CA安全认证系统培训.docVIP

CA安全认证系统 北京创原天地科技有限公司 目录 1基本概念 3 1.1电子商务 3 1.2证书 3 1.3 CA 3 1.4 RA 3 1.5 CP 4 1.6 RS 4 1.7 CRL 4 1.8 OCSP 4 2 基本安全技术和算法 4 2.1 加密 4 2.1.1秘密密钥加密 5 2.1.2公开密钥加密 5 2.1.3密钥的分发 6 2.1.4密钥的保护 7 2.2安全的单向散列函数（Secure Hash） 7 2.3几种常用的算法 8 2.3.1对称加密算法： 8 2.3.2非对称加密算法 8 2.3.3单向散列函数算法 8 3电子商务体系结构及功能模型 9 3.1 电子商务体系层次结构 9 3.1.1电子商务网络基础 10 3.1.2安全基础结构 10 3.1.3支付体系 10 3.1.4电子商务业务系统 11 3.2 电子商务功能模型 11 3.3 CA体系 11 4公共密钥基础结构（PKI） 12 4.1 PKI简介 12 4.2 PKI体系结构及实体功能 13 4.2.1 PAA 14 4.2.2 PCA 15 4.2.3 CA 15 4.2.4 ORA 16 4.3 PKI体系结构的组织方式 16 4.4 PKI的操作思想 17 4.4.1产生、验证和分发密钥 17 4.4.2签名和验证 18 4.4.3 证书的获取 18 4.4.4验证证书 19 4.4.5保存证书 19 4.4.6本地保存的证书的获取 19 4.4.7密钥泄漏或证书中证明的某种关系中止的报告 19 4.4.8密钥泄漏的恢复 20 4.4.9 CRL的获取 20 4.4.10密钥更新 21 4.4.11审计 21 4.4.12存档 21 4.5 PKI体系的互通性 22 4.5.1交叉认证方式 22 4.5.2全球建立统一根方式 23 4.6 PKIX系列协议简介 23 4.6.1 PKIX体系协议标准 23 4.6.2 PKI的实体对象说明 24 4.6.3 PKI的功能 25 5电子商务基本安全技术 27 5.1数字信封 28 5.2数字签名 28 5.3双重数字签名 30 5.4身份认证技术 31 5.4.1口令认证方式 31 5.4.2使用公开密钥签名算法的挑战响应认证方式 32 5.4.3使用数字签名和双重数字签名的身份认证方式 33 5.5一个完整的数据加解密/身份认证流程 34 1基本概念 1.1电子商务 广义地说，电子商务是指在计算机与通信网络基础上，利用电子工具实现商业交换和商业作业活动的全过程。 一般电子商务是指利用TCP/IP公众网络和技术（中国公众多媒体通信网，含CHINANET）进行的在线交易和商业作业活动。涉及对象包括：金融机构、商家、生产企业、网络服务提供商、个人用户、政府部门和事业单位等。 1.2证书 在一个电子商务系统中，所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份（每份证书都是经“相对权威的机构”签名的），另一方面由于每份证书都携带着证书持有者的公钥（签名证书携带的是签名公钥，密钥加密证书携带的是密钥加密公钥），所以，证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着公钥分发的作用。 1.3 CA CA是Certificate Authority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。 1.4 RA RA即证书发放审核部门，它是CA系统的一个功能组件。它负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此它应由能够承担这些责任的机构担任。 1.5 CP CP即证书发放的操作部门，它是CA系统的一个功能组件，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。 1.6 RS RS即证书授理者，它是CA系统的一个功能组件，接收用户的证书申请请求，转发给CP和RA进行相应的处理。 1.7 CRL CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。 1.8 OCSP OCSP即在线证书状态协议（Online Certificate Status Protocol），使用户可以实时查询证书的作废状态。 2 基本安全技术和算法 2.1 加密 加密用来保护敏感信息的传输，保证信息的安全