电子商务安全与管理第三版教学课件第六章 安全认证实例

安全认证实例PRACTICEOFSECURITYAUTHENTICATIONChapter6数字认证服务概述01CA建设分析02典型CA证书管理策略分析03国内重要CA简介04目录2005年6月18日，山东CA数字认证中心通过信息产业部专家组的检查验收，并获颁电子认证许可证。这是2005年4月1日《电子签名法》实施以来，全国颁发的第一个许可证。使用电子签名时，往往需要由第三方对电子签名人的身份进行认证，向交易对方提供信誉保证，这个第三方一般称之为电子认证服务机构。山东CA数字认证中心获得许可证，标志着首家“合法”电子签名认证机构诞生。目前，该认证中心在山东省15个市和3大行业建立了分中心及上百个业务受理点，累计发放数字证书100余万张。资料来源：山东省数字证书认证管理有限公司，2016年3月22日1电子商务的安全管理离不开认证机构CA的建设。除了山东数字认证中心外还有哪些CA机构获得了数字认证许可证？2我国的CA建设目前处于什么状态？电子商务的安全管理离不开认证机构CA的建设全国第一个数字认证许可证放行引例3PART1数字认证服务概述IntroductiontoDigitalCertificationServices46.1数字认证服务概述5CA是权威的、可信赖的、公正的第三方机构1负责数字证书的申请、签发及对数字证书的管理工作3承担着网上安全电子交易中重要的认证服务2PART2CA建设分析CAConstructionAnalysis66.2.1国内外认证中心现状概要分析7欧美CA

美国政府CA体系加拿大政府CA体系运营时间2001年6月7日2000年组成成员除了各级政府和不同的政府结构以外，还包括与政府或政府机构有商业往来的合作伙伴。都是联邦的各级政府或者政府机构。体系结构它包含树型结构、网状结构和信任列表等，是复杂的结构体系。它只是一个树型结构，体系结构简单。认证实现通过FBCA建立认证关系，FBCA仅是一个桥梁，将这些结构连接起来，不颁发数字证书。由联邦政策管理机构（FPMA）来管理。通过CCF来实现相互认证，CCF是不同树型CA的汇结点，可为下级CA签发数字证书。由政策管理机构（PMA）来管理。采用的技术整个体系的成员采用的产品和技术来自不同的公司，如VeriSign,Baltimore和Entrust等。强调使用Entrust公司的产品和技术。美国CA体系结构加拿大CA体系结构政策管理机构中央认证中心由政府运营当地注册机构6.2.1国内外认证中心现状概要分析亚太地区CA

日本韩国主要应用市场电子化政府领域，金融领域很少使用。而在政府领域，电子采购应用又比电子归档用得多。金融领域第一，政府领域第二互通模式BCA模式，将商业登记CA、公民CA、政府部门CA、以及非政府部门CA连成一体，如图3-3。简单的树型结构，通过根CA进行相互之间的认证，如图3-4。体系架构分公众和私人两大领域，公众领域包括政府CA体系，以及政府BCA建设。两个领域采用不同的法律规则。以KCAC（KoreaCertification&AuthenticationCentral）为根CA，下层包含SG、SighKorea、YesSign、Crosscert、TradeSign等多个受信任的CA。近期任务整合国家身份证智慧卡和其他电子化政府凭证卡（如驾照卡、护照等）加强电子签名在国际贸易上的应用，解决国际金融CA互通问题。86.2.1国内外认证中心现状概要分析国内CA从CA的数量变化来看1我国仅已获电子认证服务资质的企业就已达到36家几乎每个省份都在政府授权下建立起了以公司机制运行，按照行政区域名称来命名的区域性CA行业性CA和商业性CA也正规运作起来，还有一定的新兴CA正蓄势待发从CA的服务范围来看2一些区域性CA的运营范围也从各省市开始走向全国，证书发布量突破100余万，发展了稳定的客户源从CA的服务质量来看3CA自身的技术水平逐步提升解决方案涉及的领域更加广泛，囊括电子商务的各个环节电子商务在中国发展迅猛，为给电子商务一个安全的空间，我国CA建设的步伐也日益加快9106.2.2国内CA产业链战略规划研究机构审核单位资质名称国家密码管理局商用密码产品销售许可证、商用密码产品生产定点单位、商用密码产品科研资质国家保密局涉密计算机信息系统集成资质（甲级、乙级）国家保密科技测评中心涉密信息系统产品检测证书公安部公共信息网络安全监察局计算机信息系统安全专用产品销售国防武器装备科研生产单位保密资格审查认证委员会武器装备科研生产三级保密资格单位总装备部装备承制单位总参通信部通信资源管理办公室、中国长城互联网军队装备物质网络采购资格认证解放军信息安全测评认证中心军用信息安全产品认证证书中国信息安全测评认证中心信息安全服务资质（安全工程类、应急处理服务、风险评估服务、安全开发类）、信息技术产品安全测评证书工业和信息化部计算机信息系统集成资质、电子认证服务行政许可国家计算机网络应急技术处理协调中心网络安全应急服务支撑单位就整个信息安全领域来看，如表所示，各单位各司其职，分管各类资质的审查、发放、监管、注销等，树立了行业标准和规范116.2.2国内CA产业链应用广泛以数字证书作为白名单的实体建立移动互联网白名单标志安全可信的移动互联网应用维护安全的移动互联网生态系统在企业众多的业务系统中实现用户真实身份的鉴别保证重要的商业数据不被泄露和关键的业务数据不被恶意篡改在事后提供合法的电子证据防止用户抵赖钓鱼网站和假冒网站是互联网的其中两个不安全因素《网站可信标识技术指南》可信终端软件显著位置处会显示该网站的认证标志及实体认证信息移动互联网监管网页认证安全管控126.2.2国内CA产业链合作与竞争子市场主要公司防火墙华为、思科、H3C、天融信、网御星云入侵检测系统绿盟软件、启明星辰、东软、安氏领信入侵防御系统绿盟软件、启明星辰、H3C、思科统一威胁管理网御星云、思科、华为、山石网科终端安全管理瑞星、赛门铁克、趋势科技、冠群金辰抗拒绝服务系统绿盟科技、华赛、H3C、Arbor漏洞扫描产品绿盟科技、启明星辰、榕基软件信息加密/身份认证卫士通、兴唐通信、吉大正元安全管理平台启明星辰、安氏领信、东软、天融信、神州泰岳Web应用防护系统绿盟科技安全服务绿盟软件、启明星辰、安氏领信、天融信信息安全领域涉及的细分领域众多，部分细分领域之间的技术关联性不强，而信息安全技术具有密集型的特点，造成企业很难在不同的细分领域同时发力。在未来的市场中，企业可能更多通过并购的方式来提高集中度136.2.2国内CA产业链基础设施保障括安全芯片、安全主机、安全存储、安全终端、安全网络设备等在计算机芯片等的研发设计和市场占有率都相对薄弱在云计算大数据的带动下，云安全将是未来新的增长点近年来三网融合、3G网络、4G网络、智能电网等基础设施在政策的引导下逐步发展完善为电子商务和移动支付蓬勃发展注入了动力，同时也带来了未知的威胁进而拉动信息安全产业和CA的发展硬件网络建设云平台搭建146.2.3国内认证中心建设分析区域型CA在中国CA中占了很大一部分通常是政府授权建立，以公司机制运行，按照行政区域名称来命名大部分CA的业务需要依托本土资源，很难扩展到其他省市，CA间的互通性较弱全国型CA由两部分组成一是行业性CA一是少数发展成熟的商业性CA主要由两部分组成一是具有一定实力的地方性CA，他们以本省市的业务为核心，逐步开始向周边省市提供电子认证服务一是部分新兴的商业性CA，他们没有政府色彩，完全是市场化的结果，一些商业机构看到了商机，筹资组建区域型扩展型全国型PART3典型CA证书管理策略分析AnalysisofTypicalCACertificateManagementStrategy15166.3.1CFCA简介首都电子商务工程领导小组会议决定，由中国人民银行牵头组织全国商业银行联合共建我国金融行业统一的第三方安全认证机构——中国金融认证中心（ChinaFinancialCertificationAuthority，简称CFCA）CFCA正式挂牌成立，系统开通运行，致力于全方位网络信任体系的构建1998年9月2000年6月2005年8月CFCA成为《中华人民共和国电子签名法》颁布之后首批获得电子认证服务提供者资质的CA机构之一176.3.2CFCA的结构两大CA体系SET系统Non-SET系统186.3.2CFCA的结构RA系统分为CA本地RA和CA远程RA本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料远程RA根据商业银行的体系架构分为三级结构，即总行、分行、受理点RA系统6.3.3CFCA的功能证书的申请1证书的审批2证书的发放3证书的归档4证书的撤销5证书的更新6证书撤消表的管理7CA的管理功能8CA自身密钥的管理功能919206.3.4CFCANon-SET系统的技术优势基于PKI机制采用最先进的Entrust公司的高级/企业级证书具有数字签名功能，实现了传送者对信息的签名，提供了不可否认性签字公钥可自动置于目录服务器中，实现用户自动检索Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的安全性。存储历史文档，支持全程的审计功能在浏览器与服务器间实现双方认证，提高身份认证的安全性,为访问控制提供了可能增强了浏览器与服务器之间数据传输加密强度完整的证书管理功能。提供证书的有效期管理、密钥更新管理等功能提供时间戳功能客户端、服务器端实现自动在线CRL查询除存放在机器硬盘、随身软盘而外，也可存放于IC卡中，以保证证书本身的安全性216.3.5CFCA的安全保障维护系统信息的保密性、有效性和完整性具体内容包括系统安全、通信安全和数据安全要能够抵抗来自外部和内部的攻击CA系统的敏感部位，如数据库、存贮装置等都设有严格的保护系统对管理员的操作制定了具体有效的管理手段办公楼电源的不间断保护、大楼的防盗、防震、防火、防辐射、门禁监控设施等样样齐备专门建了一幢独立的建筑，采用无缝钢板进行屏蔽，安装了高级监控设备，装置了严格的门禁设备，制定了完善的安全制度将整个CFCA系统划分成不同安全等级的区域安装了世界先进的黑客入侵检测预警系统服务器、网络设备、布线箱以及相关的网络外设都要设计独立的机房机房具有相应的访问控制系统杜绝对设备的非法物理访问自身安全设备安全环境安全226.3.6CFCA的

证书策略CFCA证书管理策略概述证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件CFCA所颁发的数字证书均遵循X.509V3标准。企业普通证书个人普通证书服务器证书个人高级证书企业高级证书手机证书安全E-mail证书VPN设备证书代码签名证书证书的种类CFCA数字证书证书数据发行证书的CA签名版本信息，用来与X.509的将来版本兼容证书序列号，每一个由CA发行的证书必须有一个唯一的序列号CA所使用的签名算法发行证书的CA的名称证书的有效期限证书主体名称被证明的公钥信息，包括公钥算法、公钥的位字符串表示包含额外信息的特别扩展。包括发行证书的CA签名和用来生成数字签名的签名算法任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。236.3.6CFCA的

证书策略金融认证服务相关业务规则网关（银行）业务规则1网关（银行）证书申请、审批流程网关（银行）证书使用指南网关（银行）软件要求网关（银行）环境要求商户（企业）业务规则2商户（企业）基本资格要求商户（企业）网上业务资格要求商户（企业）证书申请、审批流程商户（企业）证书使用指南商户（企业）软件要求商户（企业）变更流程指南持卡人（个人）业务规则3持卡人（个人）基本资格要求持卡人（个人）网上业务资格要求持卡人（个人）证书申请、审批流程持卡人（个人）证书使用指南持卡人（个人）软件要求持卡人（个人）变更流程指南中介机构业务规则4中介机构基本资格要求中介机构网上业务资格要求中介机构证书申请、审批流程中介机构证书使用指南中介机构软件要求中介机构变更流程指南246.3.6CFCA的

证书策略CFCA的CPS管理本CPS的制定机构为CFCACPS的制定机构CPS由CPS编写部门进行编写政策审批部门制定并维护证书政策文件（CP），同时对本CPS进行审核以确保其与CP文件保持一致CPS编写部负责收集和协调从其它部门收集来的建议和意见，并对该CPS进行完善与维护CPS的制定策略在CFCA站点以电子形式出版以文件形式索取CPS的发表和公布策略CFCA将有权根据实际情况更正本CPS证书策略（CP）的变更以及本CPS人员的重大改变，将由CPS编写部门和政策审批部门来判断是否会极大地影响用户使用CA发布的证书和证书撤消表CPS的变更策略本CPS及任何后来的变更都必须由CFCA政策审批部门批准，CPS编写部门负责变更CPS的认证和监督机制PART4国内重要CA简介BriefintroductionofImportantDomesticCA25266.4国内重要CA简介天威诚信1上海CA2广东CA5天威诚信6.4国内重要CA简介天威诚信数字认证中心（itruschina）成立于2000年9月，是由北京天威诚信电子商务服务有限公司）运行管理的PKI/CA数字认证中心是首批获得信息产业部颁发的电子认证服务许可证的CA认证中心，是经信息产业部批准的全国性PKI/CA企业是专门从事电子认证服务、PKI/CA建设服务、PKI/CA应用服务、PKI/CA运行管理咨询服务和PKI/CA体系整体规划服务的专业化信息安全技术与服务公司。27天威诚信颁发的证书6.4国内重要CA简介用于公共服务平台、金融机构、电子商务平台等主要作用在于提高公众服务平台与电子商务平台安全性，加强交易管理，为业务提供基础技术保障与法律保护面向电子政务、B2B电子商务平台等用于提高电子政务平台与B2B电子商务平台的安全性与服务水平，为平台业务提供基础安全保障与法律保护个人证书企业证书针对政府或是企业的内部网络、复杂设备环境、机要设备等起到加强设备管理能力，提高网络安全性与设备访问控制，为网络设备提供基础安全保障与法律保护提高邮件安全性，避免垃圾邮件、病毒邮件、仿冒邮件等侵害，保护用户隐私信息设备证书邮件证书2829天威诚信的证书试用6.4国内重要CA简介天威诚信提供最高60天的证书试用提供试用的证书主要有邮件证书、服务器证书、企业证书和个人证书上海CA6.4国内重要CA简介上海市数字证书认证中心有限公司（简称上海市CA中心，SHECA），是由上海市信息投资股份有限公司、上海邮电、上海市银行卡网络服务中心、上海联和投资公司联合出资组建，经上海市政府批准，上海市唯一从事数字证书的签发和管理业务的权威性认证中心。上海市CA中心把建设因特网网络安全和信任的环境作为自己的目标，为电子商务、电子政务、网上金融、网上办公、提供安全可靠的认证和信任服务，为个人、企业、网站、软件等对象提供安全保障。30知识库电子认证业务规划(CPS)现行的电子认证业务规则版本变更描述历史的电子认证业务规则证书策略(CP)现行的证书策略版本变更描述历史的电子认证业务规则协议现行协议根证书根证书下载上海CA的知识库6.4国内重要CA简介从上海CA的知识库中可以轻松地了解到其CP和CPS的主题内容根证书的下载和使用也能从此处获得31上海CA的服务方案6.4国内重要CA简介移证通是上海市数字证书认证中心有限公司推出的一款为移动用户和移动应用提供电子认证服务的软件通过该产品可以在移动设备上实现数字证书申请、下载、保存到证书存储区域等数字证书生命周期管理功能使用“扫一扫”可以扫描二维码来使用移动证书进行WEB系统登录和数字签名使用移证通SDK，第三方移动应用还可以便捷地使用移动证书登录、数字签名、验签签名等安全功能目前移证通支持Android和iOS平台下的主流手机和平板电脑集成采用身份认证、数字证书、电子签名、数据加密、可信时间戳、电子印章、数字水印、二维条码等创新性技术通过互联网新技术融合传统合同签约应用面向互联网和移动网络上电子商务和电子政务活动参与各方提供互联网电子合同综合服务实现合同签约应用互联网线上和日常生活线下O2O有机结合，提供一套完整的互联网电子合同谈判、磋商、签署、公证、支付和信用解决方案围绕互联网电子合同数据电文的生成、传递、接收、保存、提取、鉴定等可靠性认证环节，通过可靠电子签名实现互联网合同电子证据的生成、保全、提取、举证等全流程服务为政府机构、企事业单位、个人以及其他主体提供文件文书可靠、便捷、安全的签署服务移证通大家签提供扫码登陆、扫码签名、移动证书登录、移动证书签名、指纹登录、指纹签名、人脸识别申请证书等的场景体验32广东CA6.4国内重要CA简介广东数字证书认证中心有限公司（简称GDCA）于2003年成立，总部设在广州广东数字证书认证中心有限公司是广东省数字证书认证中心、广东省电子政务认证中心、广东省密钥管理中心的运作实体，在2005年首批获得工信部颁发的《电子认证服务许可证》2014年，通过了WEBTRUST国际认证，具备了国际化的电子认证服务能力广东数字证书认证中心有限公司于2016年5月整体变更设立为数安时代科技股份有限公司33亲民的销售模式：广东CA的官方淘宝店6.4国内重要CA简介34广东CA–签吧

6.4国内重要CA简介JustSign®签吧™电子合同是为了解决传统的商务模式中合同与订单签订效率低、安全性差，司法鉴定难等问题，而推出的电子合同服务平台平台采用了身份认证、数字认证、电子签名、数据加密、可信时间戳、电子印章、二维条码等创新技术，通过互联网新技术融合传统合同签约应用，作为权威可信第三方，为互联网和移动网络上电子商务和电子政务活动提供在线电子合同综合服务告别纸质，快速高效公平签署，全球信任数据加密，安全升级合法公正、司法认可云端存储，方便监管一扫签署，支持整合35本章小结36在第4和第5章，都曾提到过数字认证中心CA，本章重点介绍了CA的相关情况。CA是认证中心的英文CertificationAuthority的缩写。它为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；它是电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构。CA作为权威、公正的第三方机构在世界各地遍地开花。从全球角度来说，目前世界上最大、最权威的认证中心是美国的VeriSign公司。美国、加拿大、英国等欧美国家在20世纪90年代初开始建设CA，其认证体系较为发达。在亚太地区，CA体系的发展相对落后，但香港、台湾、韩国、新加坡、日本、马来西亚等国家和地区的发展态势表现得相当不错。我国起步建设CA紧追时代步伐，随着各种规范化法律法规的出现，截至2016年4月，我国有近40家CA获得了电子认证服务资质，围绕着电子认证国家形成了相关的战略规划研究机构，CA的应用范围也更加广泛，但也不得不面临着与信息安全领域其他细分市场企业的竞争，同时还得兼顾发展所需要的基础设施。这意味着我国CA建设开始初步形成产业链。纵观我国CA建设，可将国内CA分为三类，一是区域型CA，如陕西CA、辽宁CA等；一是扩展型CA，如广东CA、沃通CA等；一是全国型性CA，如天威诚信CA、中国金融认证中心（CFCA）等。关键术语37CA区域型CA扩展型CA全国型CACFCA沃通CA1我国的CA大致可以分为哪几类？在每一类中选择一个CA，访问其网站。除了本章已列出的CA，你还能在每一类中各找出一个CA的例子吗？2什么是中国协卡认证体系？该体系由谁发起？有哪些参与方？3为什么CFCA要建立自身的安全保障？5CFCA提供哪几种类别的证书？7思考题CFCA建立了哪两大CA体系，其结构如何？4作为金融认证中心，CFCA在证书实施说明中列出了哪些与金融认证服务相关的业务规则？8CFCA的数字证书遵循什么标准？主要包括哪些内容？638国内重要的CA有哪一些？92005年9月27日，信息产业部举行了首批电子认证服务许可证书颁发仪式。获得首批认证许可的CA佼佼者分别是山东省数字证书认证管理有限公司、银联金融认证中心有限公司（后来的CFCA）、北京天威诚信电子商务服务有限公司、陕西省数字证书认证中心有限责任公司、国投安信数字证书认证有限公司、广东省电子商务认证有限公司、广东数字证书认证中心有限公司、上海市数字证书认证服务中心有限公司。不同CA的发展也大相径庭，就拿首批获得电子认证许可资质的几家机构来说，比较它们颁发证书突破100万时间，CFCA在2006年7月，也就是它拿到资质许可不到一年，颁发的数字证书数量就已经达到了100万。电子认证产业联盟的数据显示，2006年全国总证书数量仅为371万，CFCA占据该年超过25%的市场份额。上海C