认证中心及证书原理.ppt

知识结构 CA电子商务网络示意图 什么是CA CA CertificateAuthority 是数字证书认证中心的简称 是指发放 管理 废除数字证书的机构 CA为电子政务 电子商务等网络环境中各个实体颁发数字证书 以证明身份的真实性 并负责在交易中检验和管理证书 CA的作用是检查证书持有者身份的合法性 并签发证书 在证书上签字 以防证书被伪造或篡改 以及对证书和密钥进行管理 CA必须是各行业各部门及公众共同信任的 认可的 权威的 不参与交易的第三方网上身份认证机构 CA是PKI的核心组成部分 CA的作用 CA提供的安全技术对网上的数据 信息发送方 接收方进行身份确认 以保证各方信息传递的安全性 完整性 可靠性和交易的不可抵赖性 交易信息的保密性交易信息的不可修改性交易者身份的确定性交易的不可抵赖性 CA的功能 CA的核心功能就是发放和管理数字证书 CA认证中心的功能主要有 证书发放 证书更新 证书撤销和证书验证 具体描述如下 1 接收验证用户数字证书的申请 2 确定是否接受用户数字证书的申请 即证书的审批 3 向申请者颁发 或拒绝颁发 数字证书 4 接收 处理用户的数字证书更新请求 5 接收用户数字证书的查询 撤销 6 产生和发布证书的有效期 7 数字证书的归档 8 密钥归档 9 历史数据归档 什么是数字证书 什么是数字证书为什么要使用数字证书数字证书的种类数字证书的存储数字证书的原理数字证书的颁发 数字证书 数字证书是各类实体 持卡人 个人 商户 企业 网关 银行等 在网上进行信息交流及商务活动的身份证明 是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件 包含用户身份信息的文件 CA的名称 颁发机构 Bob的名称 对象 Bob的公钥由可信的第三方进行签名 CA 使用CA的私钥保证信息的真实性和完整性 数字证书 PKI系统 CA系统 的产物数字证书是PKI技术的现实载体 通过数字证书我们可以实现身份认证 信息加密 签名等一系列的安全操作网络世界的电子身份证与现实世界的身份证类似能够证明个人 团体或设备的身份拥有者拥有证书公钥对应的私钥由可信的颁发机构颁发比如身份证由公安局颁发一样颁发机构对证书进行签名与身份证上公安局的盖章类似可以由颁发机构证明证书是否有效可防止擅改证书上的任何资料 姓名地址公司电话号码Email地址 数字证书的内容 公钥证书的主要内容持有者 Subject 标识序列号公钥有效期签发者 Issuer 标识CA的数字签名 身份证主要内容姓名身份证号码照片有效期签发者单位签发单位盖章 防伪标志 实现数字证书 为什么要使用数字证书 来源 电子商务对认证的需要电子商务必须保证买卖双方在因特尔网上的交易真实 可靠 并具有绝对的信心 因特网电子商务系统必须保证具有十分可靠的安全保密技术 即必须保证网络安全的四大要素 信息传输的保密性数据交换的完整性发送信息的不可否认性交易者身份的确定性 数字证书的种类 个人身份证书个人安全电子邮件证书企业身份证书企业安全电子邮件证书服务器身份证书企业代码签名证书个人代码签名证书 数字证书的原理 利用一对互相匹配的密钥进行加密 解密 用户自己设定一把特定的仅为本人所知的私有密钥 私钥 用它进行解密和签名 同时设定一把公共密钥 公钥 并由本人公开 为一组用户共享 用于加密和验证签名 用户A 用户B 数字证书的颁发 数字证书是由认证中心 CA 颁发的数字证书颁发过程如下 用户首先产生自己的密钥对 并将公共密钥及部分个人身份信息传送给认证中心 认证中心在核实身份后 将执行一些必要的步骤 以确信请求确实由用户发送而来 然后 认证中心将发给用户一个数字证书 该证书内包含用户的个人信息和他的公钥信息 同时还附有认证中心的签名信息 用户就可以使用自己的数字证书进行相关的各种活动 证书 个人信息 公钥信息 CA的签名信息 证书的发放 证书的发放包括两部分 一 证书的申请 制作 发放 二 用户的身份认证 CA 证书服务中心 完成第一部分工作 RA 审核受理处 则完成第二部分工作 对于RA 持卡人RA由发卡银行 商家的RA由收单银行等能够认证用户身份的单位来担任 CA的组成框架 CA可以分为RS 证书业务受理中心 和CP 证书制作中心 两部分 RS负责接收用户的证书申请 发放等与用户打交道的外部工作 CP负责证书的制作 记录等内部工作 用户如果要获得数字证书 必须上网 进入CA网站 实际就是进入了RS网站 向RS申请证书 RS与用户对话后 可以获得用户的申请信息 然后传递给CP CP与RA进行联系 并从RA处获得用户的身份认证信息后 由CP为用户制作证书 交给RS 当用户再上网要求获取证书时 RS将制作好的证书传给用户 在网上支付中 参与的每家银行都要建立自己的RA 面对众多的用户 光有一个RA是无法完成任务的 因此 RA下必须设立许多业务受理点 接待用户 进行申请登记工作 RA作为身份认证与审核部门 通过专线与各业务受理点连接 各业务受理点接收用户的申请 审查用户的身份证件 通过专线与RA交换信息 完成用户的身份认证工作 证书服务中心 CP CRL 黑名单库 RS RA RA 业务受理点 业务受理点 业务受理点 业务受理点 证书用户 证书用户 证书用户 什么是PKI 什么是PKIPKI的主要组成PKI技术及应用PKI体系结构PKI的功能操作 什么是PKI PKI PublicKeyInfrastructure 是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范 从字面上理解PKI就是利用公钥理论和技术建立的提供安全服务的基础设施 用户可利用PKI平台提供的服务进行安全的电子交易 通信和互联网上的各种活动 PKI是创建 颁发 管理 注销公钥证书所涉及到的所有软件 硬件的集合体 其核心元素是数字证书 核心执行者是CA认证机构 公钥基础设施PKI PKI的主要组成 认证机构证书的签发机构 是PKI的核心 是PKI应用中权威的 可信任的 公正的第三方机构 证书库是证书的集中存放地 提供公众查询 密钥备份及恢复系统对用户的解密密钥进行备份 当丢失时进行恢复 而签名密钥不能备份和恢复 证书作废处理系统证书由于某种原因需要作废 终止使用 这将通过证书作废列表CRL来完成 PKI应用接口系统是为各种各样的应用提供安全 一致 可信任的方式与PKI交互 确保所建立起来的网络环境安全可信 并降低管理成本 PKI技术及应用 PKI的基础技术包括加密 数字签名 数据完整性机制 数字信封 双重数字签名等 一个典型 完整 有效的PKI应用系统至少应具有以下部分 公钥密码证书管理 黑名单的发布和管理 密钥的备份和恢复 自动更新密钥 自动管理历史密钥 支持交叉认证 PKI的12种功能操作 1产生 验证和分发密钥2签名和验证3证书的获取4验证证书5保存证书6本地保存的证书的获取 7证书废止的申请8密钥的恢复9CRL的获取10密钥更新11审计12存档 证书及废止证书 目录在CA中的应用 CA需要解决的两个问题 1 证书生命周期管理问题 如何创建 维护和销毁证书2 证书定位问题 如何快速找到对方的证书目录在CA中的作用 1 目录是整个证书生命周期的管理中心 2 在目录中存储 管理证书 Certificate 和撤销列表 CRL 3 通过目录服务提供有效的证书发布和查询功能4 通过目录服务安全可靠地发布CRL 提供CRL查询服务 存储数字证书 只能由签发服务器进行写操作 把数字证书信息实时推向从LDAP 与主服务器内数据保持一致 只接受查询不能修改和添加信息 目录服务器在CA中的位置 知名CA厂商 国外厂商VeriSign 是最大的公共CA 也是最早广泛推广PKI并建立公共CA的公司之一 VeriSign除了是公认的最可信公共CA之一 还提供专用PKI工具 包括称为OnSite的证书颁发服务 这项服务充当了本地CA 而且连接到了VeriSign的公共CA Microsoft 提供了一个证书管理服务作为WindowsNT的一个附加件 并且现在已经把完整的CA功能都合并到了Windows2000中 国内厂商天威诚信信安世纪北京数字证书认证中心 证书的申请流程 一 用户带相关证明到正是业务受理中心RS申请证书 二 用户在线填写证书申请表格和证书申请协议书 三 RS业务人员取得用户申请数据后 与RA中心联系 要求用户身份认证 四 RA下属的业务受理点审核员通过离线方式 面对面 审核申请者的身份 能力和信