CA技术培训PPT课件

30.04.2020,CA培训,智能设备开发中心安全软件部龙春江北京握奇数据系统有限公司,30.04.2020,主要内容,1.CA背景2.PKI概述3.CA概念4.CA系统功能5.CA组成6.CA拓扑图7.CA实现8.交叉认证技术及桥CA,30.04.2020,CA背景,电子签名法2005年月日，被称为“中国首部真正意义上的信息化法律”的电子签名法正式实施。意味着，可靠的电子签名与手写签名或者盖章具有同等的法律效力。目的：直接是为了规范电子签名行为，确立电子签名的法律效力，维护各方合法权益；立法的最终目的是为了促进电子商务和电子政务的发展，增强交易的安全性。主要内容：重点解决了五个方面的问题。一是确立了电子签名的法律效力；二是规范了电子签名的行为；三是明确了认证机构的法律地位及认证程序，并给认证机构设置了市场准入条件和行政许可的程序；四是规定了电子签名的安全保障措施；五是明确了认证机构行政许可的实施主体是国务院信息产业主管部门,30.04.2020,CA背景,市场准入条件(一)具有独立的企业法人资格；(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；(三)注册资金不低于人民币三千万元；(四)具有固定的经营场所和满足电子认证服务要求的物理环境；(五)具有符合国家有关安全标准的技术和设备；(六)具有国家密码管理机构同意使用密码的证明文件；(七)法律、行政法规规定的其他条件。国内CA现状大行业或政府部门建立的CA，如CFCA，建行CA，中行CA等；地方政府与公司共建的CA，如广东CA、天津CA等；商业性CA，如天威诚信。,30.04.2020,PKI概述,概念PKI（PublicKeyInfrastructure：公开密钥基础设施）它是利用公开密钥技术所构建的，解决网络安全问题的一种基础设施。公开密钥技术也就是非对称算法的技术。PKI为各种应用提供安全的服务，如认证、身份识别、数字签名、加密等。密钥加密技术：对称和非对称。,30.04.2020,PKI组成,PKI,CA,APP,30.04.2020,应用,PKI可以提供的安全服务包括：保密性完整性真实性不可否认性（不可抵赖性）,30.04.2020,CA概念,CA(CertificateAuthority)机构，是PKI的核心。负责签发证书、认证证书、管理已颁发证书的机关。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构：,30.04.2020,CA功能,证书的颁发证书的更新证书的查询证书的作废证书的归档,30.04.2020,CA总体结构,一个完整CA总体结构包括：CA服务器RA服务器LDAP服务器OCSP服务器KMCCPS客户接口,30.04.2020,CA,证书签发系统。是PKI的核心执行执行机构，包括ca服务器的硬件和软件系统，具有签发和管理证书的功能。,30.04.2020,RA,RA是登记、审核。LRA：RA受理点,30.04.2020,LDAP,目录服务器。证书库。具体包括发布CA证书、crl、发布用户证书，信息查询、目录复制等。参考：/getrfc.php?rfc=4370,30.04.2020,OCSP,证书验证，遵循OCSP协议标准。参考：/getrfc.php?rfc=2560,30.04.2020,KMC,密钥管理中心为CA系统的签发服务器提供密钥管理服务。密钥生成、密钥存储、密钥传输、密钥归档、密钥恢复。单证书：一张证书既可签名又可加密。双证书：一对用来签名，一对用来加密。加密密钥由KMC托管。,30.04.2020,CPS,CertificationPracticesStatement：认证操作管理规范。描述CA在各方面受的约束及运作方式的规则。详细地阐述了一个CA从诞生、运营，到生命终止的方方面面规定，是CA的纲领性的文件。有人形象地把CPS比作CA的宪法。不但CA的运营者必须严格遵守CPS中的规定，CA的CPS还必须在网站上公布，以接受证书持有者和依赖方的查询和监督。,30.04.2020,客户接口,客户接口是web服务器。,30.04.2020,应用时间戳服务,是数字签名技术的一种应用。在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS：digita1timestampservice）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护。组成：（1）需加时间戳的文件的摘要（digest）；（2）DTS收到文件的日期和时间；（3）DTS的数字签名。产生过程：参考：/getrfc.php?rfc=3161,30.04.2020,CA实现,证书和CRL签发：根据x509规范来生成证书和CRL。OCSP：根据OCSP规范。可用的开发库：Openssl、IBMJCE、SUNJCE等,30.04.2020,CA拓扑图,30.04.2020,KMC系统网络拓扑图,30.04.2020,交叉认证技术,由来：用户的数字证书都是认证中心签发的，通常一个CA中心的所有用户都自动信任该CA所签发的所有证书，这些证书能够自动进行认证，而不同的CA所签发的证书不能自动进行认证。为使不同的CA所签发的数字证书能够互相认证，就需要使用交叉认证技术。作用：就是能够扩大认证域的信用范围，使用户在更加广泛的范围内建立起信任关系。CA间通过进行交叉认证可以扩展信用范围。实现：两个CA之间的交叉认证就是两个CA互相为对方的根CA签发一张证书，从而使两个CA体系内的证书可以互相验证交叉认证更多的是一个业务问题，而不是一个技术问题。进行交叉认证最大的阻碍是不同的CA有着不同的业务策略。要实施交叉认证，就要求双方在业务策略上必须达成共识。,30.04.2020,桥CA技术,背景：随着电子商务的升温，CA建设也如雨后春笋般发展，据不完全统计，迄今为止，国内CA总数已超过50个。不同的认证机构产生不同的认证机构的用户群体，形成了各自不同的封闭型的信任环境，这种状况无疑会对电子商务的发展造成较大的影响。定义：桥CA首先是一个CA，但是它与一般的CA不同，它不直接向用户颁发证书。桥CA不象根CA一样成为一个信任点，它只是一个单独的CA，它与不同的信任域之间建立对等的信任关系，允许用户保留他们自己的原始信任点。作用：桥CA是多域PKI体系（连接多个信任域）中的核心组织，是不同信任域之间的桥梁CA，主要负责为不同信任域的主CA颁发交叉