電子政務(wù)網(wǎng)絡(luò)應(yīng)用安全

－數(shù)字證書及電子簽章介紹四川省經(jīng)濟(jì)信息中心系統(tǒng)應(yīng)用處副處長(zhǎng)方陽(yáng)

2007年7月電子政務(wù)網(wǎng)絡(luò)應(yīng)用安全

－數(shù)字證書及電子簽章介紹四川省經(jīng)濟(jì)信問題的引出問題的引出主要內(nèi)容第一部分：數(shù)字證書相關(guān)知識(shí)介紹第二部分：數(shù)字證書的應(yīng)用領(lǐng)域第三部分：電子簽名相關(guān)知識(shí)介紹第四部分：電子簽名的主要作用第五部分：證書及簽章在投資網(wǎng)上的使用主要內(nèi)容第一部分：數(shù)字證書相關(guān)知識(shí)介紹第一部分?jǐn)?shù)字證書相關(guān)知識(shí)介紹（一）、產(chǎn)生背景及PKI/CA簡(jiǎn)介（二）、網(wǎng)絡(luò)安全性及數(shù)字證書知識(shí)簡(jiǎn)介（三）、數(shù)字證書認(rèn)證中心介紹

第一部分?jǐn)?shù)字證書相關(guān)知識(shí)介紹（一）、產(chǎn)生背景及PKI(一)、產(chǎn)生背景及PKI/CA簡(jiǎn)介(一)、產(chǎn)生背景及PKI/CA簡(jiǎn)介

機(jī)遇當(dāng)今的時(shí)代是信息時(shí)代，政務(wù)工作也必須要適應(yīng)時(shí)代的要求。在有關(guān)部門的重視下，各級(jí)政府貫徹落實(shí)加強(qiáng)計(jì)算機(jī)信息化建設(shè)工作，利用計(jì)算機(jī)在文檔傳遞管理、網(wǎng)上報(bào)稅、網(wǎng)上銀行、項(xiàng)目直報(bào)、遠(yuǎn)程通信等工作中都應(yīng)用了計(jì)算機(jī)輔助辦公，并進(jìn)入了網(wǎng)絡(luò)信息共享的階段。

機(jī)遇

挑戰(zhàn)然而，人們?cè)诘靡嬗谛畔⒏锩鶐淼男聶C(jī)遇，享受新技術(shù)帶來的便利的同時(shí)，也不得不面對(duì)信息安全問題的嚴(yán)峻考驗(yàn)。通過網(wǎng)絡(luò)傳遞的信息會(huì)不會(huì)被截獲和篡改，網(wǎng)絡(luò)另一方的人的身份是否真實(shí)，如何確保人們不能抵賴在網(wǎng)上所做的歷史行為，等等這些信息安全問題已經(jīng)引起了各部門、各企業(yè)以及每個(gè)互聯(lián)網(wǎng)用戶的重視。

挑戰(zhàn)在因特網(wǎng)上，誰也不知道你是一條狗！網(wǎng)絡(luò)中，我如何能相信你?網(wǎng)絡(luò)特點(diǎn)——開放性及匿名性在因特網(wǎng)上，網(wǎng)絡(luò)中，我如何能相信你?網(wǎng)絡(luò)特點(diǎn)——開放性及大家共同信任的權(quán)威機(jī)構(gòu)。證書機(jī)構(gòu)通過數(shù)字證書把用戶的公鑰和用戶的身份進(jìn)行捆綁，從而證明公鑰持有者身份的真實(shí)性大家共同信任證書機(jī)構(gòu)通過數(shù)字證書把用戶的公鑰和用戶的身份進(jìn)行用戶A用戶BCA可以擔(dān)保我的網(wǎng)上業(yè)務(wù)對(duì)方的真實(shí)身份CA可以擔(dān)保我的網(wǎng)上業(yè)務(wù)對(duì)方的真實(shí)身份??CA中心我了解用戶A我可以為他們的真實(shí)身份擔(dān)保我了解用戶B我可以為他們的真實(shí)身份擔(dān)保CA（CertificateAuthority）是頒發(fā)數(shù)字證書的機(jī)構(gòu)。證書是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證明，所以證書的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性。用戶A用戶BCA可以CA可以??CA中心我了解用戶A我了解用利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的在線基礎(chǔ)設(shè)施。它利用加密、數(shù)字簽名、數(shù)字證書來保護(hù)應(yīng)用、通信或事務(wù)處理的安全。基于公鑰理論相對(duì)于傳統(tǒng)的秘密密鑰（對(duì)稱密鑰）基礎(chǔ)設(shè)施如同電力基礎(chǔ)設(shè)施為家用電器提供電力一樣PKI為各種互聯(lián)網(wǎng)應(yīng)用提供安全保障公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的在線基礎(chǔ)設(shè)施。它利加密的工具是通過用戶的公鑰（PublicKey）和私鑰(PrivateKey）來實(shí)現(xiàn)的，加密、解密必須用同一個(gè)用戶的一對(duì)公鑰和私鑰來配對(duì)使用。公鑰可以告訴別人，但私鑰卻一般不能告訴別人，除非授權(quán)。就象我們的大樓一樣，大門鑰匙我們可以給各住戶，但各家自己門的鑰匙卻只能給住戶本人，不能隨便給。加密的工具是通過用戶的公鑰（PublicKey）和私鑰(P文件加密與數(shù)字簽名“文件加密”與“數(shù)字簽名”雖然其過程不一樣，但原理是一樣的，大家注意理解。

文件加密與數(shù)字簽名“文件加密”與“數(shù)字簽名”雖然其過程不一樣文件加密原理現(xiàn)假設(shè)有A公司的老板名叫張三，B公司的老板名叫李四，現(xiàn)張三想傳輸一個(gè)文件filebs給李四，這個(gè)文件是有關(guān)于一個(gè)合作項(xiàng)目標(biāo)書議案，屬公司機(jī)密，不能給其它人知道，而恰好有一個(gè)C公司的老板王五對(duì)A和B公司有關(guān)那項(xiàng)合作標(biāo)書非常關(guān)注，總想取得A公司的標(biāo)書議案，于是他時(shí)刻監(jiān)視他們的網(wǎng)絡(luò)通信，想如果張三通過網(wǎng)絡(luò)傳輸這份標(biāo)書議案時(shí)從網(wǎng)絡(luò)上截取它。為了防止王五截取標(biāo)書議案，實(shí)現(xiàn)安全傳輸，我們可以采用以下步驟：

文件加密原理現(xiàn)假設(shè)有A公司的老板名叫張三，B公司的老板名叫李文件加密原理A公司：張三B公司：李四C公司：王五（4）李四用自己的私鑰對(duì)文件進(jìn)行解密（2）張三用李四的公鑰對(duì)文件進(jìn)行加密李四將他的公鑰發(fā)給張三（1）（3）張三將加密后的文件發(fā)給李四文件加密原理A公司：張三B公司：李四C公司：王五（4）李四用文件簽名原理數(shù)字簽名也主要是為了證明發(fā)件人身份，就象我們來看到的某文件簽名一樣，但現(xiàn)在要說的簽名是采取數(shù)字的方式，它可以防止別人仿簽，因?yàn)榧用芎蟮暮灻妥兊妹婺咳?，別人根本不可能看到真正的簽名樣子，它與前面所講的文件加密機(jī)理是一樣的，但方法不太一樣，下面介紹如下。文件簽名原理數(shù)字簽名也主要是為了證明發(fā)件人身份，就象我們來看文件簽名原理和文件加密所舉的例子一樣，張三要在所發(fā)的文件FileBS后面要加以簽名，以證明這份標(biāo)書的有效性，同樣是發(fā)給B公司的老板李四，公司C的老板王五如果想要假冒張三的簽名發(fā)另一份標(biāo)書給李四，以達(dá)到破壞A公司中標(biāo)的目的。

A公司：張三B公司：李四C公司：王五（2）張三用自己的私鑰對(duì)文件進(jìn)行簽名并對(duì)簽名進(jìn)行加密（4）李四用張三的公鑰對(duì)張三加密后的簽名文件進(jìn)行解密（3）張三將加密后的簽名文件發(fā)給李四（1）張三將他的公鑰發(fā)給李四文件簽名原理和文件加密所舉的例子一樣，張三要在所發(fā)的文件Fi公鑰的獲取與驗(yàn)證實(shí)際上，在張三和李四交換密鑰的過程中，王五也可以獲得他們的公鑰。那么李四怎樣區(qū)別哪一個(gè)公鑰是真正的張三的公鑰呢？李四可以到第三方發(fā)證機(jī)關(guān)證書目錄服務(wù)器上進(jìn)行查詢來辨別，就這樣王五的陰謀也就不能得逞。

公鑰的獲取與驗(yàn)證實(shí)際上，在張三和李四交換密鑰的過程中，王五也安全是相對(duì)的加密后的文件在解密之前會(huì)面目全非，沒有對(duì)應(yīng)的密碼是無法進(jìn)行閱讀的，更別談修改了，況且這種密碼比一般所使用的密碼長(zhǎng)許多倍（非對(duì)稱密碼為1024位），而且是配對(duì)使用的。據(jù)專家分析用任何程序解密的可能性幾乎為零，即使能解密，也起碼要10000年，這樣的解密又有什么意義呢？安全是相對(duì)的加密后的文件在解密之前會(huì)面目全非，沒有對(duì)應(yīng)的密碼PKI的組成CA/RA目錄服務(wù)PKI-Enabled安全軟件相關(guān)政策及程序PKI的組成CA/RA目錄服務(wù)PKI-Enabled相關(guān)政策PKI技術(shù)的應(yīng)用范圍PKI技術(shù)的應(yīng)用范圍PKI已成為信息安全的核心PKISETSSLSPKMS/MIMEIPSecProtocolsDatabasesDirectoriesHardwareCryptoSmartCardsTechnologiesPaymentsMailWebVPNsCommunicationsEDICRMERPSCMBankingE-CommerceE-GovernmentApplicationsPKI已成為信息安全的核心PKISETSSLSPKMS/MCA的技術(shù)框架CA的技術(shù)框架CA中心：證書管理中心制訂證書相關(guān)規(guī)定生成證書管理廢止證書（黑名單）更新證書目錄密鑰管理RA：管理證書受理點(diǎn)辦理和審批證書申請(qǐng)受理點(diǎn)：面向用戶辦理證書申請(qǐng)CA的服務(wù)架構(gòu)CA中心：CA的服務(wù)架構(gòu)（二）、網(wǎng)絡(luò)安全性及數(shù)字證書

知識(shí)簡(jiǎn)介（二）、網(wǎng)絡(luò)安全性及數(shù)字證書

知識(shí)簡(jiǎn)介安全保障體系

安全保障體系如何保障網(wǎng)絡(luò)應(yīng)用的安全性？

首先，一個(gè)安全的網(wǎng)絡(luò)保護(hù)著該網(wǎng)絡(luò)的資源。這些資源包括網(wǎng)絡(luò)的數(shù)據(jù)（不管是通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)還是存貯在媒介中的數(shù)據(jù)），還包括對(duì)物理資源的訪問權(quán)力。第二，這些資源應(yīng)該不受有意或無意的破壞。一個(gè)安全的網(wǎng)絡(luò)應(yīng)該是黑客們所破壞不了的。最后，對(duì)網(wǎng)絡(luò)資源的保護(hù)不能太強(qiáng)制和繁瑣。不能為了安全性而把系統(tǒng)設(shè)計(jì)得很復(fù)雜，以至于被授權(quán)的人不能以一種簡(jiǎn)單的方式來訪問這些資源。綜上所述，網(wǎng)絡(luò)安全可以定義為：一些保護(hù)重要信息的手段和措施，使之免受蓄意的和無意的破壞。而且這些手段和措施的實(shí)現(xiàn)不應(yīng)給已授權(quán)的用戶在訪問這些信息時(shí)造成任何影響。

如何保障網(wǎng)絡(luò)應(yīng)用的安全性？首先，一個(gè)安全的網(wǎng)絡(luò)保護(hù)著該網(wǎng)絡(luò)網(wǎng)絡(luò)安全必須達(dá)到幾條基本的要求：

（1）我們必須確保數(shù)據(jù)能夠保持私有或保存為一個(gè)秘密的格式。我們稱之為“機(jī)密性”。

（2）我們需要一種授權(quán)方式，使需要它的人可以訪問那些私有的或秘密的數(shù)據(jù)。這叫“訪問控制”。

（3）當(dāng)你在處理電子交易的時(shí)候。例如，假設(shè)你對(duì)銀行發(fā)出一個(gè)要求說將100美元在兩個(gè)帳戶之間轉(zhuǎn)移。銀行必須能夠確信他們收到的正是你所發(fā)出的。這稱之為“完整性”。

（4）跟完整性一樣重要的是，銀行要能夠證實(shí)是你要求轉(zhuǎn)帳。這稱之為“真實(shí)性”。

（5）用這個(gè)相同的例子，這個(gè)處理你的要求的銀行要有能力讓你對(duì)你的要求負(fù)責(zé)，這一點(diǎn)至關(guān)重要。如果你要求轉(zhuǎn)帳100美元，你不能事后否認(rèn)你發(fā)出過這個(gè)要求。這稱之為“不可抵賴性”。把機(jī)密性，訪問控制、完整性、真實(shí)性和不可抵賴性結(jié)合起來，就組成了一個(gè)具有很高程度的網(wǎng)絡(luò)安全。

解決之道就是數(shù)字證書。網(wǎng)絡(luò)安全必須達(dá)到幾條基本的要求：（1）我們必須確保數(shù)據(jù)能夠什么是數(shù)字證書？數(shù)字證書是是一個(gè)經(jīng)數(shù)字證書認(rèn)證中心(CA認(rèn)證中心)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰等信息的具有X.509格式編碼的文件。通俗地講，數(shù)字證書就是個(gè)人、單位或服務(wù)器在網(wǎng)絡(luò)上的身份證，又稱為數(shù)字ID，在網(wǎng)上事務(wù)的各個(gè)環(huán)節(jié)，參與各方都需驗(yàn)證對(duì)方證書的有效性，從而解決相互間的信任問題。數(shù)字證書是由公證、權(quán)威的第三方CA中心簽發(fā)的，以數(shù)字證書為核心的密碼技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性和行為的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。什么是數(shù)字證書？數(shù)字證書是是一個(gè)經(jīng)數(shù)字證書認(rèn)證中心(CA版本（3）序列號(hào)簽名算法標(biāo)識(shí)（ID）頒發(fā)者名稱操作周期主體名稱（帶有增強(qiáng)命名的OU=）主體公鑰信息頒發(fā)者的數(shù)字簽名頒發(fā)者唯一標(biāo)識(shí)符標(biāo)準(zhǔn)擴(kuò)展“資格”證書政策-CPSURL-實(shí)踐參考-通知標(biāo)識(shí)ID其他擴(kuò)展應(yīng)用定義的擴(kuò)展X.509擴(kuò)展X.509v3證書數(shù)字證書的組成版本（3）X.509v3證書數(shù)字證書的組成數(shù)字證書分類證書存儲(chǔ)介質(zhì):磁盤、IC卡、USBKEY等理想介質(zhì)USBKEY：私鑰不可讀:只能在滿足條件時(shí)使用，由KEY的軟硬件設(shè)計(jì)保障KEY內(nèi)簽名、驗(yàn)證:

私鑰的使用也在KEY內(nèi)，不存在傳輸中私鑰泄露的可能性KEY內(nèi)生成RSA密鑰對(duì):并能直接存于KEY內(nèi)，從而從源頭上杜絕泄露的可能性使用方便:可以在任何接有讀寫器（或USB接口）的PC上使用數(shù)字證書分類證書存儲(chǔ)介質(zhì):單位證書頒發(fā)給獨(dú)立的單位、組織，在互聯(lián)網(wǎng)上證明該單位、組織的身份。單位數(shù)字證書根據(jù)各個(gè)單位的不同需要，可以分為單位證書和單位員工證書。單位證書對(duì)外代表整個(gè)單位，單位員工證書對(duì)外代表單位中具體的某一位員工。單位證書頒發(fā)給獨(dú)立的單位、組織，在互聯(lián)網(wǎng)上證明該單位、組織的服務(wù)器證書主要頒發(fā)給Web站點(diǎn)或其他需要安全鑒別的服務(wù)器，證明服務(wù)器的身份信息。服務(wù)器數(shù)字證書支持目前主流的WebServer，包括但不限于：IIS、LotusDomino、Apache、iPlant等Web服務(wù)器?？纱娣庞诜?wù)器硬盤或加密硬件設(shè)備上。服務(wù)器證書主要頒發(fā)給Web站點(diǎn)或其他需要安全鑒別的服務(wù)器，證CARA證書用戶目錄服務(wù)證書申請(qǐng)證書存檔證書過期證書廢止證書公布證書生成數(shù)字證書生命周期用戶證書：1、申請(qǐng).獲取2、更新.有效期3、撤銷.密鑰泄漏CARA證書目錄證書申請(qǐng)證書存檔證書過期證書廢止證書公布證書(三)、數(shù)字證書認(rèn)證中心介紹

(三)、數(shù)字證書認(rèn)證中心介紹數(shù)字證書的權(quán)威性取決于其頒發(fā)機(jī)構(gòu)的權(quán)威性數(shù)字證書的權(quán)威性取決于其頒發(fā)機(jī)構(gòu)的權(quán)威性基本情況必須使用獲得信息產(chǎn)業(yè)部批準(zhǔn)的認(rèn)證中心。自《中華人民共和國(guó)電子簽名法》實(shí)施一周年以來，獲得國(guó)家電子認(rèn)證服務(wù)許可證的17家認(rèn)證機(jī)構(gòu)已經(jīng)發(fā)出了近260萬張電子證書。依照電子簽名法規(guī)定，只有擁有許可證的電子認(rèn)證機(jī)構(gòu)才能提供電子簽名認(rèn)證服務(wù)。我國(guó)目前的140余家電子簽名認(rèn)證服務(wù)機(jī)構(gòu)中，僅17家擁有國(guó)家電子認(rèn)證服務(wù)許可證，其余的120余家尚未經(jīng)認(rèn)證?；厩闆r必須使用獲得信息產(chǎn)業(yè)部批準(zhǔn)的認(rèn)證中心。發(fā)展方向國(guó)家PKI體系政務(wù)專用CA通用CA委辦局RA區(qū)縣RA稅務(wù)RA教育RA銀行RA受理點(diǎn)受理點(diǎn)受理點(diǎn)受理點(diǎn)PKI信任體系——作為信息化安全基礎(chǔ)設(shè)施、為全省各行各業(yè)提供信任與認(rèn)證服務(wù)發(fā)展方向國(guó)家PKI體系政務(wù)專用CA通用CA委辦局RA區(qū)縣R國(guó)家PKI互聯(lián)工程北京CA中國(guó)電信CA福建CA上海CABCA吉大正元體系吉林CA與各PKI體系廣泛合作，實(shí)現(xiàn)

一證在手，走遍天下天津CA國(guó)家PKI互聯(lián)工程北京CA中國(guó)電信CA福建CA上海CABCA證書軟件產(chǎn)品一覽圖數(shù)字北京安全工程認(rèn)證中心CA系統(tǒng)/KM系統(tǒng)WEB安全通信系統(tǒng)統(tǒng)一認(rèn)證管理系統(tǒng)電子簽章管理系統(tǒng)安全電子郵件系統(tǒng)安全站點(diǎn)系統(tǒng)

證書應(yīng)用引擎證書應(yīng)用體系證書發(fā)放體系地稅RA中心RA銀行RA遍布各地的受理點(diǎn)證書軟件產(chǎn)品一覽圖數(shù)字北京安全工程認(rèn)證中心CA系統(tǒng)/KM系統(tǒng)小結(jié)PKI是構(gòu)建安全信任體系的基礎(chǔ)CA中心只是一個(gè)證書發(fā)放體系基于應(yīng)用驅(qū)動(dòng)的證書應(yīng)用體系小結(jié)PKI是構(gòu)建安全信任體系的基礎(chǔ)第二部分?jǐn)?shù)字證書的應(yīng)用領(lǐng)域（一）、數(shù)字證書解決的安全問題（二）、數(shù)字證書的應(yīng)用領(lǐng)域（三）、電子簽名法對(duì)數(shù)字證書應(yīng)用的推動(dòng)第二部分?jǐn)?shù)字證書的應(yīng)用領(lǐng)域（一）、數(shù)字證書解決的安全問（一）、數(shù)字證書解決的安全問題（一）、數(shù)字證書解決的安全問題來自網(wǎng)絡(luò)的風(fēng)險(xiǎn)竊聽單位秘密文件被竊取個(gè)人安全信息被竊取偽裝假冒真正的服務(wù)器假冒真正的用戶篡改信息被修改抵賴否認(rèn)其行為來自網(wǎng)絡(luò)的風(fēng)險(xiǎn)竊聽網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)——行為抵賴業(yè)務(wù)系統(tǒng)最終用戶AInternetA于2005年11月25日下午3點(diǎn)整轉(zhuǎn)帳100萬到B賬戶A：我沒有做過，是你們搞錯(cuò)了！說不定還可能是系統(tǒng)管理員干的呢。Web服務(wù)器網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)——行為抵賴業(yè)務(wù)系統(tǒng)最終用戶AInternet信息的私密性(Privacy) 數(shù)據(jù)加密信息的完整性(Integrity) 數(shù)字簽名信息的源發(fā)鑒別(Authentication)—身份認(rèn)證 數(shù)字簽名+數(shù)據(jù)加密信息的防抵賴性(Non-Reputation) 數(shù)字簽名數(shù)字證書解決的安全要素信息的私密性(Privacy)數(shù)字證書解決的安全要素各種安全技術(shù)比較身份鑒別機(jī)密性完整性抗抵賴口令動(dòng)態(tài)口令密碼技術(shù)數(shù)字證書üüüüüüüüü各種安全技術(shù)比較身份鑒別機(jī)密性完整性抗抵賴口令動(dòng)態(tài)口令密碼技電子政務(wù)、電子商務(wù)的安全支柱安全設(shè)施安全策略保密性身份鑒別授權(quán)數(shù)據(jù)完整性抗抵賴可靠的電子政務(wù)、電子商務(wù)技術(shù)管理數(shù)字證書電子政務(wù)、電子商務(wù)的安全支柱安全設(shè)施安全策略保密性身份授權(quán)數(shù)（二）、數(shù)字證書的應(yīng)用領(lǐng)域（二）、數(shù)字證書的應(yīng)用領(lǐng)域身份管理——身份認(rèn)證使用數(shù)字證書技術(shù)認(rèn)證身份技術(shù)相對(duì)成熟應(yīng)用發(fā)展迅速新的發(fā)展：無線設(shè)備：WPKI與XML結(jié)合：XKMS身份管理——身份認(rèn)證使用數(shù)字證書技術(shù)認(rèn)證身份身份管理——授權(quán)與訪問控制使用數(shù)字證書技術(shù)確定和傳遞屬性與權(quán)限SSOSAML/XACMLAA/ACLiberty/Passport應(yīng)用的復(fù)雜性和關(guān)聯(lián)性身份管理——授權(quán)與訪問控制使用數(shù)字證書技術(shù)確定和傳遞屬性訪問安全

使用數(shù)字證書技術(shù)構(gòu)筑安全的訪問通道Web：SSL/TLSIPSecVPN：安全的網(wǎng)絡(luò)互聯(lián)SSLVPN：遠(yuǎn)程訪問無線應(yīng)用：WAP/WTLS與身份管理的結(jié)合訪問安全

使用數(shù)字證書技術(shù)構(gòu)筑安全的訪問通道內(nèi)容安全

使用數(shù)字證書技術(shù)對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行保護(hù)郵件應(yīng)用：S/MIME網(wǎng)上交易：電子表單桌面：文件/目錄/應(yīng)用軟件內(nèi)容安全

使用數(shù)字證書技術(shù)對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行保護(hù)內(nèi)容安全

數(shù)字證書技術(shù)與XML技術(shù)的結(jié)合，保護(hù)XML應(yīng)用數(shù)據(jù)的安全XMLSignatureXMLEncryptionWS-SecurityXKMS新的應(yīng)用模式，與安全緊密結(jié)合內(nèi)容安全

數(shù)字證書技術(shù)與XML技術(shù)的結(jié)合，保護(hù)XML應(yīng)用與應(yīng)用更加緊密的結(jié)合身份管理的整合真正的“基礎(chǔ)設(shè)施”網(wǎng)絡(luò)信任體系成為應(yīng)用的一個(gè)部分與應(yīng)用更加緊密的結(jié)合身份管理的整合四川省電子政務(wù)網(wǎng)絡(luò)的

設(shè)計(jì)問題政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)政務(wù)外網(wǎng)劃分為三個(gè)邏輯隔離的網(wǎng)絡(luò)完全可以使用證書來解決不同應(yīng)用的訪問安全問題四川省電子政務(wù)網(wǎng)絡(luò)的

設(shè)計(jì)問題政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)完全可以使用幾種典型的應(yīng)用方案幾種典型的應(yīng)用方案（1）Web應(yīng)用安全解決方案為Web服務(wù)器頒發(fā)證書，驗(yàn)證服務(wù)器端的身份為用戶頒發(fā)證書，驗(yàn)證最終用戶的身份服務(wù)器與用戶之間通過認(rèn)證協(xié)議，相互認(rèn)證采用數(shù)字證書對(duì)傳輸數(shù)據(jù)進(jìn)行加密、簽名處理CA認(rèn)證中心Web服務(wù)器業(yè)務(wù)系統(tǒng)最終用戶Internet（1）Web應(yīng)用安全解決方案為Web服務(wù)器頒發(fā)證書，驗(yàn)證服務(wù)是發(fā)放給互聯(lián)網(wǎng)站的數(shù)字證書。作用：實(shí)現(xiàn)了網(wǎng)站服務(wù)器的身份認(rèn)證，解決了網(wǎng)站訪問中網(wǎng)絡(luò)釣魚、竊聽、篡改等安全問題。實(shí)現(xiàn)：通過在Web服務(wù)器中配置服務(wù)器證書，在瀏覽器和服務(wù)器之間建立了SSL安全通道。使用服務(wù)器證書后，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?，確保了網(wǎng)站身份的真實(shí)性，提高了網(wǎng)站的公信度。web服務(wù)器證書是發(fā)放給互聯(lián)網(wǎng)站的數(shù)字證書。web服務(wù)器證書加密套接字層協(xié)議（SSL）Web服務(wù)器最終用戶我是網(wǎng)銀服務(wù)器，這是我的證書我是網(wǎng)銀用戶，這是我的證書（可選）hello交換密鑰建立SSL通道客戶端證書驗(yàn)證服務(wù)器端證書驗(yàn)證101101100011010100110110101SSL所實(shí)現(xiàn)的安全：相互身份鑒別信息加密安全傳輸中的數(shù)據(jù)完整性加密的應(yīng)用數(shù)據(jù)加密套接字層協(xié)議（SSL）Web服務(wù)器最終用戶我是網(wǎng)銀服務(wù)器（2）統(tǒng)一認(rèn)證、單點(diǎn)登錄（2）統(tǒng)一認(rèn)證、單點(diǎn)登錄（3）電子簽章電子簽名的可視化表示保證文檔完整性、不可否認(rèn)性又符合人們?nèi)粘＾k公習(xí)慣（3）電子簽章電子簽名的可視化表示（4）SSLVPN實(shí)現(xiàn)遠(yuǎn)程安全接入訪問（4）SSLVPN實(shí)現(xiàn)遠(yuǎn)程安全接入訪問Email（5）郵件安全解決方案為通信雙方簽發(fā)數(shù)字證書通信雙方使用證書進(jìn)行加密和簽名的電子郵件防止被第三方截取、閱讀身份認(rèn)證，防止被假冒防止被篡改Internet發(fā)信人收信人CA認(rèn)證中心Email（5）郵件安全解決方案為通信雙方簽發(fā)數(shù)字證書Int（6）代碼下載的安全問題網(wǎng)上直報(bào)、網(wǎng)上銀行、網(wǎng)上證券等越來越多應(yīng)用通過Web平臺(tái)實(shí)現(xiàn)，許多代碼通過網(wǎng)絡(luò)，以ActiveX控件的形式發(fā)布。用戶使用瀏覽器下載這些代碼時(shí)，面臨極大的風(fēng)險(xiǎn)。不明身份的代碼的威脅是誰發(fā)布的這個(gè)代碼？微軟或黑客發(fā)布后這代碼被修改過么？病毒或木馬（6）代碼下載的安全問題網(wǎng)上直報(bào)、網(wǎng)上銀行、網(wǎng)上證券等越來越代碼安全的解決方案是誰發(fā)布的這個(gè)代碼？由可信第三方CA鑒證軟件開發(fā)商身份，簽發(fā)代碼簽名數(shù)字證書完整可靠的鑒證機(jī)制使黑客無法得到公信的證書發(fā)布后這代碼被修改過么？由軟件開發(fā)商為自己的代碼進(jìn)行數(shù)字簽名，保證發(fā)布后第三方無法修改客戶端下載代碼時(shí)，會(huì)自動(dòng)驗(yàn)證證書及數(shù)字簽名確認(rèn)由代碼由可信的廠商發(fā)布，并且發(fā)布后未被篡改代碼安全的解決方案是誰發(fā)布的這個(gè)代碼？小結(jié)系統(tǒng)登錄的身份認(rèn)證：

系統(tǒng)的首要安全需求。系統(tǒng)用戶不僅僅是內(nèi)部的工作人員，而且也包含分布全分支的機(jī)構(gòu)的工作人員，因此為確保系統(tǒng)訪問的安全性，必須要對(duì)用戶身份的真實(shí)性進(jìn)行有效鑒別。重要信息的數(shù)字簽名：

需要對(duì)用戶信息進(jìn)行針對(duì)性安全保護(hù)，通過數(shù)字簽名機(jī)制確保其在傳輸過程中完整性，保證重要信息能完整一致的下達(dá)到相關(guān)工作人員。重要信息的機(jī)密保護(hù)：

鑒于網(wǎng)絡(luò)的開放性，防止信息在傳輸過程中被竊聽與盜用，使用數(shù)字信封技術(shù)對(duì)使用需保護(hù)的機(jī)密信息進(jìn)行加密保護(hù)。小結(jié)系統(tǒng)登錄的身份認(rèn)證：系統(tǒng)的首要安全需求。系統(tǒng)用戶不僅僅(三)、電子簽名法對(duì)數(shù)字證書應(yīng)用的推動(dòng)(三)、電子簽名法對(duì)數(shù)字證書應(yīng)用的推動(dòng)立法必要性1、我國(guó)電子政務(wù)和電子商務(wù)的發(fā)展，提出了建立有效的身份認(rèn)證機(jī)制和責(zé)任認(rèn)定機(jī)制的需求；2、一些實(shí)現(xiàn)電子簽名的技術(shù)已能達(dá)到法律對(duì)傳統(tǒng)簽名的要求；3、電子簽名在傳統(tǒng)法律環(huán)境下，遇到法律問題：電子簽名和數(shù)據(jù)電文是否具有法律效力在已有的法律中無明文規(guī)定，客觀上阻礙了電子政務(wù)和電子商務(wù)的發(fā)展；電子簽名的規(guī)則不明確，對(duì)電子簽名人的行為缺乏規(guī)范，發(fā)生糾紛后責(zé)任難以認(rèn)定；電子認(rèn)證服務(wù)提供者的法律地位和法律責(zé)任不明確，行為不規(guī)范，認(rèn)證的合法性難以保證；電子簽名的安全性、可靠性沒有法律保障。立法必要性1、我國(guó)電子政務(wù)和電子商務(wù)的發(fā)展，提出了建立有效的加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系：規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的的網(wǎng)絡(luò)信任體系建設(shè)信息安全保障體系建設(shè)的需要加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系：規(guī)范和加強(qiáng)以身立法過程千呼萬喚始出來

2002年4月國(guó)信辦組織起草，同年底提交國(guó)務(wù)院法制辦《電子簽章條例》。2003年國(guó)務(wù)院法制辦合同國(guó)信辦、信產(chǎn)部再次起草，2004月3月國(guó)務(wù)院原則通過。2004年4月6日十屆全國(guó)人大常委會(huì)第八次會(huì)議上一讀；6月21日第十次會(huì)議二讀；8月28日第十一次會(huì)議三讀通過，2005年4月1日實(shí)施。立法過程千呼萬喚始出來核心內(nèi)容(一)確立了電子簽名的法律效力；(二)規(guī)范了電子簽名行為；(三)明確了認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序；(四)規(guī)定了電子簽名的安全保障措施；(五)明確了電子認(rèn)證服務(wù)行政許可的實(shí)施機(jī)關(guān)。核心內(nèi)容(一)確立了電子簽名的法律效力；概念辨析電子簽名（electronicsignature)是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。包括數(shù)字簽名（digitalsignature)、電子化印章和生理特征簽名等，區(qū)別數(shù)字簽名和電子簽章。電子簽名有兩種形式存在，其一是在數(shù)據(jù)電文中所含，包含在數(shù)據(jù)電文中，可能見到也可能見不到。類似于我們?cè)诩堎|(zhì)文件中的某一段落簽了個(gè)名字。其二是所附。即附在正文后面的，類似于我們通常在紙質(zhì)文件末尾的簽名。電子簽名是一組數(shù)據(jù)，人人可為，電子郵件的簽署名字。概念辨析電子簽名（electronicsignature)概念辨析數(shù)據(jù)電文（datemessage)

是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。用語(yǔ)與合同法對(duì)接，與電子文件（electronicdocument)沒有本質(zhì)區(qū)別。一般來說，數(shù)據(jù)電文即為常見的電子文件。如電子文檔、表格、郵件、短信等。其他包括電子簽名人、電子簽名依賴方、電子簽名認(rèn)證證書、電子簽名制作數(shù)據(jù)、電子簽名驗(yàn)證數(shù)據(jù)。概念辨析數(shù)據(jù)電文（datemessage)電子簽名法頒布意義《電子簽名法》通過確立電子簽名的法律效力、規(guī)范電子簽名行為、維護(hù)電子交易各方的合法權(quán)益、保障電子交易安全，為電子商務(wù)和電子政務(wù)的發(fā)展創(chuàng)造了良好的法律環(huán)境，同時(shí)也為電子認(rèn)證服務(wù)業(yè)的發(fā)展提供了有力的法律保障，為我國(guó)電子政務(wù)和電子商務(wù)安全認(rèn)證體系和網(wǎng)絡(luò)信任體系的建立奠定了堅(jiān)實(shí)的法律基礎(chǔ)。電子簽名法頒布意義《電子簽名法》通過確立電子簽名的法律對(duì)今后工作的影響將有力地促進(jìn)全社會(huì)信息責(zé)任意識(shí)的提高。將促進(jìn)電子商務(wù)、電子政務(wù)的發(fā)展。網(wǎng)上審批、電子商務(wù)、網(wǎng)上保單、網(wǎng)上教育、網(wǎng)上證券和網(wǎng)上銀行、網(wǎng)上通關(guān)、網(wǎng)上稅務(wù)、網(wǎng)上統(tǒng)計(jì)等。將進(jìn)一步推動(dòng)網(wǎng)上身份標(biāo)識(shí)的統(tǒng)一。將推動(dòng)軟件知識(shí)產(chǎn)權(quán)的保護(hù)，為軟件業(yè)的發(fā)展提供了保障。對(duì)今后工作的影響將有力地促進(jìn)全社會(huì)信息責(zé)任意識(shí)的提高。

可靠電子簽名與手寫簽名或者蓋章具有同等的法律效力。

目前數(shù)字證書及其相關(guān)技術(shù)是唯一符合電子簽名法相關(guān)規(guī)定的實(shí)用技術(shù)手段。

數(shù)字證書的應(yīng)用必將進(jìn)一步廣泛深入到電子政務(wù)、電子商務(wù)的方方面面。小結(jié)可靠電子簽名與手寫簽名或者蓋章具有同等的法律效力。小結(jié)第三部分：電子簽名/簽章

知識(shí)介紹第三部分：電子簽名/簽章

知識(shí)介紹《中華人民共和國(guó)電子簽名法》確立電子簽名的法律效力電子簽名的作用：識(shí)別簽名人的身份；保證簽名人認(rèn)可文件的內(nèi)容電子簽名具有與手寫簽名同等的法律效力，并規(guī)定了相應(yīng)條件對(duì)數(shù)據(jù)電文作了相關(guān)規(guī)定：電子文件具有法律效力的條件、作為證據(jù)的條件等設(shè)立電子認(rèn)證服務(wù)市場(chǎng)準(zhǔn)入制度規(guī)定電子簽名安全保障制度《中華人民共和國(guó)電子簽名法》確立電子簽名的法律效力電子簽名的需求簽名文檔的完整性、簽名人的身份認(rèn)證、事后對(duì)簽名的不可否認(rèn)性。使用政務(wù)數(shù)字證書進(jìn)行數(shù)字簽名，有多種解決方案：基于Web的簽名（對(duì)網(wǎng)頁(yè)提交內(nèi)容進(jìn)行簽名）基于Email的簽名（對(duì)電子郵件進(jìn)行簽名）基于文件的簽名（對(duì)任意格式的文件整體進(jìn)行電子簽名）基于特定格式文件內(nèi)容的簽名（對(duì)Word、Excel、PDF等文件中的內(nèi)容進(jìn)行簽名）電子簽名的需求簽名文檔的完整性、簽名人的身份認(rèn)證、事后對(duì)簽名電子簽章技術(shù)？電子簽章是電子簽名一種重要表現(xiàn)形式，它結(jié)合成熟的組件技術(shù)、PKI技術(shù)、圖像處理技術(shù)以及智能卡技術(shù)，按照一系列的標(biāo)準(zhǔn)體系，以電子形式對(duì)電子文檔簽名并加蓋簽章。電子簽章是以電子形式存在，依附于電子文件并與其相關(guān)聯(lián)，可用于辨識(shí)電子文件簽署者的身份，表示簽署者同意電子文件所陳述的內(nèi)容，并保證文件的完整性。電子簽名與手寫簽名和蓋章具有同等的法律效力。

電子簽章技術(shù)？電子簽章是電子簽名一種重要表現(xiàn)形式，它結(jié)合成熟電子簽章如何實(shí)現(xiàn)電子簽章是電子簽名的一種可視化表現(xiàn)形式，利用圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視效果，同時(shí)利用電子簽名技術(shù)保障電子信息的真實(shí)性和完整性以及簽名人的不可否認(rèn)性。電子簽章如何實(shí)現(xiàn)電子簽章是電子簽名的一種可視化表現(xiàn)形式，利用電子簽章的特點(diǎn)安全：簽章不可仿造、復(fù)制，防止非法制作拷貝印章、仿造新的文件；通用：提供豐富靈活的開發(fā)接口，易于與應(yīng)用結(jié)合。方便：符合傳統(tǒng)的印章使用習(xí)慣，操作簡(jiǎn)單；高效：執(zhí)行效率高且占用系統(tǒng)資源少；標(biāo)準(zhǔn)：嚴(yán)格遵循《中華人民共和國(guó)電子簽名法》，支持國(guó)家指定密碼算法，密碼運(yùn)算在硬件介質(zhì)中完成，符合國(guó)家安全標(biāo)準(zhǔn)。電子簽章的特點(diǎn)安全：簽章不可仿造、復(fù)制，防止非法制作拷貝印電子簽章的功能加蓋簽章

：文檔加蓋簽章，證明簽名人的身份；驗(yàn)證簽章

：驗(yàn)證文檔簽章，證實(shí)文檔有效性；抗抵賴

：簽名者認(rèn)可所簽文檔內(nèi)容，不能對(duì)簽名行為抵賴；抗偽造

：簽章不能通過復(fù)制或其他方式進(jìn)行偽造或冒充；抗篡改

：文檔一旦被篡改，簽章即失效。電子簽章的功能加蓋簽章：文檔加蓋簽章，證明簽名人的身份；電子簽章分為三類組織機(jī)構(gòu)（單位）安全電子公章下屬部門內(nèi)部業(yè)務(wù)專用電子印章個(gè)人安全電子名章（私章）或業(yè)務(wù)便章電子簽章分為三類組織機(jī)構(gòu)（單位）安全電子公章處理流程處理流程電子簽名的關(guān)鍵環(huán)節(jié)CA認(rèn)證中心客戶端服務(wù)端鑒證鑒證原文數(shù)字簽名原文數(shù)字簽名時(shí)間:2006-1-118:01:01數(shù)字簽名(時(shí)間戳回執(zhí))數(shù)字簽名(時(shí)間戳回執(zhí))1、CA中心通過嚴(yán)格的鑒證，分別給客戶/服務(wù)器頒發(fā)數(shù)字證書2、客戶端使用客戶端證書對(duì)原文進(jìn)行數(shù)字簽名3、原文和數(shù)字簽名數(shù)據(jù)一起上傳服務(wù)器，服務(wù)器驗(yàn)證簽名。并保留數(shù)據(jù)4、服務(wù)器端使用服務(wù)器證書對(duì)原文、客戶端數(shù)字簽名、以及時(shí)間信息進(jìn)行數(shù)字簽名5、時(shí)間戳回執(zhí)返回給客戶端，客戶端進(jìn)行驗(yàn)證和保存雙向抗抵賴流程（可選）電子簽名的關(guān)鍵環(huán)節(jié)CA認(rèn)證中心客戶端服務(wù)端鑒證鑒證原文數(shù)字簽第四部分：電子簽名的責(zé)任認(rèn)定第四部分：電子簽名的責(zé)任認(rèn)定如何利用電子簽名進(jìn)行責(zé)任認(rèn)定前提：電子簽名人具有合法的數(shù)字證書糾紛一：客戶端抵賴糾紛二：服務(wù)端抵賴如何利用電子簽名進(jìn)行責(zé)任認(rèn)定前提：電子簽名人具有合法的數(shù)字如何利用電子簽名進(jìn)行責(zé)任認(rèn)定前提：電子簽名人具有合法的數(shù)字證書證據(jù)：簽名人數(shù)字證書（通過簽名人提供或簽名中所保存）舉證流程：1、驗(yàn)證證書的簽名CA是合法CA（如BJCA）2、驗(yàn)證證書中內(nèi)容信息指向簽名實(shí)體本人3、CA機(jī)構(gòu)根據(jù)發(fā)證時(shí)的鑒證流程，提供該實(shí)體獲得證書的證據(jù)（如加蓋公章的申請(qǐng)表、所提供鑒證材料復(fù)印件等）4、查驗(yàn)證書吊銷記錄結(jié)論：證書無效：簽名都無效證書被吊銷：吊銷時(shí)間后的簽名無效如何利用電子簽名進(jìn)行責(zé)任認(rèn)定前提：電子簽名人具有合法的數(shù)字證如何利用電子簽名進(jìn)行責(zé)任認(rèn)定糾紛一：客戶端抵賴證據(jù)：原文數(shù)字簽名（客戶端）驗(yàn)證后的數(shù)字證書（客戶端）舉證流程：1、數(shù)字證書的有效性2、根據(jù)原文和數(shù)字證書驗(yàn)證數(shù)字簽名的有效性簽名有效時(shí)結(jié)論：1、客戶端簽過名，抵賴2、客戶端證書被盜用（客戶端負(fù)責(zé)）簽名無效時(shí)結(jié)論：1、原文被篡改如何利用電子簽名進(jìn)行責(zé)任認(rèn)定糾紛一：客戶端抵賴證據(jù)：如何利用電子簽名進(jìn)行責(zé)任認(rèn)定糾紛二：服務(wù)器端抵賴證據(jù)：原文數(shù)字簽名（客戶端）時(shí)間戳回執(zhí)（服務(wù)端）驗(yàn)證后的數(shù)字證書（服務(wù)端）舉證流程：1、服務(wù)端數(shù)字證書的有效性（前提）2、根據(jù)回執(zhí)信息和數(shù)字證書驗(yàn)證回執(zhí)簽名的有效性3、回執(zhí)信息中時(shí)間、數(shù)字簽名等信息的有效性回執(zhí)簽名有效結(jié)論：1、服務(wù)端保存信息丟失2、服務(wù)器端證書被盜用（服務(wù)端負(fù)責(zé)）回執(zhí)簽名無效結(jié)論：1、服務(wù)器端所接收信息與此回執(zhí)信息不符如何利用電子簽名進(jìn)行責(zé)任認(rèn)定糾紛二：服務(wù)器端抵賴證據(jù)：第五部分?jǐn)?shù)字證書安裝及使用

（以投資網(wǎng)為例）第五部分?jǐn)?shù)字證書安裝及使用

（以投資網(wǎng)為例）使用證書登錄必須準(zhǔn)備好裝有證書的存儲(chǔ)介質(zhì)；插入證書介質(zhì)；輸入申請(qǐng)證書時(shí)獲得的證書信封密碼。密碼驗(yàn)證正確后系統(tǒng)將自動(dòng)調(diào)用數(shù)字證書進(jìn)行相關(guān)操作。使用證書登錄必須準(zhǔn)備好裝有證書的存儲(chǔ)介質(zhì)；打開投資網(wǎng)站點(diǎn)擊打開投資網(wǎng)站點(diǎn)擊進(jìn)入證書服務(wù)與登錄頁(yè)面進(jìn)入證書服務(wù)與登錄頁(yè)面①將安裝光盤放入光驅(qū)中，雙擊光盤根目錄下的安裝程序“BJCA證書管理工具”：(一)、數(shù)字證書安裝(一)、數(shù)字證書安裝②安裝程序會(huì)自動(dòng)運(yùn)行：②安裝程序會(huì)自動(dòng)運(yùn)行：③直至出現(xiàn)安裝成功提示：④安裝完成后，桌面上會(huì)自動(dòng)生成管理工具的圖標(biāo)：③直至出現(xiàn)安裝成功提示：④安裝完成后，桌面上會(huì)自動(dòng)生成管⑤將數(shù)字證書USBKey插入電腦的USB接口，雙擊桌面“BJCA證書管理工具”圖標(biāo)或在點(diǎn)擊開始菜單中的該程序；⑤將數(shù)字證書USBKey插入電腦的USB接口，雙擊桌面“B⑥點(diǎn)擊“安裝證書”按鈕；

⑥點(diǎn)擊“安裝證書”按鈕；⑦選擇即將安裝的證書，點(diǎn)擊其前面的方框，然后點(diǎn)擊“安裝證書”按鈕

⑧安裝完成，點(diǎn)擊“確定”按鈕⑦選擇即將安裝的證書，點(diǎn)擊其前面的方框，然后點(diǎn)擊“安裝證⑨在證書管理工具程序主界面的右側(cè)顯示出證書信息，證明數(shù)字證書已成功安裝。⑨在證書管理工具程序主界面的右側(cè)顯示出證書信息，證明數(shù)字卸載安裝是指您的計(jì)算機(jī)內(nèi)以前安裝過數(shù)字證書或USBKey的驅(qū)動(dòng)程序，選擇“卸載管理工具及USBKey驅(qū)動(dòng)”，點(diǎn)擊“下一步”；(二)、卸載安裝卸載安裝是指您的計(jì)算機(jī)內(nèi)以前安裝過數(shù)字證書或USBKey的驅(qū)此時(shí)出現(xiàn)驅(qū)動(dòng)程序卸載界面點(diǎn)擊“卸載”；

此時(shí)出現(xiàn)驅(qū)動(dòng)程序卸載界面點(diǎn)擊“卸載”；如果出現(xiàn)電腦重啟提示，請(qǐng)選擇“現(xiàn)在重新啟動(dòng)”，點(diǎn)擊“完成”，重啟電腦；如果出現(xiàn)電腦重啟提示，請(qǐng)選擇“現(xiàn)在重新啟動(dòng)”，點(diǎn)擊“完成”，(三)、修改密碼雙擊桌面“BJCA證書管理工具”圖標(biāo)或點(diǎn)擊開始菜單中的該程序，出現(xiàn)程序主界面，點(diǎn)擊證書管理標(biāo)簽頁(yè)的“修改密碼”按鈕,您可以修改證書密碼:(三)、修改密碼雙擊桌面“BJCA證書管理工具”圖標(biāo)或點(diǎn)擊開(四)、數(shù)字證書的使用插入U(xiǎn)SBKey或刷新登錄頁(yè)面；選擇正確的登錄證書；輸入數(shù)字證書密碼；點(diǎn)擊提交按鈕；點(diǎn)擊角色確認(rèn)按鈕，即可登錄到投資管理系統(tǒng)中。(四)、數(shù)字證書的使用插入U(xiǎn)SBKey或刷新登錄頁(yè)面；使用證書登錄過程插入U(xiǎn)SBKey證書讀取完成以后輸入證書密碼確認(rèn)角色證書登錄完成使用證書登錄過程插入U(xiǎn)SBKey證書讀取完成以后輸入證書密碼重要提示：請(qǐng)牢記您的數(shù)字證書密碼，如果您的密碼重試次數(shù)超過10次，智能key將被鎖死，必須拿到數(shù)字認(rèn)證受理點(diǎn)解鎖。（數(shù)字證書的密碼即智能key的保護(hù)口令，您可以在數(shù)字證書的包裝中找到包含密碼的保密信封,請(qǐng)您拿到證書后盡快修改您的密碼）重要提示：請(qǐng)牢記您的數(shù)字證書密碼，如果您的密碼重試次數(shù)超過1數(shù)字證書的更新一年有效期，一年后更新證書具體更新注意事項(xiàng)可參考證書申請(qǐng)聲明數(shù)字證書的更新一年有效期，一年后更新證書(五)、電子簽章的安裝及使用如果已經(jīng)申請(qǐng)了單位數(shù)字證書的用戶，并且在業(yè)務(wù)中需要使用電子簽章時(shí)，請(qǐng)先安裝BJCA電子簽章工具，將BJCA電子簽章安裝光盤放入光驅(qū)中，雙擊光盤根目錄下的安裝程序“電子簽章安裝.exe”，安裝成功即可。

(五)、電子簽章的安裝及使用如果已經(jīng)申請(qǐng)了單電子簽章在待辦通知中的使用①Web頁(yè)面簽章圖標(biāo)②點(diǎn)擊鼠標(biāo)右鍵電子簽章在待辦通知中的使用①Web頁(yè)面簽章圖標(biāo)②點(diǎn)擊鼠標(biāo)簽章后的待辦事宜簽章后的待辦事宜電子簽章在文件交換中的使用電子簽章在文件交換中的使用電子簽章在項(xiàng)目直報(bào)中的使用電子簽章在項(xiàng)目直報(bào)中的使用電子簽章在項(xiàng)目辦理中的使用電子簽章在項(xiàng)目辦理中的使用電子簽章在word文檔中的使用①OfficeWord簽章圖標(biāo)②點(diǎn)擊鼠標(biāo)右鍵電子簽章在word文檔中的使用①OfficeWord②電

子

簽

章

后

的word

文

檔

點(diǎn)擊鼠標(biāo)右鍵驗(yàn)證簽章電

子

簽

章

后

的word

文

檔

點(diǎn)擊鼠標(biāo)右鍵驗(yàn)證簽簽章驗(yàn)證簽章驗(yàn)證驗(yàn)證成功驗(yàn)證成功驗(yàn)證失敗插入一個(gè)空格后再驗(yàn)證簽章驗(yàn)證失敗插入一個(gè)空格后再驗(yàn)證簽章(六)、常見問題1、什么是數(shù)字證書

：數(shù)字證書，也稱為網(wǎng)絡(luò)身份證，是一個(gè)在網(wǎng)絡(luò)上標(biāo)識(shí)某實(shí)體身份的文件。其作用類似于現(xiàn)實(shí)生活中的身份證。它可以存儲(chǔ)在USBKey上，也可以存儲(chǔ)在電腦或者其它介質(zhì)中。某些軟件會(huì)通過讀取這個(gè)文件來驗(yàn)證實(shí)體的身份。數(shù)字證書是由一個(gè)值得信賴的權(quán)威機(jī)構(gòu)（數(shù)字證書認(rèn)證中心，簡(jiǎn)稱CA）發(fā)行，人們可以在交往中用它來鑒別對(duì)方的身份和表明自身的身份。數(shù)字證書的格式一般采用X.509國(guó)際標(biāo)準(zhǔn)；數(shù)字證書通常包括以下信息：您的公鑰您的名字和e-mail地址證書有效期證書頒發(fā)機(jī)構(gòu)的名稱（例如北京數(shù)字證書認(rèn)證中心）證書的序列號(hào)CA（證書頒發(fā)機(jī)構(gòu)）的數(shù)字簽名(六)、常見問題1、什么是數(shù)字證書：2、數(shù)字證書能做什么

：應(yīng)用軟件、網(wǎng)絡(luò)和電腦可以在很多場(chǎng)合使用您的數(shù)字證書：加密保護(hù)您在網(wǎng)絡(luò)上傳送的數(shù)據(jù)的安全性。例如，電子郵件軟件可利用郵件接收者的數(shù)字證書來加密郵件內(nèi)容。認(rèn)證

表明和證實(shí)您的身份。例如，在現(xiàn)實(shí)生活中您到銀行進(jìn)行取款等操作時(shí)，銀行會(huì)讓您出示您的身份證等其它有效證件；而在網(wǎng)上銀行業(yè)務(wù)中，銀行的網(wǎng)上系統(tǒng)則需要驗(yàn)證您的數(shù)字證書。數(shù)字簽名

根據(jù)《中華人民共和國(guó)電子簽名法》，用數(shù)字證書合法實(shí)現(xiàn)的電子簽名，其法律效力等同于手寫的簽名。例如，電子簽章軟件將使用您的數(shù)字證書對(duì)您發(fā)布的文檔或其它文件進(jìn)行電子簽名。

2、數(shù)字證書能做什么：3、如果登錄時(shí)選擇證書方式無法顯示您的用戶名：關(guān)閉所有瀏覽器，運(yùn)行光盤下的“BJCA證書管理工具.exe”安裝管理工具。按照首都政務(wù)通使用說明書中的步驟安裝數(shù)字證書。重新登錄即可。4、數(shù)字證書密碼卡有什么作用：數(shù)字證書密碼卡上的密碼是USBKey的初始密碼，也是您的證書初始密碼。

如果以后證書使用的過程中，由于密碼錯(cuò)誤重試的次數(shù)太多而被鎖住，需要憑此卡上的初始密碼解鎖。3、如果登錄時(shí)選擇證書方式無法顯示您的用戶名：4、數(shù)字證書密5、為什么要使用USBKey存儲(chǔ)數(shù)字證書？數(shù)字證書可以存儲(chǔ)在軟盤、光盤、IC卡中。但是軟盤易于損壞，且軟盤和光盤證書的備份會(huì)導(dǎo)致證書容易被他人盜用，而存于IC卡中的證書使用時(shí)需要讀卡器，成本較高。使用USBKey存儲(chǔ)數(shù)字證書，具有攜帶方便和安全性極高的優(yōu)點(diǎn)。您可以將USBKey與鑰匙掛在一起，隨身攜帶；存儲(chǔ)在USBKey中的信息不可復(fù)制，密鑰信息不出Key，且密鑰本身不可讀，最大限度的保障了用戶的認(rèn)證信息的安全性；結(jié)合密碼驗(yàn)證的認(rèn)證方式，實(shí)現(xiàn)了雙因素認(rèn)證的高強(qiáng)度數(shù)字身份認(rèn)證。6、怎樣保管數(shù)字證書？請(qǐng)您務(wù)必妥善保管USBKey和數(shù)字證書密碼卡，勿借他人使用，不要向他人泄漏證書密碼。如有遺失和盜用等情況發(fā)生，請(qǐng)及時(shí)向數(shù)字證書受理點(diǎn)報(bào)備。5、為什么要使用USBKey存儲(chǔ)數(shù)字證書？謝謝！謝謝！電子政務(wù)網(wǎng)絡(luò)應(yīng)用安全

－數(shù)字證書及電子簽章介紹四川省經(jīng)濟(jì)信息中心系統(tǒng)應(yīng)用處副處長(zhǎng)方陽(yáng)

2007年7月電子政務(wù)網(wǎng)絡(luò)應(yīng)用安全

－數(shù)字證書及電子簽章介紹四川省經(jīng)濟(jì)信問題的引出問題的引出主要內(nèi)容第一部分：數(shù)字證書相關(guān)知識(shí)介紹第二部分：數(shù)字證書的應(yīng)用領(lǐng)域第三部分：電子簽名相關(guān)知識(shí)介紹第四部分：電子簽名的主要作用第五部分：證書及簽章在投資網(wǎng)上的使用主要內(nèi)容第一部分：數(shù)字證書相關(guān)知識(shí)介紹第一部分?jǐn)?shù)字證書相關(guān)知識(shí)介紹（一）、產(chǎn)生背景及PKI/CA簡(jiǎn)介（二）、網(wǎng)絡(luò)安全性及數(shù)字證書知識(shí)簡(jiǎn)介（三）、數(shù)字證書認(rèn)證中心介紹

第一部分?jǐn)?shù)字證書相關(guān)知識(shí)介紹（一）、產(chǎn)生背景及PKI(一)、產(chǎn)生背景及PKI/CA簡(jiǎn)介(一)、產(chǎn)生背景及PKI/CA簡(jiǎn)介

機(jī)遇當(dāng)今的時(shí)代是信息時(shí)代，政務(wù)工作也必須要適應(yīng)時(shí)代的要求。在有關(guān)部門的重視下，各級(jí)政府貫徹落實(shí)加強(qiáng)計(jì)算機(jī)信息化建設(shè)工作，利用計(jì)算機(jī)在文檔傳遞管理、網(wǎng)上報(bào)稅、網(wǎng)上銀行、項(xiàng)目直報(bào)、遠(yuǎn)程通信等工作中都應(yīng)用了計(jì)算機(jī)輔助辦公，并進(jìn)入了網(wǎng)絡(luò)信息共享的階段。

機(jī)遇

挑戰(zhàn)然而，人們?cè)诘靡嬗谛畔⒏锩鶐淼男聶C(jī)遇，享受新技術(shù)帶來的便利的同時(shí)，也不得不面對(duì)信息安全問題的嚴(yán)峻考驗(yàn)。通過網(wǎng)絡(luò)傳遞的信息會(huì)不會(huì)被截獲和篡改，網(wǎng)絡(luò)另一方的人的身份是否真實(shí)，如何確保人們不能抵賴在網(wǎng)上所做的歷史行為，等等這些信息安全問題已經(jīng)引起了各部門、各企業(yè)以及每個(gè)互聯(lián)網(wǎng)用戶的重視。

挑戰(zhàn)在因特網(wǎng)上，誰也不知道你是一條狗！網(wǎng)絡(luò)中，我如何能相信你?網(wǎng)絡(luò)特點(diǎn)——開放性及匿名性在因特網(wǎng)上，網(wǎng)絡(luò)中，我如何能相信你?網(wǎng)絡(luò)特點(diǎn)——開放性及大家共同信任的權(quán)威機(jī)構(gòu)。證書機(jī)構(gòu)通過數(shù)字證書把用戶的公鑰和用戶的身份進(jìn)行捆綁，從而證明公鑰持有者身份的真實(shí)性大家共同信任證書機(jī)構(gòu)通過數(shù)字證書把用戶的公鑰和用戶的身份進(jìn)行用戶A用戶BCA可以擔(dān)保我的網(wǎng)上業(yè)務(wù)對(duì)方的真實(shí)身份CA可以擔(dān)保我的網(wǎng)上業(yè)務(wù)對(duì)方的真實(shí)身份??CA中心我了解用戶A我可以為他們的真實(shí)身份擔(dān)保我了解用戶B我可以為他們的真實(shí)身份擔(dān)保CA（CertificateAuthority）是頒發(fā)數(shù)字證書的機(jī)構(gòu)。證書是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證明，所以證書的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性。用戶A用戶BCA可以CA可以??CA中心我了解用戶A我了解用利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的在線基礎(chǔ)設(shè)施。它利用加密、數(shù)字簽名、數(shù)字證書來保護(hù)應(yīng)用、通信或事務(wù)處理的安全?；诠€理論相對(duì)于傳統(tǒng)的秘密密鑰（對(duì)稱密鑰）基礎(chǔ)設(shè)施如同電力基礎(chǔ)設(shè)施為家用電器提供電力一樣PKI為各種互聯(lián)網(wǎng)應(yīng)用提供安全保障公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的在線基礎(chǔ)設(shè)施。它利加密的工具是通過用戶的公鑰（PublicKey）和私鑰(PrivateKey）來實(shí)現(xiàn)的，加密、解密必須用同一個(gè)用戶的一對(duì)公鑰和私鑰來配對(duì)使用。公鑰可以告訴別人，但私鑰卻一般不能告訴別人，除非授權(quán)。就象我們的大樓一樣，大門鑰匙我們可以給各住戶，但各家自己門的鑰匙卻只能給住戶本人，不能隨便給。加密的工具是通過用戶的公鑰（PublicKey）和私鑰(P文件加密與數(shù)字簽名“文件加密”與“數(shù)字簽名”雖然其過程不一樣，但原理是一樣的，大家注意理解。

文件加密與數(shù)字簽名“文件加密”與“數(shù)字簽名”雖然其過程不一樣文件加密原理現(xiàn)假設(shè)有A公司的老板名叫張三，B公司的老板名叫李四，現(xiàn)張三想傳輸一個(gè)文件filebs給李四，這個(gè)文件是有關(guān)于一個(gè)合作項(xiàng)目標(biāo)書議案，屬公司機(jī)密，不能給其它人知道，而恰好有一個(gè)C公司的老板王五對(duì)A和B公司有關(guān)那項(xiàng)合作標(biāo)書非常關(guān)注，總想取得A公司的標(biāo)書議案，于是他時(shí)刻監(jiān)視他們的網(wǎng)絡(luò)通信，想如果張三通過網(wǎng)絡(luò)傳輸這份標(biāo)書議案時(shí)從網(wǎng)絡(luò)上截取它。為了防止王五截取標(biāo)書議案，實(shí)現(xiàn)安全傳輸，我們可以采用以下步驟：

文件加密原理現(xiàn)假設(shè)有A公司的老板名叫張三，B公司的老板名叫李文件加密原理A公司：張三B公司：李四C公司：王五（4）李四用自己的私鑰對(duì)文件進(jìn)行解密（2）張三用李四的公鑰對(duì)文件進(jìn)行加密李四將他的公鑰發(fā)給張三（1）（3）張三將加密后的文件發(fā)給李四文件加密原理A公司：張三B公司：李四C公司：王五（4）李四用文件簽名原理數(shù)字簽名也主要是為了證明發(fā)件人身份，就象我們來看到的某文件簽名一樣，但現(xiàn)在要說的簽名是采取數(shù)字的方式，它可以防止別人仿簽，因?yàn)榧用芎蟮暮灻妥兊妹婺咳?，別人根本不可能看到真正的簽名樣子，它與前面所講的文件加密機(jī)理是一樣的，但方法不太一樣，下面介紹如下。文件簽名原理數(shù)字簽名也主要是為了證明發(fā)件人身份，就象我們來看文件簽名原理和文件加密所舉的例子一樣，張三要在所發(fā)的文件FileBS后面要加以簽名，以證明這份標(biāo)書的有效性，同樣是發(fā)給B公司的老板李四，公司C的老板王五如果想要假冒張三的簽名發(fā)另一份標(biāo)書給李四，以達(dá)到破壞A公司中標(biāo)的目的。

A公司：張三B公司：李四C公司：王五（2）張三用自己的私鑰對(duì)文件進(jìn)行簽名并對(duì)簽名進(jìn)行加密（4）李四用張三的公鑰對(duì)張三加密后的簽名文件進(jìn)行解密（3）張三將加密后的簽名文件發(fā)給李四（1）張三將他的公鑰發(fā)給李四文件簽名原理和文件加密所舉的例子一樣，張三要在所發(fā)的文件Fi公鑰的獲取與驗(yàn)證實(shí)際上，在張三和李四交換密鑰的過程中，王五也可以獲得他們的公鑰。那么李四怎樣區(qū)別哪一個(gè)公鑰是真正的張三的公鑰呢？李四可以到第三方發(fā)證機(jī)關(guān)證書目錄服務(wù)器上進(jìn)行查詢來辨別，就這樣王五的陰謀也就不能得逞。

公鑰的獲取與驗(yàn)證實(shí)際上，在張三和李四交換密鑰的過程中，王五也安全是相對(duì)的加密后的文件在解密之前會(huì)面目全非，沒有對(duì)應(yīng)的密碼是無法進(jìn)行閱讀的，更別談修改了，況且這種密碼比一般所使用的密碼長(zhǎng)許多倍（非對(duì)稱密碼為1024位），而且是配對(duì)使用的。據(jù)專家分析用任何程序解密的可能性幾乎為零，即使能解密，也起碼要10000年，這樣的解密又有什么意義呢？安全是相對(duì)的加密后的文件在解密之前會(huì)面目全非，沒有對(duì)應(yīng)的密碼PKI的組成CA/RA目錄服務(wù)PKI-Enabled安全軟件相關(guān)政策及程序PKI的組成CA/RA目錄服務(wù)PKI-Enabled相關(guān)政策PKI技術(shù)的應(yīng)用范圍PKI技術(shù)的應(yīng)用范圍PKI已成為信息安全的核心PKISETSSLSPKMS/MIMEIPSecProtocolsDatabasesDirectoriesHardwareCryptoSmartCardsTechnologiesPaymentsMailWebVPNsCommunicationsEDICRMERPSCMBankingE-CommerceE-GovernmentApplicationsPKI已成為信息安全的核心PKISETSSLSPKMS/MCA的技術(shù)框架CA的技術(shù)框架CA中心：證書管理中心制訂證書相關(guān)規(guī)定生成證書管理廢止證書（黑名單）更新證書目錄密鑰管理RA：管理證書受理點(diǎn)辦理和審批證書申請(qǐng)受理點(diǎn)：面向用戶辦理證書申請(qǐng)CA的服務(wù)架構(gòu)CA中心：CA的服務(wù)架構(gòu)（二）、網(wǎng)絡(luò)安全性及數(shù)字證書

知識(shí)簡(jiǎn)介（二）、網(wǎng)絡(luò)安全性及數(shù)字證書

知識(shí)簡(jiǎn)介安全保障體系

安全保障體系如何保障網(wǎng)絡(luò)應(yīng)用的安全性？

首先，一個(gè)安全的網(wǎng)絡(luò)保護(hù)著該網(wǎng)絡(luò)的資源。這些資源包括網(wǎng)絡(luò)的數(shù)據(jù)（不管是通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)還是存貯在媒介中的數(shù)據(jù)），還包括對(duì)物理資源的訪問權(quán)力。第二，這些資源應(yīng)該不受有意或無意的破壞。一個(gè)安全的網(wǎng)絡(luò)應(yīng)該是黑客們所破壞不了的。最后，對(duì)網(wǎng)絡(luò)資源的保護(hù)不能太強(qiáng)制和繁瑣。不能為了安全性而把系統(tǒng)設(shè)計(jì)得很復(fù)雜，以至于被授權(quán)的人不能以一種簡(jiǎn)單的方式來訪問這些資源。綜上所述，網(wǎng)絡(luò)安全可以定義為：一些保護(hù)重要信息的手段和措施，使之免受蓄意的和無意的破壞。而且這些手段和措施的實(shí)現(xiàn)不應(yīng)給已授權(quán)的用戶在訪問這些信息時(shí)造成任何影響。

如何保障網(wǎng)絡(luò)應(yīng)用的安全性？首先，一個(gè)安全的網(wǎng)絡(luò)保護(hù)著該網(wǎng)絡(luò)網(wǎng)絡(luò)安全必須達(dá)到幾條基本的要求：

（1）我們必須確保數(shù)據(jù)能夠保持私有或保存為一個(gè)秘密的格式。我們稱之為“機(jī)密性”。

（2）我們需要一種授權(quán)方式，使需要它的人可以訪問那些私有的或秘密的數(shù)據(jù)。這叫“訪問控制”。

（3）當(dāng)你在處理電子交易的時(shí)候。例如，假設(shè)你對(duì)銀行發(fā)出一個(gè)要求說將100美元在兩個(gè)帳戶之間轉(zhuǎn)移。銀行必須能夠確信他們收到的正是你所發(fā)出的。這稱之為“完整性”。

（4）跟完整性一樣重要的是，銀行要能夠證實(shí)是你要求轉(zhuǎn)帳。這稱之為“真實(shí)性”。

（5）用這個(gè)相同的例子，這個(gè)處理你的要求的銀行要有能力讓你對(duì)你的要求負(fù)責(zé)，這一點(diǎn)至關(guān)重要。如果你要求轉(zhuǎn)帳100美元，你不能事后否認(rèn)你發(fā)出過這個(gè)要求。這稱之為“不可抵賴性”。把機(jī)密性，訪問控制、完整性、真實(shí)性和不可抵賴性結(jié)合起來，就組成了一個(gè)具有很高程度的網(wǎng)絡(luò)安全。

解決之道就是數(shù)字證書。網(wǎng)絡(luò)安全必須達(dá)到幾條基本的要求：（1）我們必須確保數(shù)據(jù)能夠什么是數(shù)字證書？數(shù)字證書是是一個(gè)經(jīng)數(shù)字證書認(rèn)證中心(CA認(rèn)證中心)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰等信息的具有X.509格式編碼的文件。通俗地講，數(shù)字證書就是個(gè)人、單位或服務(wù)器在網(wǎng)絡(luò)上的身份證，又稱為數(shù)字ID，在網(wǎng)上事務(wù)的各個(gè)環(huán)節(jié)，參與各方都需驗(yàn)證對(duì)方證書的有效性，從而解決相互間的信任問題。數(shù)字證書是由公證、權(quán)威的第三方CA中心簽發(fā)的，以數(shù)字證書為核心的密碼技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性和行為的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。什么是數(shù)字證書？數(shù)字證書是是一個(gè)經(jīng)數(shù)字證書認(rèn)證中心(CA版本（3）序列號(hào)簽名算法標(biāo)識(shí)（ID）頒發(fā)者名稱操作周期主體名稱（帶有增強(qiáng)命名的OU=）主體公鑰信息頒發(fā)者的數(shù)字簽名頒發(fā)者唯一標(biāo)識(shí)符標(biāo)準(zhǔn)擴(kuò)展“資格”證書政策-CPSURL-實(shí)踐參考-通知標(biāo)識(shí)ID其他擴(kuò)展應(yīng)用定義的擴(kuò)展X.509擴(kuò)展X.509v3證書數(shù)字證書的組成版本（3）X.509v3證書數(shù)字證書的組成數(shù)字證書分類證書存儲(chǔ)介質(zhì):磁盤、IC卡、USBKEY等理想介質(zhì)USBKEY：私鑰不可讀:只能在滿足條件時(shí)使用，由KEY的軟硬件設(shè)計(jì)保障KEY內(nèi)簽名、驗(yàn)證:

私鑰的使用也在KEY內(nèi)，不存在傳輸中私鑰泄露的可能性KEY內(nèi)生成RSA密鑰對(duì):并能直接存于KEY內(nèi)，從而從源頭上杜絕泄露的可能性使用方便:可以在任何接有讀寫器（或USB接口）的PC上使用數(shù)字證書分類證書存儲(chǔ)介質(zhì):單位證書頒發(fā)給獨(dú)立的單位、組織，在互聯(lián)網(wǎng)上證明該單位、組織的身份。單位數(shù)字證書根據(jù)各個(gè)單位的不同需要，可以分為單位證書和單位員工證書。單位證書對(duì)外代表整個(gè)單位，單位員工證書對(duì)外代表單位中具體的某一位員工。單位證書頒發(fā)給獨(dú)立的單位、組織，在互聯(lián)網(wǎng)上證明該單位、組織的服務(wù)器證書主要頒發(fā)給Web站點(diǎn)或其他需要安全鑒別的服務(wù)器，證明服務(wù)器的身份信息。服務(wù)器數(shù)字證書支持目前主流的WebServer，包括但不限于：IIS、LotusDomino、Apache、iPlant等Web服務(wù)器?？纱娣庞诜?wù)器硬盤或加密硬件設(shè)備上。服務(wù)器證書主要頒發(fā)給Web站點(diǎn)或其他需要安全鑒別的服務(wù)器，證CARA證書用戶目錄服務(wù)證書申請(qǐng)證書存檔證書過期證書廢止證書公布證書生成數(shù)字證書生命周期用戶證書：1、申請(qǐng).獲取2、更新.有效期3、撤銷.密鑰泄漏CARA證書目錄證書申請(qǐng)證書存檔證書過期證書廢止證書公布證書(三)、數(shù)字證書認(rèn)證中心介紹

(三)、數(shù)字證書認(rèn)證中心介紹數(shù)字證書的權(quán)威性取決于其頒發(fā)機(jī)構(gòu)的權(quán)威性數(shù)字證書的權(quán)威性取決于其頒發(fā)機(jī)構(gòu)的權(quán)威性基本情況必須使用獲得信息產(chǎn)業(yè)部批準(zhǔn)的認(rèn)證中心。自《中華人民共和國(guó)電子簽名法》實(shí)施一周年以來，獲得國(guó)家電子認(rèn)證服務(wù)許可證的17家認(rèn)證機(jī)構(gòu)已經(jīng)發(fā)出了近260萬張電子證書。依照電子簽名法規(guī)定，只有擁有許可證的電子認(rèn)證機(jī)構(gòu)才能提供電子簽名認(rèn)證服務(wù)。我國(guó)目前的140余家電子簽名認(rèn)證服務(wù)機(jī)構(gòu)中，僅17家擁有國(guó)家電子認(rèn)證服務(wù)許可證，其余的120余家尚未經(jīng)認(rèn)證?；厩闆r必須使用獲得信息產(chǎn)業(yè)部批準(zhǔn)的認(rèn)證中心。發(fā)展方向國(guó)家PKI體系政務(wù)專用CA通用CA委辦局RA區(qū)縣RA稅務(wù)RA教育RA銀行RA受理點(diǎn)受理點(diǎn)受理點(diǎn)受理點(diǎn)PKI信任體系——作為信息化安全基礎(chǔ)設(shè)施、為全省各行各業(yè)提供信任與認(rèn)證服務(wù)發(fā)展方向國(guó)家PKI體系政務(wù)專用CA通用CA委辦局RA區(qū)縣R國(guó)家PKI互聯(lián)工程北京CA中國(guó)電信CA福建CA上海CABCA吉大正元體系吉林CA與各PKI體系廣泛合作，實(shí)現(xiàn)

一證在手，走遍天下天津CA國(guó)家PKI互聯(lián)工程北京CA中國(guó)電信CA福建CA上海CABCA證書軟件產(chǎn)品一覽圖數(shù)字北京安全工程認(rèn)證中心CA系統(tǒng)/KM系統(tǒng)WEB安全通信系統(tǒng)統(tǒng)一認(rèn)證管理系統(tǒng)電子簽章管理系統(tǒng)安全電子郵件系統(tǒng)安全站點(diǎn)系統(tǒng)

證書應(yīng)用引擎證書應(yīng)用體系證書發(fā)放體系地稅RA中心RA銀行RA遍布各地的受理點(diǎn)證書軟件產(chǎn)品一覽圖數(shù)字北京安全工程認(rèn)證中心CA系統(tǒng)/KM系統(tǒng)小結(jié)PKI是構(gòu)建安全信任體系的基礎(chǔ)CA中心只是一個(gè)證書發(fā)放體系基于應(yīng)用驅(qū)動(dòng)的證書應(yīng)用體系小結(jié)PKI是構(gòu)建安全信任體系的基礎(chǔ)第二部分?jǐn)?shù)字證書的應(yīng)用領(lǐng)域（一）、數(shù)字證書解決的安全問題（二）、數(shù)字證書的應(yīng)用領(lǐng)域（三）、電子簽名法對(duì)數(shù)字證書應(yīng)用的推動(dòng)第二部分?jǐn)?shù)字證書的應(yīng)用領(lǐng)域（一）、數(shù)字證書解決的安全問（一）、數(shù)字證書解決的安全問題（一）、數(shù)字證書解決的安全問題來自網(wǎng)絡(luò)的風(fēng)險(xiǎn)竊聽單位秘密文件被竊取個(gè)人安全信息被竊取偽裝假冒真正的服務(wù)器假冒真正的用戶篡改信息被修改抵賴否認(rèn)其行為來自網(wǎng)絡(luò)的風(fēng)險(xiǎn)竊聽網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)——行為抵賴業(yè)務(wù)系統(tǒng)最終用戶AInternetA于2005年11月25日下午3點(diǎn)整轉(zhuǎn)帳100萬到B賬戶A：我沒有做過，是你們搞錯(cuò)了！說不定還可能是系統(tǒng)管理員干的呢。Web服務(wù)器網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)——行為抵賴業(yè)務(wù)系統(tǒng)最終用戶AInternet信息的私密性(Privacy) 數(shù)據(jù)加密信息的完整性(Integrity) 數(shù)字簽名信息的源發(fā)鑒別(Authentication)—身份認(rèn)證 數(shù)字簽名+數(shù)據(jù)加密信息的防抵賴性(Non-Reputation) 數(shù)字簽名數(shù)字證書解決的安全要素信息的私密性(Privacy)數(shù)字證書解決的安全要素各種安全技術(shù)比較身份鑒別機(jī)密性完整性抗抵賴口令動(dòng)態(tài)口令密碼技術(shù)數(shù)字證書üüüüüüüüü各種安全技術(shù)比較身份鑒別機(jī)密性完整性抗抵賴口令動(dòng)態(tài)口令密碼技電子政務(wù)、電子商務(wù)的安全支柱安全設(shè)施安全策略保密性身份鑒別授權(quán)數(shù)據(jù)完整性抗抵賴可靠的電子政務(wù)、電子商務(wù)技術(shù)管理數(shù)字證書電子政務(wù)、電子商務(wù)的安全支柱安全設(shè)施安全策略保密性身份授權(quán)數(shù)（二）、數(shù)字證書的應(yīng)用領(lǐng)域（二）、數(shù)字證書的應(yīng)用領(lǐng)域身份管理——身份認(rèn)證使用數(shù)字證書技術(shù)認(rèn)證身份技術(shù)相對(duì)成熟應(yīng)用發(fā)展迅速新的發(fā)展：無線設(shè)備：WPKI與XML結(jié)合：XKMS身份管理——身份認(rèn)證使用數(shù)字證書技術(shù)認(rèn)證身份身份管理——授權(quán)與訪問控制使用數(shù)字證書技術(shù)確定和傳遞屬性與權(quán)限SSOSAML/XACMLAA/ACLiberty/Passport應(yīng)用的復(fù)雜性和關(guān)聯(lián)性身份管理——授權(quán)與訪問控制使用數(shù)字證書技術(shù)確定和傳遞屬性訪問安全

使用數(shù)字證書技術(shù)構(gòu)筑安全的訪問通道Web：SSL/TLSIPSecVPN：安全的網(wǎng)絡(luò)互聯(lián)SSLVPN：遠(yuǎn)程訪問無線應(yīng)用：WAP/WTLS與身份管理的結(jié)合訪問安全

使用數(shù)字證書技術(shù)構(gòu)筑安全的訪問通道內(nèi)容安全

使用數(shù)字證書技術(shù)對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行保護(hù)郵件應(yīng)用：S/MIME網(wǎng)上交易：電子表單桌面：文件/目錄/應(yīng)用軟件內(nèi)容安全

使用數(shù)字證書技術(shù)對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行保護(hù)內(nèi)容安全

數(shù)字證書技術(shù)與XML技術(shù)的結(jié)合，保護(hù)XML應(yīng)用數(shù)據(jù)的安全XMLSignatureXMLEncryptionWS-SecurityXKMS新的應(yīng)用模式，與安全緊密結(jié)合內(nèi)容安全

數(shù)字證書技術(shù)與XML技術(shù)的結(jié)合，保護(hù)XML應(yīng)用與應(yīng)用更加緊密的結(jié)合身份管理的整合真正的“基礎(chǔ)設(shè)施”網(wǎng)絡(luò)信任體系成為應(yīng)用的一個(gè)部分與應(yīng)用更加緊密的結(jié)合身份管理的整合四川省電子政務(wù)網(wǎng)絡(luò)的

設(shè)計(jì)問題政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)政務(wù)外網(wǎng)劃分為三個(gè)邏輯隔離的網(wǎng)絡(luò)完全可以使用證書來解決不同應(yīng)用的訪問安全問題四川省電子政務(wù)網(wǎng)絡(luò)的

設(shè)計(jì)問題政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)完全可以使用幾種典型的應(yīng)用方案幾種典型的應(yīng)用方案（1）Web應(yīng)用安全解決方案為Web服務(wù)器頒發(fā)證書，驗(yàn)證服務(wù)器端的身份為用戶頒發(fā)證書，驗(yàn)證最終用戶的身份服務(wù)器與用戶之間通過認(rèn)證協(xié)議，相互認(rèn)證采用數(shù)字證書對(duì)傳輸數(shù)據(jù)進(jìn)行加密、簽名處理CA認(rèn)證中心Web服務(wù)器業(yè)務(wù)系統(tǒng)最終用戶Internet（1）Web應(yīng)用安全解決方案為Web服務(wù)器頒發(fā)證書，驗(yàn)證服務(wù)是發(fā)放給互聯(lián)網(wǎng)站的數(shù)字證書。作用：實(shí)現(xiàn)了網(wǎng)站服務(wù)器的身份認(rèn)證，解決了網(wǎng)站訪問中網(wǎng)絡(luò)釣魚、竊聽、篡改等安全問題。實(shí)現(xiàn)：通過在Web服務(wù)器中配置服務(wù)器證書，在瀏覽器和服務(wù)器之間建立了SSL安全通道。使用服務(wù)器證書后，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾裕_保了網(wǎng)站身份的真實(shí)性，提高了網(wǎng)站的公信度。web服務(wù)器證書是發(fā)放給互聯(lián)網(wǎng)站的數(shù)字證書。web服務(wù)器證書加密套接字層協(xié)議（SSL）Web服務(wù)器最終用戶我是網(wǎng)銀服務(wù)器，這是我的證書我是網(wǎng)銀用戶，這是我的證書（可選）hello交換密鑰建立SSL通道客戶端證書驗(yàn)證服務(wù)器端證書驗(yàn)證101101100011010100110110101SSL所實(shí)現(xiàn)的安全：相互身份鑒別信息加密安全傳輸中的數(shù)據(jù)完整性加密的應(yīng)用數(shù)據(jù)加密套接字層協(xié)議（SSL）Web服務(wù)器最終用戶我是網(wǎng)銀服務(wù)器（2）統(tǒng)一認(rèn)證、單點(diǎn)登錄（2）統(tǒng)一認(rèn)證、單點(diǎn)登錄（3）電子簽章電子簽名的可視化表示保證文檔完整性、不可否認(rèn)性又符合人們?nèi)粘＾k公習(xí)慣（3）電子簽章電子簽名的可視化表示（4）SSLVPN實(shí)現(xiàn)遠(yuǎn)程安全接入訪問（4）SSLVPN實(shí)現(xiàn)遠(yuǎn)程安全接入訪問Email（5）郵件安全解決方案為通信雙方簽發(fā)數(shù)字證書通信雙方使用證書進(jìn)行加密和簽名的電子郵件防止被第三方截取、閱讀身份認(rèn)證，防止被假冒防止被篡改Internet發(fā)信人收信人CA認(rèn)證中心Email（5）郵件安全解決方案為通信雙方簽發(fā)數(shù)字證書Int（6）代碼下載的安全問題網(wǎng)上直報(bào)、網(wǎng)上銀行、網(wǎng)上證券等越來越多應(yīng)用通過Web平臺(tái)實(shí)現(xiàn)，許多代碼通過網(wǎng)絡(luò)，以ActiveX控件的形式發(fā)布。用戶使用瀏覽器下載這些代碼時(shí)，面臨極大的風(fēng)險(xiǎn)。不明身份的代碼的威脅是誰發(fā)布的這個(gè)代碼？微軟或黑客發(fā)布后這代碼被修改過么？病毒或木馬（6）代碼下載的安全問題網(wǎng)上直報(bào)、網(wǎng)上銀行、網(wǎng)上證券等越來越代碼安全的解決方案是誰發(fā)布的這個(gè)代碼？由可信第三方CA鑒證軟件開發(fā)商身份，簽發(fā)代碼簽名數(shù)字證書完整可靠的鑒證機(jī)制使黑客無法得到公信的證書發(fā)布后這代碼被修改過么？由軟件開發(fā)商為自己的代碼進(jìn)行數(shù)字簽名，保證發(fā)布后第三方無法修改客戶端下載代碼時(shí)，會(huì)自動(dòng)驗(yàn)證證書及數(shù)字簽名確認(rèn)由代碼由可信的廠商發(fā)布，并且發(fā)布后未被篡改代碼安全的解決方案是誰發(fā)布的這個(gè)代碼？小結(jié)系統(tǒng)登錄的身份認(rèn)證：

系統(tǒng)的首要安全需求。系統(tǒng)用戶不僅僅是內(nèi)部的工作人員，而且也包含分布全分支的機(jī)構(gòu)的工作人員，因此為確保系統(tǒng)訪問的安全性，必須要對(duì)用戶身份的真實(shí)性進(jìn)行有效鑒別。重要信息的數(shù)字簽名：

需要對(duì)用戶信息進(jìn)行針對(duì)性安全保護(hù)，通過數(shù)字簽名機(jī)制確保其在傳輸過程中完整性，保證重要信息能完整一致的下達(dá)到相關(guān)工作人員。重要信息的機(jī)密保護(hù)：

鑒于網(wǎng)絡(luò)的開放性，防止信息在傳輸過程中被竊聽與盜用，使用數(shù)字信封技術(shù)對(duì)使用需保護(hù)的機(jī)密信息進(jìn)行加密保護(hù)。小結(jié)系統(tǒng)登錄的身份認(rèn)證：系統(tǒng)的首要安全需求。系統(tǒng)用戶不僅僅(三)、電子簽名法對(duì)數(shù)字證書應(yīng)用的推動(dòng)(三)、電子簽名法對(duì)數(shù)字證書應(yīng)用的推動(dòng)立法必要性1、我國(guó)電子政務(wù)和電子商務(wù)的發(fā)展，提出了建立有效的身份認(rèn)證機(jī)制和責(zé)任認(rèn)定機(jī)制的需求；2、一些實(shí)現(xiàn)電子簽名的技術(shù)已能達(dá)到法律對(duì)傳統(tǒng)簽名的要求；3、電子簽名在傳統(tǒng)法律環(huán)境下，遇到法律問題：電子簽名和數(shù)據(jù)電文是否具有法律效力在已有的法律中無明文規(guī)定，客觀上阻礙了電子政務(wù)和電子商務(wù)的發(fā)展；電子簽名的規(guī)則不明確，對(duì)電子簽名人的行為缺乏規(guī)范，發(fā)生糾紛后責(zé)任難以認(rèn)定；電子認(rèn)證服務(wù)提供者的法律地位和法律責(zé)任不明確，行為不規(guī)范，認(rèn)證的合法性難以保證；電子簽名的安全性、可靠性沒有法律保障。立法必要性1、我國(guó)電子政務(wù)和電子商務(wù)的發(fā)展，提出了建立有效的加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系：規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的的網(wǎng)絡(luò)信任體系建設(shè)信息安全保障體系建設(shè)的需要加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系：規(guī)范和加強(qiáng)以身立法過程千呼萬喚始出來

2002年4月國(guó)信辦組織起草，同年底提交國(guó)務(wù)院法制辦《電子簽章條例》。2003年國(guó)務(wù)院法制辦合同國(guó)信辦、信產(chǎn)部再次起草，2004月3月國(guó)務(wù)院原則通過。2004年4月6日十屆全國(guó)人大常委會(huì)第八次會(huì)議上一讀；6月21日第十次會(huì)議二讀；8月28日第十一次會(huì)議三讀通過，2005年4月1日實(shí)施。立法過程千呼萬喚始出來核心內(nèi)容(一)確立了電子簽名的法律效力；(二)規(guī)范了電子簽名行為；(三)明確了認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序；(四)規(guī)定了電子簽名的安全保障措施；(五)明確了電子認(rèn)證服務(wù)行政許可的實(shí)施機(jī)關(guān)。核心內(nèi)容(一)確立了電子簽名的法律效力；概念辨析電子簽名（electronicsignature)是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。包括數(shù)字簽名（digitalsignature)、電子化印章和生理特征簽名等，區(qū)別數(shù)字簽名和電子簽章。電子簽名有兩種形式存在，其一是在數(shù)據(jù)電文中所含，包含在數(shù)據(jù)電文中，可能見到也可能見不到。類似于我們?cè)诩堎|(zhì)文件中的某一段落簽了個(gè)名字。其二是所附。即附在正文后面的，類似于我們通常在紙質(zhì)文件末尾的簽名。電子簽名是一組數(shù)據(jù)，人人可為，電子郵件的簽署名字。概念辨析電子簽名（electronicsignature)概念辨析數(shù)據(jù)電文（datemessage)

是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。用語(yǔ)與合同法對(duì)接，與電子文件（electronicdocument)沒有本質(zhì)區(qū)別。一般來說，數(shù)據(jù)電文即為常見的電子文件。如電子文檔、表格、郵件、短信等。其他包括電子簽名人、電子簽名依賴方、電子簽名認(rèn)證證書、電子簽名制作數(shù)據(jù)、電子簽名驗(yàn)證數(shù)據(jù)。概念辨析數(shù)據(jù)電文（datemessage)電子簽名法頒布意義《電子簽名法》通過確立電子簽名的法律效力、規(guī)范電子簽名行為、維護(hù)電子交易各方的合法權(quán)益、保障電子交易安全，為電子商務(wù)和電子政務(wù)的發(fā)展創(chuàng)造了良好的法律環(huán)境，同時(shí)也為電子認(rèn)證服務(wù)業(yè)的發(fā)展提供了有力的法律保障，為我國(guó)電子政務(wù)和電子商務(wù)安全認(rèn)證體系和網(wǎng)絡(luò)信任體系的建立奠定了堅(jiān)實(shí)的法律基礎(chǔ)。電子簽名法頒布意義《電子簽名法》通過確立電子簽名的法律對(duì)今后工作的影響將有力地促進(jìn)全社會(huì)信息責(zé)任意識(shí)的提高。將促進(jìn)電子商務(wù)、電子政務(wù)的發(fā)展。網(wǎng)上審批、電子商務(wù)、網(wǎng)上保單、網(wǎng)上教育、網(wǎng)上證券和網(wǎng)上銀行、網(wǎng)上通關(guān)、網(wǎng)上稅務(wù)、網(wǎng)上統(tǒng)計(jì)等。將進(jìn)一步推動(dòng)網(wǎng)上身份標(biāo)識(shí)的統(tǒng)一。將推動(dòng)軟件知識(shí)產(chǎn)權(quán)的保護(hù)，為軟件業(yè)的發(fā)展提供了保障。對(duì)今后工作的影響將有力地促進(jìn)全社會(huì)信息責(zé)任意識(shí)的提高。

可靠電子簽名與手寫簽名或者蓋章具有同等的法律效力。

目前數(shù)字證書及其相關(guān)技術(shù)是唯一符合電子簽名法相關(guān)規(guī)定的實(shí)用技術(shù)手段。

數(shù)字證書的應(yīng)用必將進(jìn)一步廣泛深入到電子政務(wù)、電子商務(wù)的方方面面。小結(jié)可靠電子簽名與手寫簽名或者蓋章具有同等的法律效力。小結(jié)第三部分：電子簽名/簽章

知識(shí)介紹第三部分：電子簽名/簽章

知識(shí)介紹《中華人民共和國(guó)電子簽名法》確立電子簽名的法律效力電子簽名的作用：識(shí)別簽名人的身份；保證簽名人認(rèn)可文件的內(nèi)容電子簽名具有與手寫簽名同等的法律效力，并規(guī)定了相應(yīng)條件對(duì)數(shù)據(jù)電文作了相關(guān)規(guī)定：電子文件具有法律效力的條件、作為證據(jù)的條件等設(shè)立電子認(rèn)證服務(wù)市場(chǎng)準(zhǔn)入制度規(guī)定電子簽名安全保障制度《中華人民共和國(guó)電子簽名法》確立電子簽名的法律效力電子簽名的需求簽名文檔的完整性、簽名人的身份認(rèn)證、事后對(duì)簽名的不可否認(rèn)性。使用政務(wù)數(shù)字證書進(jìn)行數(shù)字簽名，有多種解決方案：基于Web的簽名（對(duì)網(wǎng)頁(yè)提交內(nèi)容進(jìn)行簽名）基于Email的簽名（對(duì)電子郵件進(jìn)行簽名）基于文件的簽名（對(duì)任意格式的文件整體進(jìn)行電子簽名）基于特定格式文件內(nèi)容的簽名（對(duì)Word、Excel、PDF等文件中的內(nèi)容進(jìn)行簽名）電子簽名的需求簽名文檔的完整性、簽名人的身份認(rèn)證、事后對(duì)簽名電子簽章技術(shù)？電子簽章是電子簽名一種重要表現(xiàn)形式，它結(jié)合成熟的組件技術(shù)、PKI技術(shù)、