电子政务网络应用安全－数字证书及电子签章介绍

《电子政务网络应用安全－数字证书及电子签章介绍》由会员分享，可在线阅读，更多相关《电子政务网络应用安全－数字证书及电子签章介绍（127页珍藏版）》请在金锄头文库上搜索。

1、电子政务网络应用安全数字证书及电子签章介绍四川省经济信息中心系统应用处副处长 方阳2007年7月问题的引出主要内容 第一部分：数字证书相关知识介绍 第二部分：数字证书的应用领域 第三部分：电子签名相关知识介绍 第四部分：电子签名的主要作用 第五部分：证书及签章在投资网上的使用第一部分 数字证书相关知识介绍（一）、产生背景及PKI/CA简介（二）、网络安全性及数字证书知识简介（三）、数字证书认证中心介绍 (一)、产生背景及PKI/CA简介机遇 当今的时代是信息时代，政务工作 也必须要适应时代的要求。在有关 部门的重视下，各级政府贯彻落实 加强计算机信息化建设工作，利用 计算机在文档传递管理、网上

2、报税 、网上银行、项目直报、远程通信 等工作中都应用了计算机辅助办公 ，并进入了网络信息共享的阶段。挑战 然而，人们在得益于信息革命所带来 的新机遇，享受新技术带来的便利的 同时，也不得不面对信息安全问题的 严峻考验。通过网络传递的信息会不 会被截获和篡改，网络另一方的人的 身份是否真实，如何确保人们不能抵 赖在网上所做的历史行为，等等这些 信息安全问题已经引起了各部门、各 企业以及每个互联网用户的重视。 在因特网上，谁也不知道你是一条狗！网络中，我如何能相信你?网络特点 开放性及匿名性大家共同信任的权威机构。证书机构通过数字证书把用户的公钥和用户的身份进行捆绑， 从而证明公钥持有者身份的真实

3、性用户A用户BCA可以 担保我的网上业务对方的 真实身份CA可以 担保我的网上业务对方 的真实身份?CA中心我了解用户A 我可以为他们的真实身份担保我了解用户B 我可以为他们的真实身份担保CA（Certificate Authority）是颁发数字证书的 机构。证书是一个机构颁发给一个安全个体的证明，所 以证书的权威性取决于该机构的权威性。利用公开密钥理论和技术建立的 提供安全服务的在线基础设施。 它利用加密、数字签名、数字证 书来保护应用、通信或事务处理 的安全。 基于公钥理论 相对于传统的秘密密钥（对称密钥） 基础设施 如同电力基础设施为家用电器提供电 力一样 PKI为各种互联网应用提供安

4、全保障公钥基础设施（Public Key Infrastructure）加密的工具 是通过用户的公钥（Public Key）和私钥 (Private Key）来实现的，加密、解密必 须用同一个用户的一对公钥和私钥来配 对使用。 公钥可以告诉别人，但私钥却一般不能 告诉别人，除非授权。就象我们的大楼 一样，大门钥匙我们可以给各住户，但 各家自己门的钥匙却只能给住户本人， 不能随便给。文件加密与数字签名 “文件加密”与“数字签名”虽然其 过程不一样，但原理是一样的， 大家注意理解。 文件加密原理 现假设有A公司的老板名叫张三，B公司的老 板名叫李四，现张三想传输一个文件file bs 给李四，这个

5、文件是有关于一个合作项目标 书议案，属公司机密，不能给其它人知道， 而恰好有一个C公司的老板王五对A和B公司有 关那项合作标书非常关注，总想取得A公司的 标书议案，于是他时刻监视他们的网络通信 ，想如果张三通过网络传输这份标书议案时 从网络上截取它。为了防止王五截取标书议 案，实现安全传输，我们可以采用以下步骤 ：文件加密原理A公司：张三B公司：李四C公司：王五（4）李四用自己的私 钥对文件进行解密（2）张三用李四的公 钥对文件进行加密 李四将他的公钥发给张三（1）（3）张三将加密后的文件发给李四文件签名原理 数字签名也主要是为了证明发件人身份，就 象我们来看到的某文件签名一样，但现在要 说的

6、签名是采取数字的方式，它可以防止别 人仿签，因为加密后的签名就变得面目全非 ，别人根本不可能看到真正的签名样子，它 与前面所讲的文件加密机理是一样的，但方 法不太一样，下面介绍如下。 文件签名原理 和文件加密所举的例子一样，张三要在所发的文 件File BS后面要加以签名，以证明这份标书的有 效性，同样是发给B公司的老板李四，公司C的老 板王五如果想要假冒张三的签名发另一份标书给 李四，以达到破坏A公司中标的目的。A公司：张三B公司：李四C公司：王五（2）张三用自己的私钥 对文件进行签名并对签 名进行加密（4）李四用张三的公 钥对张三加密后的签 名文件进行解密（3）张三将加密后的签名文件发给李

7、四（1）张三将他的公钥发给李四公钥的获取与验证 实际上，在张三和李四交换密钥的 过程中，王五也可以获得他们的公 钥。 那么李四怎样区别哪一个公钥是真 正的张三的公钥呢？ 李四可以到第三方发证机关证书目 录服务器上进行查询来辨别，就这 样王五的阴谋也就不能得逞。 安全是相对的 加密后的文件在解密之前会面目全非 ，没有对应的密码是无法进行阅读的 ，更别谈修改了，况且这种密码比一 般所使用的密码长许多倍（非对称密 码为1024位），而且是配对使用的。 据专家分析用任何程序解密的可能性 几乎为零，即使能解密，也起码要 10000年，这样的解密又有什么意义 呢 ？PKI的组成CA/RACA/RA目录服务

8、目录服务PKI-PKI-EnabledEnabled 安全软件安全软件相关政策相关政策 及程序及程序PKI技术的应用范围PKI已成为信息安全的核心PKIPKISETSSL SPKMS/MIMEIPSecProtocolsProtocolsDatabasesDirectoriesHardware CryptoSmart CardsTechnologiesTechnologiesPaymentsMailWebVPNsCommunicationsCommunicationsEDICRM ERP SCMBankingE-CommerceE-GovernmentApplicationsApplicati

9、onsCA的技术框架CA中心：证书管理中心制订证书相关规定生成证书管理废止证书（黑名单）更新证书目录密钥管理RA：管理证书受理点办理和审批证书申请受理点：面向用户办理证书申请CA的服务架构（二）、网络安全性及数字证书知识简介安全保障体系 如何保障网络应用的安全性？ 首先，一个安全的网络保护着该网络的资源 。这些资源包括网络的数据（不管是通过网 络传输的数据还是存贮在媒介中的数据）， 还包括对物理资源的访问权力。 第二，这些资源应该不受有意或无意的破坏 。一个安全的网络应该是黑客们所破坏不了 的。 最后，对网络资源的保护不能太强制和繁琐 。不能为了安全性而把系统设计得很复杂， 以至于被授权的人不

10、能以一种简单的方式来 访问这些资源。 综上所述，网络安全可以定义为：一些保护重要信息的手段和措 施，使之免受蓄意的和无意的破坏 。而且这些手段和措施的实现不应 给已授权的用户在访问这些信息时 造成任何影响。 网络安全必须达到几条基本的要求 ：（1）我们必须确保数据能够保持私有或保存 为一个秘密的格式。我们称之为“机密性” 。（2）我们需要一种授权方式，使需要它的人 可以访问那些私有的或秘密的数据。这叫“ 访问控制”。（3）当你在处理电子交易的时候。例如，假 设你对银行发出一个要求说将100美元在两 个帐户之间转移。银行必须能够确信他们收 到的正是你所发出的。这称之为“完整性” 。（4）跟完整性

11、一样重要的是，银行要能 够证实是你要求转帐。这称之为“真实 性”。（5）用这个相同的例子，这个处理你的 要求的银行要有能力让你对你的要求负 责，这一点至关重要。如果你要求转帐 100美元，你不能事后否认你发出过这 个要求。这称之为“不可抵赖性”。 把机密性，访问控制、完整性、真实性 和不可抵赖性结合起来，就组成了一个 具有很高程度的网络安全。解决之道就是数字证书。什么是数字证书？ 数字证书是是一个经数字证书认证中 心(CA认证中心)数字签名的包含公开 密钥拥有者信息以及公开密钥等信息 的具有X.509格式编码的文件。 通俗地讲，数字证书就是个人、单位 或服务器在网络上的身份证，又称为 数字ID

12、，在网上事务的各个环节，参 与各方都需验证对方证书的有效性， 从而解决相互间的信任问题。 数字证书是由公证、权威的第 三方CA中心签发的，以数字证书 为核心的密码技术可以对网络上传 输的信息进行加密和解密、数字签 名和签名验证，确保网上传递信息 的机密性、完整性，以及交易实体 身份的真实性和行为的不可否认性 ，从而保障网络应用的安全性。版本（3） 序列号 签名算法标识（ID） 颁发者名称 操作周期 主体名称（带有增强命名的OU=） 主体公钥信息 颁发者的数字签名 颁发者唯一标识符标准扩展 “资格”证书政策-CPS URL-实践参考-通知标识ID 其他扩展应用定义的扩展X.509扩展X.509

13、v3 证书数字证书的组成数字证书分类证书存储介质: 磁盘、IC卡、USB KEY等理想介质USB KEY： 私钥不可读:只能在满足条件时使用， 由KEY的软硬件设计保障 KEY内签名、验证: 私钥的使用也在KEY内，不 存在传输中私钥泄露的可能 性 KEY内生成RSA密钥对:并能直接存于KEY内，从而 从源头上杜绝泄露的可能性 使用方便:可以在任何接有读写器（ 或USB接口）的PC上使用单位证书 颁发给独立的单位、组织，在互联网上 证明该单位、组织的身份。 单位数字证书根据各个单位的不同需要 ，可以分为单位证书和单位员工证书。 单位证书对外代表整个单位，单位员工 证书对外代表单位中具体的某一位

14、员工 。服务器证书 主要颁发给Web站点或其他需要安全鉴 别的服务器，证明服务器的身份信息。 服务器数字证书支持目前主流的Web Server，包括但不限于：IIS、Lotus Domino、Apache、iPlant等Web服务器 。可存放于服务器硬盘或加密硬件设备 上。CARA证书 用户目录 服务证书申请证书存档证书过期证书废止证书公布证书生成数字证书生命数字证书生命周周期期用户证书：1、申请.获取2、更新.有效期3、撤销.密钥泄漏(三)、数字证书认证中心介绍 数字证书的权威性取决于其颁发机构的权威性基本情况 必须使用获得信息产业部批准的认证中心。 自中华人民共和国电子签名法实施一周年 以

15、来，获得国家电子认证服务许可证的17家认 证机构已经发出了近260万张电子证书。依照电 子签名法规定，只有拥有许可证的电子认证机 构才能提供电子签名认证服务。 我国目前的140余家电子签名认证服务机构中， 仅17家拥有国家电子认证服务许可证，其余的 120余家尚未经认证。发展方向国家国家PKI PKI 体系体系政务专用政务专用CACA通用通用CACA委办局委办局RARA区县区县RARA税务税务RARA教育教育RARA银行银行RARA受理点受理点受理点受理点受理点受理点受理点受理点P P K K I I信信 任任 体体 系系作为信息化安全基础设施、为全省各行各业提供信 任与认证服务国家PKI互联

16、工程北京CA中国电信CA福建CA上海CABCA吉大正元体系吉林CA与各PKI体系广泛合作，实现一证在手，走遍天下天津CA证书软件产品一览图数字北京安全工程数字北京安全工程认证中心认证中心CACA系统系统/ /KMKM系统系统WEBWEB安全通信系统安全通信系统统一认证管理系统统一认证管理系统电子签章管理系统电子签章管理系统安全电子邮件系统安全电子邮件系统安全站点系统安全站点系统证书应用引擎证书应用引擎证书应用证书应用 体系体系证书发放证书发放 体系体系地税地税RARA中心中心RARA银行银行RARA遍布各地的受理点遍布各地的受理点小结 PKI是构建安全信任体系的基础 CA中心只是一个证书发放体系 基于应用驱动的证书应用体系第二部分 数字证书的应用领域（一）、数字证书解决的安全问题（二）、数字证书的应用领域（三）、电子签名法对数字证书应用的推动（一）、数字证书解决的安全问题来自网络