认证中心及证书原理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,知识结构,PKI,与证书服务应用,公钥基础结构,CA,在Web服务器上设置SSL,什么是PKI,公钥加密技术,生成证书申请,提交证书申请,颁发证书,什么是证书,CA的作用,证书的发放过程,在Web服务器上安装证书,安装证书服务,启用安全通道,使用HTTPS协议访问网站,证书的导出和导入,CA电子商务网络示意图,什么是CA,CA(CertificateAuthority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。,CA为电子政务、电子商务等网络环境中各个实体,颁发数字证书,，以,证明身份的真实性,，并负责在交易中,检验和管理证书,；,CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），,以防证书被伪造或篡改,，以及对证书和密钥进行管理。,CA必须是各行业各部门及公众,共同信任的、认可的、权威的、不参与交易,的第三方网上身份认证机构。,CA是PKI的核心组成部分。,CA的作用,CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。,交易信息的保密性,交易信息的不可修改性,交易者身份的确定性,交易的不可抵赖性,CA的功能,CA的核心功能就是发放和管理数字证书。,CA认证中心的功能主要有：证书发放、证书更新、证书撤销和证书验证。,具体描述如下：,（1）接收验证用户数字证书的申请。（2）确定是否接受用户数字证书的申请，即证书的审批。（3）向申请者颁发（或拒绝颁发）数字证书。（4）接收、处理用户的数字证书更新请求。（5）接收用户数字证书的查询、撤销。（6）产生和发布证书的有效期。（7）数字证书的归档。（8）密钥归档。（9）历史数据归档。,什么是数字证书,什么是数字证书,为什么要使用数字证书,数字证书的种类,数字证书的存储,数字证书的原理,数字证书的颁发,数字证书,数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。,Issuer(CA),Subject(Bob),Subjects,Public Key,Public,Bob,Digital Signature,HASH,Signed with trusted private key,Private,CA,包含用户身份信息的文件:,CA,的名称,(,颁发机构,),Bob,的名称,(,对象,),Bob,的公钥,由可信的第三方进行签名,(CA),使用,CA,的私钥,保证信息的真实性和完整性,数字证书,PKI,系统,(CA,系统,),的产物,数字证书是,PKI,技术的现实载体，通过数字证书我们可以实现身份认证、信息加密、签名等一系列的安全操作,网络世界的电子身份证,与现实世界的身份证类似,能够证明个人、团体或设备的身份,拥有者拥有证书公钥对应的私钥,由可信的颁发机构颁发,比如身份证由公安局颁发一样,颁发机构对证书进行签名,与身份证上公安局的盖章类似,可以由颁发机构证明证书是否有效,可防止擅改证书上的任何资料,姓名,地址,公司,电话号码,Email地址,数字证书的内容,公钥证书的主要内容,持有者（Subject）标识,序列号,公钥,有效期,签发者（Issuer）标识,CA的数字签名,身份证主要内容,姓名,身份证号码,照片,有效期,签发者单位,签发单位盖章、防伪标志,实现数字证书,公钥基础设施,证书颁发机构,客户申请证书,PKI,CA,Client,为什么要使用数字证书,来源电子商务对认证的需要,电子商务必须保证买卖双方在因特尔网上的交易真实、可靠，并具有绝对的信心。,因特网电子商务系统必须保证具有十分可靠的安全保密技术,即必须保证网络安全的四大要素：,信息传输的保密性,数据交换的完整性,发送信息的不可否认性,交易者身份的确定性,数字证书的种类,个人身份证书,个人安全电子邮件证书,企业身份证书,企业安全电子邮件证书,服务器身份证书,企业代码签名证书,个人代码签名证书,B的,公钥,A的,私钥,B的,私钥,A的,公钥,数字证书的原理,利用一对互相匹配的密钥进行加密、解密。,用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户共享，用于加密和验证签名。,用户 A,用户 B,加密,签名,解密,验证,数字证书的颁发,数字证书是由认证中心（CA）颁发的,数字证书颁发过程如下：,用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。,证书个人信息公钥信息,CA,的签名信息,证书的发放,证书的发放包括两部分：,一、证书的申请、制作、发放。,二、用户的身份认证。,CA(证书服务中心)完成第一部分工作，RA（审核受理处）则完成第二部分工作。对于RA,持卡人RA由发卡银行，商家的RA由收单银行等能够认证用户身份的单位来担任。,CA的组成框架,CA可以分为RS（证书业务受理中心）和CP(证书制作中心)两部分。,RS负责接收用户的证书申请、发放等与用户打交道的外部工作，CP负责证书的制作、记录等内部工作。用户如果要获得数字证书，必须上网，进入CA网站，实际就是进入了RS网站，向RS申请证书；RS与用户对话后，可以获得用户的申请信息，然后传递给CP,CP与RA进行联系，并从RA处获得用户的身份认证信息后，由CP为用户制作证书，交给RS；当用户再上网要求获取证书时，RS将制作好的证书传给用户。,在网上支付中，参与的每家银行都要建立自己的RA。面对众多的用户，光有一个RA是无法完成任务的。因此，RA下必须设立许多业务受理点，接待用户，进行申请登记工作。RA作为身份认证与审核部门，通过专线与各业务受理点连接。各业务受理点接收用户的申请，审查用户的身份证件，通过专线与RA交换信息，完成用户的身份认证工作。,证书服务中心,CP,CRL/黑名单库,RS,RA,RA,业务,受理点,业务,受理点,业务,受理点,业务,受理点,证书,用户,证书,用户,证书,用户,什么是PKI,什么是PKI,PKI的主要组成,PKI技术及应用,PKI体系结构,PKI的功能操作,什么是PKI,PKI（Public Key Infrastructure）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。,从字面上理解,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。,用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动。,PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。,公钥基础设施PKI,CA,RA,终端,用户,目录,服务,申请与审核,证书归档,证书终止,证书注销,证书发布,证书生成,PKI的主要组成,认证机构,证书的签发机构，是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。,证书库,是证书的集中存放地，提供公众查询。,密钥备份及恢复系统,对用户的解密密钥进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复。,证书作废处理系统,证书由于某种原因需要作废、终止使用，这将通过证书作废列表CRL来完成。,PKI应用接口系统,是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。,PKI技术及应用,PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。,一个典型、完整、有效的PKI应用系统至少应具有以下部分：,公钥密码证书管理。,黑名单的发布和管理。,密钥的备份和恢复。,自动更新密钥。,自动管理历史密钥。,支持交叉认证。,PKI的12种功能操作,1,产生、验证和分发密钥,2,签名和验证,3,证书的获取,4,验证证书,5,保存证书,6,本地保存的证书的获取,7,证书废止的申请,8,密钥的恢复,9,CRL的获取,10,密钥更新,11,审计,12,存档（证书及废止证书）,目录在CA中的应用,CA需要解决的两个问题：,1、证书生命周期管理问题：如何创建、维护和销毁证书,2、证书定位问题：如何快速找到对方的证书,目录在,CA中的作用：,1、目录是整个证书生命周期的管理中心。,2、在目录中存储、管理证书,(Certificate)和撤销列表(CRL),3、通过目录服务提供有效的证书发布和查询功能,4、通过目录服务安全可靠地发布CRL,提供CRL查询服务,存储数字证书，只能由签发服务器进行写操作；把数字证书信息实时推向从,LDAP,。,与主服务器内数据保持一致，只接受查询不能修改和添加信息。,目录服务器在,CA中的位置,知名CA厂商,国外厂商,VeriSign：是最大的公共 CA，也是最早广泛推广 PKI 并建立 公 共 CA 的公司之一。VeriSign 除了是公认的最可信公共 CA 之 一，还提供专用 PKI 工具，包括称为 OnSite 的证书颁发服 务，这项服务充当了本地 CA，而且连接到了 VeriSign 的公 共 CA。,Microsoft：提供了一个证书管理服务作 为 Windows NT 的 一个附加件，并且现在已经把完整的 CA 功能都合并到了 Windows 2000 中。,国内厂商,天威诚信,信安世纪,北京数字证书认证中心,证书的申请流程,一、用户带相关证明到正是业务受理中心RS申请证书；,二、用户在线填写证书申请表格和证书申请协议书；,三、RS业务人员取得用户申请数据后，与RA中心联系，要求用户身份认证；,四、RA下属的业务受理点审核员通过离线方式（面对面）审核申请者的身份、能力和信誉等；,五、审核通过后，RA中心向CA中心转发证书的申请要求；,六、CA中心响应RA中心的证书请求，为该用户制作、签发证书，并且交给RS；,七、当用户再次上网要求获取证书时，RS将制作好的证书传给用户；如果证书介质是IC卡方式，则RS业务人员打印好相关密码信封传给用户，通知用户到相关业务受理点领取；,八、用户根据收到的用户应用指南，使用相关的证书业务。,推荐站点,中国PKI论坛,