6.6.1CA電子認(rèn)證服務(wù)主講教師：目錄1

CA電子認(rèn)證服務(wù)原理2

數(shù)字證書(shū)3數(shù)字簽名1CA電子認(rèn)證服務(wù)原理1.CA電子認(rèn)證服務(wù)的概念：指為電子簽名相關(guān)各方提供真實(shí)性、可靠性驗(yàn)證的活動(dòng)。2.CA電子認(rèn)證服務(wù)的設(shè)計(jì)思路：以PKI公鑰基礎(chǔ)設(shè)施為基礎(chǔ)，以數(shù)字證書(shū)為媒介，通過(guò)CA安全組件為橋梁將PKI公鑰基礎(chǔ)設(shè)施安全體系與業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行有效結(jié)合，以滿(mǎn)足系統(tǒng)的應(yīng)用安全需求。1CA電子認(rèn)證服務(wù)原理1.CA電子認(rèn)證服務(wù)的概念：指為電子簽名相關(guān)各方提供真實(shí)性、可靠性驗(yàn)證的活動(dòng)。2.CA電子認(rèn)證服務(wù)的設(shè)計(jì)思路：以PKI公鑰基礎(chǔ)設(shè)施為基礎(chǔ)，以數(shù)字證書(shū)為媒介，通過(guò)CA安全組件為橋梁將PKI公鑰基礎(chǔ)設(shè)施安全體系與業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行有效結(jié)合，以滿(mǎn)足系統(tǒng)的應(yīng)用安全需求。第三方的權(quán)威認(rèn)證機(jī)構(gòu)是整個(gè)認(rèn)證體系的基礎(chǔ)，擁有完整的PKI基礎(chǔ)設(shè)施證書(shū)認(rèn)證服務(wù)系統(tǒng)，為用戶(hù)和應(yīng)用系統(tǒng)之間搭建了雙方互信的平臺(tái)。01CA安全組件則是以PKI/CA技術(shù)為基礎(chǔ)，全面支持基于數(shù)字證書(shū)應(yīng)用技術(shù)，為應(yīng)用系統(tǒng)提供豐富的PKI公鑰基礎(chǔ)設(shè)施技術(shù)服務(wù)。021CA電子認(rèn)證服務(wù)原理圖1.CA電子認(rèn)證原理示意圖1CA電子認(rèn)證服務(wù)原理首先基于CA合法的第三方電子認(rèn)證機(jī)構(gòu)對(duì)平臺(tái)上的用戶(hù)、機(jī)構(gòu)和設(shè)備的身份進(jìn)行可靠認(rèn)證，為平臺(tái)應(yīng)用安全奠定基礎(chǔ)。01其次利用PKI公鑰基礎(chǔ)設(shè)施技術(shù)基于數(shù)字證書(shū)的應(yīng)用，在跟業(yè)務(wù)系統(tǒng)緊密結(jié)合后確保用戶(hù)的身份認(rèn)證，統(tǒng)一授權(quán)等問(wèn)題，替代以往用戶(hù)名+密碼等形式的不安全身份認(rèn)證模式，打造一個(gè)高強(qiáng)度的身份認(rèn)證平臺(tái)。02第三利用CA安全組件實(shí)現(xiàn)對(duì)關(guān)鍵步驟的關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)字簽名和數(shù)據(jù)加密，實(shí)現(xiàn)數(shù)據(jù)交換過(guò)程中的安全傳輸、存儲(chǔ)以及責(zé)任認(rèn)定。03第四利用電子簽章技術(shù)，保證公文信息的完整性和不可抵賴(lài)性，確保公文流轉(zhuǎn)的安全性，從而實(shí)現(xiàn)真正的無(wú)紙化辦公，不再需要收發(fā)紙質(zhì)公文，歸檔所需要的紙質(zhì)公文可以通過(guò)收文方直接打印電子公文獲取。

04最后利用符合電子簽名法規(guī)定的數(shù)字簽名、電子簽章技術(shù)，確保了網(wǎng)上行為的法律效力，有效建立了網(wǎng)上行為的責(zé)任認(rèn)定機(jī)制。05方案設(shè)計(jì)充分考慮了監(jiān)所信息系統(tǒng)的業(yè)務(wù)特點(diǎn)，在數(shù)字證書(shū)服務(wù)體系的基礎(chǔ)上，利用應(yīng)用安全支撐平臺(tái)為監(jiān)所信息系統(tǒng)提供基于數(shù)字證書(shū)的認(rèn)證、加密、簽名、簽名驗(yàn)證等安全功能，形成電子認(rèn)證服務(wù)和安全應(yīng)用支撐體系。認(rèn)證簽名簽名驗(yàn)證加密1CA電子認(rèn)證服務(wù)原理2數(shù)字證書(shū)1.數(shù)字證書(shū)的概念：即標(biāo)志網(wǎng)絡(luò)用戶(hù)身份信息的一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份，即要在網(wǎng)絡(luò)上解決"我是誰(shuí)"的問(wèn)題，就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格，相當(dāng)于網(wǎng)上的身份證。2.數(shù)字證書(shū)是由一個(gè)由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)，又稱(chēng)為證書(shū)授權(quán)(CertificateAuthority)中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。2數(shù)字證書(shū)數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱(chēng)以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下證書(shū)中還包括密鑰的有效時(shí)間、發(fā)證機(jī)關(guān)(證書(shū)授權(quán)中心)的名稱(chēng)、證書(shū)的序列號(hào)等信息，證書(shū)的格式遵循X.509國(guó)際標(biāo)準(zhǔn)。2數(shù)字證書(shū)數(shù)字證書(shū)為一種軟件實(shí)體，需要特殊的存儲(chǔ)介質(zhì)進(jìn)行保存，CA提供證書(shū)存儲(chǔ)介質(zhì)（簡(jiǎn)稱(chēng)“USBKey”）用于裝載數(shù)字證書(shū)及其私鑰，USBKey是目前廣泛使用的數(shù)字證書(shū)存儲(chǔ)介質(zhì)，CA在制作雙證書(shū)的過(guò)程中結(jié)合了USBKey的功能特點(diǎn)，實(shí)現(xiàn)了私鑰的安全保護(hù)，不泄露，防篡改,保證數(shù)字證書(shū)及其私鑰的安全，并方便用戶(hù)隨身攜帶。為了保護(hù)數(shù)字證書(shū)及其私鑰的安全，每一個(gè)USBKey都有一個(gè)保護(hù)密碼（PIN碼），只有輸入正確的PIN碼，才能正常使用數(shù)字證書(shū)及其私鑰。每個(gè)USBKey出廠(chǎng)時(shí)都有一個(gè)默認(rèn)的密碼，用戶(hù)可自行修改。為防止暴力破解，在連續(xù)輸入幾次錯(cuò)誤口令后，USBKey會(huì)自動(dòng)鎖死，無(wú)法使用，如需繼續(xù)使用，需持有效證件到發(fā)證機(jī)構(gòu)進(jìn)行解鎖操作。01023數(shù)字簽名1.數(shù)字簽名的概念：指證書(shū)用戶(hù)（甲）用自己的簽名私鑰對(duì)原始數(shù)據(jù)的雜湊變換后所得消息摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收者（乙）使用信息發(fā)送者的簽名證書(shū)對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得消息摘要，并對(duì)收到的原始數(shù)據(jù)采用相同的雜湊算法計(jì)算其消息摘要，將二者進(jìn)行對(duì)比，即可校驗(yàn)原始信息是否被篡改。3數(shù)字簽名01數(shù)字簽名可以完成對(duì)數(shù)據(jù)完整性的保護(hù)，和傳送數(shù)據(jù)行為不可抵賴(lài)性的保護(hù)。其特性是可以確保數(shù)據(jù)的完整性、不可抵賴(lài)性，等同于現(xiàn)實(shí)生活中的簽名一樣，因此叫數(shù)字簽名。02由于數(shù)字簽名的完整性和不可抵賴(lài)性，可以確保系統(tǒng)信息數(shù)據(jù)完整性和操作的不可抵賴(lài)性。對(duì)于監(jiān)所信息系統(tǒng)中，用戶(hù)需要承擔(dān)法律責(zé)任的所有信息都需要采用