Download - 南京工程高等职业学校 陈欣
图 1
下页
南京工程高等职业学校 陈欣
认证技术
图 2
能力目标
了解 CA 中心的主要职能,熟悉知名 CA中心掌握数字证书的作用、类型。
知识目标
数字证书的申请、导出和出入操作
图 3
讨论:在网络环境中,如
何对交易主体的身份进行确认?
网络
图 4
用户身份认证的最简单、最广的一种方法就是口令方式,口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单,但最不安全不能抵御口令猜测攻击。
常用的身份认证方式常用的身份认证方式
(1) 口令方式
图 5
IC 卡是一种内置了集成电路的卡片,卡片中存有与用户身份相关的数据,可以认为是不可复制的硬件。 IC卡由合法用户随身携带,登录时必须将 IC 卡插入专用的读卡器中读取其中的信息,以验证用户的身份。
(2) IC 卡认证方式
图 6
某些人体生物学特征,如指纹、声音、 DNA 图案、视网膜扫描图案进行身份认证。
(3) 人体生物学特征方式
图 7
使用 CA 中心颁发的数字证书进行网上身份的识别。
(4) PKI 方式
图 8
USB Key 是一种 USB 接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用 USB Key 内置的密码学算法实现对用户身份的认证。
(5) USB Key 认证方式
图 9
工商银行的 U 盾招商银行的 U 盾
图 10
认证中心
( CA--Certificate Authority)。也称之为电子证书认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。
图 11
国外的认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设施( PKI )。
图 12
认证中心的职能
认证机构的核心职能是发放和管理用户的数字证书。
图 13
认证中心的四大具体职能
认证中心接受个人、单位的数字证书申请,核实申请人的各项资料是否真实,根据核实情况决定是否颁发数字证书。
⑴ 核发证书
图 14
证书使用总是有期限的,在证书发行签字时都规定了失效日期;具体使用期长短由 CA 根据安全策略来定。更换过期证书,密钥对也需要定期更换。
⑵ 证书更新
图 15
证书的撤消可以有许多理由,如发现、怀疑私钥被泄露或检测出证书已被篡改,则 CA可以提前撤销或暂停使用该证书。
⑶ 证书撤销
图 16
⑷ 证书验证 证书是通过信任分级层次体系(通常称为证书的树形验证结构)来验证的。每一个证书与签发数字证书的机构的签名证书关联。
图 17
国外 CA 中心介绍
图 18
世界上较早的数字证书认证中心、处于领导地位和全球最大的 PKI / CA运营商是美国 VeriSign 公司,该公司成立于 1995 年 4月,位于美国的加利福尼亚州。它为全世界 50个国家提供数字证书服务,有超过 45000 个因特网服务器接受该公司的服务器数字证书,使用它提供的个人数字凭证的人数也已经超过 200 万。
另外一家著名的公司是加拿大的ENTRUST 。
图 19
3. 我国认证中心现状我国安全认证体系 (CA) 可分为金融 C
A与非金融 CA两种类型来处理。在金融 CA 方面,根证书由中国人民银
行管理在非金融 CA 方面,最初主要由中国电
信负责建设。
图 20
国内主要的电子商务认证中心
北京数字证书认证中心: http://www.bjca.org.cn深圳市电子商务认证中心: http://www.szca.gov.cn广东省电子商务认证中心: http://www.cnca.net海南省电子商务认证中心: http://www.hnca.net湖北省电子商务认证中心: http://www.hbeca.com.cn上海电子商务安全证书管理中心: http://www.sheca.com中国数字认证网: http://www.ca365.com山西省电子商务安全认证中心: http://www.sxca.com.cn中国金融认证中心: http://www.cfca.com.cn天津电子商务运作中心: http://www.ectj.net/ca天威诚信 CA 认证中心: http://www.itrus.com.cn
图 21
数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份一种权威性的电子文档,由权威公正的第三方机构,即 CA 中心签发。
1. 数字证书的概念
图 22
图 23
2. 数字证书的内容 数字证书的内部格式遵循 X.509标
准。 X.509 是由国际电信联盟 (ITU-T)制定的数字证书标准。
图 24
图 25
1. 个人数字证书2. 单位证书3. 服务器证书4. 代码签名证书
数字证书按照使用对象划分 :3. 数字证书的类型
图 26
① 个人证书 ( 客户证书 )个人身份证书 个人身份证书是用来表
明和验证个人在网络上身份的证书,它确保了网上交易的操作的安全性和可靠性。个人身份证书可以存储在软盘或 IC卡中。
个人安全电子邮件证书 个人安全电子邮件证书可以确保邮件的真实性和保密性。
图 27
② 单位证书② 单位证书
单位(客户端)数字证书 主要用于单位安全电子事务处理。具体应用如:安全电子邮件传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。
图 28
③ 服务器证书③ 服务器证书服务器证书(站点证书) 服务器
证书主要用于网站交易服务器的身份识别,使得连接到服务器的用户确信服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。
图 29
④ 代码签名证书④ 代码签名证书又称代码数字证书,代表软件
开发者的身份,用于对其开发的软件进行数字签名,证明软件的合法性。
图 30
软件数字证书使用前软件数字证书使用前
图 31
软件数字证书使用前软件数字证书使用前
图 32软件数字证书使用后软件数字证书使用后