常见的认证中心(CA).ppt

认证中心（CA） CA简介 CA的技术基础 CA的功能 CA的组成框架与数字证书的申请流程 什么是CA CA(Certificate?Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。 CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。 CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。 CA是PKI的核心组成部分。 CA的作用 CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。 交易信息的安全性? 交易信息的完整性 交易者身份的可靠性? 交易信息的不可抵赖性 CA技术基础 CA的技术基础是PKI体系。 什么是PKI 什么是PKI PKI的主要组成 PKI技术及应用 PKI体系结构 PKI的功能操作 PKI体系的互通性 什么是PKI PKI（Public Key Infrastructure ）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 从字面上理解 PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动。 PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。 PKI的主要组成 认证机构 证书的签发机构，是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。 证书库 是证书的集中存放地，提供公众查询。 密钥备份及恢复系统 对用户的解密密钥进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复。 证书作废处理系统 证书由于某种原因需要作废、终止使用，这将通过证书作废列表CRL来完成。 PKI应用接口系统 是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。 PKI技术及应用 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 一个典型、完整、有效的PKI应用系统至少应具有以下部分： 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。  PKI体系结构 知名CA厂商 国外厂商 VeriSign： 是最大的公共 CA ，也是最早广泛推广 PKI 并建立 公 共 CA 的公司之一。 VeriSign 除了是公认的最可信公共 CA 之 一，还提供专用 PKI 工具， 包括称为 OnSite 的证书颁发服 务，这项服务充当了本地 CA ，而且连接到了 VeriSign 的公 共 CA 。 Microsoft ：提供了一个证书管理服务作 为 Windows NT 的 一个附加件，并且现在已经把完整的 CA 功能都合并到了 Windows 2000 中。 国内厂商 天威诚信 信安世纪 北京数字证书认证中心 相关技术 对称密码算法 非对称密码算法 LDAP OCSP 对称密码算法 传统密码算法 加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加密解密密钥是相同的。 对称密码算法 常用算法：DES、3DES、AES DES：Data Encryption Standard（数据加密标准）的缩写 由IBM研制 DES是一个分组加密算法，以64位为分组对数据加密 密匙长度是56位（因为每个第8位都用作奇偶校验） 非对称密码算法 非对称密码术是建立在数学函数基础上的，而不是建立在位方式的操作上的。 在加/解密时，分别使用了两个不同的密钥：一个可对外界公开，称为“公钥”；一个只有所有者知道，称为“私钥”。 用公钥加密的信息只能用相应的私钥解密，反之亦然。 同时，要想由一个密钥推知另一个密钥，在计算上是不可能的。 非对称密码算法 优点 通信双方事先不需要通过必威体育官网网址信道交换密钥。 密钥持有量大大减少。 非对称密码技术还提供了对称密码技术无法或很难提供的服务：如与哈希函数联合运用可组成数字签名，可证明的安全伪随机数发生器的构造，零知识证明等。 缺点 加／解密速度慢、耗用资源大。 常用算法 RSA DH LDAP LDAP(Lightweight?Directory?Access?Protocol)：轻量级目录访问协议。 LDAP规范(RFC1487)简化了笨重的X.500目录访问协议，支持TCP/IP，这对访问Internet是必须的。 1997年，LDAP第3版本成为互联网标准。目前，LDAP v3已经在PKI