CA技术体系及应用领域的研究报告.docx
《CA技术体系及应用领域的研究报告.docx》由会员分享,可在线阅读,更多相关《CA技术体系及应用领域的研究报告.docx(4页珍藏版)》请在冰豆网上搜索。
CA技术体系及应用领域的研究报告
CA技术体系及应用领域的研究报告
工业和信息化部软件与集成电路促进中心
二0一0年一月
一、CA概述
数字证书是一种数字标识,可以说是Internet上的安全护照或身份证明。
当人们到其他国家旅行时,用户护照可以证实其的身份,并被获准进入这个国家。
数字证书提供的是网络上的身份证明。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
CA(CertificationAuthority)是数字证书认证中心,是指对数字证书的申请者发放、管理、取消数字证书的机构。
CA的作用是检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。
(一)相关专业术语
CA:
certificationauthority的缩写,是以构建在公钥基础设施PKI基础之上的产生和确定数字证书的第三方可信机构,其主要进行身份证书的发放,并按设计者制定的策略,管理电子证书的正常使用。
CA具有权威性、可信赖性及公正性,承担着公钥体系中公钥的合法性检验的责任。
CA为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA的数字签名使得攻击者不能伪造和篡改证书,CA还负责吊销证书并发布证书吊销列表,并负责产生、分配和管理所有网上
实体所需的数字证书,因此,它是安全电子政务的核心环节。
政策批准机构PAA:
创建各个PKI系统的方针,批准本PAA下属的PCA的政策,为下属PCA签发公钥证书,建立整个PKI体系的安全策略,并具有监控各PCA行为的责任。
政策PCA机构:
PCA为政策CA,制定本PCA的具体政策,可以是上级PAA政策的扩充或细化,但不能与之相背离。
这些政策可能包括本PCA范围内密钥的产生、钥密的长度、证书的有效期规定及CRL的管理等等。
并为下属CA签发公钥证书。
桥证书中心:
是多信任域PKI体系中的核心,是不同信任域之间的桥梁,主要负责为不同信任域的主CA颁发交叉认证的证书,建立各个信任域的证书策略与桥CA的证书策略之间的一一映射关系,更新交叉认证证书,发布交叉认证证书黑名单等。
RA:
RegistryAuthority的缩写,意为“审核授权部门”。
RA作为CA认证体系中的一部分,该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能,为整个机构体系提供电子认证服务。
能够直接从CA提供者那里继承CA认证的合法性。
能够使客户以自己的名义发放证书,便于客户开展工作。
CP:
的缩写,意为“证书操作部门”。
RA作为CA认证体系中的另一主要部分,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等。
CRL:
的缩写,意为“证书注销列表”。
CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。
CRL通常被称为证书黑名单,通知大家某些电子证书不再有效。
PKI:
PublicKeyInfrastructure的缩写,意为“公钥基础设施”。
PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
密钥:
是加密算法用于加密和解密的种子,通过特定的算法对数据进行处理。
加密:
我们将文字转换成不能直接阅读的形式的过程称为加密。
解密:
我们将密文转换成能够直接阅读的文字的过程称为解密。
SSL:
SecureSocketsLayer的缩写,意为“安全套接层”。
SSL是一种提供INTERNET上保密性的在线协议。
它允许客户/服务器应用以一种不能被偷听的方式通讯。
它是INTERNET网上安全通讯与交易的标准。
SSL协议使用通讯双方的证书,在通讯双方间建立一条安全的、可信任的通讯通。
(二)我国CA认证中心的发展现状
电子商务、电子政务对网络安全的要求,不仅推动着互联网交易秩序和交易环境的建设,同时也带来了巨大的商业利润。
从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统,到20XX年6月29日,中国第一家金融认证中心一中国金融认证中心(CFCA)的正式挂牌,标志着中国正式开始了CA的认证工作。
中国CA认证市场犹如雨后春笋,全国各地有几十家CA认证中心。
从20XX年8月8日《中华人民共和国电子签名法》颁布以后,已被信息产业部审批的合法CA机构有22家。
其中一些行业建成了自己的一套CA体系,如中国金融认证中心、中国电信CA安全认证系统等;还有一些地区建立了区域性的CA体系,如北京数字证书认证中心、上海电子商务CA认证中心、广东省电子商务认证中心、云南省电子商务认证中心等。
下面是国内一些主要的CA认证中心。
名称简介中国金融认证中心(CFCA),20XX年10月开始运行,是一个十三家银行参与建设和运行的CA认证体系,目前CFCA具有覆盖全国的认证服务体系,提供多种用途的证书和信息安全服务,支持金融领域及其他各界用户的应用需求,包括网上购物、网上银行、网上证券、网上保险、网上申报缴税、网上购销和其他安全业务(OA、MIS)等等,CFCA证书全面支持电子商务的各种业务运作模式。
是国内惟一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。
它吉大正元做技术支行业认证中心中国金融认证中心(CFCA)
工业和信息化部软件与集成电路促进中心
二0一0年一月
一、CA概述
数字证书是一种数字标识,可以说是Internet上的安全护照或身份证明。
当人们到其他国家旅行时,用户护照可以证实其的身份,并被获准进入这个国家。
数字证书提供的是网络上的身份证明。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
CA(CertificationAuthority)是数字证书认证中心,是指对数字证书的申请者发放、管理、取消数字证书的机构。
CA的作用是检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。
(一)相关专业术语
CA:
certificationauthority的缩写,是以构建在公钥基础设施PKI基础之上的产生和确定数字证书的第三方可信机构,其主要进行身份证书的发放,并按设计者制定的策略,管理电子证书的正常使用。
CA具有权威性、可信赖性及公正性,承担着公钥体系中公钥的合法性检验的责任。
CA为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA的数字签名使得攻击者不能伪造和篡改证书,CA还负责吊销证书并发布证书吊销列表,并负责产生、分配和管理所有网上
实体所需的数字证书,因此,它是安全电子政务的核心环节。
政策批准机构PAA:
创建各个PKI系统的方针,批准本PAA下属的PCA的政策,为下属PCA签发公钥证书,建立整个PKI体系的安全策略,并具有监控各PCA行为的责任。
政策PCA机构:
PCA为政策CA,制定本PCA的具体政策,可以是上级PAA政策的扩充或细化,但不能与之相背离。
这些政策可能包括本PCA范围内密钥的产生、钥密的长度、证书的有效期规定及CRL的管理等等。
并为下属CA签发公钥证书。
桥证书中心:
是多信任域PKI体系中的核心,是不同信任域之间的桥梁,主要负责为不同信任域的主CA颁发交叉认证的证书,建立各个信任域的证书策略与桥CA的证书策略之间的一一映射关系,更新交叉认证证书,发布交叉认证证书黑名单等。
RA:
RegistryAuthority的缩写,意为“审核授权部门”。
RA作为CA认证体系中的一部分,该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能,为整个机构体系提供电子认证服务。
能够直接从CA提供者那里继承CA认证的合法性。
能够使客户以自己的名义发放证书,便于客户开展工作。
CP:
的缩写,意为“证书操作部门”。
RA作为CA认证体系中的另一主要部分,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等。
CRL:
的缩写,意为“证书注销列表”。
CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。
CRL通常被称为证书黑名单,通知大家某些电子证书不再有效。
PKI:
PublicKeyInfrastructure的缩写,意为“公钥基础设施”。
PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
密钥:
是加密算法用于加密和解密的种子,通过特定的算法对数据进行处理。
加密:
我们将文字转换成不能直接阅读的形式的过程称为加密。
解密:
我们将密文转换成能够直接阅读的文字的过程称为解密。
SSL:
SecureSocketsLayer的缩写,意为“安全套接层”。
SSL是一种提供INTERNET上保密性的在线协议。
它允许客户/服务器应用以一种不能被偷听的方式通讯。
它是INTERNET网上安全通讯与交易的标准。
SSL协议使用通讯双方的证书,在通讯双方间建立一条安全的、可信任的通讯通。
(二)我国CA认证中心的发展现状
电子商务、电子政务对网络安全的要求,不仅推动着互联网交易秩序和交易环境的建设,同时也带来了巨大的商业利润。
从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统,到20XX年6月29日,中国第一家金融认证中心一中国金融认证中心(CFCA)的正式挂牌,标志着中国正式开始了CA的认证工作。
中国CA认证市场犹如雨后春笋,全国各地有几十家CA认证中心。
从20XX年8月8日《中华人民共和国电子签名法》颁布以后,已被信息产业部审批的合法CA机构有22家。
其中一些行业建成了自己的一套CA体系,如中国金融认证中心、中国电信CA安全认证系统等;还有一些地区建立了区域性的CA体系,如北京数字证书认证中心、上海电子商务CA认证中心、广东省电子商务认证中心、云南省电子商务认证中心等。
下面是国内一些主要的CA认证中心。
名称简介中国金融认证中心(CFCA),20XX年10月开始运行,是一个十三家银行参与建设和运行的CA认证体系,目前CFCA具有覆盖全国的认证服务体系,提供多种用途的证书和信息安全服务,支持金融领域及其他各界用户的应用需求,包括网上购物、网上银行、网上证券、网上保险、网上申报缴税、网上购销和其他安全业务(OA、MIS)等等,CFCA证书全面支持电子商务的各种业务运作模式。
是国内惟一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。
它吉大正元做技术支行业认证中心中国金融认证中心(CFCA)
升级会员 