認(rèn)證中心CA省名師優(yōu)質(zhì)課獲獎(jiǎng)?wù)n件市賽課一等獎(jiǎng)?wù)n件

認(rèn)證中心（CA）第1頁(yè)CA介紹CA技術(shù)基礎(chǔ)CA功效CA組成框架與數(shù)字證書申請(qǐng)流程第2頁(yè)怎樣確認(rèn)彼此身份？網(wǎng)上應(yīng)用系統(tǒng)服務(wù)器用戶數(shù)據(jù)庫(kù)?假冒站點(diǎn)?假冒用戶互聯(lián)網(wǎng)應(yīng)用存在信息安全隱患第3頁(yè)在傳統(tǒng)商務(wù)中，用來認(rèn)證商家或客戶真實(shí)身份認(rèn)證證書大多是被認(rèn)為公正第三方機(jī)構(gòu)（如政府部門）頒發(fā)。

中國(guó)工商行政管理總局確保發(fā)行、管理營(yíng)業(yè)證書正當(dāng)性而作為電子商務(wù)平臺(tái)Internet是沒有“政府”，那由誰來驗(yàn)證商家真實(shí)性呢？？？？？？？？第4頁(yè)什么是CACA(Certificate

Authority)是數(shù)字證書認(rèn)證中心簡(jiǎn)稱，是指發(fā)放、管理、廢除數(shù)字證書機(jī)構(gòu)。CA作用是檢驗(yàn)證書持有者身份正當(dāng)性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改，以及對(duì)證書和密鑰進(jìn)行管理。CA必須是各行業(yè)各部門及公眾共同信任、認(rèn)可、權(quán)威、不參加交易第三方網(wǎng)上身份認(rèn)證機(jī)構(gòu)。CA是PKI關(guān)鍵組成部分。第5頁(yè)CA作用CA提供安全技術(shù)對(duì)網(wǎng)上數(shù)據(jù)、信息發(fā)送方、接收方進(jìn)行身份確認(rèn)，以確保各方信息傳遞安全性、完整性、可靠性和交易不可抵賴性。交易信息安全性

交易信息完整性交易者身份可靠性

交易信息不可抵賴性

第6頁(yè)CA技術(shù)基礎(chǔ)CA技術(shù)基礎(chǔ)是PKI體系。第7頁(yè)什么是PKI什么是PKIPKI主要組成PKI技術(shù)及應(yīng)用PKI體系結(jié)構(gòu)PKI功效操作PKI體系互通性第8頁(yè)什么是PKIPKI（PublicKeyInfrastructure）是一個(gè)遵照標(biāo)準(zhǔn)利用公鑰加密技術(shù)為電子商務(wù)開展提供一套安全基礎(chǔ)平臺(tái)技術(shù)和規(guī)范。從字面上了解PKI就是利用公鑰理論和技術(shù)建立提供安全服務(wù)基礎(chǔ)設(shè)施。用戶可利用PKI平臺(tái)提供服務(wù)進(jìn)行安全電子交易，通信和互聯(lián)網(wǎng)上各種活動(dòng)。PKI是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所包括到全部軟件、硬件集合體。其關(guān)鍵元素是數(shù)字證書，關(guān)鍵執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。

第9頁(yè)P(yáng)KI主要組成認(rèn)證機(jī)構(gòu)證書簽發(fā)機(jī)構(gòu)，是PKI關(guān)鍵，是PKI應(yīng)用中權(quán)威、可信任、公正第三方機(jī)構(gòu)。證書庫(kù)是證書集中存放地，提供公眾查詢。密鑰備份及恢復(fù)系統(tǒng)對(duì)用戶解密密鑰進(jìn)行備份，當(dāng)丟失時(shí)進(jìn)行恢復(fù)，而署名密鑰不能備份和恢復(fù)。證書作廢處理系統(tǒng)證書因?yàn)槟撤N原因需要作廢、終止使用，這將經(jīng)過證書作廢列表CRL來完成。PKI應(yīng)用接口系統(tǒng)是為各種各樣應(yīng)用提供安全、一致、可信任方式與PKI交互，確保所建立起來網(wǎng)絡(luò)環(huán)境安全可信，并降低管理成本。第10頁(yè)P(yáng)KI技術(shù)及應(yīng)用PKI基礎(chǔ)技術(shù)包含加密、數(shù)字署名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字署名等。

一個(gè)經(jīng)典、完整、有效PKI應(yīng)用系統(tǒng)最少應(yīng)含有以下部分：

公鑰密碼證書管理。黑名單公布和管理。密鑰備份和恢復(fù)。自動(dòng)更新密鑰。自動(dòng)管理歷史密鑰。支持交叉認(rèn)證。

第11頁(yè)P(yáng)KI體系結(jié)構(gòu)PAAPCA1PCAnCA1CAnCA1CAnEE1EE1ORAORAPAA-政策同意機(jī)構(gòu)PCA-政策CACA-認(rèn)證機(jī)構(gòu)ORA-在線證書申請(qǐng)第12頁(yè)著名CA廠商國(guó)外廠商VeriSign：是最大公共CA，也是最早廣泛推廣PKI并建立公共CA企業(yè)之一。VeriSign除了是公認(rèn)最可信公共CA之一，還提供專用PKI工具，包含稱為OnSite證書頒發(fā)服務(wù)，這項(xiàng)服務(wù)充當(dāng)了當(dāng)?shù)谻A，而且連接到了VeriSign公共CA。Microsoft：提供了一個(gè)證書管理服務(wù)作為WindowsNT一個(gè)附加件，而且現(xiàn)在已經(jīng)把完整CA功效都合并到了Windows中。國(guó)內(nèi)廠商天威誠(chéng)信信安世紀(jì)北京數(shù)字證書認(rèn)證中心

第13頁(yè)相關(guān)技術(shù)對(duì)稱密碼算法非對(duì)稱密碼算法LDAPOCSP第14頁(yè)對(duì)稱密碼算法傳統(tǒng)密碼算法加密密鑰能夠從解密密鑰中推算出來，反過來也成立。在大多數(shù)對(duì)稱算法中，加密解密密鑰是相同。優(yōu)點(diǎn)：效率高（加／解密速度能到達(dá)數(shù)十兆／秒或更多），算法簡(jiǎn)單，系統(tǒng)開銷小，適合加密大量數(shù)據(jù)。缺點(diǎn)：迸行安全通信前需要以安全方式進(jìn)行密鑰交換，實(shí)現(xiàn)困難。規(guī)模復(fù)雜。n個(gè)用戶團(tuán)體需要N2/2個(gè)不一樣密鑰。第15頁(yè)對(duì)稱密碼算法慣用算法：DES、3DES、AESDES：DataEncryptionStandard（數(shù)據(jù)加密標(biāo)準(zhǔn)）縮寫由IBM研制DES是一個(gè)分組加密算法，以64位為分組對(duì)數(shù)據(jù)加密密匙長(zhǎng)度是56位（因?yàn)槊總€(gè)第8位都用作奇偶校驗(yàn)）第16頁(yè)非對(duì)稱密碼算法非對(duì)稱密碼術(shù)是建立在數(shù)學(xué)函數(shù)基礎(chǔ)上，而不是建立在位方式操作上。在加/解密時(shí)，分別使用了兩個(gè)不一樣密鑰：一個(gè)可對(duì)外界公開，稱為“公鑰”；一個(gè)只有全部者知道，稱為“私鑰”。用公鑰加密信息只能用對(duì)應(yīng)私鑰解密，反之亦然。同時(shí)，要想由一個(gè)密鑰推知另一個(gè)密鑰，在計(jì)算上是不可能。

第17頁(yè)非對(duì)稱密碼算法優(yōu)點(diǎn)通信雙方事先不需要經(jīng)過保密信道交換密鑰。密鑰持有量大大降低。非對(duì)稱密碼技術(shù)還提供了對(duì)稱密碼技術(shù)無法或極難提供服務(wù)：如與哈希函數(shù)聯(lián)合利用可組成數(shù)字署名，可證實(shí)安全偽隨機(jī)數(shù)發(fā)生器結(jié)構(gòu)，零知識(shí)證實(shí)等。缺點(diǎn)加／解密速度慢、耗用資源大。慣用算法RSADH第18頁(yè)LDAPLDAP(Lightweight

Directory

Access

Protocol)：輕量級(jí)目錄訪問協(xié)議。

LDAP規(guī)范(RFC1487)簡(jiǎn)化了粗笨X.500目錄訪問協(xié)議，支持TCP/IP，這對(duì)訪問Internet是必須。1997年，LDAP第3版本成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)。當(dāng)前，LDAPv3已經(jīng)在PKI體系中被廣泛應(yīng)用于證書信息公布、CRL信息公布、CA政策以及與信息公布相關(guān)各個(gè)方面。LDAP不是數(shù)據(jù)庫(kù)而是用來訪問存放在信息目錄（也就是LDAP目錄）中信息協(xié)議。LDAP主要是優(yōu)化數(shù)據(jù)讀取性能。第19頁(yè)OCSPOCSP（Online

Certificate

status

Protocol）在線證書狀態(tài)協(xié)議是IETF頒布用于檢驗(yàn)數(shù)字證書在某一交易時(shí)刻是否依然有效標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供給PKI用戶一條方便快捷數(shù)字證書狀態(tài)查詢通道，使PKI體系能夠更有效、更安全地在各個(gè)領(lǐng)域中被廣泛應(yīng)用。它為電子商務(wù)提供了一個(gè)檢驗(yàn)數(shù)字證書有效性路徑，比下載和處理證書撤消清單（CRL）傳統(tǒng)方式更加快、更方便和更具獨(dú)立性。第20頁(yè)推薦站點(diǎn)中國(guó)PKI論壇

/第21頁(yè)CA功效CA關(guān)鍵功效就是發(fā)放和管理數(shù)字證書。CA認(rèn)證中心功效主要有：證書發(fā)放、證書更新、證書撤消和證書驗(yàn)證。詳細(xì)描述以下：（1）接收驗(yàn)證用戶數(shù)字證書申請(qǐng)。

（2）確定是否接收用戶數(shù)字證書申請(qǐng)，即證書審批。

（3）向申請(qǐng)者頒發(fā)（或拒絕頒發(fā)）數(shù)字證書。

（4）接收、處理用戶數(shù)字證書更新請(qǐng)求。

（5）接收用戶數(shù)字證書查詢、撤消。

（6）產(chǎn)生和公布證書使用期。

（7）數(shù)字證書歸檔。

（8）密鑰歸檔。

（9）歷史數(shù)據(jù)歸檔。第22頁(yè)我國(guó)CA技術(shù)CA包括許多先進(jìn)密碼技術(shù)，以此它建立與運(yùn)作需要強(qiáng)大技術(shù)支撐。比如：先進(jìn)公開密鑰與數(shù)字摘要機(jī)制。一定長(zhǎng)度密碼位數(shù)。高水平服務(wù)質(zhì)量與認(rèn)證速度以及管理機(jī)制。第23頁(yè)我國(guó)還沒有建立起高水平跨區(qū)域認(rèn)證中心，即使近幾年各個(gè)地方建立了一些CA，但規(guī)模都較小。以此妨礙了我國(guó)電子商務(wù)發(fā)展以及網(wǎng)上支付大規(guī)模普及。第24頁(yè)CA功效生成密鑰對(duì)及CA證書驗(yàn)證申請(qǐng)人身份頒布數(shù)字證書證書以及持有者身份認(rèn)證查詢證書管理及更新吊銷證書制訂相關(guān)政策保護(hù)數(shù)字證書服務(wù)器安全第25頁(yè)CA組成框架CA能夠分為RS（證書業(yè)務(wù)受理中心）和CP(證書制作中心)兩部分。RS負(fù)責(zé)接收用戶證書申請(qǐng)、發(fā)放等與用戶打交道外部工作，CP負(fù)責(zé)證書制作、統(tǒng)計(jì)等內(nèi)部工作。用戶假如要取得數(shù)字證書，必須上網(wǎng)，進(jìn)入CA網(wǎng)站，實(shí)際就是進(jìn)入了RS網(wǎng)站，向RS申請(qǐng)證書；RS與用戶對(duì)話后，能夠取得用戶申請(qǐng)信息，然后傳遞給CP,CP與RA進(jìn)行聯(lián)絡(luò)，并從RA處取得用戶身份認(rèn)證信息后，由CP為用戶制作證書，交給RS；當(dāng)用戶再上網(wǎng)要求獲取證書時(shí)，RS將制作好證書傳給用戶。第26頁(yè)在網(wǎng)上支付中，參加每家銀行都要建立自己RA。面對(duì)眾多用戶，光有一個(gè)RA是無法完成任務(wù)。所以，RA下必須設(shè)置許多業(yè)務(wù)受理點(diǎn)，接待用戶，進(jìn)行申請(qǐng)登記工作。RA作為身份認(rèn)證與審核部門，經(jīng)過專線與各業(yè)務(wù)受理點(diǎn)連接。各業(yè)務(wù)受理點(diǎn)接收用戶申請(qǐng)，審查用戶身份證件，經(jīng)過專線與RA交換信息，完成用戶身份認(rèn)證工作。第27頁(yè)證書服務(wù)中心

CPCRL/黑名單庫(kù)RSRARA業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)證書用戶證書用戶證書用戶第28頁(yè)證書發(fā)放證書發(fā)放包含兩部分：一、證書申請(qǐng)、制作、發(fā)放。二、用戶身份認(rèn)證。CA(證書服務(wù)中心)完成第一部分工作，RA（審核受理處）則完成第二部分工作。對(duì)于RA,持卡人RA由發(fā)卡銀行，商家RA由收單銀行等能夠認(rèn)證用戶身份單位來?yè)?dān)任。第29頁(yè)證書申請(qǐng)流程一、用戶帶相關(guān)證實(shí)到正是業(yè)務(wù)受理中心RS申請(qǐng)證書；二、用戶在線填寫證書申請(qǐng)表格和證書申請(qǐng)協(xié)議書；三、RS業(yè)務(wù)人員取得用戶申請(qǐng)數(shù)據(jù)后，與RA中心聯(lián)絡(luò)，要求用戶身份認(rèn)證；四、RA下屬業(yè)務(wù)受理點(diǎn)審核員經(jīng)過離線方式（面對(duì)面）審核申請(qǐng)者身份、能力和信譽(yù)等；五、審核經(jīng)過后，RA中心向CA中心轉(zhuǎn)發(fā)證書申請(qǐng)要求；六、CA中心響應(yīng)RA中心證書請(qǐng)求，為該用戶制作、簽發(fā)證書，而且交給RS；七、當(dāng)用戶再次上網(wǎng)要求獲取證書時(shí)，RS將制作好證書傳給用戶；假如證書介質(zhì)是IC卡方式，則RS業(yè)務(wù)人員打印好相關(guān)密碼信封傳給用戶，通知用戶到相關(guān)業(yè)務(wù)受理點(diǎn)領(lǐng)??；八、用戶依據(jù)收到用戶應(yīng)用指南，使用相關(guān)證書業(yè)務(wù)。第30頁(yè)第31頁(yè)第32頁(yè)第33頁(yè)什么是數(shù)字證書數(shù)字安全證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通訊中識(shí)別通訊各方身份，即要在Internet上處理"我是誰"問題，就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證實(shí)個(gè)人身份身份證或駕駛執(zhí)照一樣，以表明我們身份或某種資格。第34頁(yè)數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字署名包含公開密鑰擁有者信息以及公開密鑰文件。最簡(jiǎn)單證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心數(shù)字署名。普通情況下證書中還包含密鑰有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)名稱，該證書序列號(hào)等信息。第35頁(yè)為何要使用數(shù)字證書起源－電子商務(wù)對(duì)認(rèn)證需要電子商務(wù)必須確保買賣雙方在因特爾網(wǎng)上交易真實(shí)、可靠，并含有絕正確信心。因特網(wǎng)電子商務(wù)系統(tǒng)必須確保含有十分可靠安全保密技術(shù),即必須確保網(wǎng)絡(luò)安全四大要素：信息傳輸保密性數(shù)據(jù)交換完整性發(fā)送信息不可否定性交易者身份確實(shí)定性第36頁(yè)數(shù)字證書種類個(gè)人身份證書

個(gè)人安全電子郵件證書企業(yè)身份證書企業(yè)安全電子郵件證書服務(wù)器身份證書企業(yè)代碼署名證書個(gè)人代碼署名證書第37頁(yè)數(shù)字證書存放數(shù)字證書存放介質(zhì)主要有軟盤硬盤IC卡Usb

Key第38頁(yè)B公鑰A私鑰B私鑰A公鑰數(shù)字證書原理利用一對(duì)相互匹配密鑰進(jìn)行加密、解密。用戶自己設(shè)定一把特定僅為本人所知私有密鑰（私鑰），用它進(jìn)行解密和署名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶共享，用于加密和驗(yàn)證署名。用戶A用戶B加密署名解密驗(yàn)證第39頁(yè)數(shù)字證書頒發(fā)數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)

數(shù)字證書頒發(fā)過程以下：用戶首先產(chǎn)生自己密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶個(gè)人信息和他公鑰信息，同時(shí)還附有認(rèn)證中心署名信息。用戶就能夠使用自己數(shù)字證書進(jìn)行相關(guān)各種活動(dòng)。

證書＝個(gè)人信息＋公鑰信息＋CA署名信息第40頁(yè)什么是X.509標(biāo)準(zhǔn)X.509：它是國(guó)際標(biāo)準(zhǔn)化組織CCITT（即國(guó)際電話委員會(huì)）提議作為X.500目錄檢索一部分提供安全目錄檢索服務(wù)，是一個(gè)行業(yè)標(biāo)準(zhǔn)或者行業(yè)處理方案，在X.509方案中，默認(rèn)加密體制是公鑰密碼體制。為進(jìn)行身份認(rèn)證，X.509標(biāo)準(zhǔn)及公共密鑰加密系統(tǒng)提供了數(shù)字署名方案。用戶可生成一段信息及其摘要（亦稱作信息"指紋"）。用戶用專用密鑰對(duì)摘要加密以形成署名，接收者用發(fā)送者公共密鑰對(duì)署名解密，并將之與收到信息"指紋"進(jìn)行比較，以確定其真實(shí)性。第41頁(yè)什么是X.509證書X.509是一個(gè)非常通用證書格式。一份X.509證書是一些標(biāo)準(zhǔn)字段集合，這些字段包含相關(guān)用戶或設(shè)備及其對(duì)應(yīng)公鑰信息。X.509標(biāo)準(zhǔn)定義了證書中應(yīng)該包含哪些信息，并描述了這些信息是怎樣編碼(即數(shù)據(jù)格式)。第42頁(yè)項(xiàng)目引入：

小李想在網(wǎng)上做生意，可是一個(gè)問題卻困擾著他：對(duì)于網(wǎng)絡(luò)上交易雙方，身份是怎樣認(rèn)證呢，現(xiàn)實(shí)中公安局、工商局等執(zhí)法部門審查功效在網(wǎng)絡(luò)交易中就顯得不那么強(qiáng)大了，所以，網(wǎng)上認(rèn)證就成了一個(gè)迷惑問題。為了處理這個(gè)疑惑，小李參考了大量資料，終于認(rèn)識(shí)到了CA認(rèn)證主要意義。第43頁(yè)項(xiàng)目分析：數(shù)字證書是一個(gè)數(shù)字標(biāo)識(shí)，是由權(quán)威公正第三方機(jī)構(gòu)即數(shù)字證書認(rèn)證中心（CA）簽發(fā)，標(biāo)志網(wǎng)絡(luò)用戶身份信息電子文檔。數(shù)字證書比身份證只多了一個(gè)公共密鑰(簡(jiǎn)稱公鑰)。如同身份證用來證實(shí)每一個(gè)人身份一樣，數(shù)字證書用來確保公鑰和特定實(shí)體之間聯(lián)絡(luò)。數(shù)字證書提供是網(wǎng)絡(luò)上身份證實(shí)。所以，也有些人稱數(shù)字證書是“網(wǎng)絡(luò)身份證”。第44頁(yè)第45頁(yè)任務(wù)分解：為了更加好學(xué)習(xí)CA認(rèn)證中心這個(gè)項(xiàng)目，我們把此項(xiàng)目分解為以下幾個(gè)任務(wù)：任務(wù)一：個(gè)人CA證書申請(qǐng)及下載任務(wù)二：個(gè)人CA證書使用任務(wù)三:企業(yè)CA證書任務(wù)四：CA認(rèn)證管理第46頁(yè)任務(wù)一：個(gè)人CA證書申請(qǐng)及下載相關(guān)知識(shí)：電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)（CA,CertificateAuthority），也稱為電子商務(wù)認(rèn)證中心，是負(fù)責(zé)發(fā)放和管理數(shù)字證書權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任第三方，負(fù)擔(dān)公鑰體系中公鑰正當(dāng)性檢驗(yàn)責(zé)任。CA中心為每個(gè)使用公開密鑰用戶發(fā)放一個(gè)數(shù)字證書，數(shù)字證書作用是證實(shí)證書中列出用戶正當(dāng)擁有證書中列出公開密鑰。CA機(jī)構(gòu)數(shù)字署名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不但對(duì)持卡人、商戶發(fā)放證書，還要對(duì)獲款銀行、網(wǎng)關(guān)發(fā)放證書。第47頁(yè)為確保用戶之間在網(wǎng)上傳遞信息安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不但需要對(duì)用戶身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個(gè)含有權(quán)威性、公正性、唯一性機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)各個(gè)主體頒發(fā)并管理符合國(guó)內(nèi)、國(guó)際安全電子交易協(xié)議標(biāo)準(zhǔn)電子商務(wù)安全證，并負(fù)責(zé)管理全部參加網(wǎng)上交易個(gè)體所需數(shù)字證書，所以是安全電子交易關(guān)鍵步驟。第48頁(yè)任務(wù)實(shí)施專業(yè)數(shù)字證書中心，它個(gè)人CA證書申請(qǐng)大都是收費(fèi)，為了方便大家學(xué)習(xí)，我們這里給大家介紹一個(gè)無償試用數(shù)字證書：網(wǎng)證通NETCA電子認(rèn)證系統(tǒng)（/），經(jīng)過此網(wǎng)站，我們能夠申請(qǐng)到個(gè)人數(shù)字證書使用版本，