ca认证中心
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CA认证机构系统概况实验
第一章基础知识
1.1数字证书
定义
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
数字证书的原理
数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
1.2CA
相关定义
CA(Certificate Authority)认证中心,采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。
根证书
根证书,是指CA认证中心与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故
需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系,这条证书链在哪里终结呢?答案就是根证书,根证书是一份特殊的证书,它的签发者是它本身,下载根证书就表明您对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。
所以说用户在使用自己的数字证书之前必须先下载根证书。
第二章CA认证中心
2.1中心简介
中国金融认证中心
中国金融认证中心(China Financial Certification Authority),简称CFCA,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。
上海认证中心
SHECA成立于1998年,是中国第一家专业的第三方网络安全和信任服务提供商,专门从事信息安全技术认证和安全信任服务以及相关产品的研发和整合,以其领先的技术和精湛的服务为客户提供信息安全整体解决方案与第三方服务。
2.2相关比较
2.2.1数字证书的种类
中国金融认证中心
上海认证中心
上海认证中心提供的数字证书主要有三类:个人证书、企业证书和其他证书。
2.2.2数字证书的申请条件、方式、过程比较
中国金融认证中心
上海认证中心
个人证书:证书申请者根据申请的证书种类,需提交内容完整的带个人手写签名或者加盖公章的申请表格。同时,需要递交个人身份证明,如果是委托办理,需要同时递交申请人以及被委托人的上述材料。
单位/企业证书:申请者需要递交签字盖章的书面申请表、企事业单位组织机构代码证的原件以及复印件、申请者的营业执照原件、申请人的身份证明。
设备证书:包括安全站点证书以及设备身份证书,安全站点证书需要递交签字盖章的书面
申请表、申请者的身份证明材料原件以及复印件、域名或者ip地址的书面承诺书;设备身份证书则应递交签字盖章的书面申请表、申请者的身份证明材料原件以及复印件、应用服务器的归属性声明文件。
代码签名证书:分为个人代码签名证书以及企业代码签名证书,申请条件与个人证书以及单位企业证书申请条件一致。
2.2.3CA的体系结构或主要功能比较
中国金融认证中心
CFCA认证系统采用国际领先的PKI技术,总体为三层CA结构,第一层为根CA;第二层为政策CA,可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范(CPS)发放证书。运营CA由CA系统和证书注册审批机构(RA)两大部分组成。
上海认证中心
SHECA是依法设立的电子认证服务机构(CA),建设和运营协卡认证体系。作为被信任的第三方,协卡认证体系内有多个可以签发证书的尸体,包括不同的跟CA和子CA,这些签发实体作为CA,均可发放证书。通常,根CA只签发子CA 证书,子CA可签发最终用户证书或其他CA的证书。协卡认证体系的CA为电子政务、电子商务和其他网络作业的各类参与方发放数字证书,保证公钥能与确定的柱体身份唯一相对应。
SHEA建立了完善的CA运行机制和严密的安全控制机制,独立生成密钥对,自主签发根CA证书(ROOT CA)。SHECA更新根CA密钥对时,必须按照国家主管机构、法律和政策规定的程序,经过SHECA安全认证委员会的同意。SHECA安全认证委员会作为SHEA数字证书的政策制定机构,将决定SHEA根CA和操作子CA密钥对的更新和切换的策略和行动。
2.2. 4采用的技术或方案比较
中国金融认证中心:
中国金融认证中心采用了PKI技术,数字证书,以及SSL(安全套套接层协议)。网络拓扑结构:
上海认证中心
第三章我国CA认证系统发展中的问题
总体来说我国的CA发展主要面临以下的问题:
1.我国的CA认证业比较分散,群雄并起,缺乏主心骨,不利于我国CA认证行业的发展。
2.CA认证中心的技术基础差,CA的建立与运作需要强大的技术支撑。目前我国国内的额CA认证技术主要靠自己研发,技术实现本身不够成熟。另外一方面,用在CA相关产品购买上的开销仅仅是整个运营成本的一部分,配置、运行和维护一个认证系统所需的持续成本是巨大的。