课件：CA技术培训.ppt

* * * * * * * * * * * * * * * * * * * * 第 * 页 第 * 页 可编辑 第 * 页 可编辑 * CA培训 智能设备开发中心 安全软件部 龙春江 北京握奇数据系统有限公司 * 主要内容 1.CA背景 2.PKI概述 3.CA概念 4.CA系统功能 5.CA组成 6.CA拓扑图 7.CA实现 8.交叉认证技术及桥CA * CA背景 电子签名法 2005年４月１日，被称为“中国首部真正意义上的信息化法律”的《电子签名法》正式实施。意味着，可靠的电子签名与手写签名或者盖章具有同等的法律效力 。 目的：直接是为了规范电子签名行为，确立电子签名的法律效力，维护各方合法权益；立法的最终目的是为了促进电子商务和电子政务的发展，增强交易的安全性。 主要内容：重点解决了五个方面的问题。一是确立了电子签名的法律效力；二是规范了电子签名的行为；三是明确了认证机构的法律地位及认证程序，并给认证机构设置了市场准入条件和行政许可的程序；四是规定了电子签名的安全保障措施；五是明确了认证机构行政许可的实施主体是国务院信息产业主管部门 * CA背景 市场准入条件 ? (一)具有独立的企业法人资格； ????(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名； ????(三)注册资金不低于人民币三千万元； ? (四)具有固定的经营场所和满足电子认证服务要求的物理环境； ????(五)具有符合国家有关安全标准的技术和设备； ????(六)具有国家密码管理机构同意使用密码的证明文件； ????(七)法律、行政法规规定的其他条件。 国内CA现状 大行业或政府部门建立的CA，如CFCA，建行CA，中行CA等；地方政府与公司共建的CA，如广东CA、天津CA等；商业性CA，如天威诚信。 * PKI概述 概念 PKI （ Public Key Infrastructure：公开密钥基础设施）它是利用公开密钥技术所构建的，解决网络安全问题的一种基础设施。公开密钥技术也就是非对称算法的技术。PKI为各种应用提供安全的服务，如认证、身份识别、数字签名、加密等。 密钥加密技术 ：对称和非对称。 * PKI组成 PKI CA APP * 应用 PKI 可以提供的安全服务包括： 必威体育官网网址性 完整性 真实性 不可否认性（不可抵赖性） * CA概念 CA (Certificate Authority)机构，是PKI的核心。负责签发证书、认证证书、管理已颁发证书的机关。 对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构 ： * CA功能 证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档 * CA总体结构 一个完整CA总体结构包括： CA服务器 RA服务器 LDAP服务器 OCSP服务器 KMC CPS 客户接口 * CA 证书签发系统。是PKI的核心执行执行机构，包括ca服务器的硬件和软件系统，具有签发和管理证书的功能。 * RA RA 是登记、审核。 LRA：RA受理点 * LDAP 目录服务器。证书库。具体包括发布CA证书、crl、发布用户证书，信息查询、目录复制等。 参考：/getrfc.php?rfc=4370 THANK YOU SUCCESS * * 可编辑 * OCSP 证书验证，遵循OCSP协议标准 。 参考：/getrfc.php?rfc=2560 * KMC 密钥管理中心 为CA系统的签发服务器提供密钥管理服务。密钥生成、密钥存储 、密钥传输、密钥归档、密钥恢复。 单证书：一张证书既可签名又可加密。 双证书：一对用来签名，一对用来加密。加密密钥由KMC托管。 * CPS Certification Practices Statement：认证操作管理规范。描述CA在各方面受的约束及运作方式的规则。 详细地阐述了一个CA从诞生、运营，到生命终止的方方面面规定，是CA的纲领性的文件。有人形象地把CPS比作CA的宪法。不但CA的运营者必须严格遵守CPS中的规定，CA的CPS还必须在网站上公布，以接受证书持有者和依赖方的查询和监督。 * 客户接口 客户接口是web服