认证中心(CA)知识讲解

认证中心（CA） CA简介 CA的技术基础 CA的功能 CA的组成框架与数字证书的申请流程在传统的商务中，用来认证商家或客户真实身份的认证证书大多是被认为公正的第三方机构（如政府部门）颁发的。中国工商行政管理总局保证发行、管理营业证书合法性而作为电子商务平台的Internet是没有“政府”的，那由谁来验证商家的真实性呢？？？？？？？？什么是CA CA(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。 CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。 CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。 CA是PKI的核心组成部分。CA的作用CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。 交易信息的安全性  交易信息的完整性 交易者身份的可靠性  交易信息的不可抵赖性 CA技术基础 CA的技术基础是PKI体系。什么是PKI 什么是PKI PKI的主要组成 PKI技术及应用 PKI体系结构 PKI的功能操作 PKI体系的互通性什么是PKI PKI（PublicKeyInfrastructure）是一种遵循的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 从字面上理解 PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动。 PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。PKI的主要组成 认证机构 证书的签发机构，是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。 证书库 是证书的集中存放地，提供公众查询。 密钥备份及恢复系统 对用户的解密密钥进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复。 证书作废处理系统 证书由于某种原因需要作废、终止使用，这将通过证书作废列表CRL来完成。 PKI应用接口系统 是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。PKI技术及应用 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 一个典型、完整、有效的PKI应用系统至少应具有以下部分： 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。PKI体系结构PAAPCA1PCAnCA1CAnCA1CAnEE1EE1ORAORA PAA-政策批准机构 PCA-政策CA CA-认证机构 ORA-在线证书申请知名CA厂商 国外厂商 VeriSign：是最大的公共CA，也是最早广泛推广PKI并建立公共CA的公司之一。VeriSign除了是公认的最可信公共CA之一，还提供专用PKI工具，包括称为OnSite的证书颁发服务，这项服务充当了本地CA，而且连接到了VeriSign的公共CA。 Microsoft：提供了一个证书管理服务作为WindowsNT的一个附加件，并且现在已经把完整的CA功能都合并到了Windows2000中。 国内厂商 天威诚信 信安世纪 北京数字证书认证中心相关技术 对称密码算法 非对称密码算法 LDAP OCSP对称密码算法 传统密码算法 加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加密解密密钥是相同的。 优点： 效率高（加／解密速度能达到数十兆／秒或更多），算法简单，系统开销小，适合加密大量数据。 缺点： 迸行安全通信前需要以安全方式进行密钥交换，实现困难。 规模复杂。n个用户的团体需要N2/2个不同的密钥。对称密码算法 常用算法：DES、3DES、AES DES：DataEncryptionStandard（数据加密标准）的缩写 由IBM研制 DES是一个分组加密算法，以64位为分组对数据加密 密匙长度是56位（因为每个第8位都用作奇偶校验）非对称密码算法 非对称密码术是建立在数学函数基础上的，而不是建立在位方式的操作上的。 在加/解密时，分别使用了两个不同的密钥：一个可对外界公开，称为“公钥”；一个只有所有者知道，称为“私钥”。 用公钥加密的信息只能用相应的私钥解密，反之亦然。 同时，要想由一个密钥推知另一个密钥，在计算上是不可能的。非对称密码算法 优点 通信双方事先不需要通过保密信道交换密钥。 密钥持有量大大减少。 非对称密码技术还提供了对称密码技术无法或很难提供的服务：如与哈希函数联合运用可组成数字签名，可证明的安全伪随机数发生器的构造，零知识证明等。 缺点 加／解密速度慢、耗用资源大。 常用算法 RSA DHLDAP LDAP(Lightweight Directory Access Protocol)：轻量级目录访问协议。 LDAP规范(RFC1487)简化了笨重的X.500目录访问协议，支持TCP/IP，这对访问Internet是必须的。 1997年，LDAP第3版本成为互联网标准。目前，LDAPv3已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。 LDAP不是数据库而是用来访问存储在信息目录（也就是LDAP目录）中的信息的协议。LDAP主要是优化数据读取的性能。OCSP OCSP（Online Certificate status Protocol）在线证书状态协议 是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。 该标准提供给PKI用户一条方便快捷的数字证书状态查询通道，使PKI体系能够更有效、更安全地在各个领域中被广泛应用。 它为电子商务提供了一种检验数字证书有效性的途径，比下载和处理证书撤销清单（CRL）的传统方式更快、更方便和更具独立性。推荐站点 中国PKI论坛http://www.chinapkiforum.org.cn/CA的功能 CA的核心功能就是发放和管理数字证书。 CA认证中心的功能主要有：证书发放、证书更新、证书撤销和证书验证。 具体描述如下： （1）接收验证用户数字证书的申请。（2）确定是否接受用户数字证书的申请，即证书的审批。（3）向申请者颁发（或拒绝颁发）数字证书。（4）接收、处理用户的数字证书更新请求。（5）接收用户数字证书的查询、撤销。（6）产生和发布证书的有效期。（7）数字证书的归档。（8）密钥归档。（9）历史数据归档。我国的CA技术CA涉及许多先进的密码技术，以此它的建立与运作需要强大的技术支撑。比如：先进的公开密钥与数字摘要机制。一定长度的密码位数。高水平的服务质量与认证速度以及管理机制。我国还没有建立起高水平的跨区域的认证中心，虽然近几年各个地方建立了一些CA，但规模都较小。以此阻碍了我国电子商务的发展以及网上支付的大规模普及。CA的功能 生成密钥对及CA证书 验证申请人身份 颁布数字证书 证书以及持有者身份认证查询 证书管理及更新 吊销证书 制定相关政策 保护数字证书服务器安全CA的组成框架CA可以分为RS（证书业务受理中心）和CP(证书制作中心)两部分。RS负责接收用户的证书申请、发放等与用户打交道的外部工作，CP负责证书的制作、记录等内部工作。用户如果要获得数字证书，必须上网，进入CA网站，实际就是进入了RS网站，向RS申请证书；RS与用户对话后，可以获得用户的申请信息，然后传递给CP,CP与RA进行联系，并从RA处获得用户的身份认证信息后，由CP为用户制作证书，交给RS；当用户再上网要求获取证书时，RS将制作好的证书传给用户。在网上支付中，参与的每家银行都要建立自己的RA。面对众多的用户，光有一个RA是无法完成任务的。因此，RA下必须设立许多业务受理点，接待用户，进行申请登记工作。RA作为身份认证与审核部门，通过专线与各业务受理点连接。各业务受理点接收用户的申请，审查用户的身份证件，通过专线与RA交换信息，完成用户的身份认证工作。证书服务中心CPCRL/黑名单库RSRARA业务受理点业务受理点业务受理点业务受理点证书用户证书用户证书用户证书的发放证书的发放包括两部分：一、证书的申请、制作、发放。二、用户的身份认证。CA(证书服务中心)完成第一部分工作，RA（审核受理处）则完成第二部分工作。对于RA,持卡人RA由发卡银行，商家的RA由收单银行等能够认证用户身份的单位来担任。证书的申请流程一、用户带相关证明到正是业务受理中心RS申请证书；二、用户在线填写证书申请表格和证书申请协议书；三、RS业务人员取得用户申请数据后，与RA中心联系，要求用户身份认证；四、RA下属的业务受理点审核员通过离线方式（面对面）审核申请者的身份、能力和信誉等；五、审核通过后，RA中心向CA中心转发证书的申请要求；六、CA中心响应RA中心的证书请求，为该用户制作、签发证书，并且交给RS；七、当用户再次上网要求获取证书时，RS将制作好的证书传给用户；如果证书介质是IC卡方式，则RS业务人员打印好相关密码信封传给用户，用户到相关业务受理点领取；八、用户根据收到的用户应用指南，使用相关的证书业务。什么是数字证书 数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息。为什么要使用数字证书 来源－电子商务对认证的需要 电子商务必须保证买卖双方在因特尔网上的交易真实、可靠，并具有绝对的信心。 因特网电子商务系统必须保证具有十分可靠的安全保密技术,即必须保证网络安全的四大要素： 信息传输的保密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性数字证书的种类 个人身份证书  个人安全电子邮件证书 企业身份证书 企业安全电子邮件证书 服务器身份证书 企业代码签名证书 个人代码签名证书数字证书的存储 数字证书的存储介质主要有 软盘 硬盘 IC卡 Usb Key数字证书的原理 利用一对互相匹配的密钥进行加密、解密。 用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户共享，用于加密和验证签名。用户A用户B数字证书的颁发 数字证书是由认证中心（CA）颁发的 数字证书颁发过程如下： 用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。  证书＝个人信息＋公钥信息＋CA的签名信息什么是X.509标准 X.509：它是国际标准化组织CCITT（即国际电话委员会）建议作为X.500目录检索的一部分提供安全目录检索服务，是一种行业标准或者行业解决，在X.509方案中，默认的加密体制是公钥密码体制。 为进行身份认证，X.509标准及公共密钥加密系统提供了数字签名的方案。 用户可生成一段信息及其摘要（亦称作信息"指纹"）。用户用专用密钥对摘要加密以形成签名，接收者用发送者的公共密钥对签名解密，并将之与收到的信息"指纹"进行比较，以确定其真实性。什么是X.509证书 X.509是一种非常通用的证书格式。 一份X.509证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。 X.509标准定义了证书中应该包含哪些信息，并描述了这些信息是如何编码的(即数据格式)。项目引入：小李想在网上做生意，可是一个问题却困扰着他：对于网络上的交易双方，身份是如何认证的呢，现实中的公安局、工商局等执法部门的审查功能在网络交易中就显得不那么强大了，因此，网上认证就成了一个困惑问题。为了解决这个疑惑，小李参考了大量，终于认识到了CA认证的重要意义。项目分析： 数字证书是一种数字标识，是由权威公正的第三方机构即数字证书认证中心（CA）签发的，标志网络用户身份信息的电子文档。 　　数字证书比身份证只多了一个公共密钥(简称公钥)。如同身份证用来证明每一个人的身份一样，数字证书用来保证公钥和特定实体之间的联系。数字证书提供的是网络上的身份证明。因此，也有人称数字证书是“网络身份证”。任务分解： 为了更好的学习CA认证中心这个项目，我们把此项目分解为以下几个任务： 任务一：个人CA证书的申请及下载 任务二：个人CA证书的使用 任务三:企业CA证书 任务四：CA认证管理任务一：个人CA证书的申请及下载 相关知识： 电子商务认证授权机构（CA,CertificateAuthority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。 　　CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。 为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证，并负责管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。任务实施 专业的数字证书中心，它的个人CA证书的申请大都是收费的，为了方便大家学习，我们这里给大家介绍一种免费试用的数字证书：网证通NETCA电子认证系统（https://testca.netca.net/），通过此网站，我们可以申请到个人数字证书的使用版本，具体操作步骤见实际操作。任务二个人CA证书的使用 利用数字证书我们可以进行数字签名、加密等操作，现在我们使用个人数字证书来发送电子邮件。任务实施 一、绑定数字证书 现在我们就可以给邮件绑定证书了。我们以OutlookExpress为例进行讲解。 二、应用数字证书 任务三企业CA证书 企业版数字证书基本上都是收费的，没有试用版本，而众多电子商务模拟系统中的企业数字证书的申请和使用与真实的多有所区别，因此，参考性并不强。因为企业数字证书与个人数字证书在原理上相似，只是安全性和功能上有所区别，这里，我们不再讲述，有兴趣的人可以去证书颁发机构申请企业数字证书。 任务四CA认证管理 对于数字证书的管理，一般包括证书导入、导出、删除、证书查询、证书更新、证书吊销等等。 证书导入、导出、删除。 2、更新数字证书。 一般来说，数字证书会安全可靠性考虑不断进行更新。用户登录在线申请数字证书的网站进行更新即可。 3、吊销或挂失数字证书。知识回顾： 网上认证是电子商务网商务网上交易的一个重要环节，也是交易双方提供身份认证的行之有效的方式。本项目通过讲解个人数字证书和企业数字证书，主要介绍了一下几个方面的： 个人数字证书的申请方式； 利用个人数字证书进行邮件的签名； 企业数字证书的申请等； 如何对个人数字证书进行管理；拓展训练： 1、选择淘宝或者拍拍网，申请数字认证。 2、去上海市数字认证中心或者山东省数字认证中心，调查它们提供的主要服务内容有哪些？