网上支付安全第10章认证中心.ppt

网上支付与安全 * 10.3.3 IPSEC协议 IPSec提供一种标准的、健壮的以及包容广泛的机制，可为IP及上层协议（如UDP、TCP和ICMP）提供安全保证。 IPSec用于在Ipv4或Ipv6上提供互操作、高质量、基于密码学的服务。 IPSec可以支持各种应用，可以在IP层次上加密或验证所有的通信量。 IPSec支持的安全体系通常同操作系统相结合，集成在操作系统的内核中，成为协议本身的可选部分。 网上支付与安全 * 第10章 认证中心 10.3 安全协议 10.3.1 SSL安全协议 10.3.2 SET安全协议 10.3.3 IPSEC协议 10.1 认证中心概述 10.1.1 认证中心的定义 10.1.2 认证中心的结构 10.1.3 认证中心的职能 10.1.4 证书作废机制 10.1.5 认证中心的运作规范 10.2 中国金融认证中心 10.2.1 CFCA的建设 10.2.2 CFCA的组成部分 10.2.3 CFCA的结构 10.2.4 CFCA的证书 10.2.5 CFCA的功能 10.2.6 CFCA的发展 网上支付与安全 * 教学目标与要求 掌握认证中心的定义、组成、职能； 了解中国金融认证中心的建设； 掌握CFCA的结构和功能 掌握PKI证书及其优势； 掌握SSL安全协议； 了解SET安全协议、IPSEC协议。 网上支付与安全 * 知识架构 认证中心 概述 CFCA 安全协议 定义 实体结构和职能 证书作废机制 CFCA证书定义 CFCA建设过程 CFCA结构功能 SSL协议定义、协议详解和应用 SET协议组成、流程和应用 IPSEC协议组成、流程和应用 网上支付与安全 * 10.1 认证中心概述 认证中心是一套由各种不同角色，通过认证体系有机的组成在一起的体系，有效的保障网络交易各方的安全。 本章介绍中国金融领域唯一合法的第三方安全认证机构CFCA，并在基于认证中心的体系架构上，对认证体系中重要的SSL安全协议和SET协议进行重点讲解。 网上支付与安全 * 10.1.1认证中心的定义 一个可信任的机构 能对任何一个主体公钥进行公证，证明主体的身份以及它与公钥的匹配关系。 权威认证中心 Certficate Authority，是电子交易中信赖的基础。 为网上交易各方的信息安全提供有效的、可靠的保护机制。 网上支付与安全 * 10.1.2认证中心的结构 CA中心中的实体： 网上支付与安全 * 10.1.3认证中心的职能 认证中心的基本职能： 证书的审批 证书的发布 证书的撤消 证书及CRL的分发、存储、检索 密钥生存周期管理 网上支付与安全 * 10.1.3认证中心的职能 1.证书的审批 离线方式 在线方式 通过自身的注册审核体系以下列方式核实相关信息，并审批证书： 网上支付与安全 * 10.1.3认证中心的职能 2.证书的发布 初始化注册/认证 证书更新 证书作废 CA密钥对更新 在线方式 CA对包含用户公钥及其他相关信息的证书使用自己的私钥进行签名并最终颁发给用户。 证书发布原因如下： 网上支付与安全 * 10.1.3认证中心的职能 3.证书的撤消 终端 用户 C A 中心 1、证书撤消请求 2、证书撤消响应 R A 带外请求 1、证书撤销请求 2、证书撤消响应 网上支付与安全 * 10.1.3认证中心的职能 4.证书及CRL的分发、存储、检索 通常使用证书库来存储、检索证书及CRL的消息 证书库是证书的集中存放地，是网上的一种公共信息库，用户据此获得其他用户的证书和公钥证书作废 构造证书库的最佳方法是采用LDAP协议 网上支付与安全 * 10.1.3认证中心的职能 5.密钥生存周期管理 密钥更新 密钥存档 密钥备份 密钥恢复 网上支付与安全 * 10.1.4证书作废机制 1.证书撤销的发布机制 周期性的发布机制 例如：证书撤消列表（ CRL ） 在线查询机制 例如：在线证书状态协议（OCSP）。 网上支付与安全 * 10.1.4证书作废机制 2.CRL结构 版本号 签名 颁发者 本次更新 下次更新 撤消的证书列表 …… 扩展 由授权CA签名颁发（颁发者） CRL的 版本标识符 （例如：V2） 用来签名的算法识别符 本次CRL颁布的日期/时间 CRL颁发者 唯一识别名 证书序列号，撤消日期/时间 每项CRL扩展 本次CRL过期的日期/时间