图1国外CA中心介绍图2世界上较早的数字证书认证中心、处于领导地位和全球最大的PKI/CA运营商是美国VeriSign公司,该公司成立于1995年4月,位于美国的加利福尼亚州。它为全世界50个国家提供数字证书服务,有超过45000个互联网服务器接受该公司的服务器数字证书,使用它提供的个人数字凭证的人数也已经超过200万。另外一家著名的公司是加拿大的ENTRUST。威瑞信提供的服务包括DNS服务、数字证书、安全服务、支付服务、欺诈检测服务。威瑞信的数字信任服务通过域名登记、数字认证和网上支付三大核心业务,在全球范围内建立起了一个可信的虚拟环境,使任何人在任何地点都能放心地进行数字交易和沟通。威瑞信的DNS服务的主要业务有管理世界13台根服务器中的2台(A与J)、顶级域名中的.com和.net、北美最大的SS7信号网络中的一个、EPCglobal委托的射频识别目录。图43.我国认证中心现状我国安全认证体系(CA)可分为金融CA与非金融CA两种类型来处理。在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。图5我国的CA又可分为行业性CA和区域性CA两大类。行业性CA:中国金融认证中心(CFCA)和中国电信认证中心(CTCA)是行业性CA中影响最大的两家。区域性CA大多以地方政府为背景,以公司机制来运作,如广东CA中心(CNCA)、上海CA中心(SHECA)、深圳CA中心(SZCA),其中影响最大的是广东CA中心(CNCA)和上海CA中心(SHECA)。图6如果按照技术来源划分,CA中心还可分为引进国外技术与完全自主开发两类。CFCA和天威诚信属于前者,广东CA和上海CA都属于后者。深圳CA与广东南海CACFCA的SET系统由IBM公司承建,NON-SET系统由德达/SUN/Entrust集团承建。天威诚信的技术平台来自VeriSign。但它们的密码模块却都是由国内自主开发,经国家安全部门认可的。图7CFCA是全国唯一的金融根认证中心,由中国人民银行负责统一规划管理,中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行和福建兴业银行共十三家商业银行联合建设,由银行卡信息交换总中心承建,建立了SETCA和Non-SETCA两套系统,于2000年6月29日正式开始为全国的用户提供证书服务。⑴中国金融认证中心(CFCA)图8在管理分工上,中国人民银行负责管理根认证中心CFCA,并负责审批、认证统一的品牌认证中心。一般脱机进行。品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理,建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作,其中管理包括证书申请、补发、重发和注销等内容。图9图10图11⑵广东CA及“网证通”(NETCA)系统广东省电子商务认证中心是国家电子商务的试点工程,其前身是中国电信南方电子商务中心,创立于1998年。2001年1月,广东省电子商务认证中心的“网证通”电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测,被认定为安全可信的产品。2001年8月,国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心,成为国内提供网络安全认证服务的重要力量。图12图13图14⑶上海CA(SHECA)图15上海CA成立于1998年,专门从事信息安全技术认证和安全信任服务以及相关产品的研发和整合,提供包括安全设计、安全评估(风险评估)、安全检测(入侵检测、审计)、漏洞扫描、安全敏感数据托管、电子举证、公正时间戳等服务。图16国内主要的电子商务认证中心北京数字证书认证中心:深圳市电子商务认证中心:广东省电子商务认证中心:海南省电子商务认证中心:湖北省电子商务认证中心:上海电子商务安全证书管理中心:中国数字认证网:山西省电子商务安全认证中心:中国金融认证中心:天津电子商务运作中心:天威诚信CA认证中心:北京数字证书认证中心:深圳市电子商务认证中心:广东省电子商务认证中心:海南省电子商务认证中心:湖北省电子商务认证中心:上海电子商务安全证书管理中心:中国数字认证网:山西省电子商务安全认证中心:中国金融认证中心:天津电子商务运作中心:天威诚信CA认证中心:数字证书数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。1.数字证书的概念图18数字证书的拥有者可以将其证书提供给其他人、Web站点及网络资源,以证实他的合法身份,并且与对方建立加密的、可信的通信。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。图19图20目前大多数商务网站使用用户名和口令的方式来对用户进行认证,这种方式需要站点收集所有注册用户的信息,维护庞大的用户信息数据库。同时这种传统登录机制的安全性也比较脆弱,容易遭到外界的攻击破坏。数字证书的安全与认证功能消除了传统的口令机制中内在的安全脆弱性,为每个用户提供唯一的标识,以便利的方式来访问Web服务器,降低了网站的维护和支持成本。图212.数字证书的内容数字证书的内部格式遵循X.509标准。X.509是由国际电信联盟(ITU-T)制定的数字证书标准。根据这项标准,证书包括申请证书个人的信息和发行证书机构的信息。图22l证书拥有者的姓名;证书所有人的名称,命名规则一般采用X.500格式;l证书的版本信息。用来与X.509标准的将来版本兼容。l证书的序列号。每个证书都有一个唯一的证书序列号。l证书所使用的签名算法。l颁发者。即证书的发行机构名称,命名规则一般采用X.500格式。l证书的有效期限。现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;l证书主题名称。l证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示(只适用于RSA加密体制);l包含额外信息的特别扩展。l证书发行者对证书的签名。标准的X.509数字证书包含内容:图23图24图253.数字证书的有效性数字证书才有效条件:⑴证书没有过期。⑵密钥没有修改。⑶用户仍然有权使用这个密钥。⑷证书不在无效证书清单中。图261.个人数字证书2.单位证书3.服务器证书4.代码签名证书数字证书按照使用对象划分:4.数字证书的类型图27①个人证书(客户证书)个人身份证书个人身份证书是用来表明和验证个人在网络上身份的证书,它确保了网上交易的操作的安全性和可靠性。个人身份证书可以存储在软盘或IC卡中。个人安全电子邮件证书个人安全电子邮件证书可以确保邮件的真实性和保密性。图28②单位证书单位(客户端)数字证书主要用于单位安全电子事务处理。具体应用如:安全电子邮件传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。图29③服务器证书服务器证书(站点证书)服务器证书主要用于网站交易服务器的身份识别,使得连接到服务器的用户确信服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。图30④代码签名证书又称代码数字证书,代表软件开发者的身份,用于对其开发的软件进行数字签名,证明软件的合法性。图31软件数字证书使用前图32软件数字证书使用前图33软件数字证书使用后图34试用版证书申请访问链接中国数字认证网:,为个人或非营利性机构提供有效期限为一年免费试用数字证书图35谢谢观赏!深圳信息职业技术学院制作人:万守付