网络支付和电子商务安全4.pptVIP

“备”则“倍” 有准备、有规划的人生更精彩！ 证书状态在线查询（OCSP） 依托方A OCSP 响应者 Backend OCSP CRLs Database …… Others 请求 响应 版本 … 证书列表 版本 … 每个证书 状态 PKI相关标准 证书标准 —— X.509 RFC（Request For Comments）2459 是 X.509v3 的一个配置文件，进一步阐明了 X.509v3 中定义的字段。 CA中心交叉认证标准 —— PKIX PKIX（Public Key Infrastructure on X.509，简称PKIX）系列标准由IETFPKIX工作小组制定，定义了X.509证书在INTERNET上的使用，证书的生成、发布和获取，各种产生和分发密钥的机制，以及怎样实现这些标准的轮廓结构等 。 PKIX 标准概述于 RFC 2560。 智能卡/硬件插件 PKCS #11 PKCS （Public-Key Cryptography Standards）系列 目录服务LDAP LDAP （Lightweight Directory Access Protocol）是一种轻量的目录存取协议，提供客户从各个角落连接到目录服务器中。 在 RFC 1777 及 RFC 1778 中对 LDAP 有较深入的描述。 PKCS系列标准 PKCS #1 RSA Encryption Standard PKCS #3 Diffie-Hellman Key-Agreement Standard PKCS # 5 Password-Based Encryption Standard PKCS #6 Extended-Certificate Syntax Standard PKCS #7 Cryptographic Message Syntax Standard PKCS #8 Private-Key Information Syntax Standard PKCS系列标准(续) PKCS #9 Selected Attribute Types PKCS #10 Certification Request Syntax Standard PKCS #11 Cryptographic Token Interface Standard PKCS #12 Personal Information Exchange Standard PKCS #13 Elliptic Curve Cryptography Standard PKCS #15 Cryptographic Token Information Format Standard 网站数字证书的申请和使用 1、申请人（网站）凭有关证明文件到CA中心申请数字证书； 2、CA中心审核文件后制作证书（生成一对密钥，并将公钥与申请人的身份特征组成一个文件）； 3、CA中心以特定的方式向申请人提供数字证书； 4、网站取得证书后，将私钥导入服务器系统； 5、网站向初次来访的网民发送带有其公钥的数字证书； 6、网民的计算机自动将该证书导入浏览器； 7、浏览器访问CA中心网站检查证书及路径的有效性； 8、以后网民访问该网站时，首先会要求网站发送一条身份验证信息，即要求网站发送一条带有签名的信息，网民的浏览器会使用网站数字证书中的公钥验证网站的身份，以防止网站被假冒。同时网民发送的信息会自动使用网站的公钥进行加密。或随机产生对称密钥，并使用网站的公钥加密后发送给网站，双方以后使用该对称密钥加密信息。 第4章 实验1 5人一组，访问国内CA认证中心相关网站，多角度比较这些CA中心的业务情况，从而归纳国内CA认证业务的发展状况。 发展历史（成立时间、业务拓展） 业务规模（行业背景、市场范围、主要用户、用户数量、典型案例） 证书类型（已投入使用和未投入使用的各类证书、证书载体、传输方式） 客户服务内容（尤其是在线服务内容） 证书路径 业务流程 网站特色 国内CA认证机构相关网站 中国PKI论坛 广西CA中心 重庆CA中心 海南CA中心 西部CA中心 广东CA中心 华北CA中心 安徽CA中心 山东CA中心 河北CA中心 福建CA中心 山西CA中心 湖北CA中心 武汉CA中心 吉林CA中心 深圳CA中心 上海CA中心 柳州CA中心 天津CA中心 商务部CA中心 北京CA中心 天威诚信安全身份认证服务中心 河南CA中心 江西CA中心 中国金融认证中心 浙江CA中心 颐信数字证书认证中心 第4章 实验2 通过/网站，了解数字证书相关操作。 国内CA认证机构相关网站 中国PKI论坛 广西CA中心 重庆CA中心 海南CA中心 西部CA中心 广