相关学问:v电子商务认证授权机构(CA,CertificateAuthority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,担当公钥体系中公钥的合法性检验的责任。vCA中心为每个运用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列
20、出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。v为保证用户之间在网上传递信息的平安性、真实性、牢靠性、完整性和不行抵赖性,不仅须要对用户的身份真实性进行验证,也须要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际平安电子交易协议标准的电子商务平安证,并负责管理全部参与网上交易的个体所需的数字证书,因此是平安电子交易的核心环节。任务实施v专业的数字证书中心,它的个人CA证书的申请大都是收费的,为了便利大家学习,我们这里给大家介绍一种免费试用的数字证书:网证通NE
21、TCA电子认证系统(s:/ 个人个人CA证书的运用证书的运用 v利用数字证书我们可以进行数字签名、加密等操作,现在我们运用个人数字证书来发送电子邮件。任务实施v一、绑定数字证书v现在我们就可以给邮件绑定证书了。我们以OutlookExpress为例进行讲解。v二、应用数字证书v任务三企业CA证书v企业版数字证书基本上都是收费的,没有试用版本,而众多电子商务模拟系统中的企业数字证书的申请和运用与真实的多有所区分,因此,参考性并不强。因为企业数字证书与个人数字证书在原理上相像,只是平安性和功能上有所区分,这里,我们不再讲解并描述,有爱好的人可以去证书颁发机构申请企业数字证书。v任务四CA认证管理v
22、对于数字证书的管理,一般包括证书导入、导出、删除、证书查询、证书更新、证书吊销等等。v证书导入、导出、删除。v2、更新数字证书。v一般来说,数字证书会平安牢靠性考虑不断进行更新。用户登录在线申请数字证书的网站进行更新即可。v3、吊销或挂失数字证书。学问回顾:v网上认证是电子商务网商务网上交易的一个重要环节,也是交易双方供应身份认证的行之有效的方式。本项目通过讲解个人数字证书和企业数字证书,主要介绍了一下几个方面的内容:v个人数字证书的申请方式;v利用个人数字证书进行邮件的签名;v企业数字证书的申请等;v如何对个人数字证书进行管理;拓展训练:v1、选择淘宝或者拍拍网,申请数字认证。v2、去上海市数字认证中心或者山东省数字认证中心,调查它们供应的主要服务内容有哪些?