第3章CA藐视(免费阅读).pptVIP

《PKI技术及应用》 第四章 CA 授课教师：范洁 Fanjie@ 主要内容 什么叫做CA CA的组成 典型CA总体结构 CA的运行 一、CA CA，Certification Authority，认证机构。 在PKI中，CA是负责创建或者证明身份的权威、公正、可信赖的第三方机构。 是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。 CA是基于非对称加密体系建立的电子商务电子政务安全认证机构。 国家《电子签 名法》中规定：电子签名需要第三方认证，由依法设立的电子认证服务提供者提供认证服务。 “电子认证服务提供者”，在中国目前是指认证机构CA。 提供电子认证服务，应当具备下列条件 （一）具有与提供电子认证服务相适应的专业技术人员和管理人员； （二）具有与提供电子认证服务相适应的资金和经营场所； （三）具有符合国家安全标准的技术和设备； （四）具有国家密码管理机构同意使用密码的证明文件； （五）法律、行政法规规定的其他条件。 国外常见CA VeriSign GTE Cyber Trust Thawte VeriSign 国内一些CA机构 / /default.aspx / / / / CFCA / CA的作用 提供统一的集中管理和监控界面 集中签发数字身份证书 申请、审核 更新、签发 集中管理数字身份证书 撤销、查询 审计、统计 集中验证数字身份证书 黑名单认证 在线认证 二、CA的组成 1、CA服务器：这是CA的核心，是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。 2、证书下载中心：该中心连接在互联网上，用户通过登录CA网站访问证书下载中心，CA服务器生成的证书通过证书下载中心供用户下载。 3、目录服务器：它的功能是提供数字证书的存储，以及数字证书和证书撤销列表（CRL）的查询。业者有时把它称为”LDAP”，这是因为目录服务的技术标准遵循LDAP (轻量级目录访问协议)的缘故。 4、OCSP服务器：该服务器向用户提供证书在线状态的查询。 5、密钥管理中心(KMC)：根据国家密码管理规定，加密用私钥必须由权威、可靠的机构进行备份和保管。CFCA被授权建立KMC,以备份和保管用户的加密密钥。 6、证书注册机构(Registration Authority，RA)：它负责受理证书的申请和审核，其主要功能是接受客户证书申请并进行审核。 RA主要是远程的，CFCA的RA部署在各家用户银行、税务机关、或企业所在地。因为，这样一方面便于进行客户资料的审查，另一方面也便于银行将证书与客户的帐号进行绑定，以实现认证。但即使RA部署在远程所在地，这些RA也仍然是CA的组成部分。 对CA的性能要求 证书签发系统的性能设计决定了证书签发系统的设备选择。 PKI系统中，性能瓶颈并不在于证书签发系统，而在于LDAP和应用安全网关。 在Sun Fire 440上，使用SJY05-B加密机的发证能力为8000张/小时，如果采用多台服务器并行工作，发证能力成倍数增加。 CA支持发放的证书量，考虑硬件能力，100万张；不考虑硬件设备的限制，2000万张；并发连接数（RA），600个；对RA请求的处理时间，小于等于400毫秒/个。 三、典型CA系统 典型CA系统介绍 典型CA系统介绍 典型CA系统介绍 典型CA系统介绍 典型CA系统介绍 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 PKI操作行为－12种 四、CA的运作 　 从权威性、公正性出发，大部分CA都是作为独立的机构运营，为用户提供PKI数字证书认证服务，也有一些CA是作为本系统的IT单位之一，为系统内提供证书认证服务。 　　由于CA是PKI系统的核心，CA的运作要求是很高的。如果CA出现故障停止对外服务，整个PKI系统就会瘫痪。因此，CA自身的安全性显得无比重要。　 CA的安全 　CA的安全是多方面的。从物理安全上讲，要求CA机 房建筑必须 防火、防水、防震、防电磁辐射、防物理破坏和外人侵入。防电磁辐射是防止入侵者企图通过仪器接收计算机运算时发出的电磁波，来分析密码信息。为了达到这些目的，CA机房墙面地板和天花板一般采用厚钢板六面体焊接，门也要采用电磁屏蔽门。此外，除了一般的人工把守的门禁外，还要安装双人双指纹检测的门禁系统以及磁卡门禁记录系统。CA系统重要的操作必须有两人以上同时在场。 CA的安全