第8章：认证中心及证书原理8章：认证中心及证书原理第8章：认证中心及证书原理第8章：认证中心及证书原理.ppt

CA电子商务网络示意图 什么是CA CA(Certificate?Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。 CA为电子政务、电子商务等网络环境中各个实体颁发数字证书，以证明身份的真实性，并负责在交易中检验和管理证书； CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。 CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。 CA是PKI的核心组成部分。 CA的作用 CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。 交易信息的保密性? 交易信息的不可修改性? 交易者身份的确定性? 交易的不可抵赖性 CA的功能 CA的核心功能就是发放和管理数字证书。 CA认证中心的功能主要有：证书发放、证书更新、证书撤销和证书验证。 具体描述如下： （1）接收验证用户数字证书的申请。（2）确定是否接受用户数字证书的申请，即证书的审批。（3）向申请者颁发（或拒绝颁发）数字证书。（4）接收、处理用户的数字证书更新请求。（5）接收用户数字证书的查询、撤销。（6）产生和发布证书的有效期。（7）数字证书的归档。（8）密钥归档。（9）历史数据归档。 什么是数字证书 什么是数字证书 为什么要使用数字证书 数字证书的种类 数字证书的存储 数字证书的原理 数字证书的颁发 数字证书的内容 公钥证书的主要内容 持有者（Subject）标识 序列号 公钥 有效期 签发者（Issuer）标识 CA的数字签名 为什么要使用数字证书 来源－电子商务对认证的需要 电子商务必须保证买卖双方在因特尔网上的交易真实、可靠，并具有绝对的信心。 因特网电子商务系统必须保证具有十分可靠的安全保密技术,即必须保证网络安全的四大要素 ： 信息传输的保密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性 数字证书的种类 个人身份证书? 个人安全电子邮件证书 企业身份证书 企业安全电子邮件证书 服务器身份证书 企业代码签名证书 个人代码签名证书 数字证书的原理 利用一对互相匹配的密钥进行加密、解密。 用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户共享，用于加密和验证签名。 数字证书的颁发 数字证书是由认证中心（CA）颁发的 数字证书颁发过程如下： 用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。? 证书的发放 证书的发放包括两部分： 一、证书的申请、制作、发放。 二、用户的身份认证。 CA(证书服务中心 )完成第一部分工作，RA（审核受理处）则完成第二部分工作。对于RA,持卡人RA由发卡银行，商家的RA由收单银行等能够认证用户身份的单位来担任。 CA的组成框架 CA可以分为RS（证书业务受理中心）和CP(证书制作中心)两部分。 RS负责接收用户的证书申请、发放等与用户打交道的外部工作，CP负责证书的制作、记录等内部工作。用户如果要获得数字证书，必须上网，进入CA网站，实际就是进入了RS网站，向RS申请证书；RS与用户对话后，可以获得用户的申请信息，然后传递给CP,CP与RA进行联系，并从RA处获得用户的身份认证信息后，由CP为用户制作证书，交给RS；当用户再上网要求获取证书时，RS将制作好的证书传给用户。 在网上支付中，参与的每家银行都要建立自己的RA。面对众多的用户，光有一个RA是无法完成任务的。因此，RA下必须设立许多业务受理点，接待用户，进行申请登记工作。RA作为身份认证与审核部门，通过专线与各业务受理点连接。各业务受理点接收用户的申请，审查用户的身份证件，通过专线与RA交换信息，完成用户的身份认证工作。 证书服务中心 什么是PKI 什么是PKI PKI的主要组成 PKI技术及应用 PKI体系结构 PKI的功能操作 什么是PKI PKI（Public Key Infrastructure ）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 从字面上理解 PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动。 PKI是创建