电子商务安全与管理（第三版） 劳帼龄课件第06章 安全认证实例.pptx

安全认证实例安全认证实例PRACTICE OF SECURITY AUTHENTICATIONPRACTICE OF SECURITY AUTHENTICATIONChapter 6数字认证服务概述01CA建设分析02典型CA证书管理策略分析03国内重要CA简介04目录 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材2005年6月18日，山东CA数字认证中心通过信息产业部专家组的检查验收，并获颁电子认证许可证 这是2005年4月1日电子签名法实施以来，全国颁发的第一个许可证 使用电子签名时，往往需要由第三方对电子签名人的身份进行认证，向交易对方提供信誉保证，这个第三方一般称之为电子认证服务机构山东CA数字认证中心获得许可证，标志着首家“合法”电子签名认证机构诞生 目前，该认证中心在山东省15个市和3大行业建立了分中心及上百个业务受理点，累计发放数字证书100余万张资料来源：山东省数字证书认证管理有限公司，2016年3月22日1 1电子商务的安全管理离不开认证机构CA的建设除了山东数字认证中心外还有哪些CA机构获得了数字认证许可证？2 2我国的CA建设目前处于什么状态？电子商务的安全管理离不开认证机构CA的建设全国第一个数字认证许可证放行引例3 3 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材PART 1数字认证服务概述Introduction to Digital Certification Services4 4 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材6.1 数字认证服务概述5 5CA是权威的、可信赖的、公正的第三方机构1负责数字证书的申请、签发及对数字证书的管理工作3承担着网上安全电子交易中重要的认证服务2 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材PART 2CA建设分析CA Construction Analysis6 6 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材6.2.1 国内外认证中心现状概要分析7 7欧美CA美国政府CA体系加拿大政府CA体系运营时间2001年6月7日2000年组成成员除了各级政府和不同的政府结构以外，还包括与政府或政府机构有商业往来的合作伙伴。

都是联邦的各级政府或者政府机构体系结构它包含树型结构、网状结构和信任列表等，是复杂的结构体系它只是一个树型结构，体系结构简单 认证实现通过FBCA建立认证 关系，FBCA仅是一个桥梁，将这些结构连接起来，不颁发 数字证书 由联邦政策管理机构（FPMA）来管理通过CCF来实现 相互认证 ，CCF是不同树型CA的汇结 点，可为下级CA签发 数字证书 由政策管理机构（PMA）来管理采用的技术整个体系的成员采用的产品和技术来自不同的公司，如VeriSign,Baltimore和Entrust等强调使用Entrust公司的产品和技术美国CA体系结构加拿大CA体系结构政策管理机构中央认证中心由政府运营当地注册机构 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材6.2.1 国内外认证中心现状概要分析亚太地区CA日本韩国主要应用市场电子化政府领域，金融领域很少使用而在政府领域，电子采购应 用又比电子归档用得多金融领域第一，政府领域第二互通模式BCA模式，将商业登记CA、公民CA、政府部门CA、以及非政府部门CA连成一体，如图3-3简单 的树型结构，通过根CA进行相互之间的认证 ，如图3-4。

体系架构分公众和私人两大领域，公众领域包括政府CA体系，以及政府BCA建设两个领域采用不同的法律规则 以KCAC（Korea Certification &Authentication Central）为根CA，下层包含SG、SighKorea、YesSign、Crosscert、TradeSign等多个受信任的CA近期任务整合国家身份证智慧卡和其他电子化政府凭证卡（如驾照卡、护照等）加强电子签名在国际贸 易上的应用，解决国际金融CA互通问题 8 8 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材6.2.1 国内外认证中心现状概要分析国内CA从CA的数量变化来看1我国仅已获电子认证服务资质的企业就已达到36家几乎每个省份都在政府授权下建立起了以公司机制运行，按照行政区域名称来命名的区域性CA行业性CA和商业性CA也正规运作起来，还有一定的新兴CA正蓄势待发从CA的服务范围来看2一些区域性CA的运营范围也从各省市开始走向全国，证书发布量突破100余万，发展了稳定的客户源从CA的服务质量来看3CA自身的技术水平逐步提升解决方案涉及的领域更加广泛，囊括电子商务的各个环节电子商务在中国发展迅猛，为给电子商务一个安全的空间，我国CA建设的步伐也日益加快9 9 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材10106.2.2 国内CA产业链战略规划研究机构审核单位资质名称国家密码管理局商用密码产品销售许可证、商用密码产品生产定点单位、商用密码产品科研资质国家保密局涉密计算机信息系统集成资质（甲级、乙级）国家保密科技测评中心涉密信息系统产品检测证书公安部公共信息网络安全监察局计算机信息系统安全专用产品销售国防武器装备科研生产单位保密资格审查认证委员会武器装备科研生产三级保密资格单位总装备部装备承制单位总参通信部通信资源管理办公室、中国长城互联网军队装备物质网络采购资格认证解放军信息安全测评认证中心军用信息安全产品认证证书中国信息安全测评认证中心信息安全服务资质（安全工程类、应急处理服务、风险评估服务、安全开发类）、信息技术产品安全测评证书工业和信息化部计算机信息系统集成资质、电子认证服务行政许可国家计算机网络应急技术处理协调中心网络安全应急服务支撑单位就整个信息安全领域来看，如表所示，各单位各司其职，分管各类资质的审查、发放、监管、注销等，树立了行业标准和规范 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材11116.2.2 国内CA产业链应用广泛以数字证书作为白名单的实体建立移动互联网白名单标志安全可信的移动互联网应用维护安全的移动互联网生态系统在企业众多的业务系统中实现用户真实身份的鉴别保证重要的商业数据不被泄露和关键的业务数据不被恶意篡改在事后提供合法的电子证据防止用户抵赖钓鱼网站和假冒网站是互联网的其中两个不安全因素网站可信标识技术指南可信终端软件显著位置处会显示该网站的认证标志及实体认证信息移动互联网监管网页认证安全管控 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材12126.2.2 国内CA产业链合作与竞争子市场主要公司防火墙华为、思科、H3C、天融信、网御星云入侵检测系统绿盟软件、启明星辰、东软、安氏领信入侵防御系统绿盟软件、启明星辰、 H3C、思科统一威胁管理网御星云、思科、华为、山石网科终端安全管理瑞星、赛门铁克、趋势科技、冠群金辰抗拒绝服务系统绿盟科技、华赛、 H3C、 Arbor漏洞扫描产品绿盟科技、启明星辰、榕基软件信息加密/身份认证卫士通、兴唐通信、吉大正元安全管理平台启明星辰、安氏领信、东软、天融信、神州泰岳Web应用防护系统绿盟科技安全服务绿盟软件、启明星辰、安氏领信、天融信信息安全领域涉及的细分领域众多，部分细分领域之间的技术关联性不强，而信息安全技术具有密集型的特点，造成企业很难在不同的细分领域同时发力。

在未来的市场中，企业可能更多通过并购的方式来提高集中度 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材13136.2.2 国内CA产业链基础设施保障括安全芯片、安全主机、安全存储、安全终端、安全网络设备等在计算机芯片等的研发设计和市场占有率都相对薄弱在云计算大数据的带动下，云安全将是未来新的增长点近年来三网融合、3G网络、4G网络、智能电网等基础设施在政策的引导下逐步发展完善为电子商务和移动支付蓬勃发展注入了动力，同时也带来了未知的威胁进而拉动信息安全产业和CA的发展硬件网络建设云平台搭建 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材14146.2.3 国内认证中心建设分析 区域型CA在中国CA中占了很大一部分 通常是政府授权建立，以公司机制运行，按照行政区域名称来命名 大部分CA的业务需要依托本土资源，很难扩展到其他省市，CA间的互通性较弱 全国型CA由两部分组成 一是行业性CA 一是少数发展成熟的商业性CA 主要由两部分组成 一是具有一定实力的地方性CA，他们以本省市的业务为核心，逐步开始向周边省市提供电子认证服务 一是部分新兴的商业性CA，他们没有政府色彩，完全是市场化的结果，一些商业机构看到了商机，筹资组建区域型扩展型全国型 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材PART 3典型CA证书管理策略分析Analysis of Typical CA Certificate Management Strategy1515 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材16166.3.1 CFCA简介首都电子商务工程领导小组会议决定，由中国人民银行牵头组织全国商业银行联合共建我国金融行业统一的第三方安全认证机构中国金融认证中心（China Financial Certification Authority，简称CFCA）CFCA正式挂牌成立，系统开通运行，致力于全方位网络信任体系的构建1998年9月2000年6月2005年8月CFCA成为中华人民共和国电子签名法颁布之后首批获得电子认证服务提供者资质的CA机构之一 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材17176.3.2 CFCA的结构两大CA体系SET系统Non-SET 系统 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材18186.3.2 CFCA的结构RA 系统 分为CA本地RA和CA远程RA 本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料 远程RA根据商业银行的体系架构分为三级结构，即总行、分行、受理点RA系统 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材6.3.3 CFCA的功能证书的申请1证书的审批2证书的发放3证书的归档4证书的撤销5证书的更新6证书撤消表的管理7CA的管理功能8CA 自身密钥的管理功能91919 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材20206.3.4 CFCA Non-SET系统的技术优势基于PKI机制采用最先进的Entrust公司的高级/企业级证书具有数字签名功能，实现了传送者对信息的签名， 提供了不可否认性签字公钥可自动置于目录服务器中，实现用户自动检索Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的安全性。

存储历史文档，支持全程的审计功能在浏览器与服务器间实现双方认证，提高身份认证的安全性,为访问控制提供了可能增强了浏览器与服务器之间数据传输加密强度完整的证书管理功能提供证书的有效期管理、密钥更新管理等功能提供时间戳功能客户端、服务器端实现自动CRL查询除存放在机器硬盘、随身软盘而外，也可存放于IC卡中，以保证证书本身的安全性 上海财经大学 劳帼龄电子商务安全与管理（第三版）“十二五”国家规划教材21216.3.5 CFCA的安全保障 维护系统信息的保密性、有效性和完整性 具体内容包括系统安全、通信安全和数据安全 要能够抵抗来自外部和内部的攻击 CA系统的敏感部位，如数据库、存贮装置等都设有严格的保护 系统对管理员的操作制定了具体有效的管理手段 办公楼电源的不间断保护、大楼的防盗 、 防震、防火、防辐射、门禁监控设施等样样齐备 专门建了一幢独立的。