第10章认证中心剖析.ppt

第10章 认证中心 定义：认证中心即CA中心（Certificate uthority）CA（Certificate Authority）中心是所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构 。 作用：负责为电子商务环境中各个实体颁发数字证；证明各实体身份的真实性；负责在交易中检验和管理证书。 10.1 中国金融认证中心概况 中国金融认证中心（China Financial ertification Authority英文简称CFCA），是由中国人民银行牵头14家商业银行共同建立的国家级权威金融认证机构 。于 2000年6月29日竣工投产 。 中国金融认证中心责任 突出特点：金融特色 10.2 PKI和SSL协议 1.PKI技术 （1）PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份。 （2)典型、完整、有效的PKI应用系统至少应具有以下部分 ： 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。 （3）PKI基本成分：公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等。 （4）PKI（Public Key Infrastructure）公钥基础设施 ：X.509格式的证书和证书废除列表(CRL)； CA/RA操作协议； CA管理协议； CA政策制定。 2.SSL协议 （1）SSL (Secure socket Layer)安全套接协议主要是使用公开密钥体制和X.509数字证书技术 ，主要适用于点对点之间的信息传输，采用Web Server执行方式。 （2）构成：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。 10.3中国金融CA的结构 中国金融认证中心建立了SET和Non-SET两套各自独立的系统，Non-SET CA 系统包括一个根CA，一个第二层CA，一个第三层CA。 10.3.1Non-SET RA系统概述 有关证书的申请、撤消、废止等管理操作是在受理点办理的，有关证书申请者的信息是通过RA系统传递到CA系统。 RA系统中包括管理员和操作员两种角色 10.3.2 RA建设 中国金融认证中心的Non-SET CA可以签发普通证书和高级证书两大类证书。 普通证书主要用于SSL、S/MIME以及建立在SSL之上的应用，如小额的网上服务系统交易和网上购物。 高级证书主要用于需要高安全级的、大额的B TO B 交易 4.Non-SET -CA 系统分为三层结构，第一层为根CA ，第二层为政策CA ，第三层为运营CA 。 5.RA 系统分为CA本地RA和CA远程RA， RA系统架构： 7. （1）RA的基本功能 （2）根据用户的规模、投资、将来的发展等考虑，不同用户的RA建设模式也不尽相同。 （3）对于适合某一用户的RA建设模式，也有不同的实现方式。申办证书流程 ： 10.4 CFCA体系结构 CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构 。 CFCA体系结构 ： 10.5 中国金融认证中心CFCA的功能 CFCA有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能，具体9大功能。 10.6 PKI Non-SET 证书的特点 1.技术优势 （1）引入加拿大Entrust 公司的产品 （2）Direct高级/企业级证书具有双密钥机制 （3）双方认证 （4）对称算法加密提高到了128位 等12大优势。 2.政策保证方面的优势 由人行牵头，14家商行共建，有很高的权威性等四大优势 10.7 采用数字证书的网上银行解决方案 1.应用数字证书后的网上银行系统： 2.特点。 10.8证书有效性的基本原理 单向验证 双向验证 讨论题 CFCA含义是什么？中国金融认证中心建立具有什么重要的意义？ 网上数据的机密性、完整性、有效性的含义是什么？为什么保证了这三性网上支付就是安全的？ 什么是PKI技术，其基本内容包括哪些？ SSL协议的作用是什么，它有哪些不足之处？ 证书申请RA的基本功能有哪些？ 简述下证书申请的流程？你办过证书吗，具体申请流程如何？ CFCA体系结构是如何构成的？ 中国金融认证中心CFCA有什么基本功能？ 目前我国银行采用字证书网上银行的基本模式有哪些特点？你认为安全吗？分析一个具体的商业银行的网上银行的例子。 证书有效性的基本原理主要有哪些基本点？并讨论你认为是否安全。 讨论为什么证书网上银行的方式在我国现实中推广仍有困难？ 第11章 支付系统的风险分析