电子商务-CA认证中心.pptVIP

CA认证中心的建设 尚没有明确国家级CA安全认证系统 行业性CA安全认证系统： 中国人民银行联合12家银行建立的金融CFCA安全认证中心 中国电信建立的CTCA安全认证系统 国家外贸部EDI中心建立的国富安CA安全认证中心 一、公匙基础设施PKI PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 PKI必须具有权威认证机构CA在公钥加密技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能，兼包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序，以及为PKI体系中的各成员提供全部的安全服务。如：实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息必威体育官网网址等。 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 典型的PKI体系结构——1.政策批准机构PAA PAA是政策批准机构，由它来创建各个PKI系统的方针，批准本PAA下属的PCA的政策，为下属PCA签发公钥证书，建立整个PKI体系的安全策略，并具有监控各PCA行为的责任。具体功能包括： 发布PAA的公钥证书； 制定本体系的政策和操作程序； 制定本PKI体系中建立PCA的政策和操作程序； 对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别； 为下属PCA和需要定义认证的其他根证书产生证书； 发布下属PCA的身份及位置信息； 接收和发布下级PCA的政策； 定义下级PCA申请证书作废请求所需的信息； 接收和认证对它所签发的证书的作废申请请求； 为它所签发的证书产生CRL； 保存证书，保存CRL，审计信息，PCA政策； 发布它所签发的证书及和CRL。 典型的PKI体系结构——2政策PCA机构 PCA为政策CA，制定本PCA的具体政策，可以是上级PAA政策的扩充或细化，但不能与之相背离。这些政策可能包括本PCA范围内密钥的产生、钥密的长度、证书的有效期规定及CRL的管理等等。并为下属CA签发公钥证书。具体功能包括： 发布自己的身份和位置信息； 发布它所签发的下属CA的身份和位置信息； 公布它的服务对象； 发布它所制定的安全政策和证书处理有关程序： ——密钥的产生和模长 ——对PCA、CA、ORA系统的安全控制 ——CRL的发布频率 ——审计程序 对下属各成员进行身份认证和鉴别； 产生和管理下属成员的公钥； 发布PAA和自己的证书到下属成员； 定义证书作废请求生效所需的信息和程序； 接收和认证对它所签发的证书的作废申请请求； 为它所签发的证书产生CRL； 保存证书、CRL、审计信息和它所签发的政策； 发布它所签发的证书及CRL。 典型的PKI体系结构——3认证中心CA CA是认证中心，具备有限的政策制定功能，按照上级PCA制定政策，具体的用户公钥证书的签发、生成和发布及CRL生成及发布。具体功能包括： 发布本地CA对PCA政策的增补部分； 对下属各成员进行身份认证和鉴别； 产生和管理下属证书； 发布自身证书和上级证书； 证实ORA的证书申请请求； 向ORA返回证书制作的确认信息或返回已制定 好的证书； 接收和认证对它所签发的证书的作废申请； 为它所签发证书产生CRL； 保存证书、CRL、审计信息和它所签发的政策； 发布它所签发的证书和CRL。 典型的PKI体系结构——4在线证书申请ORA 进行证书申请者的身份认证，向CA提交证书申请，验证接收CA签发的证书，并将证书发放给申请者。必要时，还协助进行证书制作。具体功能包括： 对用户进行身份审查和鉴别； 将用户身份信息和公钥以数字签名的方式送给CA； 接收CA返回的证书制作确认信息或制好的证书； 发放CA证书，CA的上级证书以及发放用户证书； 接受证书作废申请，验证其有效性，并向CA发送该申请。 PKI的操作功能（1） PKI具有十二种功能操作，涉及到的成员机构包括：PKI认证机构(P)、数据发布目录(D)、用户。 1.产生、验证和分发密钥 ——用户自己产生密钥对： ——CA为用户产生密钥对： ——CA(包括PAA、PCA、CA)自己产生自己的密钥对 2.签名和验证 ——PKI成员对数字签名和认证是采用多种算法的，如RSA、DES等等，这些算法可以由硬件、软件或硬软结合的加密模块(固件)来完成。 ——密钥和证书存放的介质可以是内存、IC卡或软盘等。 3.证书的获取 ——发送者发送签名信息时，附加发送自己的证书； ——单独发送证书信息的通道； ——可从访问发布证书的目录服务器获得； ——或者从证书的相关实体(如RA