【精品PPT】数字证书培训
合集下载
信息安全技术之个人数字证书与CA认证培训课件(ppt 88张)
是因特网的普及,密码学得到了广泛的重视。如 今,密码技术不仅服务于信息的加密和解密,还 是身份认证、访问控制、数字签名等多种安全机 制的基础。
3.2
加密技术与DES加解密算法
信息安全主要包括系统安全和数据安全两个方面
。系统安全一般采用防火墙、防病毒及其他安全
防范技术等措施,属于被动型安全措施;数据安
身份证。
数字证书主要包括三方面的内容:
证书所有者的信息 证书所有者的公开密钥 证书颁发机构的签名
3.1.1 个人数字证书
标准的X.509 数字证书包含 (但不限于) 以下内容:
1) 证书版本信息; 2) 证书序列号,每个证书都有一个唯一的证书序列号; 3) 证书所使用的签名算法; 4) 证书的发行机构名称 (命名规则一般采用X.500 格式)
3.1.1 个人数字证书
数字证书采用公钥密码体制,即利用一对互相匹
配的密钥进行加密、解密。每个用户拥有一把仅
为本人所掌握的私有密钥 (私钥) ,用它进行解
密和签名;同时拥有一把公共密钥 (公钥) 并可 以对外公开,用于加密和验证签名。
3.1.1 个人数字证书
当发送一份保密文件时,发送方使用接收方的公
及其私钥的签名;
5) 证书的有效期; 6) 证书使用者的名称及其公钥的信息。
3.1.1 个人数字证书
以数字证书为核心的加密技术可以对网络上传输
的信息进行加密和解密、数字签名和签名验证,
以确保网上传递信息的机密性、完整性,以及交
易实体身份的真实性,签名信息的不可否认性, 从而保障网络应用的安全性。
信息安全技术
第 3章
3.2
加密技术与DES加解密算法
信息安全主要包括系统安全和数据安全两个方面
。系统安全一般采用防火墙、防病毒及其他安全
防范技术等措施,属于被动型安全措施;数据安
身份证。
数字证书主要包括三方面的内容:
证书所有者的信息 证书所有者的公开密钥 证书颁发机构的签名
3.1.1 个人数字证书
标准的X.509 数字证书包含 (但不限于) 以下内容:
1) 证书版本信息; 2) 证书序列号,每个证书都有一个唯一的证书序列号; 3) 证书所使用的签名算法; 4) 证书的发行机构名称 (命名规则一般采用X.500 格式)
3.1.1 个人数字证书
数字证书采用公钥密码体制,即利用一对互相匹
配的密钥进行加密、解密。每个用户拥有一把仅
为本人所掌握的私有密钥 (私钥) ,用它进行解
密和签名;同时拥有一把公共密钥 (公钥) 并可 以对外公开,用于加密和验证签名。
3.1.1 个人数字证书
当发送一份保密文件时,发送方使用接收方的公
及其私钥的签名;
5) 证书的有效期; 6) 证书使用者的名称及其公钥的信息。
3.1.1 个人数字证书
以数字证书为核心的加密技术可以对网络上传输
的信息进行加密和解密、数字签名和签名验证,
以确保网上传递信息的机密性、完整性,以及交
易实体身份的真实性,签名信息的不可否认性, 从而保障网络应用的安全性。
信息安全技术
第 3章
数字证书(CA)培共50页文档
55、 为 中 华 之 崛起而 读书。 ——周 恩来
数字证书(CA)培
51、没有哪个社会可以制订一部永远 适用的 宪法, 甚至一 条永远 适用的 法律。 ——杰 斐逊 52、法律源于人的自卫本能。——英 格索尔
53、人们通常会发现,法律就是这样 一种的 网,触 犯法律 的人, 小的可 以穿网 而过, 大的可 以破网 而出, 只有中 等的才 会坠入 网中。 ——申 斯通 54、法律就是法律它是一座雄伟的大 夏,庇 护着我 们大家 ;它的 每一块 砖石都 垒在另 一块砖 石上。 ——高 尔斯华 绥 55、今天的法律未必明天仍是法律。 ——罗·伯顿
ቤተ መጻሕፍቲ ባይዱ 谢谢!
51、 天 下 之 事 常成 于困约 ,而败 于奢靡 。——陆 游 52、 生 命 不 等 于是呼 吸,生 命是活 动。——卢 梭
53、 伟 大 的 事 业,需 要决心 ,能力 ,组织 和责任 感。 ——易 卜 生 54、 唯 书 籍 不 朽。——乔 特
数字证书(CA)培
51、没有哪个社会可以制订一部永远 适用的 宪法, 甚至一 条永远 适用的 法律。 ——杰 斐逊 52、法律源于人的自卫本能。——英 格索尔
53、人们通常会发现,法律就是这样 一种的 网,触 犯法律 的人, 小的可 以穿网 而过, 大的可 以破网 而出, 只有中 等的才 会坠入 网中。 ——申 斯通 54、法律就是法律它是一座雄伟的大 夏,庇 护着我 们大家 ;它的 每一块 砖石都 垒在另 一块砖 石上。 ——高 尔斯华 绥 55、今天的法律未必明天仍是法律。 ——罗·伯顿
ቤተ መጻሕፍቲ ባይዱ 谢谢!
51、 天 下 之 事 常成 于困约 ,而败 于奢靡 。——陆 游 52、 生 命 不 等 于是呼 吸,生 命是活 动。——卢 梭
53、 伟 大 的 事 业,需 要决心 ,能力 ,组织 和责任 感。 ——易 卜 生 54、 唯 书 籍 不 朽。——乔 特
数字证书及公钥课件
数字证书及公钥
❖ 双向验证包括一个单向验证和一个从证书持有者B到证书持 有者A的类似的单向验证。除了完成单向验证的前8步外,双 向验证还包括:
❖ (1) B产生另一个随机数,Rb。 ❖ (2) B构造一条消息,Mm=(Tb,Rb,Ia,Ra,d),其中Tb
是B的时间标记,Ia是A的身份,d为任意的数据。为确保安 全,可用A的公钥对数据加密。 Ra是A在单项验证第一步中 产生的随机数。 ❖ (3) B将Db(Mm)发送给A。 ❖ (4) A用Ea解密Db(Mm),以确认B的签名和消息的完整性。 ❖ (5) 为准确起见,A检查Mm中Ia。 ❖ (6) A检查Mm中的Tb,并证实消息是刚发送来的。 ❖ (7) 作为可选项,A可检查Mm中的Rb以确保不是消息重放。
数字证书及公钥
❖ 5.1.2 X.509数字证书
❖ X.509是广泛使用的证书格式之一, 当然还有其他的证书格式,例如PGP 的证书格式。X.509用户公钥证书由 可信赖的证书权威机构(CA)创建,并 由CA或用户存放于X.500的目录中。 目前X.509有不同的版本,例如 X.509v2和X.509v3,但是都在原 有版本(X.509v1)的基础上进行了一 些功能的扩充。X.509中公钥证书的 一般格式如图5.1所示。
数字证书及公钥
图5.9 X.509的层次结构
❖ 图5.9是X.509的CA层次结构的一个例子,其中的内部结点表示CA,叶结点表示 用户。用户A可从目录中得到相应的证书以建立到B的以下证书链:
❖ X《W》W《V》V《Y》Y《Z》Z《B》 ❖ 并通过该证书链获取B的公开钥。 ❖ 类似地,B可建立以下证书链以获取A的公开钥: ❖ Z《Y》Y《V》V《W》W《X》X《A》
数字证书及公钥
❖ 5.3 PKI技术的信任模型及意义
❖ 双向验证包括一个单向验证和一个从证书持有者B到证书持 有者A的类似的单向验证。除了完成单向验证的前8步外,双 向验证还包括:
❖ (1) B产生另一个随机数,Rb。 ❖ (2) B构造一条消息,Mm=(Tb,Rb,Ia,Ra,d),其中Tb
是B的时间标记,Ia是A的身份,d为任意的数据。为确保安 全,可用A的公钥对数据加密。 Ra是A在单项验证第一步中 产生的随机数。 ❖ (3) B将Db(Mm)发送给A。 ❖ (4) A用Ea解密Db(Mm),以确认B的签名和消息的完整性。 ❖ (5) 为准确起见,A检查Mm中Ia。 ❖ (6) A检查Mm中的Tb,并证实消息是刚发送来的。 ❖ (7) 作为可选项,A可检查Mm中的Rb以确保不是消息重放。
数字证书及公钥
❖ 5.1.2 X.509数字证书
❖ X.509是广泛使用的证书格式之一, 当然还有其他的证书格式,例如PGP 的证书格式。X.509用户公钥证书由 可信赖的证书权威机构(CA)创建,并 由CA或用户存放于X.500的目录中。 目前X.509有不同的版本,例如 X.509v2和X.509v3,但是都在原 有版本(X.509v1)的基础上进行了一 些功能的扩充。X.509中公钥证书的 一般格式如图5.1所示。
数字证书及公钥
图5.9 X.509的层次结构
❖ 图5.9是X.509的CA层次结构的一个例子,其中的内部结点表示CA,叶结点表示 用户。用户A可从目录中得到相应的证书以建立到B的以下证书链:
❖ X《W》W《V》V《Y》Y《Z》Z《B》 ❖ 并通过该证书链获取B的公开钥。 ❖ 类似地,B可建立以下证书链以获取A的公开钥: ❖ Z《Y》Y《V》V《W》W《X》X《A》
数字证书及公钥
❖ 5.3 PKI技术的信任模型及意义
数字证书格式培训
-- TLS WWW server authentication -- Key usage bits that may be consistent: digitalSignature, -- keyEncipherment or keyAgreement id-kp-clientAuth OBJECT IDENTIFIER ::= { id-kp 2 }
• TBSCertificate
• 基本项 • 扩展项
5
TBSCertificate
TBSCertificate ::= SEQUENCE { version signature issuer validity subject [0] EXPLICIT Version DEFAULT v1, CertificateSerialNumber, AlgorithmIdentifier, Name, Validity, Name, serialNumber
7
扩展项
• 扩展项表示
Extension ::= SEQUENCE { extnID critical OBJECT IDENTIFIER, BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING }
• Standard Extensions (16项,X.509中规定的)
subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 extensions }
数字证书培训
6.点击:“完成”出现如右图:
PPT文档演模板
数字证书培训
7、点击: “是(Y)”出现如下图:
8、点击: “确定”。CA数字证书成功导入到您的机器中,为 USBKEY的使用建立了应用环境。
注意: 2个证书均需导入成功。
PPT文档演模板
数字证书培训
2.3 安装完成后注意事项
§ 1.当第一次插入USBKey会出现如下图,初始密码见信封 正面:
PPT文档演模板
数字证书培训
1.2 USBKEY的特点
§ ·身份标志: 存储与您身份唯一指定的CA数字证书。 § ·安全性高: 仅允许指定的CA证书存入,证书不能导
出、不能进行复制。 § ·多重保护: 使用时需要PIN码(PIN码是你的
USBKEY的个人标识号 )验证。 § ·使用方便: 操作简单、便于携带、便于保管。
PPT文档演模板
数字证书培训
3.数字证书相关设置
§3.1 修改数字证书PIN码 §3.2 修改USBKey名称
PPT文档演模板
数字证书培训
3.1 修改数字证书PIN码
1.点击:“开始”>>“程序”>>“EnterSafe” >>“ePass3003_GFA” >>“管理工具”如下图:
PPT文档演模板
§ 数字证书是由一个由权威机构-----CA机构, 又称为 证书授权(Certificate Authority)中心发行的。
§ 学信网数字证书 = CA数字证书(软件) +USBKEY(硬件)
PPT文档演模板
数字证书培训
§ 国富安电子商务安全认证中心是国家部委首 家获得工业和信息化部颁发的电子认证服务 许可资质的第三方电子认证服务机构。是一 个典型的CA机构。
密钥管理与数字证书精品PPT课件
➢密钥管理概述
密钥管理的方法
➢由一种安全策略来指导密钥的产生、存储、分配、 删除、归档及应用。 ➢具体的密钥管理方法因所使用的密码体制(对称密 码体制和公钥密码体制)而异。
➢密钥管理概述
密钥管理系统的要求
应当尽量不依赖于人的因素:
➢密钥难以被非法窃取; ➢在一定条件下窃取了密钥也没有用; ➢密钥的分配和更换过程对用户是透明的。
2 第三方密钥托管协议
➢密钥托管的概念 ➢密钥托管的应用
➢密钥托管的概念
什么是密钥托管:
密钥托管指把通信双方的会话密钥交由合法的第三方, 以便让合法的第三方利用得到的会话密钥解密双方通 信的内容,从而监视双方的通信。
密钥托管的机构:
政府部门和法律执行部门
➢密钥托管的概念
密钥托管的争论:
➢ 为防止未授权信息泄露提供工具; ➢ 依法监视犯罪分子的通信活动;
3 公钥基础设施与认证链
➢公钥基础设施的概念 ➢数字证书的概念 ➢CA认证中心
➢公钥基础设施的概念
什么是公钥基础设施:
公钥基础设施(PKI,Public Key Infrastructure)是指 用公钥原理和技术实施和提供安全服务的具有普适性的 安全基础设施。
PKI是一种标准的密钥管理平台,它能够为所有网络应 用透明地提供采用加密和数据签名等密码服务所必需的 密钥和证书管理。
但将泄露私人秘密。
因此,要进行密钥托管,需要政府制定相应的法规, 并要严格控制。
➢密钥托管的应用
密钥托管的几个应用:
➢ 当用户不小心丢失或破坏了密钥,通过向密钥托管机 构申请,可以使用户恢复出加密的文件或资料。
➢ 当执行加密的用户不在时,可把加密后的文件传送给 密钥托管者,密钥托管者解密后就可把它传送给合法 用户。
《电子商务概论》案例数字证书PPT课件
数字证书主管机构在哪里?
上海市电子商务安全证书管理中心有限 公司(简称“上海 CA中心”或SHECA) 是上海市政府投资的上海市唯一一家进 行数字证书服务的第三方认证中心。
数字证书该如何申请?
一般来讲,用户要携带有关证件到各地 的证书受理点,或者直接到证书发放机 构即CA中心填写申请表并进行身份审核, 审核通过后交纳一定费用就可以得到装 有证书的相关介质(软盘、IC卡或Key) 和一个写有密码口令的密码信封。拿到 这两样物品用户需要登SHECA的网站() 下载证书私钥,然后就可以在网上操作 时使用数字证书了。
举个例子来说:随着电子政务的发展,网上 报税已经成为也必将成为许多企业进行日常 税务申报的常用方式。网上报税即税务部门 建立专门的申报网站,纳税户通过Internet 访问税务部门网站上的网上报税系统,正确 填写电子化申报表后,传送申报数据至税务 部门服务器,税务部门对这些数据进行处理、 储存,并将处理结果反馈给纳税人的一种电 子申报方式。
但在进入互联网角色之后,许多企业也许会 经常遇到这样的困惑:内部管理时怎样在网 上确认员工的身份?网上交易时对方发出的 信息是否真实可信?网上纳税时怎样有效的 表明企业的身份?等等。由此可见,信任是 每个企业及实体进行各种网上行为的基础, 构架一个安全可信的网络环境是各种网上操 作顺利开展的有利保障。SHECA数字证书正是 这样一种建立网上信任的可靠工具。 那么,您了解数字证书吗?下面我们将 会就企业所关心的数字证书相关情况进行详 细的说明。
目前,为了方便企业网上办公,上海市 CA中心与上海市组织机构代码管理中心 合作,共同为广大上海注册的企业(包 括准备注册的企业和已经注册进行换证 企业)提供数字证书,并以比国内同类 数字证书平均价格标准优惠很多的价格 为企业提供同等高质量的认证服务。
数字证书CA培最全PPT资料
:// 输入到“将该网站添加到区域 ”下面的输入框中,点击添加 。注意如果不用 s协议访问 ,则要把“对该区域中的所有 站点要求服务器验证( s) ”前面的对勾去掉,然后可信 站点显示在网站框中,如下34图
4.IE安全设置
B)自定义安全级别 (1)选中“可信站点”,点击 “自定义级 别”按钮,弹出如下安全设置对话框。
16
1 使用数字证书前的准备工作 2 如何使用USBKey登录应用系统 3 证书使用中出现问题及解决办法
17
1. 基本环境准备 2. 安装USBKey驱动 3. 用户驱动工具设置 4. IE安全设置
18
1.基本环境准备
要求: A)使用Windows操作系统,包括WinXP,
win7,win2003等; B)浏览器推荐使用IE6.0以上版本。不推荐使用
31
4.IE安全设置-手工
(A)添加可信站点 (1)打开IE,点击
IE菜单中的工具 Internet选项 ,如下图所示。
32
4.IE安全设置
(2)点击Internet 菜单选项中的点击 “安全”,选择“ 可信站点”, 点击 下面的“站点”按 钮。
33
4.IE安全设置
(3)在可信站点对话框中, 将应用系统的
解决办法: 这种现象是由于输入了错误的USBKey口令造成的,请重新输入正 确的USBKey口令即可解决。 注意: 1、USBKey口令错误输入限制次数是15次,超过15次USBKey将锁 定,不能使用。 2、如果USBKey密码忘记或被锁定,请持本人有效身份证件至交 易中心CA锁办理窗口解锁或者拨打陕西CA的客服 在外网远程 进行密码解锁业务,客服 029—82300556; 3、陕西CA驻交易中心联系 :
35
4.IE安全设置
B)自定义安全级别 (1)选中“可信站点”,点击 “自定义级 别”按钮,弹出如下安全设置对话框。
16
1 使用数字证书前的准备工作 2 如何使用USBKey登录应用系统 3 证书使用中出现问题及解决办法
17
1. 基本环境准备 2. 安装USBKey驱动 3. 用户驱动工具设置 4. IE安全设置
18
1.基本环境准备
要求: A)使用Windows操作系统,包括WinXP,
win7,win2003等; B)浏览器推荐使用IE6.0以上版本。不推荐使用
31
4.IE安全设置-手工
(A)添加可信站点 (1)打开IE,点击
IE菜单中的工具 Internet选项 ,如下图所示。
32
4.IE安全设置
(2)点击Internet 菜单选项中的点击 “安全”,选择“ 可信站点”, 点击 下面的“站点”按 钮。
33
4.IE安全设置
(3)在可信站点对话框中, 将应用系统的
解决办法: 这种现象是由于输入了错误的USBKey口令造成的,请重新输入正 确的USBKey口令即可解决。 注意: 1、USBKey口令错误输入限制次数是15次,超过15次USBKey将锁 定,不能使用。 2、如果USBKey密码忘记或被锁定,请持本人有效身份证件至交 易中心CA锁办理窗口解锁或者拨打陕西CA的客服 在外网远程 进行密码解锁业务,客服 029—82300556; 3、陕西CA驻交易中心联系 :
35
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Smart Cards
Communications
Payments Mail Web
Applications
EDI Banking E-Commerce E-Government CRM ERP SCM
VPNs
CA的技术框架
CA的服务架构
CA中心:
证书管理中心 制订证书相关规定 生成证书 管理废止证书(黑名单) 更新证书目录 密钥管理
文件加密原理
(2)张三用李四的公 钥对文件进行加密 李四将他的公钥发给张三(1) (3)张三将加密后的文件发给李四 A公司:张三 B公司:李四 (4)李四用自己的私 钥对文件进行解密
C公司:王五
文件签名原理
• 数字签名也主要是为了证明发件人身份,就 象我们来看到的某文件签名一样,但现在要 说的签名是采取数字的方式,它可以防止别 人仿签,因为加密后的签名就变得面目全非, 别人根本不可能看到真正的签名样子,它与 前面所讲的文件加密机理是一样的,但方法 不太一样,下面介绍如下。
(一)、产生背景及PKI/CA简介 (二)、网络安全性及数字证书知识简介 (三)、数字证书认证中心介绍
(一)、产生背景及PKI/CA简介
机遇
• 当今的时代是信息时代,政务工作 也必须要适应时代的要求。在有关 部门的重视下,各级政府贯彻落实 加强计算机信息化建设工作,利用 计算机在文档传递管理、网上报税、 网上银行、项目直报、远程通信等 工作中都应用了计算机辅助办公, 并进入了网络信息共享的阶段。
数字证书生命周期
证书废止
用户证书:
1、申请
证书过期
证书公布
CA
.获取 2、更新
目录 服务
RA
.有效期
证书 用户
证书生成
证书存档
3、撤销
.密钥泄漏
证书申请
(三)、数字证书认证中心介绍
• 数字证书的权威性取决于其颁发机构的权威性
基本情况
• 必须使用获得信息产业部批准的认证中心。 • 自《中华人民共和国电子签名法》实施一周年以 来,获得国家电子认证服务许可证的17家认证机 构已经发出了近260万张电子证书。依照电子签 名法规定,只有拥有许可证的电子认证机构才能 提供电子签名认证服务。 • 我国目前的140余家电子签名认证服务机构中, 仅17家拥有国家电子认证服务许可证,其余的 120余家尚未经认证。
从而解决相互间的信任问题。
数字证书的组成
X.509 v3 证书 版本(3) 序列号 签名算法标识(ID) 颁发者名称 操作周期 主体名称(带有增强命名的OU=) 主体公钥信息 颁发者的数字签名 颁发者唯一标识符 标准扩展 “资格”证书政策 -CPS URL -实践参考 -通知标识ID 其他扩展 应用定义的扩展 X.509扩展
解决之道就是数字证书。
什么是数字证书?
• 数字证书是是一个经数字证书认证中 • 数字证书是由公证、权威的第 心(CA认证中心)数字签名的包含公开 三方CA中心签发的,以数字证书 密钥拥有者信息以及公开密钥等信息 为核心的密码技术可以对网络上传 的具有X.509格式编码的文件。
输的信息进行加密和解密、数字签 • 通俗地讲,数字证书就是个人、单位 名和签名验证,确保网上传递信息 或服务器在网络上的身份证,又称为 的机密性、完整性,以及交易实体 数字ID,在网上事务的各个环节,参 身份的真实性和行为的不可否认性, 与各方都需验证对方证书的有效性, 从而保障网络应用的安全性。
文件加密与数字签名
• ―文件加密”与“数字签名”虽 然其过程不一样,但原理是一样 的,大家注意理解。
文件加密原理
• 现假设有A公司的老板名叫张三,B公司的老 板名叫李四,现张三想传输一个文件file bs 给李四,这个文件是有关于一个合作项目标 书议案,属公司机密,不能给其它人知道, 而恰好有一个C公司的老板王五对A和B公司有 关那项合作标书非常关注,总想取得A公司的 标书议案,于是他时刻监视他们的网络通信, 想如果张三通过网络传输这份标书议案时从 网络上截取它。为了防止王五截取标书议案, 实现安全传输,我们可以采用以下步骤:
– 相对于传统的秘密密钥(对称密钥)
•
•
基础设施
– 如同电力基础设施为家用电器提供电 力一样 – PKI为各种互联网应用提供安全保障
加密的工具
• 是通过用户的公钥(Public Key)和私钥 (Private Key)来实现的,加密、解密必 须用同一个用户的一对公钥和私钥来配 对使用。 • 公钥可以告诉别人,但私钥却一般不能 告诉别人,除非授权。就象我们的大楼 一样,大门钥匙我们可以给各住户,但 各家自己门的钥匙却只能给住户本人, 不能随便给。
网络安全必须达到几条基本的要求:
(1)我们必须确保数据能够保持私有或保存 •(4)跟完整性一样重要的是,银行要能 把机密性,访问控制、完整性、真实性 为一个秘密的格式。我们称之为“机密性”。 够证实是你要求转帐。这称之为“真实 和不可抵赖性结合起来,就组成了一个 (2)我们需要一种授权方式,使需要它的人 性”。 具有很高程度的网络安全。 可以访问那些私有的或秘密的数据。这叫 (5)用这个相同的例子,这个处理你的 “访问控制”。 要求的银行要有能力让你对你的要求负 (3)当你在处理电子交易的时候。例如,假 责,这一点至关重要。如果你要求转帐 设你对银行发出一个要求说将100美元在两个 100美元,你不能事后否认你发出过这 帐户之间转移。银行必须能够确信他们收到 个要求。这称之为“不可抵赖性”。 的正是你所发出的。这称之为“完整性”。
挑战
• 然而,人们在得益于信息革命所带来 的新机遇,享受新技术带来的便利的 同时,也不得不面对信息安全问题的 严峻考验。通过网络传递的信息会不 会被截获和篡改,网络另一方的人的 身份是否真实,如何确保人们不能抵 赖在网上所做的历史行为,等等这些 信息安全问题已经引起了各部门、各 企业以及每个互联网用户的重视。
数字证书分类
证书存储介质: 磁盘、IC卡、USB KEY等 理想介质USB KEY: •私钥不可读: –只能在满足条件时使用, 由KEY的软硬件设计保障 •KEY内签名、验证: –私钥的使用也在KEY内,不 存在传输中私钥泄露的可能 性 •KEY内生成RSA密钥对: –并能直接存于KEY内,从而 从源头上杜绝泄露的可能性 •使用方便: –可以在任何接有读写器 (或USB接口)的PC上使用
• 首先,一个安全的网络保护着该网络的资源。 • 综上所述,网络安全可以定义为: 这些资源包括网络的数据(不管是通过网络 传输的数据还是存贮在媒介中的数据),还 一些保护重要信息的手段和措 包括对物理资源的访问权力。 施,使之免受蓄意的和无意的破坏。 • 第二,这些资源应该不受有意或无意的破坏。 而且这些手段和措施的实现不应给 一个安全的网络应该是黑客们所破坏不了的。 已授权的用户在访问这些信息时造 • 最后,对网络资源的保护不能太强制和繁琐。 成任何影响。 不能为了安全性而把系统设计得很复杂,以 至于被授权的人不能以一种简单的方式来访 问这些资源。
文件签名原理
• 和文件加密所举的例子一样,张三要在所发的文件 File BS后面要加以签名,以证明这份标书的有效 性,同样是发给B公司的老板李四,公司C的老板王 五如果想要假冒张三的签名发另一份标书给李四, 以达到破坏A公司中标的目的。
(2)张三用自己的私钥 对文件进行签名并对签 名进行加密 (1)张三将他的公钥发给李四 (4)李四用张三的公 钥对张三加密后的签 名文件进行解密
电子政务网络应用安全 -数字证书及电子签章介绍
四川省经济信息中心系统应用处副处长 方阳
2007年7月
问题的引出
主要内容
第一部分:数字证书相关知识介绍 第二部分:数字证书的应用领域 第三部分:电子签名相关知识介绍 第四部分:电子签名的主要作用 第五部分:证书及签章在投资网上的使用
第一部分 数字证书相关知识介绍
统一 安全 防护体 系
物 理 层 安 全 网 络 层 安 全 系 统 层 安 全 应 用 层 安 全 管 理 层 安 全
标准 法规和 制度 体系 法 律 法 规 技 术 标 准 管 理 制 度 安 安 全 全 培 培 训 训
信 息 安 全 基 础 设 施 安 全 管 理 体 系
如何保障网络应用的安全性?
发展方向
国家PKI 体系
P K I 信 任 体 系
政务专用CA
通用CA
区县RA
委办局RA
税务RA
教育RA
银行RA
受 理 点
受 理 点
受 理 点
受 理 点
——作为信息化安全基础设施、为全省各行各业提供信 任与认证服务
国家PKI互联工程
吉大正元体系 吉林 CA 福建 CA
BCA
天津CA
上海CA
中国电信 CA
RA:
管理证书受理点 办理和审批证书申请
受理点:
面向用户办理证书申请
(二障体系
安 全 保 障 体 系
统 一安 全信任 体系
基 于 桥 CA 的 互 联 互 通 基 基 于 于 PKI PM I 的 电 访 子 问 证 控 书 制 系 体 统 系 加 密 服 务 管 理 体 系 密 钥 管 理 服 务 体 系
北京CA
与各PKI体系广泛合作,实现
一证在手,走遍天下
证书软件产品一览图
WEB 安 全 通 信 系 统
证书应用 体系
统 一 认 证 管 理 系 统
电 子 签 章 管 理 系 统
安 全 电 子 邮 件 系 统
安 全 站 点 系 统
证 书 应 用 引 擎
证书发放 体系
地税RA
认证中心CA系统/KM系统
中心RA 银行RA
数字北京安全工程
遍布各地的受理点
小结
• PKI是构建安全信任体系的基础 • CA中心只是一个证书发放体系 • 基于应用驱动的证书应用体系