第8章：认证中心及证书原理

数字证书的种类
个人身份证书 个人安全电子邮件证书 企业身份证书 企业安全电子邮件证书 服务器身份证书 企业代码签名证书 个人代码签名证书

数字证书的原理

利用一对互相匹配的密钥进行加密、解密。 用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进 行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一 组用户共享，用于加密和验证签名。
•
网络世界的电子身份证 • 与现实世界的身份证类似 • 能够证明个人、团体或设备的身份
• • •
拥有者拥有证书公钥对应的私钥 由可信的颁发机构颁发
• 比如身份证由公安局颁发一样
颁发机构对证书进行签名 • 与身份证上公安局的盖章类似 • 可以由颁发机构证明证书是否有效 • 可防止擅改证书上的任何资料
姓名 地址 公司 电话号码 Email地址 …
证书＝个人信息＋公钥信息＋CA的签名信息
证书的发放
证书的发放包括两部分： 一、证书的申请、制作、发放。 二、用户的身份认证。 CA(证书服务中心 )完成第一部分工作，RA（审核 受理处）则完成第二部分工作。对于RA,持卡人 RA由发卡银行，商家的RA由收单银行等能够认 证用户身份的单位来担任。



CA的作用

CA提供的安全技术对网上的数据、信息发送方、接收方 进行身份确认，以保证各方信息传递的安全性、完整性、 可靠性和交易的不可抵赖性。

交易信息的保密性 交易信息的不可修改性 交易者身份的确定性 交易的不可抵赖性
CA的功能



CA的核心功能就是发放和管理数字证书。 CA认证中心的功能主要有：证书发放、证书更新、证书撤销和证书 验证。 具体描述如下： （1）接收验证用户数字证书的申请。 （2）确定是否接受用户数字证书的申请，即证书的审批。 （3）向申请者颁发（或拒绝颁发）数字证书。 （4）接收、处理用户的数字证书更新请求。 （5）接收用户数字证书的查询、撤销。 （6）产生和发布证书的有效期。 （7）数字证书的归档。 （8）密钥归档。 （9）历史数据归档。
A的私钥 签名 B的公钥 加密 A的公钥 验证 B的私钥 解密
用户 A
用户 B
数字证书的颁发

数字证书是由认证中心（CA）颁发的 数字证书颁发过程如下：

用户首先产生自己的密钥对，并将公共密钥及部分个人身 份信息传送给认证中心。认证中心在核实身份后，将执行一 些必要的步骤，以确信请求确实由用户发送而来，然后，认 证中心将发给用户一个数字证书，该证书内包含用户的个人 信息和他的公钥信息，同时还附有认证中心的签名信息。用 户就可以使用自己的数字证书进行相关的各种活动。

国内厂商



天威诚信 信安世纪 北京数字证书认证中心
证书的申请流程
一、用户带相关证明到正是业务受理中心RS申请证书； 二、用户在线填写证书申请表格和证书申请协议书； 三、RS业务人员取得用户申请数据后，与RA中心联系，要求用 户身份认证； 四、RA下属的业务受理点审核员通过离线方式（面对面）审核 申请者的身份、能力和信誉等； 五、审核通过后，RA中心向CA中心转发证书的申请要求； 六、CA中心响应RA中心的证书请求，为该用户制作、签发证书， 并且交给RS； 七、当用户再次上网要求获取证书时，RS将制作好的证书传给 用户；如果证书介质是IC卡方式，则RS业务人员打印好相关 密码信封传给用户，通知用户到相关业务受理点领取； 八、用户根据收到的用户应用指南，使用相关的证书业务。
知识结构
公钥基础结构 什么是PKI 公钥加密技术 什么是证书
PKI与证书服 务应用
CA的作用 CA 证书的发放过程 安装证书服务 生成证书申请 提交证书申请
在Web服务器上 设置SSL
颁发证书
在Web服务器上安装证书
启用安全通道 使用HTTPS协议访问网站 证书的导出和导入
CA电子商务网络示意图
什么是CA


公钥基础设施PKI
证书注销
证书发布
CA
目录 服务
证书终止
RA
终端 用户
证书生成
证书归档
申请与审核
PKI的主要组成

认证机构

证书的签发机构，是PKI的核心，是PKI应用中权威的、可信任的、公 正的第三方机构。 是证书的集中存放地，提供公众查询。 对用户的解密密钥进行备份，当丢失时进行恢复，而签名密钥不能备 份和恢复。 证书由于某种原因需要作废、终止使用，这将通过证书作废列表CRL 来完成。 是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保 所建立起来的网络环境安全可信，并降低管理成本。
证书颁发机构
客户申请证书
为什么要使用数字证书

来源－电子商务对认证的需要

电子商务必须保证买卖双方在因特尔网上的交易真实、可靠， 并具有绝对的信心。

因特网电子商务系统必须保证具有十分可靠的安全保密技 术,即必须保证网络安全的四大要素 ：



信息传输的保密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性
制证 终端
管理 终端
证书使用者 证书使用者
知名CA厂商

国外厂商


VeriSign： 是最大的公共 CA ，也是最早广泛推广 PKI 并 建立 公 共 CA 的公司之一。 VeriSign 除了是公认的最可 信公共 CA 之 一，还提供专用 PKI 工具， 包括称为 OnSite 的证书颁发服 务，这项服务充当了本地 CA ，而 且连接到了 VeriSign 的公 共 CA 。 Microsoft ：提供了一个证书管理服务作 为 Windows NT 的 一个附加件，并且现在已经把完整的 CA 功能都合并到 了 Windows 2000 中。
HASH
Bob 的名称 (对象) Bob 的公钥
Public Bob
Digital Signature
Signed with trusted private key Private CA
由可信的第三方进行签 名(CA) 使用CA的私钥 保证信息的真实性和完 整性
数字证书
•
PKI系统(CA系统)的产物 • 数字证书是PKI技术的现实载体，通过数字证 书我们可以实现身份认证、信息加密、签名 等一系列的安全操作

CA(Certificate Authority)是数字证书认证中心的简称，是指发放、 管理、废除数字证书的机构。 CA为电子政务、电子商务等网络环境中各个实体颁发数字证书，以 证明身份的真实性，并负责在交易中检验和管理证书； CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上 签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。 CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参 与交易的第三方网上身份认证机构。 CA是PKI的核心组成部分。

证书库

密钥备份及恢复系统


证书作废处理系统


PKI应用接口系统

PKI技术及应用

PKI的基础技术包括加密、数字签名、数据完整性机制、 数字信封、双重数字签名等。 一个典型、完整、有效的PKI应用系统至少应具有以下部 分：



公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。
数字证书的内容

公钥证书的主要内容


身份证主要内容

持有者（Subject）标识 序列号 公钥 有效期 签发者（Issuer）标识 CA的数字签名
姓名 身份证号码 照片 有效期 签发者单位 签发单位盖章、防伪标志
实现数字证书
PKI
CA
Client
公钥基础设施
证书服务中心
CRL/黑名单库
CP
RS
RA
RA
业务 受理点 证书 用户 证书 用户
业务 受理点 证书 用户
业务 受理点
业务 受理点
什么是PKI
什么是PKI PKI的主要组成 PKI技术及应用 PKI体系结构 PKI的功能操作

什么是PKI

PKI（Public Key Infrastructure ）是一种遵循标准的 利用公钥加密技术为电子商务的开展提供一套安全基础平 台的技术和规范。 从字面上理解 PKI就是利用公钥理论和技术建立的提供安全服务的基 础设施。 用户可利用PKI平台提供的服务进行安全的电子交易， 通信和互联网上的各种活动。 PKI是创建、颁发、管理、注销公钥证书所涉及到的所有 软件、硬件的集合体。其核心元素是数字证书，核心执行 者是CA认证机构。
目录服务器在CA中的位置
•存储数字证书，只能 由签发服务器进行写 操作；把数字证书信 息实时推向从LDAP。
证书签发服务器
主目录服务器
注册登记服务器 注册登记服务器
数据库服务器 数据库服务器
查询来自百度文库载服务器
从目录服务器
•与主服务器 内数据保持一 致，只接受查 询不能修改和 添加信息。
录入 终端
审核 终端
PKI的12种功能操作
1 2 3 4 5 6 产生、验证和分发密钥 签名和验证 证书的获取 验证证书 保存证书 本地保存的证书的获取 7 8 9 10 11 12 证书废止的申请 密钥的恢复 CRL的获取 密钥更新 审计 存档（证书及废止证 书）
目录在CA中的应用


CA需要解决的两个问题： 1、证书生命周期管理问题：如何创建、维护和销毁证书 2、证书定位问题：如何快速找到对方的证书 目录在CA中的作用： 1、目录是整个证书生命周期的管理中心。 2、在目录中存储、管理证书(Certificate)和撤销列表 (CRL) 3、通过目录服务提供有效的证书发布和查询功能 4、通过目录服务安全可靠地发布CRL,提供CRL查询服 务
推荐站点

中国PKI论坛
http://www.chinapkiforum.org.cn/
CA的组成框架
CA可以分为RS（证书业务受理中心）和CP(证书制 作中心)两部分。 RS负责接收用户的证书申请、发放等与用户打交道 的外部工作，CP负责证书的制作、记录等内部工 作。用户如果要获得数字证书，必须上网，进入 CA网站，实际就是进入了RS网站，向RS申请证 书；RS与用户对话后，可以获得用户的申请信息， 然后传递给CP,CP与RA进行联系，并从RA处获 得用户的身份认证信息后，由CP为用户制作证书， 交给RS；当用户再上网要求获取证书时，RS将 制作好的证书传给用户。
什么是数字证书
什么是数字证书 为什么要使用数字证书 数字证书的种类 数字证书的存储 数字证书的原理 数字证书的颁发

数字证书

数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行 信息交流及商务活动的身份证明，是一个经证书认证中心数字签名的包含公 开密钥拥有者信息以及公开密钥的文件。 包含用户身份信息的文件: CA 的名称 (颁发机构)
在网上支付中，参与的每家银行都要建立自己 的RA。面对众多的用户，光有一个RA是无法完 成任务的。因此，RA下必须设立许多业务受理点， 接待用户，进行申请登记工作。RA作为身份认证 与审核部门，通过专线与各业务受理点连接。各 业务受理点接收用户的申请，审查用户的身份证 件，通过专线与RA交换信息，完成用户的身份认 证工作。