论文格式模板.docx
《论文格式模板.docx》由会员分享,可在线阅读,更多相关《论文格式模板.docx(22页珍藏版)》请在冰点文库上搜索。
论文格式模板
福建船政交通职业学院
毕业论文(设计)
题目:
CA认证技术的实践与应用
姓名:
郭维强
学号:
090612134
专业:
网络系统管理
年级班级:
09级
(1)班
指导教师:
刘伟(高级工程师)
系(部):
信息工程系
二○一二年六月
目录
引言3
1认证中心CA概述4
1.1认证中心CA的概念4
1.2认证中心CA的功能及其工作原理4
2CA认证技术6
2.1密码机制6
2.2数字签名技术7
2.3数字时间戳8
2.4认证机制9
3CA认证功能的实现10
3.1数字证书的申请、下载、安装、查看10
3.2发送签名邮件14
3.3发送加密邮件15
4CA企业应用18
结束语20
致谢21
[参考文献]22
CA认证技术的实践与应用
郭维强
摘要:
CA系统是信息网络时代进行电子商务和电子政务时满足其身份认证、安全传输要求的技术保证。
认证中心(CA--CertificateAuthority)作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体(消费者、商户、银行)联系在一起。
它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。
关键词:
CA系统认证中心数字认证
引言
随着认证中心的出现,使得开放网络的安全问题得以迎刃而解。
利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的加解密和身份认证系统,确保电子交易有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。
近十年来,信息技术尤其是计算机网络技术得到了飞速发展。
人们得益于信息革命带来的巨大机遇的同时,不得不面对信息安全问题的严峻考验。
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,保证传输数据的认证、完整性、机密性和不可抵赖性。
数字证书就是应这种需要而出现的。
数字证书是各实体在网上的信息交流及商务交易活动中身份的身份证明,它实现了一个公钥与某一实体之间的绑定。
为了提供这种绑定关系,需要一组可信的第三方来担保用户的身份。
第三方实体称为认证中心,他提供的功能主要有:
颁发证书、更新证书、查询证书、归档证书和作废证书。
1认证中心CA概述
1.1认证中心CA的概念
所谓CA(CertificateAuthority)认证中心,它是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。
它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。
目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。
CA是证书签发机构,它是PKI的核心,它主要负责签发证书、认证证书、管理已颁发证书的机关,它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
CA也拥有一个证书(内含公钥)和私钥。
网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向CA提出申请。
在CA判明申请者身份后,便为他分配一个公钥,并且CA将公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证,一旦通过,该证书就被认为是有效的。
1.2认证中心CA的功能及其工作原理
1、认证中心CA的功能。
概括地说,认证中心(CA)的功能有:
证书发放、证书更新、证书验证和证书撤销。
CA的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
2、认证中心CA的工作原理。
数字安全证书利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名,同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是RSA体制。
其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。
即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。
按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。
公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。
购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
下面通过一个具体实例来说明CA的工作原理。
假设客户A向银行B传送数字信息,为了保证信息传送的真实性、完整性、和不可否认性,需要对要传送的信息进行数字加密和数字签名,其传送过程如下:
(1)客户A准备好要传送的数字信息(准备明文)。
(2)客户A对数字信息进行哈希运算,得到一个信息摘要(准备摘要)。
(3)客户A用自己的私钥(SK)对信息摘要进行加密得到客户A的数字签名,并将其附在数字信息上(用私钥对数字信息进行数字签名)。
(4)客户A随机产生一个加密密钥(DES密钥),并用此密钥对要发送的信息进行加密,形成密文(生成密文)。
(5)客户A用双方共有的公钥(PK)对刚才随机产生的加密密钥进行加密,并将加密后的密钥连同密文一起传送给银行B(用公钥对DES密钥进行加密)。
(6)银行B收到客户A传送过来的密文和加密的DES密钥,先用自己的私钥(SK)对加密的DES密钥进行解密,得到DES密钥(用私钥对DES密钥解密)。
(7)银行B然后用DES密钥对收到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(解密文)。
(8)银行B用双方共有的公钥(PK)对客户A的数字签名进行解密,得到信息摘要。
银行B用相同的哈希算法对收到的明文再进行一次哈希运算,得到一个新的信息摘要(用公钥解密数字签名)。
(9)银行B将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过(对比信息摘要和信息)。
2CA认证技术
目前,采用的基本安全技术主要是通过以下方式:
加密、安全的单向散列函数、数字信封、数字签名、身份认证技术等。
CA系统正是对以上述技术为基础的安全技术的综合运用。
2.1密码机制
1、对称密钥加密。
早期人们常用的加密方式比较有代表性的是秘密密钥加密,也称为对称密钥加密,它在应用过程中加密和解密使用同一个密钥。
因此,就要求信息的发送方和接收方必须共享同一个密钥。
图1-1对称密钥的加密和解密
2、公开密钥加密。
为弥补对称加密机制的不足,就需要引入另一个安全加密算法即公开密钥加密的问题,公开密钥加密又称非对称密钥加密。
它在加密过程中使用两个不同的密钥:
一个用来加密信息,称为加密密钥;另一个用来解密信息,称为解密密钥。
图1-2公开密钥的加密和解密
3、数字信封。
数字信封结合了秘密密钥加密和公开密钥加密技术二者的优点,克服秘密密钥加密中密钥分发困难和公开密钥加密中加密时间长的问题,从两个层次加密,以此保证了信息的安全性。
图1-3数字信封的加密和解密
2.2数字签名技术
1、数字摘要。
数字摘要也是一种加密方法,这一方法又称安全Hash(哈希)编码法,该编码采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文也称为数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。
数字摘要的特点是它代表了文件的特征。
一个最简单的Hash函数是把文件的二进制码相累加,取最后的若干位。
Hash函数对发送数据的双方都是公开的。
2、数字签名。
发送者用自己的私有密钥对数字摘要进行加密,就形成了数字签名。
只有加入数字签名及验证才能真正实现在公开网络上的安全传输,从而保证传输过程中信息的完整,提供信息发送者的身份认证和不可抵赖性。
数字签名的加密、解密过程和秘密密钥的加密、解密过程虽然都使用公开密钥体系,但实现的过程正好相反,使用的密钥对也不相同。
数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方用发送方的公开密钥进行解密。
这是一个一对多的关系,即任何拥有发送方公开密钥的人都可以验证数字签名的正确性。
而秘密密钥的加密、解密则使用的是接收方的密钥对,这是多对一的关系,即任何知道接收方公开密钥的人都可以向接收方发送加密信息,只有唯一拥有接收方私有密钥的人才能对信息解密。
在实际过程中,通常用户拥有双密钥对,即一个用于对数字签名进行加密、解密,另一个用于对秘密密钥进行加密、解密,这种方式提供了更高的安全性。
图1-4数字签名的加密和解密
3、双重数字签名。
在实际的电子商务活动中,往往是三方或多方的交易行为,为保证三方在事务处理过程中能够安全地传输信息,采用双重数字签名技术用于三方通信时的身份认证、信息完整性和不可抵赖性,它是采用公开密钥算法和单向散列函数的结合。
图1-5双重数字签名保证交易的安全性
2.3数字时间戳
在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由交易双方共同信任的第三方机构提供。
时间戳是一个经加密后形成的凭证文档,它包括需要时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
时间戳产生的过程为:
用户首先将需要加时间戳的文件用Hash编码加密并形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
因此,时间戳可以作为电子商务交易文件的时间认证,用以确定涉及法律诉讼或合同问题的文件被投寄的时间。
2.4认证机制
1、数字证书。
数字证书又称数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限。
证书是一个经证书授权中心数字签名的包含公开密钥拥
有者信息以及公开密钥的文件。
最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。
一般情况下,证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称以及该证书的序列号等信息。
贸易伙伴间可以使用数字证书来交换公开密钥。
数字证书有三种类型:
第一种是个人数字证书,它为某一个用户提供凭证,以帮助某个人在网上进行安全交易操作。
个人身份的数字证书通常安装在客户的浏览器内,并通过安全的电子邮件来进行操作。
第二种是企业(服务器)证书,它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的Internet站点进行安全电子交易。
第三种是软件(开发者)证书,它通常为Internet中被下载的软件提供凭证。
2、证书授权机构(CA)。
CA是承担网上认证服务、能签发数字证书并能确认用户身份的受大家信任的第三方机构。
CA通常是企业性服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证进行管理。
用户向CA提交自己的公开密钥和其他代表自己身份的信息,CA在验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。
CA是保证电子商务安全的关键。
CA对含有公钥的证书进行数字签名,使证书无法伪造。
有一定的有效期,有效期结束后须重新申领。
由于发证机构是权威的,因此,数字证书被社会所承认和接受。
数字证书和CA减轻了公开密钥交换过程中验证公开密钥的麻烦。
简单地说,有了数字证书和CA,用户就不再需要验证来信任每一个想要交换信息的用户的公开密钥,而只需要验证并信任颁发证书的CA的公开密钥就可以了。
CA应包括两大部门:
第一,审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误而为不满足资格的证书申请者发放证书所引起的一切后果。
第二,证书操作部门,它负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有授权者发放证书等。
它可以由审核授权部门自己担任,也可委托给第三方担任。
3CA认证功能的实现
下面通过具体实例说明CA认证功能是如何实现的,并了解数字证书的作用,掌握数字证书的申请、下载、安装、查看和废止,以及数字证书的使用。
3.1数字证书的申请、下载、安装、查看
1、用户注册与登录。
登陆中国数字认证网页面,注册会员并登录。
首次登录根据系统提示下载运行加载项,选择运行。
图3-1用户注册信息的填写
图3-2注册成功页面
图3-3下载及运行加载项
图3-4用户登录成功
2、找到免费证书并选择用表格申请证书。
图3-5选择免费证书中的表格申请
3、点击用表格申请证书后,依次填写表格,点击保存。
图3-6填写表格信息
4、选择密钥大小,点击申请证书。
图3-7密钥大小的选择
点击完后跳出下图所示对话框,选择确定。
图3-8点击申请证书后的页面
5、页面自动返回下图所示,点击下载证书,保存证书。
图3-9证书的保存
6、安装证书。
图3-10证书安装示意图
7、证书的导入。
执行IE浏览器中的工具选项卡,选择Internet选项,单击内容,选取证书,可以进行导入个人证书。
图3-11证书导入示意图
3.2发送签名邮件
1、证书的选择。
进入foxmail,单击账户属性,在安全选项卡中选择证书。
图3-12证书选择示意图
2、撰写邮件。
单击撰写邮件,并选择工具栏中的数字签名。
图3-13完成邮件发送
3.3发送加密邮件
1、证书查询。
登录中国数字认证网,点击免费证书查询,输入对方名称等,(在此以自己为例)。
图3-14查询自己的证书
2、点击下载并安装
图3-15安装证书
3、从系统导入收件人地址。
在Foxmail中打开“地址簿”,选择收件人的邮件地址,按右键,点击“属性”-“数字证书”选项卡-选择收件人地址-点击“从系统导入”。
图3-16导入收件人地址
4、撰写邮件。
点击撰写邮件,并选择工具栏中的加密选项,即可发送加密邮件。
图3-17发送加密邮件
5、CA认证保障系统的安全。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得攻击者不能伪造和篡改证书。
在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。
如果用户想得到一份属于自己的证书,他应先向CA提出申请。
在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证,并负责管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
4CA企业应用
国内某上市公司信息化起步较早,应用系统主要分布于总公司、局公司、处公司三级单位。
已经初步实现CA系统的信息整合,信息化工作进一步将围绕信息流、工作流的整合,项目管理系统的建立以及公共基础安全平台建设展开。
国内某上市公司信息系统是基于互联网进行建设,由于互联网的广泛性和开放性,使得整体信息系统存在很多安全隐患,给下一步的系统建设提出了高强度身份认证、数据机密性、完整性、不可抵赖等诸多安全需求。
目前大部分的CA认证中心的建设都是面对大型企业和政府机关的。
CA系统是针对于想加强安全建设的中小型企业或是大型企业小范围使用情况而开发设计的。
CA系统参照国际领先的设计思想,是PKI体系的浓缩,集成了PKI平台所需要的重要功能,建设简便,使用灵活,是一个小型而完整的专业化的企业级电子认证中心系统。
作为自主开发的数字证书管理系统,具有完全的自主知识产权。
随着Internet网络技术的飞速发展,利用便捷、快速的网络进行信息传播已经成为个人和企事业单位提高工作效率的重要途径。
如何在开放的网络上安全地传递信息,保障信息的安全,正成为人们日益关注的焦点。
为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI技术(PublicKeyInfrastructure-公钥基础设施)。
基于PKI体系的CA(CertificateAuthoware)认证技术被公认为是解决网络安全的最有效办法之一。
PKI技术采用证书管理公钥,通过CA认证中心发放的数字证书,对要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全。
本文讨论了一个基于PKI体系的CA认证系统的设计和实现,为自动化办公系统提供技术安全支持。
首先,本文对各种常见的加密技术进行了深入探讨,通过对对称加密和公开密钥加密的分析,介绍了公开密钥体系的基本原理。
其次,本文对常用的认证方法进行了介绍,讨论了CA中心的构造以及CA认证系统的体系结构。
从认证技术出发,对数字签名、身份认证及公开密钥证明等进行了深入的探讨,为CA的建立提供了理论上的支持。
在系统总体结构中,主要讨论了CA认证系统的体系结构及系统的主要功能模块;在系统具体实现中,讨论了CA认证中心的建立的技术以及CA认证中心生成数字证书的方法;在系统安全性方面,讨论了数字证书的密钥安全管理,本文的重点是基于PKI技术设计与实现CA认证系统,通过其数字证书服务,保证网上办公自动化系统的信息安全。
1、基于PKI、数字证书完整的信息解决方案。
基于PKI((PublicKeyInfrastructure,公钥基础设施)技术、基于数字证书的完整的信息安全解决方案,从通信层面和应用层面解决了在网络环境和应用环境中的安全认证、数据加密、数据完整性保护和信息不可抵赖性的安全需求。
能够很好实现应用资源和信息资源的开放性和安全性的结合。
同时,PKI技术已经发展成熟并在各国得到了很好的应用,我国也建立了完善、自主的PKI安全体系,建设了很多地区性的CA认证中心和行业性CA认证中心。
2、PKI技术在国际上信息安全中的应用。
PKI技术是国际上通行的信息安全技术,应用范围最为广泛,并且基于PKI技术的数字签名已经成为具有法律效率的信息安全手段。
在美国、加拿大、欧洲以及很多发展中国家都制定了相关电子签名法案,在我国电子签名法已于2005年4月1日正式开始实施,这些法案使得基于PKI技术的数字签名真正得到了法律的认可,并使得PKI技术逐步成为最为广泛采用的信息安全技术。
国内某上市公司信息化建设中的身份认证、数据保密、数据完整、行为的抗抵赖等安全需求可以通过建设内部CA认证系统,通过向应用系统的使用者签发数字证书,实现系统登录以及操作和传输的安全保护,保证国内某上市公司各级单位信息系统的应用安全。
3、企业内部CA。
某公司安全基础信息平台主要是建设企业内部CA认证系统,面向应用系统的用户和应用服务器颁发数字证书,并通过数字签名系统实现基于数字证书的身份认证,替换以前的用户名+口令的认证模式。
进一步还可以通过数字签名系统提供的数据加密和数字签名接口对应用系统进行深度安全加固,实现基于数字证书的机密性、完整性、抗抵赖性等安全功能。
结束语
本文主要概述了CA体系的建立,通过具体实例说明了CA体系对整个企业系统的重要性。
通过相关实例,阐述了如何将CA体系具体应用到实践当中。
它作为权威的、可信赖的第三方机构,是如何对密钥进行有效管理的,以及借鉴相关技术,保证了整个CA体系的安全性。
通过实现CA认证的功能,了解数字证书的作用,掌握数字证书的申请、下载、安装、查看和废止,以及数字证书的使用。
说明了CA系统是PKI的核心部分,它是如何完成颁发证书、废除证书、更新证书、验证证书、管理密钥等工作的。
通过掌握CA认证技术,了解了对称密钥、公开密钥以及数字信封的加密和解密过程。
数字签名技术中的数字摘要、数字签名、双重数字签名是如何在整个CA系统中发挥作用的,以及它们是如何在实际交易中保障交易安全的。
介绍了CA认证在企业中的具体应用,为企业用户颁发证书,并定期根据用户需求更新相关证书。
致谢
这次毕业论文能够得以顺利完成,并非我一人之功劳,首先感谢我的指导老师——刘伟老师,他严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。
从课题的选择到项目的最终完成,刘老师都始终给予我细心的指导和不懈的支持。
在此谨向刘老师致以诚挚的谢意和崇高的敬意。
在此,我还要感谢在一起愉快的度过大学生活的每个可爱的同学们和尊敬的老师们。
正是由于你们的帮助和支持,我才能克服一个个的困难和疑惑,与你们一起走过的缤纷时代,将会是我一生中最珍贵的回忆。
[参考文献]
[1]刘念,李涛,赵奎,许春。
基于PKI技术的学分制管理系统的安全解决方案[J];电子科技大学学报;2003年04期
[2]付永平,赵银亮,任秦安,钟生海,付争方。
基于公钥基础设施的园区网络安全系统设计与实现[J];安康师专学报;2006年01期
[3]张瑜,费文晓,余波。
基于PKI的数字证书[J];兵工自动化;2006年04期
[4]熊丹丹。
电子商务安全协议研究与B2C交易系统实现[D];上海交通大学;2008年
[5]刘召晗。
PKI/PMI应用研究及在公安信息化中的实现[D];上海交通大学;2008年
[6]杜鹏。
基于PKI的角色识别访问控制策略及实现[J];计算机工程;2003年06期
[7]赵芳云。
数字加密技术在电子商务中运用的两种方法[J];贵州教育学院学报;2007年02期
[8]赫威,陈谦,李鑫。
浅析电子数字证书签发系统[J];黑龙江科技信息;2011年20期
[9]关振胜。
数字证书及其认证过程[J];中国金融电脑;2001年09期
[10]李建廷。
公开密钥基础设施PKI[J];现代电子技术;200424期
升级会员 