身份认证CA资料.pptVIP

① 个人证书(客户证书) 个人身份证书 个人身份证书是用来表明和验证个人在网络上身份的证书，它确保了网上交易的操作的安全性和可靠性。个人身份证书可以存储在软盘或IC卡中。 个人安全电子邮件证书 个人安全电子邮件证书可以确保邮件的真实性和保密性。 图* ② 单位证书 单位（客户端）数字证书 主要用于单位安全电子事务处理。具体应用如：安全电子邮件传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。 图* 图* ③服务器证书 服务器证书（站点证书） 服务器证书主要用于网站交易服务器的身份识别，使得连接到服务器的用户确信服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。 ④代码签名证书 又称代码数字证书，代表软件开发者的身份，用于对其开发的软件进行数字签名，证明软件的合法性。 图* 软件数字证书使用前 图* 软件数字证书使用前 图* 软件数字证书使用后 图* 5. 证书申请创建操作流程 图* 图* 7. 证书的查询 安全认证中心为用户提供实时的证书状态查询服务，并且定期发布证书撤消列表。 图* 6. 撤消数字证书的操作流程 下页 3.1 电子商务系统的安全要求 3.2 数据加密技术 3.3 认证技术 3.4 电子商务的安全交易标准 目 录 3.3 认证技术 图* 3.3.1身份认证 3.3.2认证中心 3.3.3数字证书 3.3.4数字摘要 3.3.5数字签名 3.3.6数字时间戳 图* 认证技术是保证电子商务交易安全的一项重要技术。 主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性。 电子商务身份认证的目标 信息来源的可信性 完整性。信息没有被修改、延迟和替换； 不可抵赖性。信息的发送方或接收方不能否认 访问控制。拒绝非法用户访问。 图* 3.3.1 身份认证 用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单，但最不安全不能抵御口令猜测攻击。 图* 四种常用的身份认证方式 (1) 口令方式 标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。 图* (2) 标记方式 图* 某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案进行身份认证。 (3) 人体生物学特征方式 图* 使用CA中心颁发的数字证书进行网上身份的识别。 (4) PKI方式 3.3.2 认证中心 （CA--Certificate Authority）。 也称之为电子证书认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。 图* 图* 国外的认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设施（PKI）。 认证机构的可靠程度取决于 ①系统的保密结构。 ②确认用户身份的政策和方法。 ③用户是否能信赖他人的证明。 ④机构在安全管理方面的经验。 图* 1.认证中心的职能 认证机构的核心职能是发放和管理用户的数字证书。 图* 认证中心的四大具体职能 认证中心接受个人、单位的数字证书申请，何时申请人的各项资料是否真实，根据核实情况决定是否颁发数字证书。 图* ⑴核发证书 证书使用总是有期限的，在证书发行签字时都规定了失效日期； 具体使用期长短由CA根据安全策略来定。 更换过期证书，密钥对也需要定期更换。 图* ⑵? 证书更新 证书的撤消可以有许多理由，如发现、怀疑私钥被泄露或检测出证书已被篡改，则CA可以提前撤销或暂停使用该证书。 申请撤销。 证书撤销表CRL。举例：深圳CA 图* ⑶ 证书撤销 ⑷证书验证 证书是通过信任分级层次体系（通常称为证书的树形验证结构）来验证的。每一个证书与签发数字证书的机构的签名证书关联。 验证举例说明 图* 2.CA的树型验证结构 图* 对于所有使用SET的实体来说，只有唯一的RCA。该RCA使用一个2048位的密钥来签发每张BCA的证书。 在认证有效期终止之前，定义了从一个根密钥转变到另一个根密钥的过程。 BCA或该层次结构中更低级别的CA所发放的证书，均使用长1024位的密钥进行签发。这反映了较低层次的CA所要求的较少的安全性。 图* 国外CA中心介绍 图* 图* 世界上较早的数字证书认证中心、处于领导地位和全球最大的PKI／CA运营商是美国VeriSign公司，该公司成立于1995年4月，位于美国的加利福尼亚州。它为全世界50个国家提供数字证书服务，有超过45000个因特网服务器接受该公司的服务器数字证书，使用它提供的个人数字凭证的人数也已经超过200万。