CA技術(shù)基礎(chǔ)知識(shí)培訓(xùn)

1、CA技術(shù)基礎(chǔ)知識(shí)培訓(xùn)主要內(nèi)容主要內(nèi)容1.CA背景背景2.PKI概述概述 3.CA概念概念4.CA系統(tǒng)功能系統(tǒng)功能5.CA組成組成6.CA拓?fù)鋱D拓?fù)鋱D7.CA實(shí)現(xiàn)實(shí)現(xiàn)8.交叉認(rèn)證技術(shù)及橋交叉認(rèn)證技術(shù)及橋CA3/24/2022CA背景背景電子簽名法電子簽名法 2005年月日，被稱為“中國(guó)首部真正意義上的信息化法律”的電子簽名法正式實(shí)施。意味著，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力 。 目的：目的：直接是為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護(hù)各方合法權(quán)益；立法的最終目的是為了促進(jìn)電子商務(wù)和電子政務(wù)的發(fā)展，增強(qiáng)交易的安全性。 主要內(nèi)容：主要內(nèi)容：重點(diǎn)解決了五個(gè)方面的問題。一是

2、確立了電子簽名的法律效力；二是規(guī)范了電子簽名的行為；三是明確了認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序，并給認(rèn)證機(jī)構(gòu)設(shè)置了市場(chǎng)準(zhǔn)入條件和行政許可的程序；四是規(guī)定了電子簽名的安全保障措施；五是明確了認(rèn)證機(jī)構(gòu)行政許可的實(shí)施主體是國(guó)務(wù)院信息產(chǎn)業(yè)主管部門 3/24/2022CA背景背景 市場(chǎng)準(zhǔn)入條件市場(chǎng)準(zhǔn)入條件 (一)具有獨(dú)立的企業(yè)法人資格； (二)從事電子認(rèn)證服務(wù)的專業(yè)技術(shù)人員、運(yùn)營(yíng)管理人員、安全管理人員和客戶服務(wù)人員不少于三十名； (三)注冊(cè)資金不低于人民幣三千萬元； (四)具有固定的經(jīng)營(yíng)場(chǎng)所和滿足電子認(rèn)證服務(wù)要求的物理環(huán)境； (五)具有符合國(guó)家有關(guān)安全標(biāo)準(zhǔn)的技術(shù)和設(shè)備； (六)具有國(guó)家密碼管理機(jī)構(gòu)同意使用密

3、碼的證明文件； (七)法律、行政法規(guī)規(guī)定的其他條件。 國(guó)內(nèi)國(guó)內(nèi)CA現(xiàn)狀現(xiàn)狀 大行業(yè)或政府部門建立的CA，如CFCA，建行CA，中行CA等；地方政府與公司共建的CA，如廣東CA、天津CA等；商業(yè)性CA，如天威誠信。 3/24/2022PKI概述概述概念概念 PKI （ Public Key Infrastructure：公開密鑰基礎(chǔ)設(shè)施）它是利用公開密鑰技術(shù)所構(gòu)建的，解決網(wǎng)絡(luò)安全問題的一種基礎(chǔ)設(shè)施。公開密鑰技術(shù)也就是非對(duì)稱算法的技術(shù)。PKI為各種應(yīng)用提供安全的服務(wù)，如認(rèn)證、身份識(shí)別、數(shù)字簽名、加密等。 密鑰加密技術(shù) ：對(duì)稱和非對(duì)稱。 3/24/2022PKI組成組成PKICAAPP3/24/20

4、22應(yīng)用應(yīng)用PKI 可以提供的安全服務(wù)包括：保密性保密性完整性完整性真實(shí)性真實(shí)性不可否認(rèn)性（不可抵賴性）不可否認(rèn)性（不可抵賴性）3/24/2022CA概念概念 CA (Certificate Authority)機(jī)構(gòu)，是PKI的核心。負(fù)責(zé)簽發(fā)證書、認(rèn)證證書、管理已頒發(fā)證書的機(jī)關(guān)。 對(duì)于一個(gè)大型的應(yīng)用環(huán)境，認(rèn)證中心往往采用一種多層次的分級(jí)結(jié)構(gòu) ：3/24/2022CA功能功能 證書的頒發(fā)證書的頒發(fā) 證書的更新證書的更新 證書的查詢證書的查詢 證書的作廢證書的作廢 證書的歸檔證書的歸檔 3/24/2022CA總體結(jié)構(gòu)總體結(jié)構(gòu)一個(gè)完整一個(gè)完整CA總體結(jié)構(gòu)包括：總體結(jié)構(gòu)包括： CA服務(wù)器 RA服務(wù)器

5、LDAP服務(wù)器 OCSP服務(wù)器 KMC CPS 客戶接口 3/24/2022CA 證書簽發(fā)系統(tǒng)。是PKI的核心執(zhí)行執(zhí)行機(jī)構(gòu)，包括ca服務(wù)器的硬件和軟件系統(tǒng)，具有簽發(fā)和管理證書的功能。3/24/2022RA RA 是登記、審核。 LRA：RA受理點(diǎn)3/24/2022LDAP目錄服務(wù)器。證書庫。具體包括發(fā)布CA證書、crl、發(fā)布用戶證書，信息查詢、目錄復(fù)制等。 參考：參考：=4370 3/24/2022OCSP證書驗(yàn)證，遵循OCSP協(xié)議標(biāo)準(zhǔn) 。參考：參考：=2560 3/24/2022KMC密鑰管理中心 為CA系統(tǒng)的簽發(fā)服務(wù)器提供密鑰管理服務(wù)。密鑰生成、密鑰存儲(chǔ) 、密鑰傳輸、密鑰歸檔、密鑰恢復(fù)。

6、單證書：?jiǎn)巫C書：一張證書既可簽名又可加密。 雙證書：雙證書：一對(duì)用來簽名，一對(duì)用來加密。加密密鑰由KMC托管。 3/24/2022CPSCertification Practices Statement：認(rèn)證操作管理規(guī)范。描述CA在各方面受的約束及運(yùn)作方式的規(guī)則。 詳細(xì)地闡述了一個(gè)CA從誕生、運(yùn)營(yíng)，到生命終止的方方面面規(guī)定，是CA的綱領(lǐng)性的文件。有人形象地把CPS比作CA的憲法。不但CA的運(yùn)營(yíng)者必須嚴(yán)格遵守CPS中的規(guī)定，CA的CPS還必須在網(wǎng)站上公布，以接受證書持有者和依賴方的查詢和監(jiān)督。 3/24/2022客戶接口客戶接口是web服務(wù)器。 3/24/2022應(yīng)用時(shí)間戳服務(wù)應(yīng)用時(shí)間戳服務(wù)是數(shù)

7、字簽名技術(shù)的一種應(yīng)用。在電子商務(wù)交易文件中，時(shí)間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。數(shù)字時(shí)間戳服務(wù)（DTS：digita1 time stamp service）是網(wǎng)上電子商務(wù)安全服務(wù)項(xiàng)目之一，能提供電子文件的日期和時(shí)間信息的安全保護(hù)。組成： （1）需加時(shí)間戳的文件的摘要（digest）； （2）DTS收到文件的日期和時(shí)間； （3）DTS的數(shù)字簽名。 產(chǎn)生過程： 參考：=31613/24/2022CA實(shí)現(xiàn)實(shí)現(xiàn)證書和CRL簽發(fā)： 根據(jù)x509規(guī)范來生成證書和CRL。OCSP： 根據(jù)OCSP規(guī)范?？捎玫拈_發(fā)庫： Openssl、I

8、BMJCE、SUNJCE等 3/24/2022CA拓?fù)鋱D拓?fù)鋱D 3/24/2022KMC系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D 3/24/2022交叉認(rèn)證技術(shù)交叉認(rèn)證技術(shù)由來：由來： 用戶的數(shù)字證書都是認(rèn)證中心簽發(fā)的，通常一個(gè)CA中心的所有用戶都自動(dòng)信任該CA所簽發(fā)的所有證書，這些證書能夠自動(dòng)進(jìn)行認(rèn)證，而不同的CA所簽發(fā)的證書不能自動(dòng)進(jìn)行認(rèn)證。為使不同的CA所簽發(fā)的數(shù)字證書能夠互相認(rèn)證，就需要使用交叉認(rèn)證技術(shù)。 作用：作用： 就是能夠擴(kuò)大認(rèn)證域的信用范圍，使用戶在更加廣泛的范圍內(nèi)建立起信任關(guān)系。 CA間通過進(jìn)行交叉認(rèn)證可以擴(kuò)展信用范圍。 實(shí)現(xiàn)：實(shí)現(xiàn)： 兩個(gè)CA之間的交叉認(rèn)證就是兩個(gè)CA互相為對(duì)方的根CA

9、簽發(fā)一張證書，從而使兩個(gè)CA體系內(nèi)的證書可以互相驗(yàn)證 交叉認(rèn)證更多的是一個(gè)業(yè)務(wù)問題，而不是一個(gè)技術(shù)問題。進(jìn)行交叉認(rèn)證最大的阻礙是不同的CA有著不同的業(yè)務(wù)策略。要實(shí)施交叉認(rèn)證，就要求雙方在業(yè)務(wù)策略上必須達(dá)成共識(shí)。 3/24/2022橋橋CA技術(shù)技術(shù)背景：背景： 隨著電子商務(wù)的升溫，CA建設(shè)也如雨后春筍般發(fā)展，據(jù)不完全統(tǒng)計(jì)，迄今為止，國(guó)內(nèi)CA總數(shù)已超過50個(gè)。不同的認(rèn)證機(jī)構(gòu)產(chǎn)生不同的認(rèn)證機(jī)構(gòu)的用戶群體，形成了各自不同的封閉型的信任環(huán)境，這種狀況無疑會(huì)對(duì)電子商務(wù)的發(fā)展造成較大的影響。 定義：定義： 橋CA首先是一個(gè)CA，但是它與一般的CA不同，它不直接向用戶頒發(fā)證書。橋CA不象根CA一樣成為一個(gè)信任點(diǎn)，它只是一個(gè)單獨(dú)的CA，它與不同的信任域之間建立對(duì)等的信任關(guān)系，允許用戶保留他們自己的原始信任點(diǎn)。 作用：作用： 橋CA是多域PKI體系（連接多個(gè)信任域）中的核心組織，是不同信任域之間的橋梁CA，主要負(fù)責(zé)為不同信任域的主CA頒發(fā)交叉認(rèn)證的證書，建立各個(gè)信任域的證書政策與橋CA的證書政策之間