CA认证系统
CA认证体系
数字证书服务器(CA)功能简介:数字证书(即网络中的个人虚拟身份证)的发放和管理。
应用领域:本系统所发放的数字证书用于各种应用系统的身份认证、操作的电子签名、数据的加密。
产品概述产品是面向应用的CA系统,为应用提供基础的证书管理服务。
面向应用的CA系统的主要目的是为这些用户在网络上进行业务活动时,对应用提供更安全的保障。
本系统有一个稳定的核心,一个良好的结构。
提供多种接口,可以方便地扩展规模和功能。
具有手工、批量、在线、离线等多种证书申请方式、支持IC卡、USB key、文件等多种证书保存介质,支持人工、WEB、目录服务器、邮件等多种证书发布方式、支持多种密钥生成方式等。
本系统由CA服务器、目录服务器、数据库服务器、硬件密码机、操作终端组成。
CA服务器负责证书的申请、签发、作废和管理。
数据库服务器负责存放CA 的数据、请求数据、证书和黑名单数据。
操作终端提供证书申请的管理和日常操作,目录服务器用于发布证书和黑名单。
证书系统功能包括证书管理系统初始化、证书服务功能、证书管理功能、证书发布功能。
产品特性>使用方便,易于管理所有数字证书的全生命周期的管理在本企业进行,可以根据业务需要进行随时的调整。
>良好的扩充性和开发接口应用软件可以进行必要的开发,将证书管理系统和业务系统有机结合,方便适用和管理。
>用户取得数字证书方式灵活有两种方式,一种是通过公共的CA中心或其他单位的CA中心取得证书,另一种是通过自建的CA系统取得证书。
>支持灵活定制证书内容 ---- 自己建设证书管理系统,可以根据业务需要,定义证书的内容,灵活方便。
申请流程 ---- 自己建设证书管理系统,可以根据业务需要,定义证书申请流程、审查标准和需要的材料。
不同的证书,有不同的流程和标准。
否则,必须符合其他认证中心的要求和流程。
业务发展的适应性 ---- 自己建设证书管理系统,随着业务的发展,可以调整证书管理系统以适应发展CA认证体系:典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。
自建CA认证系统实用方案
自建CA认证系统实用方案一、CA认证系统建设的背景1.1 网络身份认证风险如何认证互联网业务中对方的身份,是制约信息产业发展的瓶颈,身份认证问题亟待解决:(图一)身份认证是第一道防线纵使是固若金汤的保险库,非法分子一旦掌握了打开大门的钥匙,保险重地将会变成了窃贼的后院。
业务系统即使被防火墙、入侵监测、防病毒等边界系统保护,一旦入侵者冒充合法身份进入,系统安全荡然无存。
基于用户名/口令的认证方式是最常用的一种技术,也是现在财务系统使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。
基于用户名/口令的认证方式存在严重的安全问题,是攻击者最容易攻击的目标:1) 单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
2) 为记忆方便,是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。
这往往成为安全系统最薄弱的突破口。
3) 口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击。
这也是黑客最常用的手段之一。
最近屡屡爆出的口令泄密事件,如CSDN、天涯、新浪微博、省进出境管理都是身份认证方式选择不当引起的。
而弱认证带来的经济损失更是触目惊心,郝金龙利用计算机入侵某银行计算机网络,修改账户信息,大肆窃取现金。
黑客利用钓鱼获取网银用户账号密码以及动态密码,乐清市女士网银被窃200万元。
1.2 信息泄露风险传输在客户端与Web服务器之间的敏感、信息和交易数据,如资金调拨、资金往来、个人账户信息等,这些数据都是的数据,一旦被竞争对手或者非法分子获得,将会给企业财务系统带来致命威胁。
互联网的开放特性使得任何跨机房传输的信息可能被截取,被非法用户加以利用,给用户和企业造成损失。
目前使用最多的一些互联网抓包工具如sniffer,具备初级计算机应用水平就能操作自如。
莱钢的泄密事件给企业、国家带来的了巨大损失,在全国围掀起了一场风暴。
CA认证系统设计
CA认证系统设计CA(Certification Authority)认证系统是一种基于公钥基础设施(PKI)的安全机制,用于验证数字证书的合法性和真实性。
在这个系统中,CA作为权威机构负责颁发、管理和撤销数字证书,以确保数据传输的保密性、完整性和真实性。
下面是一个关于CA认证系统设计的详细分析。
1.系统架构:-证书请求处理模块:负责接收、验证和处理用户的证书请求,包括检查请求的合法性、验证身份信息和生成数字证书。
-证书颁发模块:负责颁发数字证书给用户,并将证书信息发布到证书目录服务中。
-证书撤销模块:负责处理用户的证书撤销请求,并将撤销状态更新到证书目录服务中。
-证书目录服务:存储和管理所有已颁发的数字证书的信息,包括证书的状态、有效期等。
-信任链管理模块:负责维护信任链的完整性和可靠性,包括更新根证书和中间证书的信息。
2.证书请求处理流程:用户向CA系统提交数字证书请求,请求包括用户的身份信息和公钥。
CA系统首先验证用户的身份信息,包括验证用户的域名、电子邮件地址等。
然后,CA生成用户的数字证书,包括用户的身份信息、公钥和证书有效期等。
最后,CA将数字证书发送给用户,并将证书信息发布到证书目录服务中。
3.证书颁发流程:CA系统周期性地向用户发送证书更新通知,用户根据通知向CA系统提交证书更新请求。
CA系统收到请求后,验证用户的身份信息,并生成新的数字证书。
然后,CA将新的证书发送给用户,并将证书信息更新到证书目录服务中。
同时,CA将旧证书加入证书撤销列表,以确保证书的唯一性和真实性。
4.证书撤销流程:用户向CA系统提交证书撤销请求,包括撤销原因和证书序列号。
CA系统收到请求后,验证用户的身份信息,并将证书的撤销状态更新到证书目录服务中。
当其他用户验证证书时,CA系统会检查证书的撤销状态,如果证书已被撤销,则拒绝验证该证书。
5.安全保障措施:为了保证CA认证系统的安全性,系统需要采取以下措施:-安全通信:使用HTTPS协议进行通信,保证数据的传输安全性。
CA认证介绍
CA认证介绍为促进电子商务在中国的顺利开展,一些行业都已建成了自己的一套CA体系,如中国电信CA安全认证体系(CTCA)、中国金融认证中心(CFCA)等;还有一些行政区也建立了或正在建立区域性的CA体系,如上海电子商务CA认证中心(SHECA)、广东省电子商务认证中心(CNCA)、海南省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)等。
1. 中国电信CA安全认证系统(CTCA)中国电信自1997年底,开始在长沙进行电子商务试点工作,由长沙电信局负责组织。
CTCA是国内最早的CA中心。
1999年8月3日,中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定,并获得国家信息产品安全认证中心颁发的认证证书,成为首家允许在公网上运营的CA安全认证系统。
目前,中国电信可以在全国范围内向用户提供CA证书服务。
现在中国电信已经为用户发放了6万多张CTCA证书。
中国电信CTCA系统有一套完善的证书发放体系和管理制度。
体系采用三级管理结构:全国CA安全认证中心,(包括全国CTCA中心、CTCA湖南备份中心),省级RA中心以及地市业务受理点,在2000年6月形成覆盖全国的CA证书申请、发放、管理的完整体系。
系统为参与电子商务的不同用户提供个人证书、企业证书和服务器证书。
同时,中国电信还组织制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等,而且中国电信向社会免费公布CTCA系统接口标准和API软件包,为更多的电子商务应用开发商提供CTCA系统的支持与服务。
中国电信已经与银行、证券、民航、工商、税务等多个行业联合开发出了网上安全支付系统、电子缴费系统、电子银行系统、电子证券系统、安全电子邮件系统、电子订票系统、网上购物系统、网上报税等一系列基于中国电信CTCA安全认证系统的电子商务应用,已经初步建立起中国电信电子商务平台。
中国电信CA认证系统与电子商务应用
2.9
中国电信与海关总署等部委的合作
中国电信与海关总署牵头的十二个部委正在建设“中国电子业
务证书管理中心( CA )”,为中国电子口岸系统提供安全保证,建立
一批国家级电子商务应用系统,如电子报关、出口退税系统等。
中国电子业务证书管理中心将与中国电信CA认证系统融合,目
标是建立国家电子商务CA认证系统。
的ERP、CRM等应用。
安全电子政务解决方案:解决政府内部政务处理或政府为社会 服务的电子化应用。
1.4 2000年电子商务业务收入情况和未来收入估计
60000 50000 40000 30000 20000 10000 0 1999Ä ê 2000Ä ê 2001Ä ê 2002Ä ê 2003Ä ê 179Ò Î µ ñ ý Ö ¤é Ê ×Ö Ê ¦ à µ ñ Ó Ó Ò Î Ü Õ ë ×Ê È
第三部分 基于CTCA的电子商务应用案例
• 电子报税和纳税业务 • 电子证券业务
• 网上电信营业厅
3.1
电子报税业务
2000年9月,中国电信集团公司与国税总局签定合作协议,在北
京、山东、浙江、湖南、河南等九个省、市进行试点工作。
以山东为例,2000年5月开始在东营地区试点,到10月试点成功,
小额支付系统、统一支付系统(利用全国储值卡平台) 中国电信电子商务综合服务平台
2、电子商务应用 网上报税、网上报关、安全公文传送系统等G2B电子政务应用 针对行业或企业提供解决方案的B2B电子商务业务
网上电信营业厅、网上商城、网上炒股、网上缴费等B2C电子商务业务
1.3
中国电信提供的电子商务服务
数字证书业务:用于电子商务身份认证和安全加密。
CA认证系统设计
CA认证系统设计首先,CA认证系统设计应该确保系统的可靠性。
可靠性包括系统的稳定性和高可用性。
为了确保系统的稳定性,应使用高质量的硬件设备,配置冗余组件以应对硬件故障,并配置错误检测和纠正机制以处理软件故障。
此外,应定期进行系统备份和恢复测试,以确保数据的完整性和可用性。
另外,为了确保系统的高可用性,可以使用负载均衡技术和冗余架构来分摊访问压力并提供容错能力。
其次,CA认证系统设计应注重系统的安全性。
安全性是CA系统设计的核心要素之一,包括用户认证、数据加密和防篡改等方面。
为了确保用户认证的安全性,设计应采用双因素认证技术,例如密码和硬件令牌等。
同时,应对用户身份进行严格的验证和授权,防止未经授权的用户访问敏感信息。
此外,为了保护数据的机密性,应使用强大的加密算法对敏感信息进行加密。
最后,为了防止数据篡改,设计应使用数字签名技术对数字证书进行签名,并利用哈希算法来确保数据的完整性。
最后,CA认证系统设计应注重系统的可伸缩性。
可伸缩性是指系统在面对不断增长的用户和需求时能够快速扩展和适应的能力。
为了实现系统的可伸缩性,设计应采用分布式架构和集群技术,将系统分为多个独立的、可以独立操作的模块,并通过负载均衡技术将用户请求分配到不同的模块上。
此外,应合理规划系统的存储空间和处理能力,为系统的扩展留出足够的余地。
综上所述,CA认证系统设计需要考虑到系统的可靠性、安全性和可伸缩性。
在设计过程中,应采用高质量的硬件设备、配置冗余组件、定期备份和恢复测试来确保系统的可靠性。
同时,应采用双因素认证技术、加密算法和数字签名技术来保证系统的安全性。
最后,应采用分布式架构、集群技术和负载均衡技术来实现系统的可伸缩性。
通过合理的设计和实施,可以确保CA认证系统能够提供安全、可靠和高效的数字证书管理服务。
CA数字身份认证系统名词解释
目录1. 系统需求 (1)1.1背景概述 (1)1.2现状与需求概述 (1)1.3需求分析 (2)1.3.1 CA建设与使用的分析 (2)1.3.2 证书存储方式的分析 (3)1.3.3 签名数据类型的分析 (3)2. 技术方案 (4)2.1系统总体架构 (4)2.2系统数据库 (4)2.3CA数字证书受理系统 (5)2.3.1 数字证书及其格式 (5)2.3.2 自建CA数字证书受理系统 (6)2.3.3 自建CA切换到第三方CA的可行性分析 (9)2.3.4 基于第三方(CTCA)的数字证书受理系统 (9)2.4数字签名认证系统 (9)2.4.1 数字签名认证的原理及流程 (10)2.4.2 客户端浏览器签名控件 (10)2.4.3 签名认证服务器及认证的业务流程 (11)2.4.4 基于WEB的签名验证管理系统 (12)2.5数据加密传输通道(SSL) (13)3. 成功案例 (13)4. 设备软件汇总及报价 (14)4.1基本设备及软件 (14)4.2CA系统设备及软件 (14)4.2.1 自建CA系统设备及软件 (14)4.2.2 基于CTCA的数字证书受理系统设备及软件 (15)4.3数字签名认证系统设备及软件 (15)4.4USB智能卡类型 (15)5. 附录 (15)1. 系统需求1.1 背景概述随着计算机网络技术的迅速发展和信息化建设的大力推广,越来越多的传统办公和业务处理模式开始走向电子化和网络化,从而极大地提高了效率、节约了成本。
与传统的面对面的手工处理方式相比,基于网络的电子化业务处理系统必须解决以下问题:(1)如何在网络上识别用户的真实身份;(2)如何保证网络上传送的业务数据不被篡改;(3)如何保证网络上传送的业务数据的机密性;(4)如何使网络上的用户行为不可否认;基于公开密钥算法的数字签名技术和加密技术,为解决上述问题提供了理论依据和技术可行性;同时,《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据,使得数字签名与传统的手工签字和盖章具有了同等的法律效力。
CA安全认证系统培训
最新资料,WORD文档,可编辑目录1基本概念 ................................................................ ................................................................. (3)1.1电子商务 ................................................................ ................................................................. .. (3)1.2证书 ................................................................ ................................................................. .. (3)1.3 CA................................................................ ................................................................. .. (3)1.4 RA................................................................ ................................................................. .. (3)1.5 C P................................................................ ................................................................. (4)1.6 R S................................................................ ................................................................. (4)1.7 CRL ................................................................ ................................................................. .. (4)1.8 OCSP ................................................................ ................................................................. (4)2 基本安全技术和算法............................................................... ................................................................. (4)2.1 加密 ................................................................ ................................................................. .. (4)2.2安全(de)单向散列函数(Secure Hash) ................................................................ .. (7)2.3几种常用(de)算法 ................................................................ ................................................................. . (8)3电子商务体系结构及功能模型 ................................................................ ................................................................. .. (9)3.1 电子商务体系层次结构............................................................... ................................................................. . (9)3.2 电子商务功能模型 ................................................................ ................................................................. (10)3.3 CA体系 ................................................................ ................................................................. .. (11)4公共密钥基础结构(PKI) ................................................................ ................................................................. (12)4.1 PKI简介 ................................................................ ................................................................. . (12)4.2 PKI体系结构及实体功能 ................................................................ ................................................................. (13)4.2.1 PAA ................................................................................................................................. .. (14)4.2.2 PCA................................................................ ................................................................. (14)4.2.3 CA ................................................................ ................................................................. .. (15)4.2.4 ORA ................................................................ ................................................................. .. (15)4.3 PKI体系结构(de)组织方式 ................................................................ ................................................................. (16)4.4 PKI(de)操作思想............................................................... ................................................................. . (16)4.4.3 证书(de)获取 ................................................................ ................................................................. . (18)4.4.9 CRL(de)获取 ................................................................ ................................................................. (20)4.5 PKI体系(de)互通性 ................................................................ ................................................................. . (21)4.6 PKIX系列协议简介 ................................................................ ................................................................. . (23)4.6.1 PKIX体系协议标准 ................................................................ .. (23)4.6.2 PKI(de)实体对象说明 ................................................................ . (24)4.6.3 PKI(de)功能 ................................................................ ................................................................. .. (25)5电子商务基本安全技术 ................................................................ ................................................................. . (27)5.1数字信封 ................................................................ ................................................................. (28)5.2数字签名 ................................................................................................................................. (28)5.3双重数字签名............................................................... ................................................................. .. (29)5.4身份认证技术............................................................... ................................................................. .. (30)5.5一个完整(de)数据加解密/身份认证流程 ................................................................ .. (33)1基本概念1.1电子商务广义地说,电子商务是指在计算机与通信网络基础上,利用电子工具实现商业交换和商业作业活动(de)全过程.一般电子商务是指利用TCP/IP公众网络和技术(中国公众多媒体通信网,含CHINANET)进行(de)在线交易和商业作业活动.涉及对象包括:金融机构、商家、生产企业、网络服务提供商、个人用户、政府部门和事业单位等.1.2证书在一个电子商务系统中,所有参与活动(de)实体都必须用证书来表明自己(d e)身份.证书一方面可以用来向系统中(de)其它实体证明自己(de)身份(每份证书都是经“相对权威(de)机构”签名(de)),另一方面由于每份证书都携带着证书持有者(de)公钥(签名证书携带(de)是签名公钥,密钥加密证书携带(de)是密钥加密公钥),所以,证书也可以向接收者证实某人或某个机构对公开密钥(de)拥有,同时也起着公钥分发(de)作用.1.3 CACA是Certificate Authority(de)缩写,是证书授权(de)意思.在电子商务系统中,所有实体(de)证书都是由证书授权中心既CA中心分发并签名(de).一个完整、安全(de)电子商务系统必须建立起一个完整、合理(de)CA体系. CA体系由证书审批部门和证书操作部门组成.1.4 RARA即证书发放审核部门,它是CA系统(de)一个功能组件.它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起(de)、为不满足资格(de)证书申请者发放证书所引起(de)一切后果,因此它应由能够承担这些责任(de)机构担任.1.5 CPCP即证书发放(de)操作部门,它是CA系统(de)一个功能组件,负责为已授权(de)申请者制作、发放和管理证书,并承担因操作运营错误所产生(de)一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任.1.6 RSRS即证书授理者,它是CA系统(de)一个功能组件,接收用户(de)证书申请请求,转发给CP和RA进行相应(de)处理.1.7 CRLCRL是证书作废表(de)缩写.CRL中记录尚未过期但已声明作废(de)用户证书序列号,供证书使用者在认证对方证书时查询使用.CRL通常被称为证书黑名单.1.8 OCSPOCSP即在线证书状态协议(Online Certificate Status Protocol),使用户可以实时查询证书(de)作废状态.2 基本安全技术和算法2.1 加密加密用来保护敏感信息(de)传输,保证信息(de)安全性.在一个加密系统中,信息使用加密密钥加密后,得到(de)密文传送给接收方,接收方使用解密密钥对密文解密得到原文.目前主要有两种加密体系:秘密密钥加密和公开密钥加密.秘密密钥加密也称为对称密钥加密,加密和解密使用同一个密钥.因此信息(de)发送方和接收方必须共享一个密钥.如图2.1所示.图2.1 对称密钥加密(Symmetric Cryptography )这种加密类型快速牢固,但能力却很有限,入侵者用一台运算能力足够强大(de)计算机依靠“野蛮力量”就能破译,也就是说尝试亿万次密码直到其被解开.对称密钥加密(de)另一不足是密钥本身必须单独进行交换以使接收者能解密数据,如果密钥没有以安全方式传送,它就很可能被劫获并用于信息解密.公开密钥加密也称为非对称密钥加密.公开密钥加密使用两个不同(de)密钥:一个用来加密信息,称为加密密钥;另一个用来解密信息,称为解密密钥.用户把加密密钥公开,因此加密密钥也称为公开密钥,简称公钥.解密密钥保密,因此解密密钥也称为私有密钥,简称私钥.这两个密钥是数学相关(de),用某用户(de)加密密钥加密后所得(de)数据只能用该用户(de)解密密钥才能解密.因而要求用户(de)私钥不能透露给自己不信任(de)任何人.RSA(由发明者Rivest,Shmir和Adleman而得名)是着名(de)公开密钥加密算法.如图2.2所示.图2.2 非对称密钥加密 (Asymmetric Cryptography)公钥加密与对称密钥加密相比,其优势在于不需要一把共享(de)通用密钥,用于解密(de)私钥不发往任何地方,这样,即使公钥被截获,因为没有与其匹配(de)私钥,所以截获(de)公钥对入侵者是没有任何用处(de).公钥加密(de)另一个用处是身份验证.如果某一方用私钥加密了一条信息,拥有公钥拷贝(de)任何人都能对其解密,接收者由此可以知道这条信息确实来自于拥有私钥(de)人一方.密钥(de)安全分发是保证实现有效加密(de)重要环节.密钥(de)分发包括秘密密钥(de)分发和公开密钥加密中公钥(de)分发.实现秘密密钥加密必须保证信息发送方与信息接收方之间通过安全通道分发秘密密钥.因此秘密密钥加密不适合用在公共网络上许多事先互不认识(d e)通信者之间(de)信息传送.适合于公共网络上事务处理业务中分发公钥(de)方法有:使用公钥数据库管理公钥;使用认证公钥(de)数字证书.使用公钥数据库管理公钥适合于参与通信(de)用户比较少(de)情况.每个用户必须建立一个公钥数据库储存与他通信(de)用户(de)公钥.该方式建立(de)数据库要满足以下条件:在该数据库中,每一个公钥唯一与一个用户对应;输入到数据库中(de)公钥必须被证实是对应用户(de)公钥,而该用户必须被数据库(de)使用者证实身份;该数据库(de)访问必须是安全(de).使用数字证书是一种更易安全分发公钥(de)方式.数字证书中基本包括证书持有人(de)个人信息、公钥以及证书签发者(de)对这些信息(de)数字签名和证书签发者(de)数字证书.因为数字证书是由第三方签发(de),所以确认数字证书持有人身份和从该证书获取证书持有人(de)公钥,需要信任数字证书(de)签发者.CA认证中心是签发数字证书(de)机构,有关CA(de)体系结构及证书(de)内容应遵循ITU--T建议X.509中(de)技术要求.密钥(de)安全是保证密钥有效(de)重要前提.秘密密钥与公开密钥加密方法中(de)私钥(de)密钥长度一般比较长,因此必须使用保密模块来保存这些密钥.用户使用这些密钥前必须被保密模块认证.保密模块可以是纯软件产品、纯硬件产品、软件和硬件结合产品等.2.2安全(de)单向散列函数(Secure Hash)单向散列函数用于对要传输(de)数据作运算生成信息摘要,它并不是一种加密机制,但却能产生信息(de)数字“指纹”,它(de)目(de)是为了确保数据没有被修改或变化,保证信息(de)完整性不被破坏.单向散列函数有三个主要特点:1、它能处理任意大小(de)信息,并将其按信息摘要(message digest)方法生成固定大小(de)数据块,对同一个源数据反复执行Hash函数将总是得到同样(de)结果.2、它是不可预见(de).产生(de)数据块(de)大小与原始信息(de)大小没有任何联系,同时源数据和产生(de)数据块(de)数据看起来也没有明显关系,源信息(de)一个微小变化都会对小数据块产生很大(de)影响.3、它是完全不可逆(de),没有办法通过生成(de)数据块直接恢复源数据.2.3几种常用(de)算法上面介绍了基本安全技术(de)原理,下面介绍几种常用(de)算法:RC2RC4DES,3DESIDEASDBI目前在NetWorld CA体系中使用(de)对称算法是IDEA,SDBIRSADSAECA目前在NetWorld CA体系中使用(de)非对称算法是RSAMD2MD5SHA1目前在NetWorld CA体系中使用(de)单向散列函数算法是SHA13电子商务体系结构及功能模型3.1 电子商务体系层次结构电子商务体系分为四个层次,其体系结构如下图所示.支付型电子商务业务基于CTEC支付体系(de)基于SET支付体系(de)电子商务业务电子商务业务非支付型电子商务业务CTEC支付体系T支付体系支付体系安全基础结构(包括CA安全认证体系和基本(de)安全技术)网络基础中国公众多媒体通信网(含CHINANET)/语音接入平台/… ...图2 电子商务体系结构电子商务网络基础包括中国公众多媒体通信网(含CHINANET)以及语音接入平台.电子商务(de)安全基础结构包括CA安全认证体系(包括SET CA体系和Net World CA体系)和基本(de)安全技术,它是整个电子商务体系(de)安全基础,提供电子商务所需要(de)各种安全技术(包括实现数据传输(de)安全性、完整性、身份认证和不可抵赖(de)各种技术).支付体系架构在安全基础结构之上,分为CTEC支付体系和SET支付体系.支付体系为支付型电子商务业务提供各种支付手段,包括基于SET标准(de)信用卡支付方式、以及符合CTEC标准(de)各种支付手段.正如前面业务分类中提到(de),电子商务业务包括支付型业务和非支付型业务,其中支付型业务架构在支付体系之上, 分别根据业务需求使用相应(de)支付体系;而非支付型业务则直接架构在安全基础结构之上,使用这一层提供(de)各种认证手段和安全技术提供安全(de)电子商务服务.3.2 电子商务功能模型电子商务功能模型包括(de)元素有:CA中心、支付网关、电子柜员机、客户端电子钱包.其功能模型如下图所示.3.3 CA体系电子商务(de)安全是通过使用加密手段来达到(de),非对称密钥加密技术(公开密钥加密技术)是电子商务系统中主要(de)加密技术,主要用于对称加密密钥(de)分发(数字信封)和数字签名以实现身份认证和信息(de)完整性检验、交易防抵赖等.CA体系为用户(de)公钥签发证书,以实现公钥(de)分发并证明其有效性.该证书证明了该用户拥有证书中列出(de)公开密钥.证书是一个经证书授权中心数字签名(de)包含公开密钥拥有者信息以及公开密钥(de)文件.CA机构(de)数字签名使得攻击者不能伪造和篡改证书.证书(de)格式遵循X.509标准.CA机构应包括两大部门:一是审核授权部门(简称RA,Registry Authorit y),它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起(de)、为不满足资格(de)证书申请者发放证书所引起(de)一切后果,因此它应由能够承担这些责任(de)机构担任;另一个是证书操作部门(简称CP,Certificate Processor),负责为已授权(de)申请者制作、发放和管理证书,并承担因操作运营错误所产生(de)一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任.NetWorld CA安全认证系统建立在中国公众多媒体通信网(含CHINANET)上,通过该网络向终端用户、支付网关和业务应用系统提供证书和授权服务. 4公共密钥基础结构(PKI)4.1 PKI简介为了提高Internet(de)安全性,越来越多(de)安全协议得到应用,目前国际上流行(de)电子商务所采用(de)协议主要包括:基于信用卡交易(de)安全电子交易协议(Secure Electronic Transaction,即SET协议)、用于接入控制(de)SSL协议(Secure Socket Layer安全套接字层)、安全HTTP(S-HTTP)协议、安全电子邮件协议(如PEM、S/MIME等)、用于公对公交易(de)Int ernet EDI等.此外,也可以在Internet网上建设虚拟专网VPN,利用VPN为企业、政府提供一些基本(de)安全服务如企业、政府间(de)公文、报表传送、电子报税业务等.这些协议都建立在公钥加密技术(de)基础上.它们分别工作在不同(de)层次上,实现了不同(de)PKI系统,在Internet网上提供安全(de)电子商务服务. PKI(Public Key Infrastructure),即公钥基础结构,利用公钥加密技术为网上电子商务(de)开展提供了一套安全基础平台,用户利用PKI平台提供(de)安全服务进行安全通信.使用基于公钥技术系统(de)用户建立安全通信信任机制(de)基础是:网上进行(de)任何需要安全服务(de)通信都建立在公钥(de)基础之上,而与公钥相对(de)私钥只掌握在他们与之通信(de)另一方.这个信任基础通过公钥证书(de)使用来实现.公钥证书即是一个用户(de)公钥和他(de)身份(de)绑定,在绑定之前由一个可以信任(de)CA来证实用户(de)身份,然后这个可信任C A对证明该绑定(de)证书进行数字签名.PKI指在公钥加密技术(de)基础上实现证书(de)产生, 管理, 存储, 发放以及作废而必须(de)全部硬件, 软件, 人力资源, 相关政策和操作程序以及为PKI体系中(de)成员提供(de)安全服务(de)全部.简单地说,PKI(de)功能是绑定证书持有者(de)身份和相关(de)密钥对(通过为公钥及相关(de)用户身份信息签发数字证书),为用户提供方便(de)直接或间接获取证书(de)途径,对证书发放环境(de)方便(de)访问途径,证书作废(de)直接或间接宣告途径,并进而利用数字证书及相关(de)各种服务(证书发布,黑名单发布,时戳服务等)实现通信中各实体(de)身份认证,完整性,不可否认性和保密性.4.2 PKI体系结构及实体功能随着信息和电信技术(de)飞速发展,电子信息和电子商务(de)应用越来越广,为网上电子事务提供安全服务(de)PKI系统也得到了广泛关注.在PKI体系基础上建立(de)安全证书体系得到了从普通用户,商家到政府各职能部门(d e)普遍关注. 美国, 加拿大等政府机构都提出了建立国家PKI体系(de)具体实施方案.PKI系统(de)建立应该着眼于用户使用证书及相关服务(de)便利性,用户身份(de)可靠认证,制定完善(de)证书管理政策,建立高可信度(de)CA中心,用户属性(de)管理,用户身份隐私保护,证书作废列表(de)管理,CA中心为用户提供(de)证书及CRL有关服务(de)管理,安全和相应(de)法规确立,责任(de)划分和完善(de)责任政策(de)建立.一个典型(de)PKI体系结构如下:4.2.1 PAA政策批准机构,创建整个PKI系统(de)方针,批准本PAA下属PCA(de)政策,为下属PCA签发公钥证书,建立整个PKI体系(de)安全政策,并具有监测各P CA行为(de)责任.它(de)具体功能是:1、发布PAA(de)公钥证书2、设置本体系(de)政策和操作程序3、设置本PKI体系中建立新PCA(de)政策和操作程序4、对下属PCA和需要交叉认证(de)其他根证书进行身份认证和鉴别.5、为下属PCA和需要交叉认证(de)其他根证书产生证书6、发布下属PCA(de)身份和位置信息7、接收和发布下级PCA(de)政策8、定义下级PCA申请证书作废请求所需(de)信息9、接收和认证对它所签发(de)证书(de)作废申请请求10、为它所签发(de)证书产生CRL11、保存证书,CRL,审计信息,PCA政策12、发布它所签发(de)证书和CRL4.2.2 PCA政策CA,制定本PCA下(de)具体政策,可以是PAA政策(de)扩充或细化,但不能与之相背离.这些政策可能包括本PCA范围内密钥(de)产生,长度,证书(d e)有效期规定,CRL(de)处理等.并为下属CA签发公钥证书.它(de)具体功能是:1、发布自己(de)身份和位置信息2、发布它所签发(de)下属CA(de)身份和位置信息3、公布它(de)服务对象4、发布它制定(de)安全政策和证书处理有关程序:如密钥(de)产生和模长,对PCA,CA,ORA系统(de)安全控制,用户私钥(de)安全控制,CRL(de)发布频率,审计程序等5、对下属各成员进行身份认证和鉴别.6、产生和管理下属成员(de)公钥7、发布PAA和自己(de)证书到下属成员8、定义证书作废请求生效所需(de)信息和程序9、接收和认证对它所签发(de)证书(de)作废申请请求10、为它所签发(de)证书产生CRL11、保存证书,CRL,审计信息,和它所签发(de)政策12、发布它所签发(de)证书和CRL4.2.3 CA不具备或具备有限(de)政策制定功能,按照上级PCA制定(de)政策,担任具体(de)用户公钥证书(de)生成和发布,或CRL生成发布职能.它(de)具体功能是:1、发布本地CA对PCA政策(de)增补部分2、对下属各成员进行身份认证和鉴别.3、产生和管理下属证书4、发布自身证书和上级证书5、证实ORA(de)证书申请请求6、向ORA返回证书制作(de)确认信息或已制定好(de)证书7、接收和认证对它所签发(de)证书(de)作废申请请求8、为它所签发(de)证书产生CRL9、保存证书,CRL,审计信息,和它所签发(de)政策10、发布它所签发(de)证书和CRL4.2.4 ORA进行证书申请者(de)身份认证,向CA提交证书申请请求,验证接收到(de)CA 签发(de)证书,并将之发放给证书申请者.必要时,还协助证书作废过程.它(de)具体功能是:1、对用户进行身份认证和鉴别.2、将用户身份信息和公钥以签名数据(de)方式发送给CA3、接收CA返回(de)证书制作确认信息或制作好(de)证书4、发放CA证书,CA(de)上级证书,以及(在返回制作好(de)用户证书(de)情况下)用户证书给用户5、接收证书作废请求,验证其有效性,验证通过(de)情况下向CA发放请求4.3 PKI体系结构(de)组织方式在一个PKI体系结构内,成员(de)组织可以有很多方式.例如,COI(Communi ty of interest)方式,这种方式将成员按他们(de)日常职能分类,将日常行为中通信较频繁(de)成员划分到一个CA或PCA下,政策(de)制定就由COI组织来决定;而组织化方式将PKI体系建立在现有(de)政府或组织机构(de)管理结构基础之上,而安全政策就由每一个组织(de)管理机构来制定;担保等级方式则基于在一个PKI系统中,成员(de)行为可以分为三到四个安全级别,成员按照他们相应(de)安全级别来组织,而安全政策(de)制定可以由类似委员会(de)机构来完成.这些方式都是基于两点(de)考虑:由哪个机构来设置安全政策,在安全政策下用户该如何组织.在具体(de)实施过程中采取哪种或哪几种方式(de)组合应考虑到以下因素后选取:系统可靠性,系统可扩展性,系统(de)灵活性和使用(de)便利性,CA机构(de)可信任性,在需要(d e)情况下,与其他系统(de)互操作性,建立系统或增加成员(de)时间开销,系统各模块(de)管理结构,责任划分等.4.4 PKI(de)操作思想在PKI(de)实际运行中,与PKI操作有关(de)许多行为都有多种实现方式,而且,这些行为各自选取了怎样(de)实现方式又将影响到其他行为(de)实现方式.不同实现方式(de)组合将形成不同(de)PKI全局操作思想(CONOPS).PKI操作有十二种主要行为,包括:产生,证明和分发密钥;签名和验证;证书(de)获取;验证证书;保存证书;本地保存(de)证书(de)获取;密钥泄漏或证书中证明(de)某种关系中止(de)报告;密钥泄漏(de)恢复;CRL(de)获取;密钥更新;审计;存储等,这些行为分别和PKI中下列成员相关:PKI 认证机构(P),数据发布(de)目录(D)和用户(U).用户(de)公私钥对(de)产生,验证和分发可以有两种方式:自己产生或由代理方产生.由实际(de)PCA政策决定.如果由用户自己产生,那么用户对产生密钥方法(de)选取,私钥(de)存放应负有责任,用户还应向CA提交和自己(de)公钥和身份证明,CA对用户进行身份认证,并对密钥(de)强度和持有者进行测试,在测试通过(de)情况下为用户(de)公钥产生证书,然后通过面对面,信件或电子方式将证书发放给用户,最后CA还负责将证书发布到相应(de)目录服务器.在某些情况下,用户将到ORA去进行证书申请.此时,ORA完成对用户(de)身份认证,通过后,以签名数据(de)方式向CA提供用户(de)公钥和相关信息,C A完成对公钥(de)测试然后产生证书,CA将证书返回给ORA,并由ORA发放给用户,或者,CA通过电子方式将证书发放给用户.另一种情况下,用户(de)密钥对由密钥产生中心系统来完成.这个密钥产生中心系统可以配置在CA里或作为一个单独机构.此时,用户应到密钥产生中心去产生密钥并取得密钥对,成功后密钥产生中心应自动销毁本地(de)用户密钥对拷贝,用户取得密钥对后,按照上面描述(de)方式到CA或ORA申请证书.CA(包括PAA,PCA,CA)自己产生自己(de)密钥对.ORA(de)密钥对可由自己或第三方产生)(由PCA(de)政策制定).PCA(de)公钥证书由PAA签发,同时,它取得PAA(de)公钥证书,CA(de)公钥由上级PCA签发,同时取得上级PC A和PAA(de)公钥证书,当它签发下级(用户或ORA)证书时向下级发送上级PCA,PAA(de)公钥证书.在PKI体系中,对信息或文件(de)签名,以及相应(de)对数字签名(de)验证属于使用非常普遍(de)操作.PKI(de)成员可以使用多种算法来计算数字签名和进行相应(de)验证,这些算法可以是硬件,软件或者软硬件结合(de)固件来完成.密钥和证书可以存放在内存中,或通过IC卡或软盘等其他介质存放.4.4.3 证书(de)获取在验证信息(de)数字签名时,用户必须获取信息(de)发送者(de)公钥证书,以及一些需要附加获得(de)证书(如CA证书等,用于验证发送者证书(de)有效性).证书(de)获取可以有多种方式,如发送者发送签名信息时附加发送自己(de)证书,或以另外(de)单独信息发送证书,或者可以通过访问证书发布(de)目录服务器来获得,或者直接从证书相关(de)实体处获得.在一个PKI体系中,可以采取某种或某几种上述方式获得证书.发送者在发送签名数据(de)同时可能发送证书链.此时,接收者拥有证书链上(de)每一个证书从而可以验证发送者证书;如果发送者没有发送这些证书,接收者必须判断为验证发送者(de)证书应取得哪些其他证书,可以通过检查发送者证书(de)发放机构CA从而从目录服务器取得该CA证书,并重复这个步骤直到追溯到一个已拥有可信任公钥证书(de)CA机构为止.或者通过判断证书(de)唯一名称中包括(de)证书验证机构名称从而取得该验证机构(de)证书,并重复该步骤直到追溯到一个已拥有可信任公钥证书(de)CA机构为止.在这两种方法中,必须借助目录服务来定位证书请求和相应CRL请求(de)目录服务器.签名验证(de)过程包括迭代(de)决定证书链中(de)下一个证书和它相应(de)上级CA证书.在使用每个证书前必须检查相应(de)CRL.用户从检查证书路径中最后一个证书(即用户确认可以信任(de)CA证书)所签发(de)证书(de)有效性开始,验证每一个证书,一旦证实后,提取被证实(de)证书中(de)公钥用于验证下一个证书,直到验证完签名信息发送者(de)证书,并将此证书中包括(de)公钥用于验证签名.保存证书是指PKI实体在本地储存证书以减少在PKI体系中获取证书(de)时间并提高签名验证(de)效率.在储存每个证书之前,应该验证证书(de)有效性.PKI实体可以选择储存所有从其他实体接收到(de)证书链上所有证书,也可以只存储签名数据发送者(de)证书等.证书存储区应定时管理维护,清除已作废或已过期(de)证书和一定时间内未使用过(de)证书,并同最新发布(de)CRL文件比较,删除CRL文件中发布(de)证书.证书存储区存满后,一般采取删除最少使用(LRU,least recently us ed)证书(de)方式维护.。
CA数字证书认证系统培训资料
CA数字证书认证系统培训资料目录第1章前言 (5)1.1物理安全 (5)1.1.1主要功能 (6)1.1.2组成部分 (6)1.1.3技术标准 (6)1.2网络及系统安全 (7)1.2.1主要功能 (7)1.2.2组成部分 (7)1.2.3遵循的标准 (8)1.3应用系统安全 (8)1.3.1主要功能 (8)1.3.2组成部分 (9)1.4安全管理和审计 (9)1.4.1安全管理的主要内容 (10)1.4.2安全审计的主要内容 (10)第2章PKI的概念 (11)2.1什么是PKI (11)2.1.1数据机密性 (11)2.1.2可认证性 (11)2.1.3数据完整性 (12)2.1.4不可抵赖性 (12)2.2PKI中涉及到的密码算法 (12)2.2.1对称算法 (13)2.2.2非对称算法 (14)2.2.3数字签名算法 (18)2.2.4摘要算法 (19)第3章PKI的组成 (21)3.1典型PKI结构 (21)3.2X.509证书 (21)3.2.1X.509 V3 (22)3.2.2X.509C V3 (24)3.2.3标准扩展项 (25)3.2.4证书结构 (26)3.3PKI的功能 (27)3.3.1一个简单的PKI系统 (27)3.3.2PKI提供的核心服务 (28)第4章PKI/CA系统的结构 (30)4.1PKI/CA体系结构 (30)4.2PKI/CA主要功能 (31)4.2.1认证功能 (31)4.2.2数字证书管理功能 (31)4.2.3密钥管理功能 (32)4.2.4数据加密安全通信功能 (32)4.2.5数据完整性服务功能 (32)4.2.6访问控制功能 (32)4.2.7双密钥支持 (33)4.2.8支持数字签名的不可否认 (33)4.2.9支持CA间交叉认证 (33)4.2.10支持历史密钥的管理和恢复 (33)4.2.11支持时间戳服务 (33)4.2.12支持用户端应用软件 (34)4.2.13支持标准化密码算法应用 (34)第5章CA证书认证系统的结构 (35)5.1证书认证系统的总体结构 (35)5.1.1RCA (35)5.1.2CA (35)5.1.3SCA (35)5.1.4RA (35)5.1.5LA (36)5.2证书认证系统的基本功能 (36)5.3证书认证系统的逻辑结构 (36)5.4证书认证系统的分层结构 (37)第6章CA证书认证系统的功能 (39)6.1证书签发服务器 (39)6.2密钥管理服务器 (40)6.3证书管理服务器 (40)6.4CA中心审计系统 (41)6.5CA中心计费系统 (41)6.6CA中心管理系统 (41)6.7网络监控预警系统 (42)6.8注册服务器RS (42)6.9WWW服务器 (42)6.10LDAP证书和查询与发布服务器 (42)6.11证书状态实时查询服务器 (43)第7章CA证书认证系统的实施 (44)7.1系统的设计原则 (44)7.1.1规范化原则 (44)7.1.2安全性原则 (44)7.1.3先进性原则 (44)7.1.4标准化原则 (44)7.1.5可扩展性原则 (44)7.1.6实用性原则 (44)7.1.7模块化原则 (45)7.2系统的技术要求 (45)7.3系统的安全防护 (46)7.3.1防火墙 (46)7.3.2入侵检测 (47)7.3.3漏洞扫描 (48)7.3.4病毒防治 (48)7.3.5安全审计 (49)7.3.6Web信息防篡改 (49)7.3.7物理安全与容灾备份 (50)7.4工作协议和流程 (50)7.4.1CA系统工作流程 (51)7.4.2系统初始化流程 (52)7.4.3身份认证流程 (52)7.4.4业务工作流程 (53)7.5一个CA系统实例 (53)7.5.1总体结构 (53)7.5.2CA的设计 (54)7.5.3KM的设计 (56)7.5.4RA的设计 (57)7.5.5LA的设计 (57)7.5.6LDAP的设计 (58)7.5.7OCSP的设计 (59)7.5.8用户载休 (60)7.5.9备份系统 (60)7.5.10网络安全设计 (61)第8章相关技术标准 (64)8.1正在制订的标准或规范 (64)8.2已发布的标准或规范 (64)8.3主要应用标准 (67)8.4密码函数 (67)8.5数据格式和协议: (68)8.6PKCS标准协议 (68)前言随着计算机技术、通信技术以及互联网技术的飞速发展,社会信息化进程逐渐加快,信息资源在整个社会的各个领域中的地位和作用变得越来越突出,各项社会活动(包括国家政治、经济、军事、科技、文化等方面)都将依赖于信息资源和信息系统的支撑。
CA认证系统设计
CA认证系统设计
摘要
本论文介绍了一种基于公钥站点认证(PACA)的认证系统设计。
PACA
系统是建立在客户端/服务器架构和公钥加密算法基础之上的一种认证系统,它为客户端提供了安全的身份认证机制。
经过详细分析,基于PACA
的认证系统实现的步骤主要包括:一是注册过程,二是认证协议,三是会
话键管理,四是安全会话过程,五是安全数据传输过程,六是会话结束。
这种基于PACA的认证系统拥有良好的安全性和可靠性,可以满足当今需
求越来越高的网络信息安全要求。
1. Introduction
随着网络信息的发展,保护网络信息安全成为当今越来越重要的话题,而认证是网络信息安全的一项基本服务,它的功能是确保访问网络信息时
能够正确地识别用户的身份信息以及对用户的访问进行控制。
基于公钥站
点认证(PACA)是一种认证系统,它为客户端提供了安全的身份认证机制。
本文将介绍一种基于PACA的认证系统。
本文将从原理介绍,系统设计,
系统实现和系统性能几个方面来分析讨论基于PACA的认证系统的设计与
实现。
2. Principle
基于PACA的认证系统是建立在客户端/服务器架构和公钥加密算法基
础之上的一种认证系统。
电子认证CA卫生系统应用解决方案
电子认证CA卫生系统应用解决方案随着信息技术的快速发展,电子认证(Electronic Authentication,简称e-Authentication)在各行各业中得到了广泛应用。
在医疗卫生领域,电子认证对于保障患者电子健康信息安全、提高医疗服务质量,已经变得越来越重要。
因此,建立一个安全可靠的电子认证CA(Certification Authority,简称CA)卫生系统应用解决方案对于提高病患就诊体验和医疗工作效率具有重要意义。
一、系统概述电子认证CA卫生系统应用解决方案的主要目标是实现对患者健康信息的安全认证和存储、医疗数据的交换和共享以及提高医生诊断和决策的准确性。
该系统可以分为三个主要模块:电子认证模块、健康信息管理模块和医疗服务模块。
二、电子认证模块电子认证模块是整个系统的核心部分,主要负责对患者和医生进行身份认证。
通过使用数字证书技术,对患者和医生的身份进行数字签名认证,保证其身份的真实性和合法性。
该模块包括证书签发、证书验证和证书管理三个子模块。
1.证书签发:CA作为权威机构,负责签发数字证书。
患者和医生可以通过身份验证后,申请数字证书。
证书签发过程中,除了验证申请者的身份信息外,还需要验证其工作单位、职称等相关信息,确保证书的有效性和可靠性。
2.证书验证:在系统中,对于每一个提供医疗服务的人员和患者,都需要验证其证书的可信度。
通过验证证书的有效期、数字签名等信息,确认其身份并保证其在系统中的权限。
3.证书管理:证书管理包括证书维护、更新、撤销等相关操作。
例如,在医生离职或者患者选择更换医生的情况下,需要及时撤销相应的数字证书,保证系统中的数据安全和权威性。
三、健康信息管理模块健康信息管理模块负责对患者个人病历、医疗记录和健康监测数据等信息进行管理和存储。
通过电子认证模块对患者身份进行认证后,可以确保只有合法的医生和患者才能访问和修改相关信息。
1.健康信息存储:将患者的个人病历、医疗记录和健康监测数据等信息进行数据化存储,保证数据的安全性和可用性。
CA认证体系_资格认证考试-质量管理体系认证
1CA认证体系1.1 数字证书集成通过采用证书与应用系统的无缝集成,为信息门户系统提供了如下安全保障功能:身份认证,资格认证,保密性,完整性、不可抵赖性和信息的追认功能。
另外,通过安全代理软件将安全强度提升到全球公认的标准。
为了建立一套标准的时间,CA系统引进了时间戳来为网上报税系统提供完整的时间认定功能,避免在交易中出现由于时间带来的纠纷。
采用PKI技术后,广东省国税信息门户将得到足够的安全保障,将传统上的办税业务延伸到Internet上,为客户提供更为方便、安全的审批申请手段。
在广东省国税信息门户中,有些功能是面向全社会公开发布的,它并不需要证书来保护,如:主页信息、办事指南等,而有一些功能则需要由证书来保护,如:申报纳税、税务文书办理。
因此,可利用Portal Server提供的安全机制,对广东省国税信息门户的模块进行配置,使一个应用能处理多种安全要求。
通过配置需要保护的应用来保证需要访问该功能的用户必须通过认证,而其他不需要安全保护的用户则没有此限制。
当用户登陆门户应用系统时,服务器端安全代理首先判断是否有证书,如果没有,则拒绝访问;如果有,判断用户证书是否合法或是否仍然有效,如果合法,则自动读取用户唯一的证书甑别名DN,然后到广东省国税电子税务平台的LDAP目录服务器上查询用户信息(证书甑别名DN应与用户代码一致),判断用户是否是已注册的合法用户。
如果是,则接收该用户的证书,准备对发送给用户的机密信息进行加密;如果建立的通道是双方认证的话,则用户端安全代理软件也进行同样的步骤来验证服务器的身份和获取服务器端的证书。
广东省国税信息门户应用系统需要建立一套用户权限对照表,通过将用户的甑别名DN和广东省国税信息门户的用户代码建立一一对应关系来标识登录到系统的用户具有何种操作权限,由此判定用户资格。
当双方身份验证通过和资格认证确认后,用户Browser和服务器Web Server会采用PKI技术来建立SSL安全通道,此后,所有从浏览器发出的安全请求信息,都由用户端安全代理软件来完成。
ca认证原理
ca认证原理简介互联网的广泛应用使得网络安全问题倍受关注。
为了保障互联网上信息的真实性、完整性和保密性,互联网安全技术的发展变得越来越重要,而CA认证作为一种保障网络安全的技术手段,也逐渐成为重要的研究领域之一。
本文将简要介绍CA认证的基本原理和常见应用,希望能够对读者有所启发。
什么是CA认证?CA证书是指由认证机构签发的数字证书。
数字证书是一个用于证实电子文档的电子信息。
CA认证是指根据国际标准建立起来的一种公认的地位的电子证书体系。
通过该体系对使用数字证书的双方的身份进行认证,以保证双方交流时信息的真实性和完整性。
CA认证的原理在一个完整的CA认证系统中,有三方面的参与者:用户(User)、团体(Organization)和认证机构(CA)。
其中,用户和团体是CA证书的使用者,认证机构是证书的签发者和审核者。
如下:1. 用户生成自己的公钥和私钥对,并把公有密钥传给CA机构。
2. CA机构现在会对这个公钥进行加密,形成CA证书,包括用户的认证名称、使用者类型、公钥、用户信息等。
3. CA机构的公钥会通过广播或其它方式交付给使用CA证书的人。
4. 用户使用CA证书与另一方进行通信过程中,会把CA证书发给另一方,并使用CA证书中的公钥对数据进行加密。
另一方则用自己的私钥来解密,从而得到数据信息。
CA证书可以通过多种方式使用。
例如,CA机构可以向客户提供直接的证书或者间接的证书,也可以向局限于个人使用的证书或限于特定群体使用的证书行业。
同时,CA机构也会有多种选择来管理证书,这包括证书信息的更新、吊销、延期等。
CA认证的应用CA证书可以应用于多种互联网应用中,比如电子邮件、电子商务、电子政务等。
举个例子,如果一个企业想要实现对客户、供应商、员工的安全通信,可以通过为每个客户、供应商和员工申请CA证书的方法进行安全通信。
CA认证也被广泛应用于企业身份验证,以保障它们的业务安全和个人隐私。
通过为员工和客户申请CA数字证书,企业可以避免其他人以其名义访问公司敏感信息的风险。
ca认证系统
CA认证系统CA认证系统是一种基于数字证书的身份认证系统,被广泛应用于网络安全领域。
CA(Certificate Authority)是证书颁发机构的缩写,其主要功能是验证用户身份,颁发数字证书以确保通信安全。
CA认证系统采用非对称加密技术来保护用户的身份信息和通信内容,防止数据被窃取或篡改。
1. CA认证系统的原理CA认证系统的原理基于公钥加密技术。
当用户需要执行身份认证时,用户会向CA提交自己的公钥和一些个人信息,CA将根据这些信息生成用户的数字证书并签名。
数字证书中包含用户的公钥、身份信息以及CA的数字签名,用于验证证书的真实性。
2. CA认证系统的工作流程CA认证系统的工作流程大致包括注册、申请证书、证书颁发、证书更新和吊销等步骤。
用户首先需要向CA注册自己的公钥和相关身份信息,然后提交证书申请。
CA会审核用户提交的信息并签发数字证书,用户在收到证书后可以使用私钥进行加解密操作。
证书的有效期通常为一定时间,用户可以在证书过期前向CA申请更新证书或者吊销证书。
3. CA认证系统的优点和应用•安全性高:CA认证系统采用了公钥加密技术,保证了通信内容的机密性和完整性。
•身份认证准确:CA对用户身份信息进行验证,确保用户的真实身份,防止身份伪造。
•方便快捷:用户可以通过网络提交证书申请,简化了身份认证的流程。
•广泛应用:CA认证系统被广泛应用于网络通信、电子商务、企业内部系统等领域,保障了数据安全。
在今天的网络安全环境下,CA认证系统的重要性不言而喻。
通过对用户身份和通信内容进行有效保护,CA认证系统为网络安全提供了重要支持,保障了用户的隐私和数据安全。
CA认证系统操作说明
直报企业操作规范简明手册第一章直报平台CA认证系统操作说明一、安装证书首次访问直报平台时,点击登录界面下方的“申请证书”链接进入到申请证书页面:点击“用户证书申请步骤”第一步中的“根证书及配置工具”链接下载该配置工具:双击运行下载好的“根证书配置工具”自动进行根证书安装并提示:回到“申请证书”页面输入相应的用户名和口令(默认用户名和口令都是企业的机构代码)进入“下载证书”页面:点击“证书下载”按钮自动下载安装用户证书并出现提示:至此,直报平台证书安装过程进行完毕。
二、使用证书登陆在直报平台登陆界面输入相应的用户名与口令进行登陆,并注意保持“使用证书登陆”选项处于默认的已勾选状态:系统会自动提示选择证书,证书的名称是企业的机构代码号,选择相应的证书即可登陆到企业直报平台。
三、重发证书企业在直报过程中如果更换了计算机设备,那么登陆平台的时候则需要重新申请发布证书。
在新的计算机设备上安装完“根证书及配置工具”后,登陆到“申请证书”界面时会显示当前状态为“已发证”,点击“重发”按钮即可完成新证书的申请与安装,之前的证书会自动作废。
四、导出证书如果企业直报用户需要建立子用户,主用户则需要导出证书供子用户登陆使用,具体操作流程如下:打开Internet Explorer浏览器并点击菜单栏中的“工具”-“Internet选项”切换到“内容”标签并点击中间的“证书”按钮:选择要导出的证书并点击下方的“导出”按钮:在“证书导出向导”中先点击“下一步”,选择“是,导出私钥”点击“下一步”:勾选“如果可能,将所有证书包括到证书路径中”和“启用加强保护”,点击“下一步”输入并重复密码,导出的证书在其他计算机上导入时会提示让输入这个密码:点击“下一步”后点击“浏览”按钮选择证书导出的位置和名称完成证书导出:导出的证书是一个单独的pfx格式文件,将该文件复制到子用户使用的计算机上并点击鼠标右键选择“安装PFX”即可完成子用户计算机端证书的导入安装过程,这时使用子用户的账户和密码并选择对应的证书文件即可访问直报平台。
(整理)CA数字签名认证系统技术方案.
CA数字签名认证系统技术方案1. 系统需求1.1 背景概述随着计算机网络技术的迅速发展和信息化建设的大力推广,越来越多的传统办公和业务处理模式开始走向电子化和网络化,从而极大地提高了效率、节约了成本。
与传统的面对面的手工处理方式相比,基于网络的电子化业务处理系统必须解决以下问题:(1)如何在网络上识别用户的真实身份;(2)如何保证网络上传送的业务数据不被篡改;(3)如何保证网络上传送的业务数据的机密性;(4)如何使网络上的用户行为不可否认;基于公开密钥算法的数字签名技术和加密技术,为解决上述问题提供了理论依据和技术可行性;同时,《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据,使得数字签名与传统的手工签字和盖章具有了同等的法律效力。
PKI(Public Key Infrastructure)是使用公开密钥密码技术来提供和实施安全服务的基础设施,其中CA(Certificate Authority)系统是PKI体系的核心,主要实现数字证书的发放和密钥管理等功能。
数字证书由权威公正的CA中心签发,是网络用户的身份证明。
使用数字证书,结合数字签名、数字信封等密码技术,可以实现对网上用户的身份认证,保障网上信息传送的真实性、完整性、保密性和不可否认性。
数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。
1.2 现状与需求概述现状描述。
基于上述现状,******系统需要解决数据的签名问题和法律效力问题,从而提高*****的便捷性和管理效率。
鉴于数字证书、数字签名的广泛应用和相关法律的保障,****单位规划建设CA及数字签名认证系统,主要需求如下:(1)建设CA系统或采用第三方CA,为****用户申请数字证书;(2)在现有*****系统中加入对数据的签名功能,存储数据签名并提供对签名的认证功能;1.3 需求分析为了解决网上用户的身份证明问题,需要为用户颁发数字证书。
政务CA认证体系证书业务服务平台
二 平台主要功模块
业务项 业批目 务量管 量处理 统理计
支持批可可量按按上项项传目目用进进户行 行申申发请请证,表量减设统少置计用管户理信息录入工作量 支持批可可量记按对录地账项市,目进多使 行个用发证证Uk书量ey申统厂请计商可及一型次号对信账息通过 支持批可量设按审置时核项间,目进无证 行需书发人签证工发量干年统预限计,信自息动完成证书业务审核 支持批可量设按邮置业寄项务处目状理证 态,书进一收行次费发完标证省时
网上业务自助办理 节省业务办理时间
省钱
省心
无需往返省交通费 线上办理简单方便
三 平台最终实现目标
提高服务
提高效率
提高管理
及时提供证书办理 证书申请审核批量处理 项目管理更明晰
解锁等服务
办理更高效解锁更方便 数量统计更轻松
四 平台最终实现目标
汇报提纲
一 平台建设的目的和意义 二 平台主要功能模块 三 平台最终实现目标 四 平台今年的进展计划
1
一 平台建设的目的和意义
面临的问题
1、证书延期需要收取用户证书,证书很难统一全部收集且影 响用户使用,费时费力。 2、每次解锁需要联系客服人员,服务响应不及时,使用解锁 工具远程解锁存在安全隐患。 3、RA系统发证不支持按照项目进行证书签发统计,项目证书 统计困难,项目用key型号、收费标准没有统一的登记管理。 4、项目费用需要手工统计发证数量与结算金额,登记具体支 付款项金额、时间等信息,人员成本较高。
一 平台建设的目的和意义
二 平台主要功模块
新办证书 延期证书 补办证书 解锁证书 在线支付
前台业务功能
后台业务功能
角 色 管 理
用 户 管 理
自 动 对 账
业 务 审 核
自建CA认证系统实用方案
自建CA认证系统实用方案
一、背景
认证是完成安全交易所必不可少的一个因素。
在网络信息时代,认证
问题日趋重要,为了确保信息安全,必须采取合适的认证机制,以确保双
方的信息安全。
在企业内部,一般采用账户密码认证的机制来实现认证功能,而在网
络上,则需要采用更安全的认证机制,如数字签名认证系统和密钥交换机
制等。
这样的认证机制提供了更高的安全性,但普遍存在三个问题:首先,客户端的安全性可能无法得到有效保障,其次,客户端之间的认证可能面
临着大量的法律法规和监管,最后,服务器端的安全性可能受到攻击。
为了解决上述问题,特别是客户端之间的认证问题,采用自建CA认
证系统可能是一个非常好的解决方案,它可以有效地提高安全性,也可以
满足企业内部认证要求,同时相对简单实用。
1、准备工作
首先,需要准备一台服务器,并安装CA认证服务器;其次,准备一
台虚拟机,用于安装CA认证客户端;最后,要为认证系统设计规则,并
安装证书签发服务以及客户端软件。
2、配置CA认证服务器
在服务器上安装CA认证服务器,并根据规则设置服务器配置,以实
现安全认证服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1 CA认证系统
1.1.1引入CA认证系统的必要性
对于电子政务的交易安全而言,其基本要求为:
1)信息保密性(Confidentiality):即通过密码学的方式加密,所传递的信息以防止窃取;
2)信息真实性和完整性(Authenticity and integrity):即通过数字签章(Digital signature)的方式,用Hash方式保证信息不会被改变和假冒;
3)不可否认性(Non-repudiation):即身份认证,通过可信任的CA中心发放的CA证书来证明使用的身份。
安全传递和存储
信息应用权限控制
其中最为关键的就是建立基于证书的认证体系,或者使用可信的CA认证中心发放的CA证书。
1.1.2CA认证系统结构
CA认证系统结构
结构说明如下:
采用第三方认证机构建立CA认证中心和RA(证书注册中心),实现CA证书的注册、验证、管理功能;
通过专线连接CA认证中心,在需要安装进行CA证书验证的应用服务器上安装接口程序,实现对CA证书的验证功能。
当用户进行需进行CA认证的应用操作时WEB SERVER服务器自动使用CA认证接口程序,完成对用户身份的验证。
CA认证中心是一负责发放和管理数字证书的权威机构。
CA的主要功能是:接收注册请求、处理、批准、拒绝请求、颁发证书等。
用户向CA提交代表自己身份的信息(如身份证号码或E-mail地址),CA验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。
对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
处在最高层的是认证根中心(Root CA)。
1.1.
2.1认证中心主要有以下几种功能:
证书的颁发
中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。
如果中心接受该数字证书申请,则进一步确定给用户颁发何种类型的证书。
新证书用认证中心的私钥签名以后,发送到目录服务器供用户下载和查询。
为了保证消息的完整性,返回给用户的所有应答信息都要使用认证中心的签名。
证书的更新
认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书。
证书的查询
证书的查询可以分为两类,其一是证书申请的查询,认证中心根据用户的查询请求返回当前用户证书申请的处理过程;其二是用户证书的查询,这类查询由目录服务器来完成,目录服务器根据用户的请求返回适当的证书。
证书的作废
当用户的私钥由于泄密等原因,用户证书需要申请作废时,用户需要向认证中心提出证书作废请求,认证中心根据用户的请求确定是否将该证书作废。
另外一种证书作废的情况是证书已经过了有效期,认证中心自动将该证书作废。
认证中心通过维护证书作废列表(CertificateRevocationList,CRL)来完成上述功能。
证书的归档
证书具有一定的有效期,证书过了有效期之后将被作废,但我们不能将作废的证书简单
地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。
基于此类考虑,认证中心具备管理作废证书和作废私钥的功能。
1.1.
2.2认证中心具有严格的认证操作规则
1)组织规则
独立的中间机构:认证中心是独立于交易双方的中间机构,CA不能参加交易,也不能与交易双方具有利益关系。
发挥权威作用:认证中心必须以信誉为基础,获得公认的权威可靠性。
严格的内部管理制度:保证操作安全和信息安全。
2)操作规则
操作要求:规定操作要求。
安全控制规则:规定个人活动范围、处理的业务、期限和权限。
密钥管理规则:规定密钥产生、传输管理的责任制度。
审核规则:规定定期审核制度。
3)信息控制规则
认证声明:公开有关认证活动的责任、义务、操作及相关措施。
信息公开制度:发布相关认证信息,例如证书生效、失效等公开信息。
用户信息保护制度:保护认证中心、用户的机密信息。
1.1.3用户使用CA证书的操作流程
1.1.3.1证书申请、审核、下载流程
证书申请提供两种方式:通过CA中心的WEB站点在线填写,或到证书发放中心(RA)面对面申请。
以面对面申请为例:
证书申请者采用面对面的身份验证过程。
证书申请到RA填写证书申请表单(表单内容需要在实施时具体确定),向RA的录入管理员提交一些个人信息证明。
RA录入员将用户信息录入到未审核数据库中,等待RA审核员的审核。
RA的审核员对申请人提交的信息进行审核,决定同意或拒绝客户的证书申请。
如果审核通过,RA的审核员使用RA应用程序在CA系统中注册该申请用户。
CA接到操作员的证书审核通过信息后为用户产生参考号和授权码。
授权码可由CA经过RA服务器传至操作员的操作平台,操作员将其打印出来交给用户,也可在RA Server 端打印密码信封,由RA负责发放。
参考号将下传至RA服务器,由RA服务器通过电子邮件传给用户,参考号和授权码的发放方式可以互换。
证书申请人回到家里,登录CA所在网站的下载界面。
证书申请人通过浏览器下载安装CA的WWW服务器的证书。
下载CA的根证书。
证书申请人在下载页面中填入参考号和授权码。
用户的客户端浏览器生成密钥对。
浏览器将私钥保存在本地密钥库中,将公钥及所添入的两个号码打包成pkcs#10的格式送往CA。
CA接到用户的证书下载请求,生成证书。
用户下载证书,并安装到浏览器中。
1.1.3.2证书更新流程
用户证书具有一定的使用期限,当用户过期后需要申请进行更新。
具体流程如下:
用户证书过期时,注册中心可以通过提供新的参考号码和授权码,更新用户的证书上。
与前一节证书的初始下载过程相同,用户可以使用证书下载系统的相同统一资源定位码(URL)。
用户一旦获取上述信息,就可以直接进入上述URL,填写注册站点提供的表格,输入参考号和授权码,然后回答浏览器提供的对话框。
浏览器将生成密钥和证书请求,而且将自动跟证书下载系统执行交互,以便注册。
证书下载系统将检测浏览器是Netscape还是Microsoft浏览器,并采用正确的MIME类型和过程执行注册。
1.1.3.3证书废止流程
证书废止或注销主要有两种形式:主动注销和被动注销。
主动注销是指由用户提出注销申请,由RA具有相关权限的管理员对其要求进行处理,注销证书;被动注销是指当管理员确认持证人有违反证书应用规定的行为发生时采取注销证书的手段以停止对该证书的证明。
具体流程为:
由证书持有者本人持有效证件到申请证书的RA提出证书注销请求。
审核管理员对有效证件进行审核。
审核通过后在RA服务器的数据库中根据客户信息进行查询。
得到用户信息后提交到CA进行签字。
CA签发服务器将需注销证书的证书序列号写入证书注销列表。
CA将证书注销列表直接送到目录服务器供客户查询。
1.1.3.4证书恢复流程
当一个用户的证书撤销后,一个管理员可能会处理和恢复这个用户。
下面将提供两种解决方案中典型的用户恢复处理。
如果RA管理员决定重新将用户作为一个可信实体时,可以恢复用户证书。
具体流程如下:
使用RA系统完成对一个用户恢复密钥的设定后,一个新的参考号和授权码会提供给用
户。
与申请和接收证书相类似,用户可使用证书下载系统相同的URL地址。
一旦用户获取参考号和授权码,他们将很简单地去根据URL,填写注册站点提供的表格,输入参考号和授权码,然后回答浏览器用对话框提出的问题。
浏览器将生成一把密钥和一个证书申请并会自动与证书下载系统交互,注册浏览器。
证书下载系统将检查浏览器是Netscape浏览器还是IE,并使用正确的MIME类型和步骤注册。
1.1.4CA认证流程
当客户端程序对网站应用进行操作时,需调用CA认证接口对使用人身份进行鉴定。
CA认证接口的功能分为以下两个部分:
一、判断用户证书是否为合法证书
具体实现流程如下:
1.CA认证接口从客户请求中获取证书信息;
2.CA认证接口通过专线将证书相关信息发送到CA认证中心相关处理服务,由CA认证中心判断证书是否为合法的CA证书;
3.CA认证接口接收CA认证中心的判断结果,一旦判断不是合法证书则终止操作。
4.通过口令识别技术进行身份判断
二、当CA认证接口确定了用户证书为合法证书后,需要进一步验证用户的操作身份,具体实现流程如下:
1.从证书信息中取得关键信息;
2.提示输入对应的口令;
3.使用对应的口令和本地身份验证库中数据进行校验,判断编号和口令是否匹配;
4.如果不匹配将不允许继续操作。