认证中心PPT培训资料
合集下载
国内CA认证中心(课堂PPT)
电子商务安全导论
10
11.2 中国电信CA安全认证系统(CTCA)
• CTCA(China Telecom Certification Authority, 中国电信CA安全认证系统)
电子商务安全导论
11
11.3 上海市电子商务安全证书管理中心 (SHECA)
11.4 中国金融认证中心(CFCA)金融认证服务 相关业务规则
“CA系统”和“证书注册审批机构RA”两大 部分组成
– CA系统:证书签发和管理,不直接面向用户。 – RA系统:直接面向用户,负责用户身份申请审核,
向CA申请为用户转发证书。
电子商务安全导论
6
11.1 中国金融认证中心(CFCA)
• CFCA数字证书服务 1.CFCA数字证书:
– CFCA用其私钥进行了数字签名的包含用户身份、 公开密钥、有效期等许多相关信息的权威性的电 子文件,是各实体在网上的电子身份证。
电子商务安全导论
Байду номын сангаас
8
11.1 中国金融认证中心(CFCA)
3.PKI服务:基于公钥算法和技术,为网上通信 提供安全服务的基础设施
4.企业、个人如何获得CFCA证书
– 用户可得到所有CFCA授权的证书审批机构RA申 请证书
– 申请者一般需要提供有关开户账号、身份证/组织 机构代码、邮件地址等有效信息
– RA审核通过后给用户参考号、授权码作为获得证 书的凭据
– 用户得到参考号、授权码后,可自行登录CFCA网 站获得证书
电子商务安全导论
9
11.1 中国金融认证中心(CFCA)
• CFCA数字证书的典型应用 1.网上银行 2.网上证券 3.网上申报与缴税 4.网上企业购销 5.安全移动商务(WAP/短信) 6.企业级VPN部署 7.基于数字签名的安全E-mail、安全文档管理系统 8.基于数字签名的TruePass系统 9.CFCA时间戳服务
PKI认证体系原理ppt课件
数据通讯的安全要素
有效性 机密性 完整性 可靠性/不可抵赖性/鉴别 审查能力
PKI模式—新的信任模式 (Public Key Infrastructure)
认证权威
公认认证方式
自由交流
A
B
C
PKI模式
PKI是一个完整系统 维持一个可靠的网络环境 提供 非对称式加密算法 数字签名 可向许多不同类型的应用提供服务 PKI意味着 密钥管理 证书管理
签名
对消息签名
“我们亟需定购100套Windows2000”
“dkso(Sc#xZ02f+bQaur}”
“我们亟需定购100套Windows2000”
“我们亟需定购100套Windows2000”
数字证书
证书的目的,身份信息,公钥 由认证中心(Certificate Authority)发布
拥有者公钥
认证中心标识
Subject: 老李
Not Before: 10/18/99 Not After: 10/18/04
Signed: Cg6&^78#@dx
Serial Number: 29483756
Subject’s Public key:
公钥
Secure Email Client Authentication
1、ESAM嵌入式安全控制模块 内置RSA,3DES、HASH等算法,可与终端绑定 2、CPU卡 内置RSA算法,可随身携带,需配合读卡设备使用,可放入终 端中,也可随身携带。 3、电子钥匙 相当于将CPU卡或者ESAM与读卡器集成为一体,通常直接与 PC机进行通讯,携带较方便
“Py75c%bn...”
“g5v’r…”
电子钥匙
明文
有效性 机密性 完整性 可靠性/不可抵赖性/鉴别 审查能力
PKI模式—新的信任模式 (Public Key Infrastructure)
认证权威
公认认证方式
自由交流
A
B
C
PKI模式
PKI是一个完整系统 维持一个可靠的网络环境 提供 非对称式加密算法 数字签名 可向许多不同类型的应用提供服务 PKI意味着 密钥管理 证书管理
签名
对消息签名
“我们亟需定购100套Windows2000”
“dkso(Sc#xZ02f+bQaur}”
“我们亟需定购100套Windows2000”
“我们亟需定购100套Windows2000”
数字证书
证书的目的,身份信息,公钥 由认证中心(Certificate Authority)发布
拥有者公钥
认证中心标识
Subject: 老李
Not Before: 10/18/99 Not After: 10/18/04
Signed: Cg6&^78#@dx
Serial Number: 29483756
Subject’s Public key:
公钥
Secure Email Client Authentication
1、ESAM嵌入式安全控制模块 内置RSA,3DES、HASH等算法,可与终端绑定 2、CPU卡 内置RSA算法,可随身携带,需配合读卡设备使用,可放入终 端中,也可随身携带。 3、电子钥匙 相当于将CPU卡或者ESAM与读卡器集成为一体,通常直接与 PC机进行通讯,携带较方便
“Py75c%bn...”
“g5v’r…”
电子钥匙
明文
第二节 认证中心及其功能
数据库服务器是认证机构中的数据 中心,用于对认证机构中数据(如 密钥和用户信息等)、日志和统计 信息的存储和管理。
LDAP (Lightweight Directory 典型的系统组成包括安全服务器A、cc注es册s 机Pr构otRoAco、l轻CA量目录访问协议) 服务器、LDAP目录服务器和数据库服服务务器器提等供。目录浏览服务,负责将注
册机构服务器传输过来的用户信息以
及数字证书加入到服务器上。
典型的系统组成包括安全服务器、注册机构RA、CA 服务器、LDAP目录服务器和数据库服务器等。
电子商务 安全
第二节 认证中心及其功能
1、CA认证中心
ቤተ መጻሕፍቲ ባይዱCA认证中 心
CA(Certificate Authority)认证中心又称 为数字证书认证中心,是采用PKI(Public Key Infrastructure公开密钥基础架构)技 术 ,专门提供网络身份认证服务,负责签发 和管理数字证书,且具有权威性和公正性的 第三方信任机构。
证书下载等安全服务
CA服务器是整个证书机构的核心, 典型的系统组成包括安全服务器、注负册责机证构书RA的、签C发A 。CA首先产生自身 服务器、LDAP目录服务器和数据库服务的器私等钥。和公钥,然后生成数字证书,
并且将数字证书传输给安全服务器。
注册机构RA服务器面向登记中心操作 员,在CA体系结构中起承上启下的作 用,一方面向CA典转型发的安系全统服组务成器包传括输安全服务器、注册机构RA、CA 过来的证书申服请务请器求、,L另D一AP方目面录向服务器和数据库服务器等。 LDAP服务器和安全服务器转发CA颁 发的数字证书和证书撤消列表。
二、 认证中心的功能
1
证书发放
2
LDAP (Lightweight Directory 典型的系统组成包括安全服务器A、cc注es册s 机Pr构otRoAco、l轻CA量目录访问协议) 服务器、LDAP目录服务器和数据库服服务务器器提等供。目录浏览服务,负责将注
册机构服务器传输过来的用户信息以
及数字证书加入到服务器上。
典型的系统组成包括安全服务器、注册机构RA、CA 服务器、LDAP目录服务器和数据库服务器等。
电子商务 安全
第二节 认证中心及其功能
1、CA认证中心
ቤተ መጻሕፍቲ ባይዱCA认证中 心
CA(Certificate Authority)认证中心又称 为数字证书认证中心,是采用PKI(Public Key Infrastructure公开密钥基础架构)技 术 ,专门提供网络身份认证服务,负责签发 和管理数字证书,且具有权威性和公正性的 第三方信任机构。
证书下载等安全服务
CA服务器是整个证书机构的核心, 典型的系统组成包括安全服务器、注负册责机证构书RA的、签C发A 。CA首先产生自身 服务器、LDAP目录服务器和数据库服务的器私等钥。和公钥,然后生成数字证书,
并且将数字证书传输给安全服务器。
注册机构RA服务器面向登记中心操作 员,在CA体系结构中起承上启下的作 用,一方面向CA典转型发的安系全统服组务成器包传括输安全服务器、注册机构RA、CA 过来的证书申服请务请器求、,L另D一AP方目面录向服务器和数据库服务器等。 LDAP服务器和安全服务器转发CA颁 发的数字证书和证书撤消列表。
二、 认证中心的功能
1
证书发放
2
体系认证产品认证(ppt版)
10
第十页,共二十二页。
认证 CE
(rènzhèng)
• CE是法语“Conformite Europeene〞的缩写,其含义为 “欧洲一致性〞
• CE标志是一种强制性产品标志,根据(gēnjù)欧盟的规定,产品贴附CE 标记,说明其符合新方法指令和协调标准的根本要求,即公共平安、 卫生 、环保及对消费者的保护
实施OHSAS18001认证已成为企业新的追求目标。
第七页,共二十二页。
信息平安管理体系:
信息是组织生存开展过程中至关重要的因素,并 随着科学技术的开展而不断开展,信息平安与组 织息息相关。采用符合最正确时间的信息平安管 理体系,可以帮助组织控制关键的信息风险。
ISO/IEC27001由国际标准化组织〔ISO〕制定。 它定义了信息平安管理系统〔ISMS〕的要求。 标准的设计确保充分、恰当的平安控制措施。 这有助于保护信息资产、增强保护客户在内的 厉害相关方的信心。标准尤其适合(shìhé)于信息 平安影响关键的组织,如:金融、医疗、政府 和IT行业。
-
2006/42/EC 机械指令
-
2006/95/EC 低电压指令
-
2004/108/EC 电磁兼容指令
Registration Number 1105
第十四页,共二十二页。
目标客户
2006/95/EC 低电压指令(zhǐlìng)
范围(fànw额éi)定:电压范围在交流50~1000V,直流
75~1500V的电气产品
第五页,共二十二页。
环境(huánjìng)管理体系:
• 1996年9月ISO14001:1996环境管理体系系列标准,2004 年11月公布了ISO14001:2004新版标准,并在世界范围内开 展迅猛。
第十页,共二十二页。
认证 CE
(rènzhèng)
• CE是法语“Conformite Europeene〞的缩写,其含义为 “欧洲一致性〞
• CE标志是一种强制性产品标志,根据(gēnjù)欧盟的规定,产品贴附CE 标记,说明其符合新方法指令和协调标准的根本要求,即公共平安、 卫生 、环保及对消费者的保护
实施OHSAS18001认证已成为企业新的追求目标。
第七页,共二十二页。
信息平安管理体系:
信息是组织生存开展过程中至关重要的因素,并 随着科学技术的开展而不断开展,信息平安与组 织息息相关。采用符合最正确时间的信息平安管 理体系,可以帮助组织控制关键的信息风险。
ISO/IEC27001由国际标准化组织〔ISO〕制定。 它定义了信息平安管理系统〔ISMS〕的要求。 标准的设计确保充分、恰当的平安控制措施。 这有助于保护信息资产、增强保护客户在内的 厉害相关方的信心。标准尤其适合(shìhé)于信息 平安影响关键的组织,如:金融、医疗、政府 和IT行业。
-
2006/42/EC 机械指令
-
2006/95/EC 低电压指令
-
2004/108/EC 电磁兼容指令
Registration Number 1105
第十四页,共二十二页。
目标客户
2006/95/EC 低电压指令(zhǐlìng)
范围(fànw额éi)定:电压范围在交流50~1000V,直流
75~1500V的电气产品
第五页,共二十二页。
环境(huánjìng)管理体系:
• 1996年9月ISO14001:1996环境管理体系系列标准,2004 年11月公布了ISO14001:2004新版标准,并在世界范围内开 展迅猛。
认证中心(CA)
认证中心(CA)
❖ CA简介 ❖ CA的技术基础 ❖ CA的功能 ❖ CA的组成框架与数字证书的申请流程
互联网应用存在信息安全隐患
? 假冒的用户
用户
? 假冒的站点
网上应用系统服务器
数据库
如何确认彼此的身份?
在传统的商务中,用来认证商家或客户真实身份的认证证书大多是被 认为公正的第三方机构(如政府部门)颁发的。
❖ 在加/解密时,分别使用了两个不同的密钥:一个可对外界公 开,称为“公钥”;一个只有所有者知道,称为“私钥”。
❖ 用公钥加密的信息只能用相应的私钥解密,反之亦然。 ❖ 同时,要想由一个密钥推知另一个密钥,在计算上是不可能
的。
非对称密码算法
❖ 优点
通信双方事先不需要通过保密信道交换密钥。 密钥持有量大大减少。 非对称密码技术还提供了对称密码技术无法或很难提
❖ 1997年,LDAP第3版本成为互联网标准。目前,LDAP v3 已经在PKI体系中被广泛应用于证书信息发布、CRL信息发 布、CA政策以及与信息发布相关的各个方面。
❖ LDAP不是数据库而是用来访问存储在信息目录(也就是 LDAP目录)中的信息的协议。LDAP主要是优化数据读取 的性能。
OCSP
证书的申请流程
一、用户带相关证明到正是业务受理中心RS申请证书; 二、用户在线填写证书申请表格和证书申请协议书; 三、RS业务人员取得用户申请数据后,与RA中心联系,要求
用户身份认证; 四、RA下属的业务受理点审核员通过离线方式(面对面)审核
申请者的身份、能力和信誉等; 五、审核通过后,RA中心向CA中心转发证书的申请要求; 六、CA中心响应RA中心的证书请求,为该用户制作、签发证
推荐站点
❖ 中国PKI论坛 /
❖ CA简介 ❖ CA的技术基础 ❖ CA的功能 ❖ CA的组成框架与数字证书的申请流程
互联网应用存在信息安全隐患
? 假冒的用户
用户
? 假冒的站点
网上应用系统服务器
数据库
如何确认彼此的身份?
在传统的商务中,用来认证商家或客户真实身份的认证证书大多是被 认为公正的第三方机构(如政府部门)颁发的。
❖ 在加/解密时,分别使用了两个不同的密钥:一个可对外界公 开,称为“公钥”;一个只有所有者知道,称为“私钥”。
❖ 用公钥加密的信息只能用相应的私钥解密,反之亦然。 ❖ 同时,要想由一个密钥推知另一个密钥,在计算上是不可能
的。
非对称密码算法
❖ 优点
通信双方事先不需要通过保密信道交换密钥。 密钥持有量大大减少。 非对称密码技术还提供了对称密码技术无法或很难提
❖ 1997年,LDAP第3版本成为互联网标准。目前,LDAP v3 已经在PKI体系中被广泛应用于证书信息发布、CRL信息发 布、CA政策以及与信息发布相关的各个方面。
❖ LDAP不是数据库而是用来访问存储在信息目录(也就是 LDAP目录)中的信息的协议。LDAP主要是优化数据读取 的性能。
OCSP
证书的申请流程
一、用户带相关证明到正是业务受理中心RS申请证书; 二、用户在线填写证书申请表格和证书申请协议书; 三、RS业务人员取得用户申请数据后,与RA中心联系,要求
用户身份认证; 四、RA下属的业务受理点审核员通过离线方式(面对面)审核
申请者的身份、能力和信誉等; 五、审核通过后,RA中心向CA中心转发证书的申请要求; 六、CA中心响应RA中心的证书请求,为该用户制作、签发证
推荐站点
❖ 中国PKI论坛 /
《认证技术》PPT课件
精选PPT
31
PKI的基本组成
• 完整的PKI系统必须具有权威认证机构(CA)、 数字证书库、密钥备份及恢复系统、证书 作废系统、应用接口(API)等基本构成部 分,构建PKI也将围绕着这五大系统来着手 构建。
精选PPT
32
PKI的基本组成
• 认证机构(CA):即数字证书的申请及签 发机关,CA必须具备权威性的特征;
• 目前最有效的认证方式是由权威的第三方认证机构 来认证各方的身份。(发放数字证书)
乙方 数字签名
甲方
乙方 的公钥
已方
精选PPT
11
2.3.2.1 数字证书
• 数字证书( Digital Certificate,DC),也称电子证书 或数字凭证(digital ID,DID)就是标志网络用户身 份信息的一系列数据,用来在网络通讯中识别通讯各 方的身份。
• 数字证书是由权威公正的第三方机构即CA证书授权 (Certificate Authority)中心签发的,人们可以在互 联网交往中用它来识别对方的身份。以数字证书为核 心的加密技术可以对网络上传输的信息进行加密和解 密、数字签名和签名验证,确保网上传递信息的机密 性、完整性,以及交易实体身份的真实性,签名信息 的不可否认性,从而保障网络应用的安全性。
CA的核心功能就是发放和管理数字证书。概括地 说,CA认证中心的功能主要有:证书发放、证书 更新、证书撤销和证书验证。具体描述如下:
(1)接收验证用户数字证书的申请。 (2)确定是否接受用户数字证书的申请,即证书的审批。 (3)向申请者颁发(或拒绝颁发)数字证书。 (4)接收、处理用户的数字证书更新请求。 (5)接收用户数字证书的查询、撤销。 (6)产生和发布证书的有效期。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。
泰尔(TLC)认证培训教材精品PPT课件
通信电源认证实施细则
4.认证的实施
4.3 初始工厂检查
❖工厂检查的内容为工厂质量保证能力:按照《自愿性产品认证质量体系通 用要求》,并对组织的生产检测硬件资源进行核查。 ❖现场指定试验:现场指定试验由检查组依据相应行业标准规定的出厂检测 项目中随机抽测4项,测试方法和指标要求依据相关产品标准规定。 ❖型式试验样品核查:型式试验样品应具有代表性(若关键元器件和材料的 供方为多家时,组成样品的各关键元器件和材料的供方,应为组织现阶段采 购量最大的供方) ❖关键元器件和材料供方核查: ❖确定初始工厂检查时间 ❖检查结论及后续处理
通信电源认证实施细则
5.认证证书的保持
❖产品的认证证书有效期为三年。证书的有效性依赖TLC定期的监督获得保 持。 ❖认证产品的变更 :当组织的获证产品发生下列变更情况之一时,应向 TLC提出变更申请,并同时按照TLC网上公开的《产品认证变更填表指南》 要求提交相关证明材料。TLC受理评定部负责对组织提出的变更进行评审, 以决定是否需要安排必要的工厂检查或产品检测。变更决定经TLC中心主任 批准后由TLC综合部负责实施证书变更。组织只有在获得TLC的变更批准后 才能在变更产品上使用TLC的产品认证证书或标志:
通信电源认证实施细则
4.认证的实施
4.4 认证结果评价与批准
❖型式试验和工厂检查完成后,由TLC组织评定小组进行评定,评定结论经 TLC主任批准生效。对评定合格的组织,TLC将颁发产品认证证书。产品认 证证书和标志的使用应符合TLC公开性文件《认证证书和标志使用指南》的 要求。
❖从TLC受理组织申请到颁发产品认证证书的总时间不超过60个工作日,但 因组织原因造成的拖延不计算在内。
通信电源认证实施细则
4.认证的实施
产品认证基本知识培训资料PPT课件
PY-D815-W,PY-D622T,PY-D622-W,PY-DT907,PY-DW907,PY-D819T,PY-D819-W,PYD812T,PY-D812-W,PY-D832T,PY-D832-W
4
ROHS
ITS
PY-D625T、PY-D625-W, PY-D851
5
SAA
ITS
PY-D851
ITS,TUV
LOGO
REMARK
250V:Grahamstad &
Port Elizabeth,King William也常见
5
二、(1)公司已获得证书介绍
电饭煲/电压力煲外销认证汇总
No.
认证类型 认证机构
已通过认证的产品型号
1
GS
TUV
PFF40C-A, PFF40C-B, PFF40C-C, PFF40N-C,PFFY4004,PFFY4001,PFFY5001,PFFN5005,PFFN4005
PFF40C-A、PFF40C-B、PFF40C-C、PFF40C-D、PFF40N-C、PFF40E-A、
PFF40E-C、F30J-B,PF30J-B(II),PF30J-C,PF30J-D, PF30J-E, PF30J-F,PF30J-H,
PF30J-I,PF30J-J,PF30J-DA,PF30Z-B,PF30Z-C,PF30Z-D,PF30Z-E,PF30Z-F,
2020/2/25
19
CB认证:
1.CB体系是IECEE运作的-个国际CB体系,IECEE各成员国认证机构以IEC标准为基础对电工产 品安全性能进行测试,其测试结果即CB测试报告和CB测试证书在IECEE各成员国得到相互 认可的。目的是为了减少由于必须满足不同国家认证或批准准则而产生的国际贸易壁垒。
4
ROHS
ITS
PY-D625T、PY-D625-W, PY-D851
5
SAA
ITS
PY-D851
ITS,TUV
LOGO
REMARK
250V:Grahamstad &
Port Elizabeth,King William也常见
5
二、(1)公司已获得证书介绍
电饭煲/电压力煲外销认证汇总
No.
认证类型 认证机构
已通过认证的产品型号
1
GS
TUV
PFF40C-A, PFF40C-B, PFF40C-C, PFF40N-C,PFFY4004,PFFY4001,PFFY5001,PFFN5005,PFFN4005
PFF40C-A、PFF40C-B、PFF40C-C、PFF40C-D、PFF40N-C、PFF40E-A、
PFF40E-C、F30J-B,PF30J-B(II),PF30J-C,PF30J-D, PF30J-E, PF30J-F,PF30J-H,
PF30J-I,PF30J-J,PF30J-DA,PF30Z-B,PF30Z-C,PF30Z-D,PF30Z-E,PF30Z-F,
2020/2/25
19
CB认证:
1.CB体系是IECEE运作的-个国际CB体系,IECEE各成员国认证机构以IEC标准为基础对电工产 品安全性能进行测试,其测试结果即CB测试报告和CB测试证书在IECEE各成员国得到相互 认可的。目的是为了减少由于必须满足不同国家认证或批准准则而产生的国际贸易壁垒。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 在电子商务网上支付结算中,数字证书在保证网上 支付安全中是不可缺少和不可替代的。像信用卡、 电子支票、网络银行等这些网上支付方式的应用安 全都需要数字证书的参与。下面简单介绍四种数字 证书。
• 在电子商务中,网络业务是面向全球的,要求验证的对象数 量以及区域范围也非常之大,因而增加了商务参与者身份验 证的复杂性和实现的困难性。比如,在网络通信双方使用公 开密钥加密之前,须先确认得到的公开密钥确实是对方的, 也就是有一个身份确认的问题。最好的办法是双方面对面交 换公开密钥,但这在实际中是不可行的,就像在前面的例子 中,一个商家不可能和几百万个消费者都面对面地交换公开 密钥。
• ⑥证书主题或使用者(Subject)。证书与公钥的 使用者的相关信息。
• ⑦公钥信息(Public Key Information)。公开密 钥加密体制的算法名称、公钥的字符串表示(只适 用于RSA加密体制)。
• ⑧其他额外的特别扩展信息。如增强型密钥用法信 息、CRL分发点信息等。
• (2)发行数字证书的CA签名与签名算法
• ③CA使用的签名算法(Algorithm Identifier)。 CA的数字摘要与公开密钥加密体制算法。
• ④证书颁发者信息(Issuer Unique Identifier) 。发此证书者的CA信息。
• ⑤有效使用期限(Period of Validity)。本证书 的有效期,包括起始、结束日期。
• 数字证书由发证机构--数字证书认证中心(CA)发行。该机 构负责在发行数字证书之前,证实个人或组织的身份和密钥 所有权。一般情况下,证书要由社会上公认的公正的第三方 的可靠组织发行。如果它签发的证书造成不恰当的信任关系 ,该组织就要承担责任。
• 在网上支付结算中,必须认证结算各方的真实身份以及行为 ,否则会直接带来经济上的损失,因此数字证书在其中起着 关键的作用。
• 可以说,数字证书是模拟传统证书(如个人身份证 、企业营业证书等)的特殊数字信息文档。客户的 数字证书可以证实该客户拥有一个特别的公钥,服 务器证书则证实某个特定的公钥属于这个服务器。
• 数字证书的工作原理,就是信息接收方在网上收到发送方发 来的业务信息的同时,还收到发送方的数字证书,这时通过 对其数字证书的验证,可以确认发送方的真实身份。在发送 方与接收方交换数字证书的同时,双方得到对方的公开密钥 。由于公开密钥是包含在数字证书中的,且借助证书上数字 摘要(缩略图)的验证,确信收到的公开密钥肯定是对方的 。通过这个公开密钥,双方就可完成数据传送中的加/解密 工作。
网络诈骗
• 资料\网上订票 谨防钓鱼网站.mp4 • 资料\网络购物小心“钓鱼”网站.f4v • 资料\钓鱼网站视频.mp4
1. 数字证书
• 1.1.数字证书的ห้องสมุดไป่ตู้义与工作原理
• 传统的个人身份证明一般通过检验“物理物品”的有 效性来确认持有者的身份。这类“物理物品”可以是 身份证、护照、工作证、信用卡、驾驶执照、徽章等 ,其上往往含有与个人真实身份相关的易于识别的照 片、指纹、视网膜影像等,并且具有权威机构(如公 安机关)等发证机构的盖章。对于企业的身份,如在 我国,则有工商局颁发的营业证书及印章等,只有通 过工商局认定的企业才是合法经营者。
• 数字证书的内容还包括发行证书的CA机构的 数字签名和用来生成数字签名的签名算法, 即缩略图算法部分、缩略图。应用这个缩略 图算法与缩略图数据,任何人收到这份数字 证书后都能使用签名算法,验证数字证书是 否是由该CA的签名密钥签署的,以保证证书 的真实性与内容的真实性。
• 1.3. 与网上支付相关的数字证书
网上支付结算
§10 认证中心
• 1. 数字证书 • 2. 认证中心(CA) • 3. 中国金融认证中心(CFCA) • 4. 证书格式标准 • 5. 认证管理及相关法规
• 在传统商务与电子商务中,均存在对贸易伙 伴身份的确定与认证问题。只有清楚贸易伙 伴的真实身份,商务才有进一步开展的基础 。特别是在电子商务中,由于网络上是非面 对面的交易,那么验证贸易对方的身份就显 得十分必要。比如在网上支付中对收款人或 付款人身份的认证,若客户把钱付给了一个 假冒的工商银行,自己还不知道被骗了,就 会带来损失。如何在Internet上识别对方身 份,是电子商务交易中重要的一环,更是网 上支付安全开展的首要问题。
• 数字证书颁发机构(如认证中心CA)在检验确认申 请用户的身份后,向用户(政府部门、企业、个人 等)颁发数字证书,数字证书中包括上述用户基本 数据信息,以及用户的公开密钥等重要信息,并由 CA进行数字签名,以保证是真实的。
• 目前网络上各种业务活动很多,数字证书几乎应用 在所有的网上业务领域。这与网络业务与生活越来 越普及、越来越被人们所接受相关,而数字证书是 保证这些网络业务可以安全可靠进行的重要手段。 例如,安全电子交易协议、电子邮件安全协议都是 以数字证书为技术基础的。
• 为能确认双方的身份,必须由网络上双方都信任的第三方机 构(这个机构就是后面所述的数字证书认证中心CA)发行的 一个特殊证书来认证。在电子商务中,通常是把传统的身份 证书改成数字信息形式,由双方都信任的第三方机构发行和 管理,以方便在网络社会上的传递与使用,进行身份认证, 这就是数字证书。
• 所谓数字证书,英文为Digital Certification, 是指利用电子信息技术手段,确认、鉴定、认证 Internet上信息交流参与者的身份或服务器的身份 ,是一个担保个人、计算机系统或者组织(企业或 政府部门)的身份,并且发布加密算法类别、公开 密钥及其所有权的电子文档。
• 1.2. 数字证书的内容
• 数字证书的具体内容与格式遵循国际流行的ITUTrec.X.509标准,其内容主要由基本数据信息和发 行数据证书的CA签名与签名算法两部分组成。
• (1)数字证书的基本数据信息(8项)
• ①版本信息(Version)。用来区分X.509证书格式 的版本。
• ②证书序列号(Serial Number)。每个由CA发行 的数字证书必须有一个惟一的序列号,用于识别该 证书。