CA认证中心
CA机构介绍(CertificateAuthority域名SSL证书颁发机构)
CA机构介绍(CertificateAuthority域名SSL证书颁发机构)SSL证书机构即CA机构的全称为Certificate Authority证书认证中⼼,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构。
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为⽬标的 HTTP 通道,在HTTP的基础上通过传输加密和⾝份认证保证了传输过程的安全性。
HTTPS 在HTTP 的基础下加⼊SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要SSL。
HTTPS 存在不同于 HTTP 的默认端⼝及⼀个加密/⾝份验证层(在 HTTP与 TCP 之间)。
这个系统提供了⾝份验证与加密通讯⽅法。
⽬前全球主流的CA机构有Comodo、Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等,其中Symantec、GeoTrust都是DigiCert机构的⼦公司,⽬前市场上主流的ssl证书品牌是Comodo证书、Symantec证书、GeoTrust证书、Thawte证书和RapidSSL证书,还有⼀些不知名的证书机构也是可以颁发数字证书的。
DigiCertDigiCert 旗下拥有 DigiCert,Symantec,Geotrust,Thawte,Rapid 5⼤SSL证书品牌。
DigiCert SSL证书分为 OV 和 EV 两种验证级别,同时⽀持多域名和通配符功能,也是全球极少能⽀持 IP 直接申请证书的CA之⼀。
Symantec赛门铁克(Symantec)SSL证书前⾝为 Verisign,后于2017年12⽉被DigiCert收购,现在已经使⽤ DigiCert 根证书。
Symantec Secure Site SSL证书依然是各⾏业尤其是⾦融银⾏证券等⼤型企业认可的品牌。
CA中心KPI管理解决方案
1.1. 数字认证设计1.1.1.数字证书系统建设要点基于CA认证技术的数字证书可以成功地解决网上用户身份识别、数据传递的安全性、完整性、不可抵赖性等安全问题,为电子政务和办公自动化提供了可靠安全的保障。
为了确保系统的安全性,使用政府认可的权威CA中心的数字证书,企业的网上商业活动才能收到法律的保护。
本文以我们在XXXXXXXXXXXX项目中实施的数字认证服务为例,描述数字认证服务的基本要点,尤其是几种运营模式的比较。
通过采用证书与应用系统的无缝集成,为XXXXXXXXXXXX提供了如下安全保障功能:身份认证,资格认证,保密性,完整性、不可抵赖性和信息的追认功能。
另外,通过安全代理软件将安全强度提升到全球公认的标准。
为了建立一套标准的时间,CA系统引进了时间戳来为网上报税系统提供完整的时间认定功能,避免在交易中出现由于时间带来的纠纷。
采用PKI技术后,XXXXXXXXXXXX系统将得到足够的安全保障,将传统上的申报征收系统延伸到Internet上,为客户提供更为方便、安全的审批申请手段。
在XXXXXXXXXXXX中,有些功能是面向全社会公开发布的,它并不需要证书来保护,如:主页信息、办事指南等,而有一些功能则需要由证书来保护,如:申报业务受理系统、网上缴税。
因此,可利用J2EE Application Server 提供的安全机制,对一站式服务系统的模块进行配置,使一个应用能处理多种安全要求。
通过配置需要保护的应用来保证需要访问该功能的用户必须通过认证,而其他不需要安全保护的用户则没有此限制。
当用户登陆门户应用系统时,服务器端安全代理首先判断是否有证书,如果没有,则拒绝访问;如果有,判断用户证书是否合法或是否仍然有效,如果合法,则自动读取用户唯一的证书甑别名DN,然后查询用户信息(证书甑别名DN应与用户代码一致),判断用户是否是已注册的合法用户。
如果是,则接收该用户的证书,准备对发送给用户的机密信息进行加密;如果建立的通道是双方认证的话,则用户端安全代理软件也进行同样的步骤来验证服务器的身份和获取服务器端的证书。
CA认证介绍
CA认证介绍为促进电子商务在中国的顺利开展,一些行业都已建成了自己的一套CA体系,如中国电信CA安全认证体系(CTCA)、中国金融认证中心(CFCA)等;还有一些行政区也建立了或正在建立区域性的CA体系,如上海电子商务CA认证中心(SHECA)、广东省电子商务认证中心(CNCA)、海南省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)等。
1. 中国电信CA安全认证系统(CTCA)中国电信自1997年底,开始在长沙进行电子商务试点工作,由长沙电信局负责组织。
CTCA是国内最早的CA中心。
1999年8月3日,中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定,并获得国家信息产品安全认证中心颁发的认证证书,成为首家允许在公网上运营的CA安全认证系统。
目前,中国电信可以在全国范围内向用户提供CA证书服务。
现在中国电信已经为用户发放了6万多张CTCA证书。
中国电信CTCA系统有一套完善的证书发放体系和管理制度。
体系采用三级管理结构:全国CA安全认证中心,(包括全国CTCA中心、CTCA湖南备份中心),省级RA中心以及地市业务受理点,在2000年6月形成覆盖全国的CA证书申请、发放、管理的完整体系。
系统为参与电子商务的不同用户提供个人证书、企业证书和服务器证书。
同时,中国电信还组织制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等,而且中国电信向社会免费公布CTCA系统接口标准和API软件包,为更多的电子商务应用开发商提供CTCA系统的支持与服务。
中国电信已经与银行、证券、民航、工商、税务等多个行业联合开发出了网上安全支付系统、电子缴费系统、电子银行系统、电子证券系统、安全电子邮件系统、电子订票系统、网上购物系统、网上报税等一系列基于中国电信CTCA安全认证系统的电子商务应用,已经初步建立起中国电信电子商务平台。
我国CA机构的发展
我国CA机构发展历程及现状CA中心又称CA机构,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得攻击者不能伪造和篡改证书。
在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。
它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
从1999年8月3日我国第一家CA认证中心——中国电信CA安全认证系统成立,目前我国已有140多家CA认证机构。
从2004年8月8日《中华人民共和国电子签名法》颁布以后,已被信息产业部审批的合法CA机构已有22家。
其中一些行业建成了自己的一套CA体系,如中国金融认证中心(CFCA)、中国电信CA安全认证系统(CTCA)等;还有一些地区建立了区域性的CA体系,如北京数字证书认证中心(BJCA)、上海电子商务CA认证中心(SHECA)、广东省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)等。
就国内目前状况而言,我国的CA还处于一个起步上升阶段,没有形成完整的统筹与协调,国内CA机构的发展还是各自为政,呈现独立发展的混乱局面,没有建立一个政策上固定的全国性CA(如美国的邮政CA)。
就中国CA市场而言,目前我国CA市场存在以下主要问题:1.我国CA市场存在较严重的同质竞争。
据信息产业部的不完全统计,目前我国有CA认证机构140多家,并且还有增建的趋势,而国内电子商务市场对CA的需求远远小于这些CA认证机构的供给量。
目前,过多的CA认证中心正在拼抢有限的市场规模,由于并不存在完全的不可替代性,所以这些CA机构都还处于同质竞争阶段。
这种竞争的结果是各家认证中心都需要通过价格战占领市场,而过于低廉的费用,不但不能够保证基本的服务,其权威性也会受到质疑。
CA中心概述
数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。
一个标准的X.509数字安全证书包含以下一些内容:·证书的版本信息;·证书的序列号,每个证书都有一个唯一的证书序列号;·证书所使用的签名算法;·证书的发行机构名称,命名规则一般采用X.500格式;·证书的有效期,现在通用的证书一般采用UTC时间格式;·证书所有人的名称,命名规则一般采用X.500格式;·证书所有人的公开密钥;·证书发行者对证书的签名2CA中的作用CA为电子商务服务的证书中心,是PKI(Public Key Infrastructure)体系的核心。
它为客户的公开密钥签发公钥证书、发放证书和管理证书,并提供一系列密钥生命周期内的管理服务。
它将客户的公钥与客户的名称及其他属性关联起来,为客户之间电子身份进行认证。
证书中心是一个具有权威性、可信赖性和公证性的第三方机构。
它是电子商务存在和发展的基础。
认证中心在密码管理方面的作用如下:自身密钥的产生、存储、备份/恢复、归档和销毁从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密钥对。
CA中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。
加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保护起来。
密钥的销毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。
需要强调的是,根CA密钥的安全性至关重要,它的泄露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。
为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务在客户证书的生成与发放过程中,除了有CA中心外,还有注册机构、审核机构和发放机构(对于有外部介质的证书)的存在。
第二节 认证中心及其功能
LDAP (Lightweight Directory 典型的系统组成包括安全服务器A、cc注es册s 机Pr构otRoAco、l轻CA量目录访问协议) 服务器、LDAP目录服务器和数据库服服务务器器提等供。目录浏览服务,负责将注
册机构服务器传输过来的用户信息以
及数字证书加入到服务器上。
典型的系统组成包括安全服务器、注册机构RA、CA 服务器、LDAP目录服务器和数据库服务器等。
电子商务 安全
第二节 认证中心及其功能
1、CA认证中心
ቤተ መጻሕፍቲ ባይዱCA认证中 心
CA(Certificate Authority)认证中心又称 为数字证书认证中心,是采用PKI(Public Key Infrastructure公开密钥基础架构)技 术 ,专门提供网络身份认证服务,负责签发 和管理数字证书,且具有权威性和公正性的 第三方信任机构。
证书下载等安全服务
CA服务器是整个证书机构的核心, 典型的系统组成包括安全服务器、注负册责机证构书RA的、签C发A 。CA首先产生自身 服务器、LDAP目录服务器和数据库服务的器私等钥。和公钥,然后生成数字证书,
并且将数字证书传输给安全服务器。
注册机构RA服务器面向登记中心操作 员,在CA体系结构中起承上启下的作 用,一方面向CA典转型发的安系全统服组务成器包传括输安全服务器、注册机构RA、CA 过来的证书申服请务请器求、,L另D一AP方目面录向服务器和数据库服务器等。 LDAP服务器和安全服务器转发CA颁 发的数字证书和证书撤消列表。
二、 认证中心的功能
1
证书发放
2
CA认证及应用
计算机网络安全技术
13
CA认证及应用
中国金融认证中心(CFCA),由中国人民银行牵头,联合中国工商银行、 中国农业银行、中国银行、中国建设银行、交通银行、招商银行、中信实业银 行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等12家商 业银行共同建设了中国金融认证中心(China Financial Certificate Authority, CFCA)。
计算机网络安全技术
11
CA认证及应用
国内一些行业都已建成了自己的CA体系,如中国电信CA安全 认证体系(CTCA)、中国金融认证中心(CFCA)等;还有一些行 政区也建立了或正在建立区域性的CA体系,如上海电子商务CA认 证中心(SHECA)、广东省电子商务认证中心(CNCA)、海南省 电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA) 等。
计算机网络安全技术
2
CA认证及应用
常规业务中,交易双方现场交易,可以确认购买双方的身份。但在网上交 易时,由于交易双方并不现场,如何保证交易双方身份的真实性和交易的不可 抵赖性,就成为人们迫切关心的一个问题。在电子商务过程中,必须从技术上 保证在交易过程中能够实现身份认证、安全传输、不可否认性、数据一致性。 在采用CA证书认证体系之前,交易安全一直未能真正的得到解决。由于CA数 字证书认证技术采用了加密传输和数字签名技术,能够实现上述要求,因此在 国内外的电子商务中,都达到了广泛的采用,以数字证书认证来保证交易能够 得到正常的执行。
简述ca认证中心的工作内容
CA认证中心的工作内容什么是CA认证中心?CA认证中心(Certificate Authority)是网络安全领域中的一种实体机构,负责为数字证书的申请者颁发和管理数字证书,确保数字证书的可信度和有效性。
CA认证中心的工作是保证数字证书的真实性、完整性和安全性。
CA认证中心的工作职责CA认证中心的主要工作职责包括:1.颁发数字证书:CA认证中心负责对申请者的身份进行验证,并根据验证结果颁发数字证书。
数字证书是一种包含了申请者公钥等信息,并经CA数字签名认证的文件。
2.管理证书资源:CA认证中心需要管理自己颁发的所有数字证书,并保证证书的安全可靠。
例如,可以建立证书撤销列表(CRL)以及在线证书状态协议(OCSP)服务,提供证书的撤销和验证功能。
3.证书吊销与更新:当某个数字证书的私钥泄露、证书的有效期过期或申请者的身份发生变化时,CA认证中心负责吊销相应的数字证书,防止证书被非法使用。
同时,对于有效期即将到期的数字证书,CA认证中心还需要提醒申请者进行证书的更新。
4.安全审计与风险评估:CA认证中心需要定期进行审计和评估,确保自身的安全可靠性。
这包括对系统与网络进行漏洞扫描、安全策略制定与执行等。
同时,还需要评估数字证书的使用风险,及时发现并解决存在的安全隐患。
5.技术支持与解决方案:作为一个专业的机构,CA认证中心需要为用户提供专业的技术支持和解决方案。
用户在使用数字证书时,可能会遇到各种问题,CA认证中心需要及时回应用户的需求,并提供合适的解决方案。
CA认证中心的工作流程CA认证中心的工作流程大致包括以下几个步骤:1.身份验证:申请者在申请数字证书之前,需要通过身份验证。
这包括提供相关的个人或组织证明文件,并进行实名认证。
CA认证中心会对这些证据进行审查,确保申请者的身份真实可靠。
2.证书申请:申请者通过在线系统或其他方式向CA认证中心提交数字证书的申请。
申请中需要包括公钥、个人或组织信息等内容。
CA认证中心
典型的PKI体系结构——3 认证中心CA
CA是认证中心,具备有限的政策制定功能,按照上级PCA 制定政策,具体的用户公钥证书的签发、生成和发布及CRL 生成及发布。具体功能包括:
发布本地CA对PCA政策的增补部分; 对下属各成员进行身份认证和鉴别; 产生和管理下属证书; 发布自身证书和上级证书; 证实ORA的证书申请请求; 向ORA返回证书制作的确认信息或返回已制定 好的证
证书的请求;密钥泄漏的报告;证书中包括的某种关系的中止等等。
12.存档
——出于政府和法律的要求以及系统恢复的需要,CA产生的证书和 CRL应被归档,作历史文件保存。 另外有关文件和审计信息出于调 整或法规的规定也需要存档。
PKI体系的互通性(互操作性)
1.交叉认证方式
需要互通的PKI体系中的PAA在经过协商和政策制定之后,可 以互相认证对方系统中的PAA(即根CA)。 认证方式是根CA用自己的私钥为其他的需要交叉认证的根CA 的公钥签发证书。
——密钥的产生和模长 ——对PCA、CA、ORA系统的安全控制 ——CRL的发布频率 ——审计程序
对下属各成员进行身份认证和鉴别; 产生和管理下属成员的公钥; 发布PAA和自己的证书到下属成员; 定义证书作废请求生效所需的信息和程序; 接收和认证对它所签发的证书的作废申请请求; 为它所签发的证书产生CRL; 保存证书、CRL、审计信息和它所签发的政策;
1.产生、验证和分发密钥 ——用户自己产生密钥对: ——CA为用户产生密钥对: ——CA(包括PAA、PCA、CA)自己产生自己的密钥对
2.签名和验证
——PKI成员对数字签名和认证是采用多种算法的,如RSA、DES等等, 这些算法可以由硬件、软件或硬软结合的加密模块(固件)来完成。
深圳CA介绍
深圳CA介绍
1.深圳CA简介
深圳CA,全称深圳市电子证书认证中心(SZCA,Shenzhen Certificate Authority ),经深圳市信息办和深圳市国密办批准,于2000年8月正式成立,并依照《中华人民共和国电子签名法》和《电子认证服务机构管理办法》,具有工业和信息化部颁发的《电子认证服务许可证》和由国家密码管理局颁发的《电子认证服务使用密码许可证》,为深圳市的电子政务建设和电子商务活动提供统一的安全认证基础设施,和统一的标准运营服务体系。
1999年11月国密办批准,同意建立深圳电子商务证书认证中心和密钥管理中心,2000年市编办批复市电子商务中心加挂“深圳市电子商务证书认证中心”牌子。
2001年公司的证书认证系统通过国密办的安全性审查;2003年市编办将深圳市电子商务证书认证中心更名为:深圳市电子证书认证中心;
2005年,随着《电子签名法》的颁布和实施,为更好地为用户提供具有法律保障的权威认证服务,适应新形势下的信息安全需求,公司将原有的系统进行全面的升级改造。
2006年6月,改造后的新系统通过了国家密码管理局的安全性审查,并于同年8月获得国家密码管理局颁发的《电子认证服务使用密码许可证》。
2007年,经过信息产业部对SZCA的运营服务全面严格的审查,于2007年10月获得由工业和信息化部颁发的《电子认证服务许可证》。
从而使深圳CA的法律地位得到了确立,保障了深圳CA提供的第三方电子认证服务的法律有效性,并为用户使用深圳CA的电子签名等电子认证服务提供了法律保证。
ca认证中心
ca认证中心CA认证中心一、概述CA认证中心(Certification Authority)是一个可信赖的第三方机构,负责颁发和管理数字证书。
数字证书是用于加密和认证数据的一种加密技术,在网络通信、电子商务和电子政务等领域广泛应用。
CA认证中心是数字证书的签发机构,监管和验证数字证书的合法性和有效性,确保其安全可靠。
二、CA认证中心的作用1. 数字证书颁发:CA认证中心负责颁发数字证书给申请者,该证书包含了证书的所有者的公开密钥、证书的有效期和CA认证中心的数字签名等信息。
2. 数字证书验证:CA认证中心通过验证申请者的身份信息,并为其签发数字证书。
该证书能够确保数据的完整性、保密性和真实性,同时也能对数据进行数字签名,以防止被篡改。
3. 密钥管理:CA认证中心负责生成、分发和注销公开密钥,确保其安全性和可靠性。
同时,CA认证中心也负责更新和维护密钥库,以保证密钥的有效性和安全性。
4. 数字证书吊销:如果数字证书持有者的私钥遗失或泄露,CA认证中心可以吊销该数字证书,以保证数字证书的安全性和有效性。
三、CA认证中心的工作流程1. 申请数字证书:申请者向CA认证中心提交申请,并提供必要的身份证明材料和公开密钥等信息。
2. 身份验证:CA认证中心对申请者进行身份验证,确保其身份的真实性和合法性。
3. 证书签发:如果身份验证通过,CA认证中心会为申请者签发数字证书。
该数字证书包含了申请者的公开密钥、证书的有效期和CA 认证中心的数字签名等信息。
4. 证书分发和验证:CA认证中心将签发的数字证书分发给申请者,并将其存储在公共证书库中。
同时,其他用户可以通过验证数字证书的数字签名和证书链的完整性来验证数字证书的有效性和合法性。
5. 密钥管理和证书更新:CA认证中心负责生成、分发,以及更新和维护公开密钥和数字证书的库,以保证其有效性和安全性。
6. 数字证书吊销:如果数字证书持有者的私钥遗失或泄露,CA认证中心可以吊销该数字证书,并将该信息发布到证书吊销列表中,以保证数字证书的安全性和有效性。
CA认证的基本概念
一、CA认证的基本概念1.认证中心认证中心是一个负责发放和管理数字证书的权威机构。
认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
认证中心的主要功能:·证书的颁发·证书的更新·证书的查询·证书的作废·证书的归档2.数字签名数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。
数字签名提供了对信息来源的确定并能检测信息是否被篡改。
数字签名与数据加密完全独立。
数据可以既签名又加密,只签名,只加密,当然,也可以既不签名也不加密。
发送方计算出的签名和数据一起传送给接收方,签名值是关于发送方的私钥和要发送的信息的一个数学函数的值。
算法的构造保证如果不知道私钥的话就不可能计算出这个签名值。
接收方可以通过依赖发送方的公钥、签名值和接收到的数据的另一个数学算法来验证接收到的信息就是发送方签名的信息。
页脚内容13.数字证书1)数字证书的概念:数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。
它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。
2)数字证书的作用:访问需要客户验证的安全INTERNET站点。
用对方的数字证书向对方发送加密的邮件。
给对方发送带自己签名的邮件。
3)数字证书的内容:证书的格式由ITU标准X.509V3来定义。
根据这项标准,证书包括申请证书个体的信息和发行证书CA的信息。
证书由以下两部分组成:(1)证书数据版本信息,用来与X.509的将来版本兼容;证书序列号,每一个由CA发行的证书必须有一个唯一的序列号;CA所使用的签名算法;发行证书CA的名称;证书的有效期限;证书主题名称;页脚内容2被证明的公钥信息,包括公钥算法、公钥的位字符串表示;包含额外信息的特别扩展。
CA密匙管理办法
CA密匙管理办法此办法用于规范农资股份有限公司及下属公司NC操作时CA密匙的操作及日常管理。
一、名词解释:1、CA (认证中心)CA(Certification Authority 认证中心)是用来颁发数字证书的权威机构,它具有权威性、公正性和可靠性。
NC系统中的CA机构为股份公司,用作辨别操作员身份,证明系统业务单据的录单人为操作员本人,具有不可抵赖性。
2、CA密匙CA密匙(以下称UKEY)是系统执行过程中,验证操作员合法性的工具,经股份公司认证中心制作获得。
在NC系统中,凡涉及网银付款的操作均需使用CA验证。
UKEY一方面作为系统关键环节运行的钥匙,另一方面带有操作员自身设置的密码,对系统具有很高安全性。
二、使用角色范围CA系统于NC结算相关业务操作过程中使用。
所涉及岗位有各单位会计主管、资金结算员、资金结算管理员及资金经理。
三、使用流程1、日常操作操作员在NC系统中办理相关业务,当系统弹出需插入UKEY的提示时,应按照系统的提示将UKEY插入计算机,输入密码后,才能完成操作。
退出系统时,请及时将UKEY从计算机上拔出。
2、证书处理(1)证书申请股份公司NC资金系统上线时,已对各相关岗位的操作员制作并发放UKEY。
当新单位(部门)成立,需要使用NC系统付款、现金管理结算等业务,相关岗位操作员填写《CA密匙申请表》(申请内容填写“新增UKEY”),经单位(部门)负责人、资金管理部经理、办公室主任审批后,提交办公室电脑室系统管理员制作新KEY。
(2)证书修复、更换证书过于破旧、用户忘记证书密码或因密码多次输入错误而导致证书被冻结时,应及时填写《CA密匙申请表》(申请内容填写“初始化UKEY密码”),经单位(部门)负责人、资金管理部经理、办公室主任审批后,把申请表和密匙提交系统管理员对UKEY密码初始化。
(3)更换岗位因相关操作岗位调动导致NC操作员更换等情况。
应填写《CA密匙申请表》(申请内容填写“更换操作员”,“由XX更换为XX”),经单位(部门)负责人、资金管理部经理、办公室主任审批后,把申请表和密匙提交系统管理员对UKEY的操作员进行更换。
CA认证市场
随着互联网的普及,尤其是电子商务、电子政务的不断实施,CA认证越来越受到人们的重视,其市场也不断扩大。
但是,许多互联网用户对此概念还比较模糊,对其作用和市场不甚了解,为此,作者希望通过本文的介绍对CA认证市场及其广大网络用户起到抛砖引玉的作用。
1.关于CACA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明客户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得第三者不能伪造和篡改证书。
它负责产生、分配并管理所有参与网上信息交换各方所需的证书,因此是安全电子信息交换的核心。
CA认证所签发的数字证书包括个人数字证书,企业数字证书服务器身份证书.安全Web站点证书、代码签名证书,安全电子邮件证书.广泛的被应用于电子商务、网上银行、电信、电子政务、网上身份证、数字签名、电子公证、安全电邮、保险等领域。
2.获得数字证书的过程首先用户要填写数字证书申请表,向认证中心申请单位提供申请人(申请单位)的身份信息;然后发证机构验证用户身份;认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内附有用户和他的密钥等信息,同时还附有对认证中心公共密钥加以确认的数字证书。
当用户想证明其身份的合法性时,就可以提供这一数字证书了。
3.数字证书的内容证书的格式由ITU标准X.509V3来定义。
根据这项标准,证书包括申请证书个体的信息和发行证书CA的信息.证书由以下两部分组成(1)证书数据版本信息,用来与X.509的将来版本兼容;证书序列号,每一个由CA发行的证书必须有一个惟一的序列号;CA所使用的签名算法;发行证书CA的名称;证书的有效期限;证书主题名称;被证明的公钥信息,包括公钥算法、公钥的位字符串表示;包含额外信息的特别扩展。
CA认证功能介绍
CA认证功能介绍发布日期:2008-12-30 11:38:25概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。
CA的核心功能就是发放和管理数字证书,具体描述如下:(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心为了实现其功能,主要由以下三部分组成:(1)注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。
因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。
(2)证书申请受理和审核机构:负责证书的申请和审核。
它的主要功能是接受客户证书申请并进行审核。
(3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
CA认证简介为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。
数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。
该数字证书具有唯一性。
它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。
这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。
各级CA认证机构的存在组成了整个电子商务的信任链。
如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
什么是CA
用户 A
用户 B
数字证书的颁发
数字证书是由认证中心(CA)颁发的 数字证书颁发过程如下:
用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息 传送给认证中心。认证中心在核实身份后,将执行一些必要的步 骤,以确信请求确实由用户发送而来,然后,认证中心将发给用 户一个数字证书,该证书内包含用户的个人信息和他的公钥信息, 同时还附有认证中心的签名信息。用户就可以使用自己的数字证 书进行相关的各种活动。 证书=个人信息+公钥信息+ 的签名信息 证书=个人信息+公钥信息+CA的签名信息
什么是X.509证书
X.509是一种非常通用的证书格 式。 一份X.509证书是一些标准字段的 集合,这些字段包含有关用户或 设备及其相应公钥的信息。 X.509标准定义了证书中应该包含 哪些信息,并描述了这些信息是 如何编码的(即数据格式) 。
什么是PKI
什么是PKI PKI的主要组成 PKI技术及应用 PKI体系结构 PKI的功能操作 PKI体系的互通性
数字证书的存储
数字证书的存储介质主要有
软盘 硬盘 IC卡 Usb Key
数字证书的原理
利用一对互相匹配的密钥进行加密、解密。 用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进 行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一 组用户共享,用于加密和验证签名。
A的私钥 签名 私钥 B的公钥 加密 公钥 A的公钥 验证 公钥 B的私钥 解密 私钥
CA的作用
CA提供的安全技术对网上的数据、信息发送方、接收方 进行身份确认,以保证各方信息传递的安全性、完整性、 可靠性和交易的不可抵赖性。
交易信息的保密性 交易信息的不可修改性 交易者身份的确定性 交易的不可抵字证书。 CA认证中心的功能主要有:证书发放、证书更新、证书撤销和证书 验证。 具体描述如下: (1)接收验证用户数字证书的申请。 (2)确定是否接受用户数字证书的申请,即证书的审批。 (3)向申请者颁发(或拒绝颁发)数字证书。 (4)接收、处理用户的数字证书更新请求。 (5)接收用户数字证书的查询、撤销。 (6)产生和发布证书的有效期。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。
CA认证的应用
CA认证技术的实践与应用1.CA认证机构所谓认证中心,也称为数字证书认证中心,英文为CertificationAu鄄thority,简称CA。
是基于国际互联网平台建立的一个公正、独立、有权威性、广受信赖的组织机构,主要负责数字证书的发行、管理及认证服务,以保证网上业务安全可靠地进行。
一般而言,CA认证体系由证书审批部门和证书操作部门组成。
证书审批部门(registryauthority.RA)作为电子商务交易中受信任的第三方,承担公钥的合法性检验的责任。
它负责对证书申请者进行资格审查,决定申请者是否有资格获得证书,并承担为不符合资格的证书申请者发放证书所引起的一切后果,因此审核部门应由能够承担这些责任的机构负责。
证书操作部门(certificateprocessor.CP)为已授权的申请者制作、发放和管理证书。
并承担因操作不当所产生的一切后果。
包括失密和为没有获得授权者发放证书等。
它可以由审核部门自己担任,也可委托第三方担任。
一般CA认证中心具有六项基本功能:证书发放功能,证书查询功能,证书更新功能,证书吊销功能,制定相关政策功能,保护数字证书安全功能。
(二)我国CA认证机构的现状与发展电子商务、电子政务对网络安全的要求,不仅推动着互联网交易秩序和交易环境的建设,同时也带来了巨大的商业利润。
从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统起,目前我国已有140多家CA认证机构。
但大都不具备合法身份。
从2004年8月8日《中华人民共和国电子签名法》颁布以后,已被信息产业部审批的合法CA机构已有22家。
其中一些行业建成了自己的一套CA体系,如中国金融认证中心(CFCA)、中国电信CA安全认证系统(CTCA)等;还有一些地区建立了区域性的CA体系,如北京数字证书认证中心(BJCA)、上海电子商务CA认证中心(SHECA)、广东省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CA认证中心的建设▪尚没有明确国家级CA安全认证系统▪行业性CA安全认证系统:●中国人民银行联合12家银行建立的金融CFCA安全认证中心●中国电信建立的CTCA安全认证系统●国家外贸部EDI中心建立的国富安CA安全认证中心一、公匙基础设施PKI▪PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
▪PKI必须具有权威认证机构CA在公钥加密技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能,兼包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序,以及为PKI体系中的各成员提供全部的安全服务。
如:实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密等。
▪PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
典型的PKI体系结构——1.政策批准机构PAA▪PAA是政策批准机构,由它来创建各个PKI系统的方针,批准本PAA下属的PCA的政策,为下属PCA签发公钥证书,建立整个PKI体系的安全策略,并具有监控各PCA行为的责任。
具体功能包括:●发布PAA的公钥证书;●制定本体系的政策和操作程序;●制定本PKI体系中建立PCA的政策和操作程序;●对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别;●为下属PCA和需要定义认证的其他根证书产生证书;●发布下属PCA的身份及位置信息;●接收和发布下级PCA的政策;●定义下级PCA申请证书作废请求所需的信息;●接收和认证对它所签发的证书的作废申请请求;●为它所签发的证书产生CRL;●保存证书,保存CRL,审计信息,PCA政策;•发布它所签发的证书及和CRL。
典型的PKI体系结构——2 政策PCA机构▪PCA为政策CA,制定本PCA的具体政策,可以是上级PAA政策的扩充或细化,但不能与之相背离。
这些政策可能包括本PCA范围内密钥的产生、钥密的长度、证书的有效期规定及CRL的管理等等。
并为下属CA签发公钥证书。
具体功能包括:●发布自己的身份和位置信息;●发布它所签发的下属CA的身份和位置信息;●公布它的服务对象;●发布它所制定的安全政策和证书处理有关程序:——密钥的产生和模长——对PCA、CA、ORA系统的安全控制——CRL的发布频率——审计程序●对下属各成员进行身份认证和鉴别;●产生和管理下属成员的公钥;●发布PAA和自己的证书到下属成员;●定义证书作废请求生效所需的信息和程序;●接收和认证对它所签发的证书的作废申请请求;●为它所签发的证书产生CRL;●保存证书、CRL、审计信息和它所签发的政策;●发布它所签发的证书及CRL。
典型的PKI体系结构——3 认证中心CA▪CA是认证中心,具备有限的政策制定功能,按照上级PCA 制定政策,具体的用户公钥证书的签发、生成和发布及CRL 生成及发布。
具体功能包括:●发布本地CA对PCA政策的增补部分;●对下属各成员进行身份认证和鉴别;●产生和管理下属证书;●发布自身证书和上级证书;●证实ORA的证书申请请求;●向ORA返回证书制作的确认信息或返回已制定好的证书;●接收和认证对它所签发的证书的作废申请;●为它所签发证书产生CRL;●保存证书、CRL、审计信息和它所签发的政策;•发布它所签发的证书和CRL。
典型的PKI体系结构——4 在线证书申请ORA 进行证书申请者的身份认证,向CA提交证书申请,验证接收CA签发的证书,并将证书发放给申请者。
必要时,还协助进行证书制作。
具体功能包括:●对用户进行身份审查和鉴别;●将用户身份信息和公钥以数字签名的方式送给CA;●接收CA返回的证书制作确认信息或制好的证书;●发放CA证书,CA的上级证书以及发放用户证书;•接受证书作废申请,验证其有效性,并向CA发送该申请。
PKI具有十二种功能操作,涉及到的成员机构包括:PKI认证机构(P)、数据发布目录(D)、用户。
▪ 1.产生、验证和分发密钥——用户自己产生密钥对:——CA为用户产生密钥对:——CA(包括PAA、PCA、CA)自己产生自己的密钥对▪ 2.签名和验证——PKI成员对数字签名和认证是采用多种算法的,如RSA、DES等等,这些算法可以由硬件、软件或硬软结合的加密模块(固件)来完成。
——密钥和证书存放的介质可以是内存、IC卡或软盘等。
▪ 3.证书的获取——发送者发送签名信息时,附加发送自己的证书;——单独发送证书信息的通道;——可从访问发布证书的目录服务器获得;——或者从证书的相关实体(如RA)处获得;4.验证证书●验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA证书。
●在使用每个证书前,必须检查相应的CRL(对用户来说这种在线的检查是透明的)。
●用户检查证书的路径是从最后一个证书(即用户已确认可以信任的CA证书)所签发的证书有效性开始,检验每一个证书,一旦验证后,就提取该证书中的公钥,用于检验下一个证书,直到验证完发送者的签名证书,并将该证书中包括的公钥用于验证签名。
5.保存证书●保存证书是指PKI实体在本地储存证书,以减少在PKI体系中获得证书的时间,并提高证书签名的效率。
●在存储每个证书之前,应该验证该证书的有效性。
PKI实体可以选择存储其证书链上其他实体所接收到的所有证书,也可以只存储数字签名发送者的证书。
●证书存储单元应对证书进行定时管理维护,清除已作废的或过期的证书及在一定时间内未使用的证书。
证书存储数据库还要与最新发布的CRL文件相比较,从数据库中删除CRL文件中已发布的作废证书。
▪ 6.本地保存证书的获取●CA证书可以集中存放,也可分布式存放,即可从本地保存的证书中获取证书。
用户收到签名数据后,将去检查证书存储区中是否已有发送者签发的证书,用签发者的公钥验证签名。
▪7.证书废止的申请终止的方式:(1)如果是密钥泄露,证书的持有者以电话或书面的方式,通知相应的CA;(2)如果是因关系中止,由原关系中组织方面出面通知相应的ORA或CA。
处理过程:如果ORA得到通知,ORA应通知相应的CA,作废请求得到确认后,CA在数据库中将该证书记上作废标志,并在下次发布CRL时加入证书作废列表,并标明作废时间。
在CRL中的证书作废列表时间有规定,过期后即可删除。
PKI的操作功能(4)▪8.密钥的恢复●在密钥泄密、证书作废后,为了恢复PKI中实体的业务处理和产生数字签名,泄密实体将获得(包括个人用户)一对新的密钥,并要求CA产生新的证书。
●泄漏密钥的实体是CA的情况下,它需要重新签发以前那些用泄密密钥所签发的证书。
●每一个下属实体将产生新的密钥时,获得CA用新私钥签发新的证书,而原来用泄密密钥签发的旧证书将作废,并被放入CRL。
●在具体做法上可采取双CA的方式来进行泄密后的恢复,即每一个PKI实体的公钥都由两个CA签发证书,当一个CA泄密钥后,得到通知的用户可转向另一个CA的证书链,可以通过另一个CA签发的证书来验证签名。
这样可以减少重新产生密钥时和重新签发证书的巨大工作量,也可以使泄密CA的恢复和它对下属实体证书的重新发放工作稍慢进行,系统的功能不受影响。
▪9.CRL的获取——CA产生CRL后,自动发送到下属各实体;——大多数情况是:由使用证书的各PKI实体从目录服务器获得相应的CRL。
PKI的操作功能(5)▪10.密钥更新——如果CA和其下属的密钥同时到达有效期截止日期,则CA和其下属实体同时更换密钥,CA用自己的新私钥为下属成员的新公钥签发证书;——如果CA和其下属的密钥不是同时对达有效截止期,当用户的密钥到期后,CA将用它当前的私钥为用户新的公钥签发证书;而CA密钥先到达截止日期时,CA用新私钥为所有用户的当前公钥重新签发证书。
▪11.审计——PKI体系中的任何实体都可以进行审计操作,但一般而言是由CA来执行审计,CA保存所有与安全有关的审计信息。
如:产生密钥对;证书的请求;密钥泄漏的报告;证书中包括的某种关系的中止等等。
▪12.存档——出于政府和法律的要求以及系统恢复的需要,CA产生的证书和CRL应被归档,作历史文件保存。
另外有关文件和审计信息出于调整或法规的规定也需要存档。
PKI体系的互通性(互操作性)▪1.交叉认证方式●需要互通的PKI体系中的PAA在经过协商和政策制定之后,可以互相认证对方系统中的PAA(即根CA)。
●认证方式是根CA用自己的私钥为其他的需要交叉认证的根CA的公钥签发证书。
●这种认证方式减少了操作中的政策因素,对用户而言,也只在原有的证书链上增加一个证书而已。
但对于每一个根CA而言,需要保存所有其它需要与之进行交叉认证的根CA的证书。
▪2.全球建立统一根方式●这种方式是将不同的PKI体系组织在同一个全球根CA之下,这个全球CA可由一个国际组织,如联合国等来建设。
●考虑到各个PKI体系管理者一般都希望能保持本体系的独立性,全球统一根CA实现起来有一些具体的困难。
所以,PKI体系之间的互通性一般用交叉认证来实现。
二、中国电信CTCA建设情况(1) 中国电信自1996年开始进行电子商务安全认证的研究、试验工作;1999年8月3日,中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定,并获得国家信息产品安全认证中心颁发的认证证书,成为首家允许在公网上运营的CA 安全认证系统。
CTCA于5月12日正式向社会发放CA证书,并向社会免费公布CTCA安全认证系统的接口标准和API软件包,现在中国电信已经为用户发放了6万多张CTCA证书。
▪采用“可信任的第三方”模式,所有加解密运算均由硬件实现(通过国家密码管理委员会办公室鉴定)。
▪系统遵循国际PKCS、PKIX系统标准,按照ITU-T X.509国际标准实现,签发的证书遵循ITU-T X.509V3标准。
系统还可签发标准的SSL证书,S/MIME证书;系统可以在X.509标准基础上进行证书属性的扩展,以适应不同业务系统的需求;系统支持512Bit和1024Bit公钥证书的签发。
▪系统提供两种黑名单查询方式,即OCSP方式和CRL方式,其中OCSP方式为用户提供实时的证书状态查询服务,而CRL方式定期为用户提供证书黑名单列表。
采用三级管理结构:全国CA安全认证中心,(包括全国CTCA中心、CTCA湖南备份中心),省级RA中心以及地市业务受理点,已形成覆盖全国的CA证书申请、发放、管理的完整体系。
系统为参与电子商务的不同用户提供个人证书、企业证书和服务器证书。
同时还制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等三、中国金融认证中心(CFCA)▪中国金融认证中心(CFCA ),是由中国人民银行牵头,联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参加建设,由银行卡信息交换总中心承建的。