认证服务防篡改system简介.ppt

电子商务交易防篡改系统介绍;防篡改系统组成;PKI/CA基础知识;在电子商务的交易完成后，如何保证交易的任何一方无法否认已发生的交易。这些安全问题将在很大程度上限制电子商务的进一步发展，因此如何保证Internet 网上信息传输的安全，已成为发展电子商务的重要环节。 ;PKI/CA基础知识;安全加密基础知识;安全加密基础知识;公共数据传输是如何加密的？;公共数据传输是如何加密的？;公共数据传输是如何加密的？;公共数据传输是如何加密的？;电子签名和验证是如何进行的？;电子签名和验证是如何进行的？;自建CA与公共CA的区别;PKI常用缩写词;CA系统结构;; CA证书注册系统，又叫RA系统，负责相关辖区证书用户的身份审核、用户基本信息维护、证书管理服务，是信任服务体系的重要节点，由证书管理中心授权运作，CA对用户的管理通过RA具体实现。 RA中心由注册服务器、密码服务系统、安全防护系统、安全审计系统等组成。RA中心下设多个注册代理点，注册代理点由录入、审核和制证终端组成。 ;CA证书注册系统;;系统功能 RA系统采用B/S结构，RA管理终端界面使用浏览器，具备严格的权限管理功能。注册代理点录入、审核和制证业务分别由不同权限的操作员担任，操作员通过IE浏览器登录RA系统，登录时需要经过基于证书的身份认证。 ; 主要功能 提供用户身份审核服务：对证书申请者进行身份审核，可采用在线审核或离线审核两种方式，支持自动、手动两种证书审核模式。 提供证书申请服务：包括证书签发、证书更新、证书作废、证书冻结、证书解冻。 提供证书下载服务：包括证书管理中心对证书申请等操作响应的处理，对用户的反馈，或直接将结果下载到用户证书载体。 ; 主要功能 保存和维护本地用户资料库，并与CA中心（或上级RA）通讯，完成所需的各种业务功能 证书注册服务器申请并维护证书模板 RA可下设多个注册代理点，每个代理点管理一个区域，每个区域设置相应的管理员与操作员，区域和区域之间默认相互独立。 定制管理角色、管理权限，系统的审计业务和其他业务实现严格的分权管理。 ;CA证书签发系统;;CA证书签发系统;CA证书签发系统;证书离线签发子系统 接收管理系统指令完成初始化等任务并发放系统管理员证书。主要功能： CA系统初始化 CA密钥生成、备份与恢复 RA管理，对RA进行登记和管理，为RA分配相应的证书模板，支持多个RA 超级管理员证书制作、更新、注销 支持设备/机构/人员证书的签发、更新、注销 ;证书在线签发子系统 接收证书管理子系统请求，根据RA注册系统和密钥管理系统提供的数据，为用户签发签名和加密证书。在线签发系统的主要功能： 接收证书管理子系统制作证书请求，签发用于数字签名的公钥证书（简称签名证书）和数据加密的公钥证书（简称加密证书）。 接收证书管理子系统请求，为用户提供证书更新，补办，重签，冻结，解冻，作废等服务。 接收证书管理子系统指令维护系统内部数据。 保存操作日志。 ;证书撤销列表签发子系统 证书撤销列表是在证书有效期之内，证书管理系统签发的终止使用证书的信息。在证书的使用过程中，应用系统通过检查CRL，获取有关证书的状态。证书撤销列表签发系统生成与维护证书撤销列表CRL ，定时向主LDAP服务器传送，实现CRL下载与更新。 提供证书撤销列表的操作策略及管理策略，可通过管理界面自行设置证书撤销列表更新频率和有效期，支持分布式发布证书撤销列表方式 检查证书有效期，清理进入CRL的数据 整理维护CRL历史记录 ;证书管理子系统 证书管理子系统接收各地证书注册系统发来的证书服务申请，进行相应的处理，回送处理结果，是在线签发系统的前置系统。 其主要功能： 对进入证书管理系统内层的用户进行身份认证 对数据进行验证或签名 接收注册系统证书业务请求，传送给签名服务器做相应处理，并回送处理结果 通知签名服务器签发证书CRL 定时通知在线签发系统完成系统内部数据维护整理工作 ;日志审计子系统 为了对各系统进行安全审计，各系统将运行中的重要操作记入日志文件，包括操作人员的签名信息、时间信息、对重要数据库的操作信息、系统运行成功或失败的信息等。日志审计子系统主要功能： 对各个子系统进行审计，针对各系统特点，定义相应的审计策略 生成并记录CA操作日志 对指定事件、设备、人员进行审计 生成审计报告 ;管理监控子系统 ＣＡ签发系统设置完备的终端管理与监控系统，通过可视化的管理界面，