認(rèn)證中心(CA)課件

認(rèn)證中心（CA）CA簡介CA的技術(shù)基礎(chǔ)CA的功能CA的組成框架與數(shù)字證書的申請流程如何確認(rèn)彼此的身份？網(wǎng)上應(yīng)用系統(tǒng)服務(wù)器用戶數(shù)據(jù)庫?假冒的站點?假冒的用戶互聯(lián)網(wǎng)應(yīng)用存在信息平安隱患在傳統(tǒng)的商務(wù)中，用來認(rèn)證商家或客戶真實身份的認(rèn)證證書大多是被認(rèn)為公正的第三方機(jī)構(gòu)（如政府部門）頒發(fā)的。

中國工商行政管理總局保證發(fā)行、管理營業(yè)證書合法性而作為電子商務(wù)平臺的Internet是沒有“政府”的，那由誰來驗證商家的真實性呢？？？？？？？？什么是CACA(Certificate

Authority)是數(shù)字證書認(rèn)證中心的簡稱，是指發(fā)放、管理、廢除數(shù)字證書的機(jī)構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進(jìn)行管理。CA必需是各行業(yè)各部門及公眾共同信任的、認(rèn)可的、權(quán)威的、不參與交易的第三方網(wǎng)上身份認(rèn)證機(jī)構(gòu)。CA是PKI的核心組成部分。CA的作用CA供應(yīng)的平安技術(shù)對網(wǎng)上的數(shù)據(jù)、信息發(fā)送方、接收方進(jìn)行身份確認(rèn)，以保證各方信息傳遞的平安性、完整性、牢靠性和交易的不行抵賴性。交易信息的平安性

交易信息的完整性交易者身份的牢靠性

交易信息的不行抵賴性

CA技術(shù)基礎(chǔ)CA的技術(shù)基礎(chǔ)是PKI體系。什么是PKI什么是PKIPKI的主要組成PKI技術(shù)及應(yīng)用PKI體系結(jié)構(gòu)PKI的功能操作PKI體系的互通性什么是PKIPKI（PublicKeyInfrastructure）是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展供應(yīng)一套平安基礎(chǔ)平臺的技術(shù)和規(guī)范。從字面上理解PKI就是利用公鑰理論和技術(shù)建立的供應(yīng)平安服務(wù)的基礎(chǔ)設(shè)施。用戶可利用PKI平臺供應(yīng)的服務(wù)進(jìn)行平安的電子交易，通信和互聯(lián)網(wǎng)上的各種活動。PKI是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的全部軟件、硬件的集合體。其核心元素是數(shù)字證書，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。

PKI的主要組成認(rèn)證機(jī)構(gòu)證書的簽發(fā)機(jī)構(gòu)，是PKI的核心，是PKI應(yīng)用中權(quán)威的、可信任的、公正的第三方機(jī)構(gòu)。證書庫是證書的集中存放地，供應(yīng)公眾查詢。密鑰備份及復(fù)原系統(tǒng)對用戶的解密密鑰進(jìn)行備份，當(dāng)丟失時進(jìn)行復(fù)原，而簽名密鑰不能備份和復(fù)原。證書作廢處理系統(tǒng)證書由于某種緣由須要作廢、終止運(yùn)用，這將通過證書作廢列表CRL來完成。PKI應(yīng)用接口系統(tǒng)是為各種各樣的應(yīng)用供應(yīng)平安、一樣、可信任的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境平安可信，并降低管理成本。PKI技術(shù)及應(yīng)用PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重數(shù)字簽名等。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分：公鑰密碼證書管理。黑名單的發(fā)布和管理。密鑰的備份和復(fù)原。自動更新密鑰。自動管理歷史密鑰。支持交叉認(rèn)證。

PKI體系結(jié)構(gòu)PAAPCA1PCAnCA1CAnCA1CAnEE1EE1ORAORAPAA-政策批準(zhǔn)機(jī)構(gòu)PCA-政策CACA-認(rèn)證機(jī)構(gòu)ORA-在線證書申請知名CA廠商國外廠商VeriSign：是最大的公共CA，也是最早廣泛推廣PKI并建立公共CA的公司之一。VeriSign除了是公認(rèn)的最可信公共CA之一，還供應(yīng)專用PKI工具，包括稱為OnSite的證書頒發(fā)服務(wù)，這項服務(wù)充當(dāng)了本地CA，而且連接到了VeriSign的公共CA。Microsoft：供應(yīng)了一個證書管理服務(wù)作為WindowsNT的一個附加件，并且現(xiàn)在已經(jīng)把完整的CA功能都合并到了Windows2000中。國內(nèi)廠商天威誠信信安世紀(jì)北京數(shù)字證書認(rèn)證中心相關(guān)技術(shù)對稱密碼算法非對稱密碼算法LDAPOCSP對稱密碼算法傳統(tǒng)密碼算法加密密鑰能夠從解密密鑰中推算出來，反過來也成立。在大多數(shù)對稱算法中，加密解密密鑰是相同的。優(yōu)點：效率高（加／解密速度能達(dá)到數(shù)十兆／秒或更多），算法簡潔，系統(tǒng)開銷小，適合加密大量數(shù)據(jù)。缺點：迸行平安通信前須要以平安方式進(jìn)行密鑰交換，實現(xiàn)困難。規(guī)模困難。n個用戶的團(tuán)體須要N2/2個不同的密鑰。對稱密碼算法常用算法：DES、3DES、AESDES：DataEncryptionStandard（數(shù)據(jù)加密標(biāo)準(zhǔn)）的縮寫由IBM研制DES是一個分組加密算法，以64位為分組對數(shù)據(jù)加密密匙長度是56位（因為每個第8位都用作奇偶校驗）非對稱密碼算法非對稱密碼術(shù)是建立在數(shù)學(xué)函數(shù)基礎(chǔ)上的，而不是建立在位方式的操作上的。在加/解密時，分別運(yùn)用了兩個不同的密鑰：一個可對外界公開，稱為“公鑰”；一個只有全部者知道，稱為“私鑰”。用公鑰加密的信息只能用相應(yīng)的私鑰解密，反之亦然。同時，要想由一個密鑰推知另一個密鑰，在計算上是不行能的。

非對稱密碼算法優(yōu)點通信雙方事先不須要通過保密信道交換密鑰。密鑰持有量大大削減。非對稱密碼技術(shù)還供應(yīng)了對稱密碼技術(shù)無法或很難供應(yīng)的服務(wù)：如與哈希函數(shù)聯(lián)合運(yùn)用可組成數(shù)字簽名，可證明的平安偽隨機(jī)數(shù)發(fā)生器的構(gòu)造，零學(xué)問證明等。缺點加／解密速度慢、耗用資源大。常用算法RSADHLDAPLDAP(Lightweight

Directory

Access

Protocol)：輕量級書目訪問協(xié)議。

LDAP規(guī)范(RFC1487)簡化了笨重的X.500書目訪問協(xié)議，支持TCP/IP，這對訪問Internet是必需的。1997年，LDAP第3版本成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)。目前，LDAPv3已經(jīng)在PKI體系中被廣泛應(yīng)用于證書信息發(fā)布、CRL信息發(fā)布、CA政策以及與信息發(fā)布相關(guān)的各個方面。LDAP不是數(shù)據(jù)庫而是用來訪問存儲在信息書目（也就是LDAP書目）中的信息的協(xié)議。LDAP主要是優(yōu)化數(shù)據(jù)讀取的性能。OCSPOCSP（Online

Certificate

status

Protocol）在線證書狀態(tài)協(xié)議是IETF頒布的用于檢查數(shù)字證書在某一交易時刻是否仍舊有效的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)供應(yīng)應(yīng)PKI用戶一條便利快捷的數(shù)字證書狀態(tài)查詢通道，使PKI體系能夠更有效、更平安地在各個領(lǐng)域中被廣泛應(yīng)用。它為電子商務(wù)供應(yīng)了一種檢驗數(shù)字證書有效性的途徑，比下載和處理證書撤銷清單（CRL）的傳統(tǒng)方式更快、更便利和更具獨立性。舉薦站點中國PKI論壇

:///CA的功能CA的核心功能就是發(fā)放和管理數(shù)字證書。CA認(rèn)證中心的功能主要有：證書發(fā)放、證書更新、證書撤銷和證書驗證。具體描述如下：（1）接收驗證用戶數(shù)字證書的申請。

（2）確定是否接受用戶數(shù)字證書的申請，即證書的審批。

（3）向申請者頒發(fā)（或拒絕頒發(fā)）數(shù)字證書。

（4）接收、處理用戶的數(shù)字證書更新懇求。

（5）接收用戶數(shù)字證書的查詢、撤銷。

（6）產(chǎn)生和發(fā)布證書的有效期。

（7）數(shù)字證書的歸檔。

（8）密鑰歸檔。

（9）歷史數(shù)據(jù)歸檔。我國的CA技術(shù)CA涉及很多先進(jìn)的密碼技術(shù)，以此它的建立與運(yùn)作須要強(qiáng)大的技術(shù)支撐。比如：先進(jìn)的公開密鑰與數(shù)字摘要機(jī)制。確定長度的密碼位數(shù)。高水平的服務(wù)質(zhì)量與認(rèn)證速度以及管理機(jī)制。我國還沒有建立起高水平的跨區(qū)域的認(rèn)證中心，雖然近幾年各個地方建立了一些CA，但規(guī)模都較小。以此阻礙了我國電子商務(wù)的發(fā)展以及網(wǎng)上支付的大規(guī)模普及。CA的功能生成密鑰對及CA證書驗證申請人身份頒布數(shù)字證書證書以及持有者身份認(rèn)證查詢證書管理及更新吊銷證書制定相關(guān)政策愛護(hù)數(shù)字證書服務(wù)器平安CA的組成框架CA可以分為RS（證書業(yè)務(wù)受理中心）和CP(證書制作中心)兩部分。RS負(fù)責(zé)接收用戶的證書申請、發(fā)放等與用戶打交道的外部工作，CP負(fù)責(zé)證書的制作、記錄等內(nèi)部工作。用戶假如要獲得數(shù)字證書，必需上網(wǎng)，進(jìn)入CA網(wǎng)站，實際就是進(jìn)入了RS網(wǎng)站，向RS申請證書；RS與用戶對話后，可以獲得用戶的申請信息，然后傳遞給CP,CP與RA進(jìn)行聯(lián)系，并從RA處獲得用戶的身份認(rèn)證信息后，由CP為用戶制作證書，交給RS；當(dāng)用戶再上網(wǎng)要求獲得證書時，RS將制作好的證書傳給用戶。在網(wǎng)上支付中，參與的每家銀行都要建立自己的RA。面對眾多的用戶，光有一個RA是無法完成任務(wù)的。因此，RA下必需設(shè)立很多業(yè)務(wù)受理點，接待用戶，進(jìn)行申請登記工作。RA作為身份認(rèn)證與審核部門，通過專線與各業(yè)務(wù)受理點連接。各業(yè)務(wù)受理點接收用戶的申請，審查用戶的身份證件，通過專線與RA交換信息，完成用戶的身份認(rèn)證工作。證書服務(wù)中心

CPCRL/黑名單庫RSRARA業(yè)務(wù)受理點業(yè)務(wù)受理點業(yè)務(wù)受理點業(yè)務(wù)受理點證書用戶證書用戶證書用戶證書的發(fā)放證書的發(fā)放包括兩部分：一、證書的申請、制作、發(fā)放。二、用戶的身份認(rèn)證。CA(證書服務(wù)中心)完成第一部分工作，RA（審核受理處）則完成其次部分工作。對于RA,持卡人RA由發(fā)卡銀行，商家的RA由收單銀行等能夠認(rèn)證用戶身份的單位來擔(dān)當(dāng)。證書的申請流程一、用戶帶相關(guān)證明到正是業(yè)務(wù)受理中心RS申請證書；二、用戶在線填寫證書申請表格和證書申請協(xié)議書；三、RS業(yè)務(wù)人員取得用戶申請數(shù)據(jù)后，與RA中心聯(lián)系，要求用戶身份認(rèn)證；四、RA下屬的業(yè)務(wù)受理點審核員通過離線方式（面對面）審核申請者的身份、實力和信譽(yù)等；五、審核通過后，RA中心向CA中心轉(zhuǎn)發(fā)證書的申請要求；六、CA中心響應(yīng)RA中心的證書懇求，為該用戶制作、簽發(fā)證書，并且交給RS；七、當(dāng)用戶再次上網(wǎng)要求獲得證書時，RS將制作好的證書傳給用戶；假如證書介質(zhì)是IC卡方式，則RS業(yè)務(wù)人員打印好相關(guān)密碼信封傳給用戶，通知用戶到相關(guān)業(yè)務(wù)受理點領(lǐng)??；八、用戶依據(jù)收到的用戶應(yīng)用指南，運(yùn)用相關(guān)的證書業(yè)務(wù)。什么是數(shù)字證書數(shù)字平安證書就是標(biāo)記網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份，即要在Internet上解決"我是誰"的問題，就猶如現(xiàn)實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡潔的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般狀況下證書中還包括密鑰的有效時間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息。為什么要運(yùn)用數(shù)字證書來源－電子商務(wù)對認(rèn)證的須要電子商務(wù)必需保證買賣雙方在因特爾網(wǎng)上的交易真實、牢靠，并具有確定的信念。因特網(wǎng)電子商務(wù)系統(tǒng)必需保證具有特別牢靠的平安保密技術(shù),即必需保證網(wǎng)絡(luò)平安的四大要素：信息傳輸?shù)谋Ｃ苄詳?shù)據(jù)交換的完整性發(fā)送信息的不行否認(rèn)性交易者身份的確定性數(shù)字證書的種類個人身份證書

個人平安電子郵件證書企業(yè)身份證書企業(yè)平安電子郵件證書服務(wù)器身份證書企業(yè)代碼簽名證書個人代碼簽名證書數(shù)字證書的存儲數(shù)字證書的存儲介質(zhì)主要有軟盤硬盤IC卡Usb

KeyB的公鑰A的私鑰B的私鑰A的公鑰數(shù)字證書的原理利用一對相互匹配的密鑰進(jìn)行加密、解密。用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶共享，用于加密和驗證簽名。用戶A用戶B加密簽名解密驗證數(shù)字證書的頒發(fā)數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)的數(shù)字證書頒發(fā)過程如下：用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信懇求的確由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時還附有認(rèn)證中心的簽名信息。用戶就可以運(yùn)用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動。

證書＝個人信息＋公鑰信息＋CA的簽名信息什么是X.509標(biāo)準(zhǔn)X.509：它是國際標(biāo)準(zhǔn)化組織CCITT（即國際電話委員會）建議作為X.500書目檢索的一部分供應(yīng)平安書目檢索服務(wù)，是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解決方案，在X.509方案中，默認(rèn)的加密體制是公鑰密碼體制。為進(jìn)行身份認(rèn)證，X.509標(biāo)準(zhǔn)及公共密鑰加密系統(tǒng)供應(yīng)了數(shù)字簽名的方案。用戶可生成一段信息及其摘要（亦稱作信息"指紋"）。用戶用專用密鑰對摘要加密以形成簽名，接收者用發(fā)送者的公共密鑰對簽名解密，并將之與收到的信息"指紋"進(jìn)行比較，以確定其真實性。什么是X.509證書X.509是一種特別通用的證書格式。一份X.509證書是一些標(biāo)準(zhǔn)字段的集合，這些字段包含有關(guān)用戶或設(shè)備及其相應(yīng)公鑰的信息。X.509標(biāo)準(zhǔn)定義了證書中應(yīng)當(dāng)包含哪些信息，并描述了這些信息是如何編碼的(即數(shù)據(jù)格式)。項目引入：小李想在網(wǎng)上做生意，可是一個問題卻困擾著他：對于網(wǎng)絡(luò)上的交易雙方，身份是如何認(rèn)證的呢，現(xiàn)實中的公安局、工商局等執(zhí)法部門的審查功能在網(wǎng)絡(luò)交易中就顯得不那么強(qiáng)大了，因此，網(wǎng)上認(rèn)證就成了一個困惑問題。為了解決這個懷疑，小李參考了大量資料，最終相識到了CA認(rèn)證的重要意義。項目分析：數(shù)字證書是一種數(shù)字標(biāo)識，是由權(quán)威公正的第三方機(jī)構(gòu)即數(shù)字證書認(rèn)證中心（CA）簽發(fā)的，標(biāo)記網(wǎng)絡(luò)用戶身份信息的電子文檔。數(shù)字證書比身份證只多了一個公共密鑰(簡稱公鑰)。猶如身份證用來證明每一個人的身份一樣，數(shù)字證書用來保證公鑰和特定實體之間的聯(lián)系。數(shù)字證書供應(yīng)的是網(wǎng)絡(luò)上的身份證明。因此，也有人稱數(shù)字證書是“網(wǎng)絡(luò)身份證”。任務(wù)分解：為了更好的學(xué)習(xí)CA認(rèn)證中心這個項目，我們把此項目分解為以下幾個任務(wù)：任務(wù)一：個人CA證書的申請及下載任務(wù)二：個人CA證書的運(yùn)用任務(wù)三:企業(yè)CA證書任務(wù)四：CA認(rèn)證管理任務(wù)一：個人CA證書的申請及下載相關(guān)學(xué)問：電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)（CA,CertificateAuthority），也稱為電子商務(wù)認(rèn)證中心，是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，擔(dān)當(dāng)公鑰體系中公鑰的合法性檢驗的責(zé)任。CA中心為每個運(yùn)用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網(wǎng)關(guān)發(fā)放證書。為保證用戶之間在網(wǎng)上傳遞信息的平安性、真實性、牢靠性、完整性和不行抵賴性，不僅須要對用戶的身份真實性進(jìn)行驗證，也須要有一個具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個主體頒發(fā)并管理符合國內(nèi)、國際平安電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)平安證，并負(fù)責(zé)管理全部參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是平安電子交易的核心環(huán)節(jié)。任務(wù)實施專業(yè)的數(shù)字證書中心，它的個人CA證書的申請大都是收費的，為了便利大家學(xué)習(xí)，我們這里給大家介紹一種免費試用的數(shù)字證書：網(wǎng)證通NETCA電子認(rèn)證系統(tǒng)（s://te