ca安全认证系统培训4Word格式.docx
- 文档编号:17036572
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:21
- 大小:60.07KB
ca安全认证系统培训4Word格式.docx
《ca安全认证系统培训4Word格式.docx》由会员分享,可在线阅读,更多相关《ca安全认证系统培训4Word格式.docx(21页珍藏版)》请在冰豆网上搜索。
3.1电子商务体系层次结构..........................................................................................................................................9
3.2电子商务功能模型................................................................................................................................................10
3.3CA体系....................................................................................................................................................................11
4公共密钥基础结构(PKI).............................................................................................................................................12
4.1PKI简介...................................................................................................................................................................12
4.2PKI体系结构及实体功能....................................................................................................................................13
4.2.1PAA..............................................................................................................................................................14
4.2.2PCA...............................................................................................................................................................14
4.2.3CA.................................................................................................................................................................15
4.2.4ORA..............................................................................................................................................................15
4.3PKI体系结构的组织方式....................................................................................................................................16
4.4PKI的操作思想......................................................................................................................................................16
4.4.3证书的获取.................................................................................................................................................18
4.4.9CRL的获取................................................................................................................................................20
4.5PKI体系的互通性.................................................................................................................................................21
4.6PKIX系列协议简介..............................................................................................................................................23
4.6.1PKIX体系协议标准.................................................................................................................................23
4.6.2PKI的实体对象说明................................................................................................................................24
4.6.3PKI的功能..................................................................................................................................................25
5电子商务基本安全技术....................................................................................................................................................27
5.1数字信封..................................................................................................................................................................28
5.2数字签名..................................................................................................................................................................28
5.3双重数字签名..........................................................................................................................................................29
5.4身份认证技术..........................................................................................................................................................30
5.5一个完整的数据加解密/身份认证流程............................................................................................................33
1基本概念
1.1电子商务
广义地说,电子商务是指在计算机与通信网络基础上,利用电子工具实现商业交换和商业作业活动的全过程。
一般电子商务是指利用TCP/IP公众网络和技术(中国公众多媒体通信网,含CHINANET)进行的在线交易和商业作业活动。
涉及对象包括:
金融机构、商家、生产企业、网络服务提供商、个人用户、政府部门和事业单位等。
1.2证书
在一个电子商务系统中,所有参与活动的实体都必须用证书来表明自己的身份。
证书一方面可以用来向系统中的其它实体证明自己的身份(每份证书都是经“相对权威的机构”签名的),另一方面由于每份证书都携带着证书持有者的公钥(签名证书携带的是签名公钥,密钥加密证书携带的是密钥加密公钥),所以,证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起着公钥分发的作用。
1.3CA
CA是CertificateAuthority的缩写,是证书授权的意思。
在电子商务系统中,所有实体的证书都是由证书授权中心既CA中心分发并签名的。
一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。
CA体系由证书审批部门和证书操作部门组成。
1.4RA
RA即证书发放审核部门,它是CA系统的一个功能组件。
它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任。
1.5CP
CP即证书发放的操作部门,它是CA系统的一个功能组件,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
1.6RS
RS即证书授理者,它是CA系统的一个功能组件,接收用户的证书申请请求,转发给CP和RA进行相应的处理。
1.7CRL
CRL是证书作废表的缩写。
CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。
CRL通常被称为证书黑名单。
1.8OCSP
OCSP即在线证书状态协议(OnlineCertificateStatusProtocol),使用户可以实时查询证书的作废状态。
2基本安全技术和算法
2.1加密
加密用来保护敏感信息的传输,保证信息的安全性。
在一个加密系统中,信息使用加密密钥加密后,得到的密文传送给接收方,接收方使用解密密钥对密文解密得到原文。
目前主要有两种加密体系:
秘密密钥加密和公开密钥加密。
秘密密钥加密也称为对称密钥加密,加密和解密使用同一个密钥。
因此信息的发送方和接收方必须共享一个密钥。
如图2.1所示。
图2.1对称密钥加密
(SymmetricCryptography)
这种加密类型快速牢固,但能力却很有限,入侵者用一台运算能力足够强大的计算机依靠“野蛮力量”就能破译,也就是说尝试亿万次密码直到其被解开。
对称密钥加密的另一不足是密钥本身必须单独进行交换以使接收者能解密数据,如果密钥没有以安全方式传送,它就很可能被劫获并用于信息解密。
公开密钥加密也称为非对称密钥加密。
公开密钥加密使用两个不同的密钥:
一个用来加密信息,称为加密密钥;
另一个用来解密信息,称为解密密钥。
用户把加密密钥公开,因此加密密钥也称为公开密钥,简称公钥。
解密密钥保密,因此解密密钥也称为私有密钥,简称私钥。
这两个密钥是数学相关的,用某用户的加密密钥加密后所得的数据只能用该用户的解密密钥才能解密。
因而要求用户的私钥不能透露给自己不信任的任何人。
RSA(由发明者Rivest,Shmir和Adleman而得名)是著名的公开密钥加密算法。
如图2.2所示。
图2.2非对称密钥加密(AsymmetricCryptography)
公钥加密与对称密钥加密相比,其优势在于不需要一把共享的通用密钥,用于解密的私钥不发往任何地方,这样,即使公钥被截获,因为没有与其匹配的私钥,所以截获的公钥对入侵者是没有任何用处的。
公钥加密的另一个用处是身份验证。
如果某一方用私钥加密了一条信息,拥有公钥拷贝的任何人都能对其解密,接收者由此可以知道这条信息确实来自于拥有私钥的人一方。
密钥的安全分发是保证实现有效加密的重要环节。
密钥的分发包括秘密密钥的分发和公开密钥加密中公钥的分发。
实现秘密密钥加密必须保证信息发送方与信息接收方之间通过安全通道分发秘密密钥。
因此秘密密钥加密不适合用在公共网络上许多事先互不认识的通信者之间的信息传送。
适合于公共网络上事务处理业务中分发公钥的方法有:
使用公钥数据库管理公钥;
使用认证公钥的数字证书。
使用公钥数据库管理公钥适合于参与通信的用户比较少的情况。
每个用户必须
建立一个公钥数据库储存与他通信的用户的公钥。
该方式建立的数据库要满足以下条
件:
?
在该数据库中,每一个公钥唯一与一个用户对应;
输入到数据库中的公钥必须被证实是对应用户的公钥,而该用户必须被数据
库的使用者证实身份;
该数据库的访问必须是安全的。
使用数字证书是一种更易安全分发公钥的方式。
数字证书中基本包括证书持有人的个人信息、公钥以及证书签发者的对这些信息的数字签名和证书签发者的数字证书。
因为数字证书是由第三方签发的,所以确认数字证书持有人身份和从该证书获取证书持有人的公钥,需要信任数字证书的签发者。
CA认证中心是签发数字证书的机构,有关CA的体系结构及证书的内容应遵循ITU--T建议X.509中的技术要求。
密钥的安全是保证密钥有效的重要前提。
秘密密钥与公开密钥加密方法中的私钥的密钥长度一般比较长,因此必须使用保密模块来保存这些密钥。
用户使用这些密钥前必须被保密模块认证。
保密模块可以是纯软件产品、纯硬件产品、软件和硬件结合产品等。
2.2安全的单向散列函数(SecureHash)
单向散列函数用于对要传输的数据作运算生成信息摘要,它并不是一种加密机制,但却能产生信息的数字“指纹”,它的目的是为了确保数据没有被修改或变化,保证信息的完整性不被破坏。
单向散列函数有三个主要特点:
1、它能处理任意大小的信息,并将其按信息摘要(messagedigest)方法生成固
定大小的数据块,对同一个源数据反复执行Hash函数将总是得到同样的结果。
2、它是不可预见的。
产生的数据块的大小与原始信息的大小没有任何联系,同
时源数据和产生的数据块的数据看起来也没有明显关系,源信息的一个微小
变化都会对小数据块产生很大的影响。
3、它是完全不可逆的,没有办法通过生成的数据块直接恢复源数据。
2.3几种常用的算法
上面介绍了基本安全技术的原理,下面介绍几种常用的算法:
RC2
RC4
DES,3DES
IDEA
SDBI
目前在NetWorldCA体系中使用的对称算法是IDEA,SDBI
RSA
DSA
ECA
目前在NetWorldCA体系中使用的非对称算法是RSA
MD2
MD5
SHA1
目前在NetWorldCA体系中使用的单向散列函数算法是SHA1
3电子商务体系结构及功能模型
3.1电子商务体系层次结构
电子商务体系分为四个层次,其体系结构如下图所示。
支付型电子商务业务
基于CTEC支付体系的基于SET支付体系的
电子商务业务电子商务业务
非支付型电子商务业务
CTEC支付体系T支付体系
支付体系
安全基础结构
(包括CA安全认证体系和基本的安全技术)
网络基础
中国公众多媒体通信网(含CHINANET)/语音接入平台/…...
图2电子商务体系结构
电子商务网络基础包括中国公众多媒体通信网(含CHINANET)以及语音接入平台。
电子商务的安全基础结构包括CA安全认证体系(包括SETCA体系和NetWorldCA体系)和基本的安全技术,它是整个电子商务体系的安全基础,提供电子商务所需要的各种安全技术(包括实现数据传输的安全性、完整性、身份认证和不可抵赖的各种技术)。
支付体系架构在安全基础
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ca 安全 认证 系统 培训