国外CA中心介绍

1、图1 国外国外CACA中心介绍中心介绍 图2 世界上较早的数字证书认证中心、处世界上较早的数字证书认证中心、处 于领导地位和全球最大的于领导地位和全球最大的PKIPKICACA运营商运营商 是美国是美国VeriSignVeriSign公司，该公司成立于公司，该公司成立于19951995 年年4 4月，位于美国的加利福尼亚州。它为月，位于美国的加利福尼亚州。它为 全世界全世界5050个国家提供数字证书服务，有超个国家提供数字证书服务，有超 过过4500045000个互联网服务器接受该公司的服个互联网服务器接受该公司的服 务器数字证书，使用它提供的个人数字凭务器数字证书，使用它提供的个人数字凭 证

2、的人数也已经超过证的人数也已经超过200200万。万。 另 外 一 家 著 名 的 公 司 是 加 拿 大 的另 外 一 家 著 名 的 公 司 是 加 拿 大 的 ENTRUSTENTRUST。 威瑞信提供的服务包括DNS服务、数字证书、安全服务、支付服务、欺诈检测服务。威瑞信的 数字信任服务通过域名登记、数字认证和网上支付三大核心业务，在全球范围内建立起了一 个可信的虚拟环境，使任何人在任何地点都能放心地进行数字交易和沟通。 威瑞信的DNS服务的主要业务有管理世界13台根服务器中的2台（A与J）、顶级域名中的.com 和.net、北美最大的SS7信号网络中的一个、EPCglobal委托的射

3、频识别目录。 图4 3.3.我国认证中心现状我国认证中心现状 我国安全认证体系我国安全认证体系(CA)(CA)可分为金融可分为金融CACA与非金与非金 融融CACA两种类型来处理。两种类型来处理。 在金融在金融CACA方面，根证书由中国人民银行管理，方面，根证书由中国人民银行管理， 根认证管理一般是脱机管理；品牌认证中心采用根认证管理一般是脱机管理；品牌认证中心采用 “统一品牌、联合建设统一品牌、联合建设”的方针进行。的方针进行。 在非金融在非金融CACA方面，最初主要由中国电信负责方面，最初主要由中国电信负责 建设。建设。 图5 我国的我国的CACA又可分为行业性又可分为行业性CACA和区域

4、性和区域性CACA两大两大 类。类。 行业性行业性CACA：中国金融认证中心（：中国金融认证中心（CFCACFCA）和中）和中 国电信认证中心（国电信认证中心（CTCACTCA）是行业性）是行业性CACA中影响最大中影响最大 的两家。的两家。 区域性区域性CACA大多以地方政府为背景，以公司机大多以地方政府为背景，以公司机 制来运作，如广东制来运作，如广东CACA中心（中心（CNCACNCA）、上海）、上海CACA中心中心 (SHECA)(SHECA)、深圳、深圳CACA中心中心(SZCA)(SZCA)，其中影响最大的是，其中影响最大的是 广东广东CACA中心（中心（CNCACNCA）和上海）

5、和上海CACA中心中心(SHECA)(SHECA)。 图6 v如果按照技术来源划分，CA中心还可分为引进 国外技术与完全自主开发两类。 vCFCA和天威诚信属于前者，广东CA和上海CA 都属于后者。 v深圳CA与广东南海CA vCFCA的SET系统由IBM公司承建，NON-SET系 统由德达/SUN/Entrust集团承建。天威诚信天威诚信的技 术平台来自VeriSign。但它们的密码模块却都是由 国内自主开发，经国家安全部门认可的。 图7 CFCA CFCA 是全国唯一的金融根认证中心，由中国是全国唯一的金融根认证中心，由中国 人民银行负责统一规划管理，中国工商银行、中人民银行负责统一规划管

6、理，中国工商银行、中 国银行、中国农业银行、中国建设银行、交通银国银行、中国农业银行、中国建设银行、交通银 行、招商银行、中信实业银行、华夏银行、广东行、招商银行、中信实业银行、华夏银行、广东 发展银行、深圳发展银行、光大银行、民生银行发展银行、深圳发展银行、光大银行、民生银行 和福建兴业银行共十三家商业银行联合建设，由和福建兴业银行共十三家商业银行联合建设，由 银行卡信息交换总中心承建，建立了银行卡信息交换总中心承建，建立了SETCASETCA和和Non-Non- SETCASETCA两套系统，于两套系统，于20002000年年6 6月月2929日正式开始为全日正式开始为全 国的用户提供证书

7、服务。国的用户提供证书服务。 中国金融认证中心（CFCA） 图8 在管理分工上，中国人民银行负责管理根认在管理分工上，中国人民银行负责管理根认 证中心证中心CFCACFCA，并负责审批、认证统一的品牌认，并负责审批、认证统一的品牌认 证中心。一般脱机进行。证中心。一般脱机进行。 品牌认证中心由成员银行接受中国人民银行品牌认证中心由成员银行接受中国人民银行 的委托建设、运行和管理，建立对最终持卡人、的委托建设、运行和管理，建立对最终持卡人、 商业用户和支付网关认证证书的审批、管理和商业用户和支付网关认证证书的审批、管理和 认证等工作，其中管理包括证书申请、补发、认证等工作，其中管理包括证书申请、

8、补发、 重发和注销等内容。重发和注销等内容。 图9 图10 图11 广东CA及“网证通”（NETCA）系 统 广东省电子商务认证中心是国家电子商务的试广东省电子商务认证中心是国家电子商务的试 点工程，其前身是中国电信南方电子商务中心，创点工程，其前身是中国电信南方电子商务中心，创 立于立于19981998年。年。20012001年年1 1月，广东省电子商务认证中月，广东省电子商务认证中 心的心的“网证通网证通”电子认证系统通过国家公安部计算电子认证系统通过国家公安部计算 机信息系统安全产品质量监督检测，被认定为安全机信息系统安全产品质量监督检测，被认定为安全 可信的产品。可信的产品。20012

9、001年年8 8月，国家密码管理委员会办月，国家密码管理委员会办 公室批准广东省电子商务认证中心使用密码和建立公室批准广东省电子商务认证中心使用密码和建立 密钥管理中心，成为国内提供网络安全认证服务的密钥管理中心，成为国内提供网络安全认证服务的 重要力量。重要力量。 图12 图13 图14 上海CA（SHECA） 图15 上海上海CACA成立于成立于19981998年，专门从事信息年，专门从事信息 安全技术认证和安全信任服务以及相关安全技术认证和安全信任服务以及相关 产品的研发和整合，提供包括安全设计、产品的研发和整合，提供包括安全设计、 安全评估（风险评估）、安全检测（入安全评估（风险评估）

10、、安全检测（入 侵检测、审计）、漏洞扫描、安全敏感侵检测、审计）、漏洞扫描、安全敏感 数据托管、电子举证、公正时间戳等服数据托管、电子举证、公正时间戳等服 务。务。 图16 国内主要的电子商务认证中心 北京数字证书认证中心： http:/ 深圳市电子商务认证中心：http:/ 广东省电子商务认证中心：http:/ 海南省电子商务认证中心：http:/ 湖北省电子商务认证中心：http:/ 上海电子商务安全证书管理中心：http:/ 中国数字认证网：http:/ 山西省电子商务安全认证中心：http:/ 中国金融认证中心：http:/ 天津电子商务运作中心：http:/ 天威诚信CA认证中心：h

11、ttp:/ 北京数字证书认证中心： http:/ 深圳市电子商务认证中心：http:/ 广东省电子商务认证中心：http:/ 海南省电子商务认证中心：http:/ 湖北省电子商务认证中心：http:/ 上海电子商务安全证书管理中心：http:/ 中国数字认证网：http:/ 山西省电子商务安全认证中心：http:/ 中国金融认证中心：http:/ 天津电子商务运作中心：http:/ 天威诚信CA认证中心：http:/ 图17 3.3.3 3.3.3 数字证书数字证书 数字证书就是标志网络用户身份数字证书就是标志网络用户身份 信息的一系列数据，用于证明某一主信息的一系列数据，用于证明某一主 体（

12、如个人用户、服务器等）的身份体（如个人用户、服务器等）的身份 以及其公钥的合法性的一种权威性的以及其公钥的合法性的一种权威性的 电子文档，由权威公正的第三方机构，电子文档，由权威公正的第三方机构， 即即CACA中心签发。中心签发。 1.1.数字证书的概念数字证书的概念 图18 数字证书的拥有者可以将其证书提供给其他人、数字证书的拥有者可以将其证书提供给其他人、 WebWeb站点及网络资源，以证实他的合法身份，站点及网络资源，以证实他的合法身份， 并且与对方建立加密的、可信的通信。并且与对方建立加密的、可信的通信。 以数字证书为核心的加密技术可以对网络上传以数字证书为核心的加密技术可以对网络上传

13、 输的信息进行加密和解密、数字签名和签名验输的信息进行加密和解密、数字签名和签名验 证，确保网上传递信息的机密性、完整性，以证，确保网上传递信息的机密性、完整性，以 及交易实体身份的真实性，签名信息的不可否及交易实体身份的真实性，签名信息的不可否 认性，从而保障网络应用的安全性。认性，从而保障网络应用的安全性。 图19 图20 目前大多数商务网站使用用户名和口令目前大多数商务网站使用用户名和口令 的方式来对用户进行认证，这种方式需要站的方式来对用户进行认证，这种方式需要站 点收集所有注册用户的信息，维护庞大的用点收集所有注册用户的信息，维护庞大的用 户信息数据库。同时这种传统登录机制的安户信息

14、数据库。同时这种传统登录机制的安 全性也比较脆弱，容易遭到外界的攻击破坏。全性也比较脆弱，容易遭到外界的攻击破坏。 数字证书的安全与认证功能消除了传统数字证书的安全与认证功能消除了传统 的口令机制中内在的安全脆弱性，为每个用的口令机制中内在的安全脆弱性，为每个用 户提供唯一的标识，以便利的方式来访问户提供唯一的标识，以便利的方式来访问 WebWeb服务器，降低了网站的维护和支持成本。服务器，降低了网站的维护和支持成本。 图21 2.2.数字证书的内容数字证书的内容 数字证书的内部格式遵循数字证书的内部格式遵循X.509X.509标准。标准。 X.509X.509是由国际电信联盟是由国际电信联盟

15、(ITU-T)(ITU-T)制定的制定的 数字证书标准。根据这项标准，证书包数字证书标准。根据这项标准，证书包 括申请证书个人的信息和发行证书机构括申请证书个人的信息和发行证书机构 的信息。的信息。 图22 l 证书拥有者的姓名；证书所有人的名称，命名规则一般采用 X.500格式； l 证书的版本信息。用来与X.509标准的将来版本兼容。 l 证书的序列号。每个证书都有一个唯一的证书序列号。 l 证书所使用的签名算法。 l 颁发者。即证书的发行机构名称，命名规则一般采用X.500格 式。 l 证书的有效期限。现在通用的证书一般采用UTC时间格式，它 的计时范围为1950-2049； l 证书主

16、题名称。 l 证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示 （只适用于RSA加密体制）； l 包含额外信息的特别扩展。 l 证书发行者对证书的签名。 标准的标准的X.509X.509数字证书包含内容：数字证书包含内容： 图23 图24 图25 3.3.数字证书的有效性数字证书的有效性 数字证书才有效条件： 证书没有过期。 密钥没有修改。 用户仍然有权使用这个密钥。 证书不在无效证书清单中。 图26 1. 1.个人数字证书个人数字证书 2. 2.单位证书单位证书 3. 3.服务器证书服务器证书 4. 4.代码签名证书代码签名证书 数字证书按照使用对象划分数字证书按照使用对象划分: :

17、4.4.数字证书的类型数字证书的类型 图27 个人证书个人证书( (客户证书客户证书) ) 个人身份证书个人身份证书 个人身份证书是用来表个人身份证书是用来表 明和验证个人在网络上身份的证书，它确保明和验证个人在网络上身份的证书，它确保 了网上交易的操作的安全性和可靠性。个人了网上交易的操作的安全性和可靠性。个人 身份证书可以存储在软盘或身份证书可以存储在软盘或ICIC卡中。卡中。 个人安全电子邮件证书个人安全电子邮件证书 个人安全电子个人安全电子 邮件证书可以确保邮件的真实性和保密性。邮件证书可以确保邮件的真实性和保密性。 图28 单位证书单位证书 单位（客户端）数字证书单位（客户端）数字证

18、书 主要主要 用于单位安全电子事务处理。具体应用于单位安全电子事务处理。具体应 用如：安全电子邮件传送、网上公文用如：安全电子邮件传送、网上公文 传送、网上签约、网上招标投标、网传送、网上签约、网上招标投标、网 上办公系统等。上办公系统等。 图29 服务器证书服务器证书 服务器证书（站点证书）服务器证书（站点证书） 服务器服务器 证书主要用于网站交易服务器的身份识证书主要用于网站交易服务器的身份识 别，使得连接到服务器的用户确信服务别，使得连接到服务器的用户确信服务 器的真实身份。目的是保证客户和服务器的真实身份。目的是保证客户和服务 器之间交易、支付时确保双方身份的真器之间交易、支付时确保双方身份的真 实性、安全性、可信任性等。实性、安全性、可信任性等。