【精品PPT】数字证书培训

Smart Cards
Communications
Payments Mail Web
Applications
EDI Banking E-Commerce E-Government CRM ERP SCM
VPNs
CA的技术框架
CA的服务架构
CA中心：
证书管理中心 制订证书相关规定 生成证书 管理废止证书（黑名单） 更新证书目录 密钥管理
文件加密原理
（2）张三用李四的公 钥对文件进行加密 李四将他的公钥发给张三（1） （3）张三将加密后的文件发给李四 A公司：张三 B公司：李四 （4）李四用自己的私 钥对文件进行解密
C公司：王五
文件签名原理
• 数字签名也主要是为了证明发件人身份，就 象我们来看到的某文件签名一样，但现在要 说的签名是采取数字的方式，它可以防止别 人仿签，因为加密后的签名就变得面目全非， 别人根本不可能看到真正的签名样子，它与 前面所讲的文件加密机理是一样的，但方法 不太一样，下面介绍如下。
（一）、产生背景及PKI/CA简介 （二）、网络安全性及数字证书知识简介 （三）、数字证书认证中心介绍
(一)、产生背景及PKI/CA简介
机遇
• 当今的时代是信息时代，政务工作 也必须要适应时代的要求。在有关 部门的重视下，各级政府贯彻落实 加强计算机信息化建设工作，利用 计算机在文档传递管理、网上报税、 网上银行、项目直报、远程通信等 工作中都应用了计算机辅助办公， 并进入了网络信息共享的阶段。
数字证书生命周期
证书废止
用户证书：
1、申请
证书过期
证书公布
CA
.获取 2、更新
目录 服务
RA
.有效期
证书 用户
证书生成
证书存档
3、撤销
.密钥泄漏
证书申请
(三)、数字证书认证中心介绍
• 数字证书的权威性取决于其颁发机构的权威性
基本情况
• 必须使用获得信息产业部批准的认证中心。 • 自《中华人民共和国电子签名法》实施一周年以 来，获得国家电子认证服务许可证的17家认证机 构已经发出了近260万张电子证书。依照电子签 名法规定，只有拥有许可证的电子认证机构才能 提供电子签名认证服务。 • 我国目前的140余家电子签名认证服务机构中， 仅17家拥有国家电子认证服务许可证，其余的 120余家尚未经认证。
从而解决相互间的信任问题。
数字证书的组成
X.509 v3 证书 版本（3） 序列号 签名算法标识（ID） 颁发者名称 操作周期 主体名称（带有增强命名的OU=） 主体公钥信息 颁发者的数字签名 颁发者唯一标识符 标准扩展 “资格”证书政策 -CPS URL -实践参考 -通知标识ID 其他扩展 应用定义的扩展 X.509扩展
解决之道就是数字证书。
什么是数字证书？
• 数字证书是是一个经数字证书认证中 • 数字证书是由公证、权威的第 心(CA认证中心)数字签名的包含公开 三方CA中心签发的，以数字证书 密钥拥有者信息以及公开密钥等信息 为核心的密码技术可以对网络上传 的具有X.509格式编码的文件。
输的信息进行加密和解密、数字签 • 通俗地讲，数字证书就是个人、单位 名和签名验证，确保网上传递信息 或服务器在网络上的身份证，又称为 的机密性、完整性，以及交易实体 数字ID，在网上事务的各个环节，参 身份的真实性和行为的不可否认性， 与各方都需验证对方证书的有效性， 从而保障网络应用的安全性。
文件加密与数字签名
• ―文件加密”与“数字签名”虽 然其过程不一样，但原理是一样 的，大家注意理解。
文件加密原理
• 现假设有A公司的老板名叫张三，B公司的老 板名叫李四，现张三想传输一个文件file bs 给李四，这个文件是有关于一个合作项目标 书议案，属公司机密，不能给其它人知道， 而恰好有一个C公司的老板王五对A和B公司有 关那项合作标书非常关注，总想取得A公司的 标书议案，于是他时刻监视他们的网络通信， 想如果张三通过网络传输这份标书议案时从 网络上截取它。为了防止王五截取标书议案， 实现安全传输，我们可以采用以下步骤：
– 相对于传统的秘密密钥（对称密钥）
•
•
基础设施
– 如同电力基础设施为家用电器提供电 力一样 – PKI为各种互联网应用提供安全保障
加密的工具
• 是通过用户的公钥（Public Key）和私钥 (Private Key）来实现的，加密、解密必 须用同一个用户的一对公钥和私钥来配 对使用。 • 公钥可以告诉别人，但私钥却一般不能 告诉别人，除非授权。就象我们的大楼 一样，大门钥匙我们可以给各住户，但 各家自己门的钥匙却只能给住户本人， 不能随便给。
网络安全必须达到几条基本的要求：
（1）我们必须确保数据能够保持私有或保存 •（4）跟完整性一样重要的是，银行要能 把机密性，访问控制、完整性、真实性 为一个秘密的格式。我们称之为“机密性”。 够证实是你要求转帐。这称之为“真实 和不可抵赖性结合起来，就组成了一个 （2）我们需要一种授权方式，使需要它的人 性”。 具有很高程度的网络安全。 可以访问那些私有的或秘密的数据。这叫 （5）用这个相同的例子，这个处理你的 “访问控制”。 要求的银行要有能力让你对你的要求负 （3）当你在处理电子交易的时候。例如，假 责，这一点至关重要。如果你要求转帐 设你对银行发出一个要求说将100美元在两个 100美元，你不能事后否认你发出过这 帐户之间转移。银行必须能够确信他们收到 个要求。这称之为“不可抵赖性”。 的正是你所发出的。这称之为“完整性”。
挑战
• 然而，人们在得益于信息革命所带来 的新机遇，享受新技术带来的便利的 同时，也不得不面对信息安全问题的 严峻考验。通过网络传递的信息会不 会被截获和篡改，网络另一方的人的 身份是否真实，如何确保人们不能抵 赖在网上所做的历史行为，等等这些 信息安全问题已经引起了各部门、各 企业以及每个互联网用户的重视。
数字证书分类
证书存储介质: 磁盘、IC卡、USB KEY等 理想介质USB KEY： •私钥不可读: –只能在满足条件时使用， 由KEY的软硬件设计保障 •KEY内签名、验证: –私钥的使用也在KEY内，不 存在传输中私钥泄露的可能 性 •KEY内生成RSA密钥对: –并能直接存于KEY内，从而 从源头上杜绝泄露的可能性 •使用方便: –可以在任何接有读写器 （或USB接口）的PC上使用
• 首先，一个安全的网络保护着该网络的资源。 • 综上所述，网络安全可以定义为： 这些资源包括网络的数据（不管是通过网络 传输的数据还是存贮在媒介中的数据），还 一些保护重要信息的手段和措 包括对物理资源的访问权力。 施，使之免受蓄意的和无意的破坏。 • 第二，这些资源应该不受有意或无意的破坏。 而且这些手段和措施的实现不应给 一个安全的网络应该是黑客们所破坏不了的。 已授权的用户在访问这些信息时造 • 最后，对网络资源的保护不能太强制和繁琐。 成任何影响。 不能为了安全性而把系统设计得很复杂，以 至于被授权的人不能以一种简单的方式来访 问这些资源。
文件签名原理
• 和文件加密所举的例子一样，张三要在所发的文件 File BS后面要加以签名，以证明这份标书的有效 性，同样是发给B公司的老板李四，公司C的老板王 五如果想要假冒张三的签名发另一份标书给李四， 以达到破坏A公司中标的目的。
（2）张三用自己的私钥 对文件进行签名并对签 名进行加密 （1）张三将他的公钥发给李四 （4）李四用张三的公 钥对张三加密后的签 名文件进行解密
电子政务网络应用安全 －数字证书及电子签章介绍
四川省经济信息中心系统应用处副处长 方阳
2007年7月
问题的引出
主要内容
第一部分：数字证书相关知识介绍 第二部分：数字证书的应用领域 第三部分：电子签名相关知识介绍 第四部分：电子签名的主要作用 第五部分：证书及签章在投资网上的使用
第一部分 数字证书相关知识介绍
统一 安全 防护体 系
物 理 层 安 全 网 络 层 安 全 系 统 层 安 全 应 用 层 安 全 管 理 层 安 全
标准 法规和 制度 体系 法 律 法 规 技 术 标 准 管 理 制 度 安 安 全 全 培 培 训 训
信 息 安 全 基 础 设 施 安 全 管 理 体 系
如何保障网络应用的安全性？
发展方向
国家PKI 体系
P K I 信 任 体 系
政务专用CA
通用CA
区县RA
委办局RA
税务RA
教育RA
银行RA
受 理 点
受 理 点
受 理 点
受 理 点
——作为信息化安全基础设施、为全省各行各业提供信 任与认证服务
国家PKI互联工程
吉大正元体系 吉林 CA 福建 CA
BCA
天津CA
上海CA
中国电信 CA
RA：
管理证书受理点 办理和审批证书申请
受理点：
面向用户办理证书申请
（二障体系
安 全 保 障 体 系
统 一安 全信任 体系
基 于 桥 CA 的 互 联 互 通 基 基 于 于 PKI PM I 的 电 访 子 问 证 控 书 制 系 体 统 系 加 密 服 务 管 理 体 系 密 钥 管 理 服 务 体 系
北京CA
与各PKI体系广泛合作，实现
一证在手，走遍天下
证书软件产品一览图
WEB 安 全 通 信 系 统
证书应用 体系
统 一 认 证 管 理 系 统
电 子 签 章 管 理 系 统
安 全 电 子 邮 件 系 统
安 全 站 点 系 统
证 书 应 用 引 擎
证书发放 体系
地税RA
认证中心CA系统/KM系统
中心RA 银行RA
数字北京安全工程
遍布各地的受理点
小结
• PKI是构建安全信任体系的基础 • CA中心只是一个证书发放体系 • 基于应用驱动的证书应用体系