认证中心(CA)知识讲稿.ppt

什么是数字证书 数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息。 为什么要使用数字证书 来源－电子商务对认证的需要 电子商务必须保证买卖双方在因特尔网上的交易真实、可靠，并具有绝对的信心。 因特网电子商务系统必须保证具有十分可靠的安全保密技术,即必须保证网络安全的四大要素 ： 信息传输的保密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性 数字证书的种类 个人身份证书? 个人安全电子邮件证书 企业身份证书 企业安全电子邮件证书 服务器身份证书 企业代码签名证书 个人代码签名证书 数字证书的存储 数字证书的存储介质主要有 软盘 硬盘 IC卡 Usb?Key B的公钥 A的私钥 B的私钥 A的公钥 数字证书的原理 利用一对互相匹配的密钥进行加密、解密。 用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户共享，用于加密和验证签名。 用户 A 用户 B 加密 签名 解密 验证 数字证书的颁发 数字证书是由认证中心（CA）颁发的 数字证书颁发过程如下： 用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。? 证书＝个人信息＋公钥信息＋CA的签名信息 什么是X.509标准 X.509：它是国际标准化组织CCITT（即国际电话委员会）建议作为X.500目录检索的一部分提供安全目录检索服务，是一种行业标准或者行业解决方案，在X.509方案中，默认的加密体制是公钥密码体制。 为进行身份认证，X.509标准及公共密钥加密系统提供了数字签名的方案。 用户可生成一段信息及其摘要（亦称作信息指纹）。用户用专用密钥对摘要加密以形成签名，接收者用发送者的公共密钥对签名解密，并将之与收到的信息指纹进行比较，以确定其真实性。 什么是X.509证书 X.509是一种非常通用的证书格式 。 一份X.509证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。 X.509标准定义了证书中应该包含哪些信息，并描述了这些信息是如何编码的(即数据格式) 。 认证中心（CA） CA简介 CA的技术基础 CA的功能 CA的组成框架与数字证书的申请流程 如何确认彼此的身份？ 网上应用系统服务器 用户 数据库 ? 假冒的站点 ? 假冒的用户 互联网应用存在信息安全隐患 在传统的商务中，用来认证商家或客户真实身份的认证证书大多是被认为公正的第三方机构（如政府部门）颁发的。 中国工商行政管理 总局 保证 发行、 管理营业证书 合法性 而作为电子商务平台的Internet是没有“政府”的，那由谁来验证商家的真实性呢？？？？？？？？ 什么是CA CA(Certificate?Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。 CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。 CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。 CA是PKI的核心组成部分。 CA的作用 CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。 交易信息的安全性? 交易信息的完整性 交易者身份的可靠性? 交易信息的不可抵赖性 CA技术基础 CA的技术基础是PKI体系。 PKI的主要组成 认证机构 证书的签发机构，是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。 证书库 是证书的集中存放地，提供公众查询。 密钥备份及恢复系统 对用户的解密密钥进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复。 证书作废处理系统 证书由于某种原因需要作废、终止使用，这将通过证书作废列表CRL来完成。 PKI应用接口系统