一、实习目的
1.理解数字签名的概念和作用;
2.理解身份认证的基本方式和方法;
3.掌握Hash函数和数字签名的实现。
二、实习要求
1.实习前认真预习第3章的有关内容;
2.复习数字签名和身份认证相关内容;
3.熟悉Java平台的JCE包有关类。
三、实习内容
假定两个用户A、B,他们的公私钥对分别是K PUa、K PRa和K PUb、K PRb,,分发的消息为M,哈希函数h(x)。请基于RSA算法实现数字签名,阶梯任务如下:
①以本地两个目录模拟两个用户,实现消息M和签名的模拟分发;
②以MD5、SHA-1等哈希函数,实现消息M的摘要,实现M及摘要签名的模拟分发;
③实现M密文状态下的签名与模拟分发;
④采用SSL,建立安全通信过程,实现Socket通信的签名分发;
⑤将方案移植到某个web应用中,实现实用的签名分发。
四、实验过程
1.数字签名概述
数字签名是指使用密码算法,对待发的数据(报文或票证等)进行加密处理,生成一段数据摘要信息附在原文上一起发送。这种信息类似于现实中的签名或印章,接收方对其进行验证,判断原文真伪。数字签名可以提供完整性保护和不可否认服务。其中,完整性保护主要针对解决篡改问题,不可否认服务主要针对解决抵赖性问题。
一般说来,传统数字签名的过程中,主要先采用单向散列算法,对原文信息进行加密压缩形成消息摘要,原文的任何变化都会使消息摘要发生改变;然后,对消息摘要用非对称加密算法(如RSA )进行加密。在验证阶段,收方将信息用单向加密算法计算出消息摘要,然后将收到的消息摘要进行解密,比较两个消息摘要来判断信息是否可靠。
2.数字签名过程
(1)要签名的报文作为一个散列函数的输入,产生一个定长的安全散列码,一般称为
消息摘要。
(2)使用发方的私有密钥对这个消息摘要进行加密就形成签名。将报文和签名传送出
去。
(3)收方接受报文并根据报文产生一个消息摘要,同时使用发方的公开密钥对签名进
行解密。
(4)如果计算得出的消息摘要和解密后的签名互相匹配,那么签名就是有效的。
(5)因为只有发方知道密钥,因此只有发方才能产生有效的签名。
发送方私钥加密发送方
接收方
1. 数字签名基本过程
3.数字签名的实现
数字签名过程中,在产生签名阶段,发送方至少要进行以下的计算:
(1) 由消息 M 利用单向散列函数产生消息摘要 H(M);
(2) 将产生的消息摘要 H(M)用发方的私有密钥进行加密。
在验证签名阶段,接收方也要进行以下的计算:
(1) 由消息 M 利用单向散列函数产生消息摘要 H(M);
(2) 将收到的消息摘要 H(M)用发送方公开密钥进行解密;
(3) 两者进行比较,不一致则发出否决消息,否则接受信息。
用RSA 实现数字签名
1.发送方生成一个公钥一个私钥,分别保存为
文件:public.key 和 private.key ;任给一个信息文件 info.txt ,发送方用自己的 private.key 生成数字签名(已加密),将签名存放于 signature.sgn ;接收方用发送方的 public.key 验证数字签名。
FileOutputStream fos_public = new FileOutputStream("public.key");
ObjectOutputStream oos_public =
new ObjectOutputStream(fos_public );
FileOutputStream fos_private = new FileOutputStream("private.key");
ObjectOutputStream oos_private = new ObjectOutputStream(fos_private );
// 形成RSA 公钥对 KeyPairGenerator keyGen = KeyPairGenerator.getInstance ("RSA");
keyGen .initialize(1024);// 初始化密钥空间
2. 生成两个文件:private.key 和 public.key 。
3. 对信息文件 info.txt ,发送方用自己的 private.key 生成数字签名,将签名存放于 signature.sgn
File file_info = new File("info.txt");
FileInputStream fis_info = new FileInputStream(file_info );
int fileInfoLength = (int )file_info .length();
byte [] infoBytes = new byte [fileInfoLength ];
fis_info.read(infoBytes);
fis_info.close();
//发送方读入私钥
FileInputStream fis_private = new FileInputStream("private.key");
ObjectInputStream ois_private = new ObjectInputStream(fis_private);
PrivateKey privateKey = (PrivateKey)ois_private.readObject();
fis_private.close();
ois_private.close();
//生成签名实例化Signature 指定用RSA和SHA算法
Signature sig=Signature.getInstance("SHA1WithRSA");
//用私钥来初始化数字签名对象
sig.initSign(privateKey);
//对msgBytes实施签名
sig.update(infoBytes);
4. 生成签名文件:signature.sgn。
5. 接收方用发送方的public.key 验证数字签名
File file_info = new File("info.txt");
FileInputStream fis_info = new FileInputStream(file_info);
int fileInfoLength = (int)file_info.length();
byte[] infoBytes = new byte[fileInfoLength];
fis_info.read(infoBytes);
fis_info.close();
// 读入发送方公钥
FileInputStream fis_public = new FileInputStream("public.key");
ObjectInputStream ois_public = new ObjectInputStream(fis_public);
PublicKey publicKey = (PublicKey)ois_public.readObject();
fis_public.close();
ois_public.close();
// 读入签名文件
File file_signature = new File("signature.sgn");
FileInputStream fis_signature = new FileInputStream(file_signature);
int fileSignatureLength = (int)file_signature.length();
byte[] signatureBytes = new byte[fileSignatureLength];
fis_signature.read(signatureBytes);
fis_signature.close();
// 使用公鈅验证
Signature sig=Signature.getInstance("SHA1WithRSA");
sig.initVerify(publicKey);
sig.update(infoBytes);
if(sig.verify(signatureBytes))
{
System.out.println("成功收到文件");
}
else
{
System.out.println("文件被篡改");
}
4.测试结果
修改info后传送给接受者
5.遇到的问题
Signature sig=Signature.getInstance("SHA1");
生成签名,实例化Signature时,程序抛出异常。实际上在消息进行Hash摘要后需要用RSA 算法用发送方的私钥进行加密,java支持Signature sig=Signature.getInstance("SHA1WithRSA");
6.实验总结
数字签名又称电子签章,是非对称密钥密码技术的一种逆向应用,属于数字认证技术的一种。数字签名是指用户用自己的私钥对原始信源数据的hash摘要进行运算后得到加密数据的应用过程。附加在数据单元的一些数据或者对数据单元进行的变换,允许数据单元的接收方用于确认数据单元的来源和完整性并保护数据,防止被人进行伪造。
需要签名的文件数据长度不限制,但计算散列时需要固定长度的输入和输出,用到Hash函数,输入大小是任意的,输出大小是固定的的,而且两个不同的输入导致输出结果相同的概率微乎其微。
身份认证是指在两方或者多方参与的信息交互中,参与者中的一方对其余各方身份的判断与确认,其主要目的是防止伪装。在网络应用中,凡是要解决伪造、抵赖、冒充、篡改与身份鉴别的问题,都可用数字签名来处理。
企业财务系统的CA身份认证和电子签名解决方案 1、用户需求: 总结用户需求如下: ●财务系统需要提升安全级别。财务系统的基本情况如下: ?财务系统的系统结构、操作系统、开发语言等(略) ?三种主要应用功能:预算申请、审批、修正;费用的申报;对财务系统查阅。 ●需要解决单纯的用户名/密码登录的脆弱性问题,确保登录财务系统的身 份的真实性。 ●需要对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的 应用需求。 2、解决方案 具体设计方案如下: ●建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。 具体建设方案如下: ?证书服务器负责证书的日常管理。 ?管理终端完成证书的申请和发放工作。 ?为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性。 ?用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K。 用于私钥存储,确保私钥的安全。 ?采用SQL数据库,用于证书服务器生成证书和CRL的存储 ●建设数字签名中间件,对用户在财务系统中的操作实现数字签名,实现 抗抵赖的功能。具体建设方案如下: ?将数字签名服务器与应用服务器共同部署; ?在IE中部署签名插件; ?用户的操作需要用私钥进行签名; ?服务器端对用户的签名数据进行验签;
?应用数据和签名数据进行分别的存储。 具体部署的拓扑图如下(略) 3、用户收益 采用本方案后用户收益如下: ●通过强身份认证手段的采用,确保所有登录财务系统用户的身份的真实 性 对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的应用需求。 ---------------------------------------------------------------------------------------------------------------------- 北京安软天地科技有限公司 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
授课班级 授课日期 授课题目:第2章电子签名法与电子认证服务法律制度 目的要求:能够分析电子证据的法律效力;能够分析电子证据的多样性。 教学重难点:把握数据电文与电子签名的基本知识;了解电子签名与电子认证服务法律法规;理解数据电文与电子签名的法律效力。 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:电子商务法的调整对象和范围有哪些? 提问: 1、电子商务与传统交易方式的区别,以及其中可能存在的法律风险? 2、电子商务可能存在的法律风险? 3、电子商务法的重要意义? 教学方式、手段、媒介:教学手段:讲授、多媒体;媒介:教材 授课内容: 案例A: 原告:史文权——互联网用户,下载安装了百度搜索伴侣软件,并正常使用,其直接与 百度网站结合使用,并在IE工具栏内有明确的图标和菜单指示。过了几日,原告在浏览部 分网站时,被提示安装了“网络实名软件”。但是安装后,发现电脑中缘由的百度搜索伴侣 软件、IE工具栏中的百度搜索伴侣图标和菜单被非法删除。在重新中,又发现下载和安装 受到了网络实名软件的屏蔽,最后安装失败。原告申请北京市公证处对此进行网络证据保全。 网络实名软件来源于“3721”网站,属于国风因特公司和三七二一公司。该软件得到了该公司的技术支持。根据消费者权益保护法规定,此行为侵犯了原告对相关软件的合法使用权; 该软件并未对侵权功能作出详尽的说明,侵犯了消费者的知情权;屏蔽行为侵犯了消费者的自主选择权,构成强制交易行为;非法监视用户上网行为,侵犯了用户的隐私权。 最后,法院判决如下: 1.该公司停止侵权行为; 2.该公司对原告作书面赔礼道歉; 3.该公司对原告赔偿经济损失1000元; 4.该公司必须承担原告的全部诉讼费用。 案例引入: 教师:我经常会在网上看到这样的贴子:“网络购物维权让我疲惫不堪”、“网络维权如
数字证书和数字签名的关系 什么是数字证书? 由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。 数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。 数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。 目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、W AP证书、代码签名证书和表单签名证书。 随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。 什么是数字签名?数字签名与电子签名是不是一回事? 电子签名和数字签名的内涵并不一样,数字签名是电子签名技术中的一种,不过两者的关系也很密切,目前电子签名法中提到的签名,一般指的就是"数字签名"。
电子签名与电子认证政策法律用以调整认证中心、证书用户、国家行政机关与不特定的社会公众之间在认证电子交易过程中所发生的法律关系,调整对象主要包括平等主体之间民商事法律关系和非平等主体之间的行政法律关系。 数据电讯的商业化应用,除了需要电子签名作为认证手段之外,在因特网等开放性网络环境下,认证中心的服务也是必不可少的。与此同时,调整认证法律关系的规范,将成为电子商务法律制度,乃至普通商事法律中的基本内容之一。认证中心并不向在线当事人出售任何有形的商品,也不提供资金或劳动力资源。它所提供的服务成果,只是一种无形的信息,包括交易相对人的身份、公开密钥、信用状况等情报。虽然,这些信息无法以具体的价格来衡量,它却是在开放型电子商务环境下,进行交易所必须的前提性条件,并且是交易当事人所很难亲自得知的。与一般信息服务不同的是,认证中心所提供的是经过核实的,有关电子商务交易人所关心的基本信息。实际上它是关于交易当事人的事实状况的信息,通常包括交易人是谁、在何处、以何种电子签名方式与之交易,其信用状况如何等。 因此,认证是一种专业化的信用服务,并非一般的实现某种商品使用价值的服务。如同医生对于病人,认证中心都对其客户,即利用数字证书进行交易的各方当事人,负有职业上的特殊义务。该种义务,实际上是一种社会责任。认证中心对于信赖证书的交易人,应承担公正信息发布义务,决不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。任何一个认证中心都应当知道,证书信息的公正性,是其业务存在的根本条件,舍弃此点,该认证中心就没有必要存在。另外从其营业目的上看,认证中心属于公用企业,以向全社会提供电子商务交易信用为己任,并非单纯追求盈利的企业。其服务费用的收取,也只是以微利为原则,而不能受高额利润的引诱。作为一种特许的营业,认证中心的成功,来自于规模化的经营业绩,而决不能依靠向单个用户收取高额服务费,来维持其经营。 电子签名只是从技术手段上对签名人身份做出辩认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题,则是电子签名技术本身无法解决的问题。换言之,这里面有一个解决私人密钥持有人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意,即有意识否认自己做出的行为;二是客观原因,即发生密钥丢失、被窃或被解密情况,使发件人或收件人很难解释归责问题。
一、实习目的 1.理解数字签名的概念和作用; 2.理解身份认证的基本方式和方法; 3.掌握Hash函数和数字签名的实现。 二、实习要求 1.实习前认真预习第3章的有关内容; 2.复习数字签名和身份认证相关内容; 3.熟悉Java平台的JCE包有关类。 三、实习内容 假定两个用户A、B,他们的公私钥对分别是K PUa、K PRa和K PUb、K PRb,,分发的消息为M,哈希函数h(x)。请基于RSA算法实现数字签名,阶梯任务如下: ①以本地两个目录模拟两个用户,实现消息M和签名的模拟分发; ②以MD5、SHA-1等哈希函数,实现消息M的摘要,实现M及摘要签名的模拟分发; ③实现M密文状态下的签名与模拟分发; ④采用SSL,建立安全通信过程,实现Socket通信的签名分发; ⑤将方案移植到某个web应用中,实现实用的签名分发。 四、实验过程 1.数字签名概述 数字签名是指使用密码算法,对待发的数据(报文或票证等)进行加密处理,生成一段数据摘要信息附在原文上一起发送。这种信息类似于现实中的签名或印章,接收方对其进行验证,判断原文真伪。数字签名可以提供完整性保护和不可否认服务。其中,完整性保护主要针对解决篡改问题,不可否认服务主要针对解决抵赖性问题。 一般说来,传统数字签名的过程中,主要先采用单向散列算法,对原文信息进行加密压缩形成消息摘要,原文的任何变化都会使消息摘要发生改变;然后,对消息摘要用非对称加密算法(如RSA )进行加密。在验证阶段,收方将信息用单向加密算法计算出消息摘要,然后将收到的消息摘要进行解密,比较两个消息摘要来判断信息是否可靠。 2.数字签名过程 (1)要签名的报文作为一个散列函数的输入,产生一个定长的安全散列码,一般称为 消息摘要。 (2)使用发方的私有密钥对这个消息摘要进行加密就形成签名。将报文和签名传送出 去。 (3)收方接受报文并根据报文产生一个消息摘要,同时使用发方的公开密钥对签名进 行解密。 (4)如果计算得出的消息摘要和解密后的签名互相匹配,那么签名就是有效的。 (5)因为只有发方知道密钥,因此只有发方才能产生有效的签名。
关于电子签名和认证的法律问题研究 摘要:在传统交易活动中,“签字盖章”是许多法律的基本要求。但随着网络技术的日新月异,电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分,其中的法律问题阻碍了电子交易的进行,也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。 关键词:电子签名,认证,电子商务,电子合同,法律问题 在传统交易中,人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时,亲笔签名也是许多法律的要求。例如,我国《合同法》第32条规定:“当事人采用合同书形式订立合同的,自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定:“票据出票人制作票据,应当按照法定条件在票据上签章,并按照所记载的事项承担票据责任。持票人行使票据权利,应当按照法定程序在票据上签章,并出示票据。”然而,在电子商务环境下,由于合同当事人可能相隔千里,甚至在整个交易过程中并不谋面,这就使传统的亲笔签名方式就很难运用于电子交易。但是,传统的亲笔签名方式所具有的功能,特别是它所具有的证明合同的真实性和完整性的功能,对一直为网络安全问题所困扰的电子商务仍然具有重要的价值。所以,签名的要求在电子商务环境下不仅不应被放弃,反而应该得到强化和更有力的保障。当然,这里所说的签名已经不再是传统的亲笔签名,而是电子签名(Electronic Signature)。 新加坡1998年颁布的《电子交易法》(Singapore Electronic Transactions
Act 1998,SETA)对电子签名和数字签名作了相关规定。它将电子签名定义为:“以数字形式所附或在逻辑上与电子记录有联系的任何字母,文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录”;将数字签名(Digital Signature)定义为:“通过使用非对称加密系统和哈希函数(Hushing Function)来变换电子记录的一种电子签名”。可见,数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则(草案)》(Draft Uniform Rule On Electronic Signature)第1条的规定:“‘电子签名’,是指以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,并且它(可以)用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可”。笔者认为这一定义颇值得我国立法的借鉴。 电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改,以及解决事后发件人否认已经发送或者是收到资料等问题。[1]电子签名是法律上一个重要的创新概念,它作为电子认证技术在法律上的总括,得到了许多国家的认可。目前,国际上通用的电子签名主要有以下三种模式: 一、智能卡模式。智能卡是安装了嵌入式微型控制器芯片的IC卡,内储有关自己的数字信息。使用者在使用智能卡时只要在计算机的扫描器上一扫,然后键入自己设定的密码即成。 二、密码模式。使用者可以自己设定一个密码,该密码由数字或字符组合而成。有的单位还提供硬件,让使用者用电子笔在电子板上签名
目的要求:能够分析电子证据的法律效力;能够分析电子证据的多样性。 教学重难点:把握数据电文与电子签名的基本知识;了解电子签名与电子认证服务法律法规;理解数据电文与电子签名的法律效力。 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结总结复习导入新课:电子商务法的调整对象和范围有哪些? 提问: 1、电子商务与传统交易方式的区别,以及其中可能存在的法律风险? 2、电子商务可能存在的法律风险? 3、电子商务法的重要意义? 教学方式、手段、媒介:教学手段:讲授、多媒体;媒介:教材 授课内容: 案例A: 原告:史文权——互联网用户,下载安装了百度搜索伴侣软件,并正常使用,其直接与百度网站结合使用,并在IE工具栏内有明确的图标和菜单指示。过了几日,原告在浏览部分网站时,被提示安装了“网络实名软件”。但是安装后,发现电脑中缘由的百度搜索伴侣软件、IE工具栏中的百度搜索伴侣图标和菜单被非法删除。在重新中,又发现下载和安装受到了网络实名软件的屏蔽,最后安装失败。原告申请北京市公证处对此进行网络证据保全。网络实名软件来源于“3721”网站,属于国风因特公司和三七二一公司。该软件得到了该公司的技术支持。根据消费者权益保护法规定,此行为侵犯了原告对相关软件的合法使用权;该软件并未对侵权功能作出详尽的说明,侵犯了消费者的知情权;屏蔽行为侵犯了消费者的自主选择权,构成强制交易行为;非法监视用户上网行为,侵犯了用户的隐私权。 最后,法院判决如下:1.该公司停止侵权行为; 2.该公司对原告作书面赔礼道歉; 3.该公司对原告赔偿经济损失1000元; 4.该公司必须承担原告的全部诉讼费用。 案例引入: 教师:我经常会在网上看到这样的贴子:“网络购物维权让我疲惫不堪”、“网络维权如
★电子签名与电子认证 1.电子签名的概念?分类? 电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。电子签名具有技术性、排它性、确定性和虚拟性等特征。 {电子签名是以电子形式出现的数据。 电子签名必须能够识别签名人身份并表明签名人认可与电子签名相联系的数据电文的内容。 数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。}从广义上讲,凡是能在电子计算机通信中起到证明当事人身份及当事人对文件内容的认可的电子技术手段,都可称为电子签名。 2.电子签名的具体形式 就现阶段的技术发展水平来看,有口令、密码、数字加密、生物特征认证等等,随着计算机技术的不断发展,电子签名的具体形式无疑将会推陈出新。 3.可靠电子签名 我国《电子签名法》本着技术中立的原则,并没有指出哪种技术更为先进或哪种技术是安全的,只是要求该技术满足电子签名法的规定或当事人的自行选择。 具体来说,我国《电子签名法》第13条规定,只要能够同时满足以下四个条件的电子签名就被视为可靠的电子签名: (1)电子签名生成数据用于电子签名时,属于电子签名人专有; (2)签署时电子签名生成数据由电子签名人控制; (3)签署后对电子签名的改动能够被发现; (4)签署后对数据电文内容和形式的改动能够被发现。 可靠的电子签名与手写签名或者盖章具有同等的法律效力,满足识别签名人身份和保证签名人认可文件中的内容两个条件。 4. 电子认证法律关系中的主体、主体之间的关系 一般情况下,电子认证服务活动涉及三方主体:证书持有人、认证服务机构、证书信赖人。认证服务机构与当事人之间的法律关系: (1)认证服务机构与数字证书持有人之间的法律关系 认证服务机构与其数字证书持有人之间是合同关系。
OA 系统CA 数字证书认证和电子签名解 决方案1 某市OA 系统(内外网)基于CA 的身份认证和电子签名解决方案 1、用户背景 内蒙古某市下属2 区、5县、4旗,人口300 余万,该市交通发达,是内蒙连接东北的交通枢纽。 2、用户需求 通过与沟通,总结最终用户需求如下: ?BS 架构的OA 系统,采用Domino Notes 开发的,用到金格的word 控件, 主要是做痕迹保留用的,和系统登录无关。需要保证登录者身份的真实 性。 ?对流程文件的表单进行电子签名,需要保证公文审批的完整性和不可抵 赖性,同时要考虑一个表单,多个领导会签的情况。 ?通过运营商组的专网,在网络出口已经部署防火墙。 3、解决方案
据既有的安全项目经验,根据信息安全等级保护条例,厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计,如果确实不需要部署外网,则不必考虑外网设计。 具体设计方案如下: ?在内网建设CA 服务器。 ?密钥生成和管理由证书服务器密码机负责。 ?采用一主两从LDAP ,内网部署一主一从,外网部署一从。内网的主LDAP 数据自动推送到内网从LDAP ,手工导入到外网从LDAP 。CA 服务器的证 书和CRL 列表定期发布到内网主LDAP 。 ?在内网部署电子签名中间件,进行双向的签名和验签。 ?手持USB KEY ,带有密码芯片算法的KEY ,存储量大于等于32K ,用于私 钥存储。 ?为应用系统的WEB 服务器发放服务器证书,实现用户登录时,用户和服 务器的双向验证,确保应用服务器身份和用户身份的真实性。 ?在公网入口部署SSL VPN 设备,确保应用服务器是在收