2信息技术基础电子签名-文档资料45页
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
确性负责,并证明该证书的合法性和有效 性,将网上身份与证书绑定。
网络技术教研室
数字证书介质
证书介质是指能够执行密码运算,能够生 成公钥和私钥密钥对、存储密钥、证书和 其它安全敏感信息的设备,如智能IC卡及 智能密码钥匙 (即UsbKey)。
现行PKI一般为双证书机制,一个是加密 证书,另一个是签名证书。
PKI的核心执行机构是电子认证服务提供 者,即CA(Certificate Authority)
PKI的核心元素是CA签发的数字证书。 PKI服务主要提供数据完整性、数据保密
性和不可否认性认证。
网络技术教研室
认证机构CA
认证机构是PKI的核心执行机构,是具有权 威性、可信任性和公正性的第三方机构。
网络技术教研室
医疗机构法律相关问题
基于以上情况,电子病历具有法律效力的 关键要素是通过技术手段,确定什么内容、 什么时间、由谁完成,从而使诊疗数据具 有医患双方都不可否认和抵赖的特性。
2019年4月1日起施行的《中华人民共和国 电子签名法》明确“可靠的电子签名与手 写签名或者盖章具有同等的法律效力”。
对于具有数据加密和解密需求的卫生信息系统,应 实现基于数字证书的信息加密、信息解密功能;
对有可信时间需求的系统,应集成时间戳功能; 对于具有信息共享需求的多个应用系统,可采用统
一的身份认证模式,实现统一的身份认证管理、用 户信息共享和单点登录等功能。
网络技术教研室
证书应用综合服务接口
供应用系统直接调用的高级证书应用接口, 分成客户端接口和服务器端接口。
密钥,即个人持有的私钥和可公开的公钥
网络技术教研室
直接对原文数字签名 不足:原文数据位数多,加密运算耗时长
网络技术教研室
哈希运算及数字摘要 264bit以内的原文经hash运算,都可生成
160bit的数字摘要,因此可提高加密速度。 文件内容不同,其哈希运算值也不同。
网络技术教研室
哈希运算后的数字签名
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
卫生系统电子认证服务证书分类及产品
内部机构证书代表卫生机构的身份 内部工作人员证书代表个人的身份 内部设备证书 外部机构证书、外部个人证书 外部设备证书 证书产品应包括证书介质、证书初始保
客户端脚本程序 验证密码是否正确?
出错返回 提示密码错误 验证成功? N
Y
使用USBKey对随机数签 名,提交用户证书 及签名值
出错返回
提示:验证证书 或签名失败
将随机数返回到 客户端请求页面
(等待客户端提交登录请求)
根据验证策略,验证: 1)CA信任列表; 2)证书有效期; 3)证书状态(CRL或OCSP); 4)客户端对随机数签名值的有 效性。
新课引入
如何确认纸质病历书写者和所属单位? 纸质病历修改后,如何确认修改者? 复印纸质病历时,如何确认身份? 全面使用电子病历和健康档案后,如何解
决以上问题?如何保证电子医疗文书的法 律效力、不可否认、不被篡改?
网络技术教研室
医疗机构法律相关问题
《最高人民法院关于民事诉讼证据的若干 规定》,明确“由医疗机构就医疗行为与 损害结果之间不存在因果关系及不存在医 疗过错承担举证责任”。
进行数字签名的,包含拥有者信息、拥有 者公开密钥、签发者信息、有效期以及一 些扩展信息的数字文件。
网络技术教研室
数字证书基本域
网络技术教研室
卫生系统数字证书扩展域 实体唯一标识扩展域 11001SF0342222197205053618
网络技术教研室
CA对基本证书域签名 表明CA对其所签发证书内容的完整性、准
技术支持服务是指电子认证服务机构在 用户使用证书过程中,提供的各种方式 的咨询、培训、应急等服务内容。
网络技术教研室
卫生系统数字证书应用集成目标
在卫生信息系统普遍使用的用户名/口令认证方 式基础上,建立基于数字证书的身份认证机制, 确保系统访问控制高安全性和高可靠性;
对卫生信息系统的重要操作环节和重要数据实 现基于数字证书的数字签名功能,保护数据的 完整性,并为后期纠纷处理及责任认定提供合 法电子证据;
客户端接口供应用系统客户端调用,包括 DLL动态库、ActiveX控件、Applet插件等 多种产品形态,支持B/S和C/S应用系统。
服务器端接口供应用系统服务器端调用, 包括COM组件、JAVA组件等多种形态 。
网络技术教研室
签名验证示意图
证书用户
开始
用户插入USBKey 登录系统
客户端(PC)
电子签名技术
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
医疗卫生行业使用电子签名注意事项
USBKEY保存持有人数字证书和私钥,用于 签名或加密后,由持有人承担责任.因此,不 要为了方便就借给他人使用.
保管好PIN码并定期修改,确保USBKEY不 被他人随意使用.
网络技术教研室
什么是数字签名
电子签名法中提到的签名一般是指数字签 名,它是目前比较成熟和普遍使用的电子 签名技术。
利用一套规则和一个参数对数据计算所得 的结果,以此能够确认签名者的身份和数 据的完整性。
网络技术教研室
什么是PKI
PKI是Public Key Infrastructure的缩写,即 公钥基础设施.
认证机构CA的建设要根据国家市场准入政 策由国家主管部门批准,具有权威性;
认证机构CA采用的密码算法及技术保障是 高度安全的,具有可信任性;
认证机构CA是不参与交易双方利益的第三 方机构,具有公正性。
网络技术教研室
认证机构CA的组成
网络技术教研室
数字证书及其结构 数字证书是PKI的核心元素,由权威的CA
《中华人民共和国民事诉讼法》规定“书 证应当提交原件”。
网络技术教研室
医疗机构法律相关问题
2019年7月1日起实施《中华人民共和国侵权责 任法》,规定"根据法律规定推定行为人有过错,行 为人不能证明自己没有过错的,应当承担侵权责 任.伪造篡改或销毁病历,推定医疗机构有过错."
由于电子病历具有易伪造、易篡改和易销毁的脆 弱性,在医患纠纷案件举证时,如果医疗机构不 能证明举证的电子病历是未被伪造或篡改的原件, 普通的电子病历得不到法院的支持,容易被医患 双方否认和抵赖。
网络技术教研室
什么是电子签名
在传统商务活动中,一份书面合同要由当 事人签字和盖章,以保证签字人或盖章方 认可合同的内容,具有法律效力。
在电子商务活动中,合同或文件以电子文 件的形式表现和传递。电子签名用于识别 双方交易人的真实身份,保证真实性和不 可抵赖性,起到与手写签名同等效力。
网络技术教研室
网络技术教研室
卫生系统电子认证服务
电子认证服务机构按照卫生系统电子 认证服务体系相关技术标准和服务规 范,为使用方提供数字证书的颁发、 更新、吊销、密码解锁、密钥恢复以 及证书应用等服务,从而满足卫生信 息系统在身份认证、授权管理、责任 认定等方面的信息安全需求。
网络技术教研室
卫生系统电子认证服务体系系列规范 1卫生系统电子认证服务规范 2卫生系统数字证书应用集成规范 3卫生系统数字证书格式规范 4卫生系统数字证书介质技术规范 5卫生系统数字证书服务管理平台接入规范
网络技术教研室
HospitalInformationSystem
电子签名技术
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
数字签名技术实现过程 首先要在网上进行身份认证 然后再进行签名 最后是对签名的验证。
网络技术教研室
认证 PKI提供的服务首先是认证,即身份识别
由于电子签名后的医疗电子数据具有法律 效力,因此责任人在签名前应仔细核查内容, 医疗文书质控人员代表单位进行电子签名.
网络技术教研室
更多精品资源请访问
docin/sanshengshiyuan doc88/sa研室
什么是电子签名
网络技术教研室
中华人民共和国电子签名法
本法所称电子签名,是指数据电文中以电 子形式所含、所附用于识别签名人身份并 表明签名人认可其中内容的数据。
本法所称数据电文,是指以电子、光学、 磁或者类似手段生成、发送、接收或者储 存的信息,即电子病历或电子合同。
应用服务器
展示业务表单
展示业务表单
填写业务数据; 提交业务申请
客户端程序 对交易数据进行签名; 提交交易原文和签名值
获取业务原文和签名 值,验证签名值是否正
确?
交易失败 交易成功
提示:验证签名失败。
N
验证成功?
Y
保持业务数据和签名值, 进行后续业务处理
网络技术教研室
HospitalInformationSystem
护口令、证书使用说明书以及证书管理 工具等。
网络技术教研室
卫生系统电子认证服务模式 集中服务模式 分级服务模式 认证机构直接服务模式
网络技术教研室
卫生系统电子认证服务内容
证书业务服务是指电子认证服务机构为 卫生系统用户提供的证书申请、发放、 更新、吊销、解锁、密钥恢复、证书查 询等证书业务办理服务。
N
验证成功?
Y
解析证书信息, 获取证书唯一标识
登录失败
网络技术教研室
登录成功
提示:系统无此用户 或用户无权限
根据证书唯一标识查询用 户库,获取相应操作权限
N 查询成功? Y
数字签名与验证过程 网上通信的双方,在互相认证身份之后,
即可发送签名的数据电文。数字签名的全 过程分两大部分,即签名与验证。
网络技术教研室
数字签名的操作过程
网络技术教研室
数字签名的验证过程
网络技术教研室
原文保密的数字签名的实现方法
网络技术教研室
数字签名的作用
如果接收方对发方数字签名验证成功,就可以说 明以下三个实质性的问题:
该电子文件确实是由签名者的发方所发出的,电 子文件来源于该发送者。因为,签署时电子签名 数据由电子签名人所控制。
被签名的电子文件确实是经发方签名后发送的, 说明发方用了自己的私钥做的签名,并得到验证, 达到不可否认的目的。
接收方收到的电子文件在传输中没有被篡改,保 持了数据的完整性,因为,签署后对电子签名的 任何改动都能够被发现。
网络技术教研室
HospitalInformationSystem
电子签名技术
与鉴别。认证的前提是甲乙双方都具有第 三方CA所签发的证书.
网络技术教研室
数字证书登录认证示意图 证书用户
开始
客户端(PC)
应用服务器
用户插入USBKey 访问应用系统首页
生成随机数并保存在session中
显示系统登录页面 列举出USBkey内的证书
选择证书,输入 USBkey Pin码,提
交“登录”
网络技术教研室
HospitalInformationSystem
电子签名技术
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
对称密钥算法 加密和解密使用相同的密钥,常用的是
DES算法。
网络技术教研室
非对称密钥算法 非对称密码算法:加密与解密使用不同的
对卫生信息系统的敏感信息实现基于数字证书 的数据加密功能,确保敏感信息在传输和存储 阶段的安全性。
网络技术教研室
卫生系统数字证书应用集成要求
卫生信息系统在集成数字证书的安全功能时,首先 应实现基于数字证书的身份认证功能;
对有操作行为责任认定、证据保存需求的卫生信息 系统,应实现基于数字证书的数字签名的功能;
网络技术教研室
数字证书介质
证书介质是指能够执行密码运算,能够生 成公钥和私钥密钥对、存储密钥、证书和 其它安全敏感信息的设备,如智能IC卡及 智能密码钥匙 (即UsbKey)。
现行PKI一般为双证书机制,一个是加密 证书,另一个是签名证书。
PKI的核心执行机构是电子认证服务提供 者,即CA(Certificate Authority)
PKI的核心元素是CA签发的数字证书。 PKI服务主要提供数据完整性、数据保密
性和不可否认性认证。
网络技术教研室
认证机构CA
认证机构是PKI的核心执行机构,是具有权 威性、可信任性和公正性的第三方机构。
网络技术教研室
医疗机构法律相关问题
基于以上情况,电子病历具有法律效力的 关键要素是通过技术手段,确定什么内容、 什么时间、由谁完成,从而使诊疗数据具 有医患双方都不可否认和抵赖的特性。
2019年4月1日起施行的《中华人民共和国 电子签名法》明确“可靠的电子签名与手 写签名或者盖章具有同等的法律效力”。
对于具有数据加密和解密需求的卫生信息系统,应 实现基于数字证书的信息加密、信息解密功能;
对有可信时间需求的系统,应集成时间戳功能; 对于具有信息共享需求的多个应用系统,可采用统
一的身份认证模式,实现统一的身份认证管理、用 户信息共享和单点登录等功能。
网络技术教研室
证书应用综合服务接口
供应用系统直接调用的高级证书应用接口, 分成客户端接口和服务器端接口。
密钥,即个人持有的私钥和可公开的公钥
网络技术教研室
直接对原文数字签名 不足:原文数据位数多,加密运算耗时长
网络技术教研室
哈希运算及数字摘要 264bit以内的原文经hash运算,都可生成
160bit的数字摘要,因此可提高加密速度。 文件内容不同,其哈希运算值也不同。
网络技术教研室
哈希运算后的数字签名
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
卫生系统电子认证服务证书分类及产品
内部机构证书代表卫生机构的身份 内部工作人员证书代表个人的身份 内部设备证书 外部机构证书、外部个人证书 外部设备证书 证书产品应包括证书介质、证书初始保
客户端脚本程序 验证密码是否正确?
出错返回 提示密码错误 验证成功? N
Y
使用USBKey对随机数签 名,提交用户证书 及签名值
出错返回
提示:验证证书 或签名失败
将随机数返回到 客户端请求页面
(等待客户端提交登录请求)
根据验证策略,验证: 1)CA信任列表; 2)证书有效期; 3)证书状态(CRL或OCSP); 4)客户端对随机数签名值的有 效性。
新课引入
如何确认纸质病历书写者和所属单位? 纸质病历修改后,如何确认修改者? 复印纸质病历时,如何确认身份? 全面使用电子病历和健康档案后,如何解
决以上问题?如何保证电子医疗文书的法 律效力、不可否认、不被篡改?
网络技术教研室
医疗机构法律相关问题
《最高人民法院关于民事诉讼证据的若干 规定》,明确“由医疗机构就医疗行为与 损害结果之间不存在因果关系及不存在医 疗过错承担举证责任”。
进行数字签名的,包含拥有者信息、拥有 者公开密钥、签发者信息、有效期以及一 些扩展信息的数字文件。
网络技术教研室
数字证书基本域
网络技术教研室
卫生系统数字证书扩展域 实体唯一标识扩展域 11001SF0342222197205053618
网络技术教研室
CA对基本证书域签名 表明CA对其所签发证书内容的完整性、准
技术支持服务是指电子认证服务机构在 用户使用证书过程中,提供的各种方式 的咨询、培训、应急等服务内容。
网络技术教研室
卫生系统数字证书应用集成目标
在卫生信息系统普遍使用的用户名/口令认证方 式基础上,建立基于数字证书的身份认证机制, 确保系统访问控制高安全性和高可靠性;
对卫生信息系统的重要操作环节和重要数据实 现基于数字证书的数字签名功能,保护数据的 完整性,并为后期纠纷处理及责任认定提供合 法电子证据;
客户端接口供应用系统客户端调用,包括 DLL动态库、ActiveX控件、Applet插件等 多种产品形态,支持B/S和C/S应用系统。
服务器端接口供应用系统服务器端调用, 包括COM组件、JAVA组件等多种形态 。
网络技术教研室
签名验证示意图
证书用户
开始
用户插入USBKey 登录系统
客户端(PC)
电子签名技术
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
医疗卫生行业使用电子签名注意事项
USBKEY保存持有人数字证书和私钥,用于 签名或加密后,由持有人承担责任.因此,不 要为了方便就借给他人使用.
保管好PIN码并定期修改,确保USBKEY不 被他人随意使用.
网络技术教研室
什么是数字签名
电子签名法中提到的签名一般是指数字签 名,它是目前比较成熟和普遍使用的电子 签名技术。
利用一套规则和一个参数对数据计算所得 的结果,以此能够确认签名者的身份和数 据的完整性。
网络技术教研室
什么是PKI
PKI是Public Key Infrastructure的缩写,即 公钥基础设施.
认证机构CA的建设要根据国家市场准入政 策由国家主管部门批准,具有权威性;
认证机构CA采用的密码算法及技术保障是 高度安全的,具有可信任性;
认证机构CA是不参与交易双方利益的第三 方机构,具有公正性。
网络技术教研室
认证机构CA的组成
网络技术教研室
数字证书及其结构 数字证书是PKI的核心元素,由权威的CA
《中华人民共和国民事诉讼法》规定“书 证应当提交原件”。
网络技术教研室
医疗机构法律相关问题
2019年7月1日起实施《中华人民共和国侵权责 任法》,规定"根据法律规定推定行为人有过错,行 为人不能证明自己没有过错的,应当承担侵权责 任.伪造篡改或销毁病历,推定医疗机构有过错."
由于电子病历具有易伪造、易篡改和易销毁的脆 弱性,在医患纠纷案件举证时,如果医疗机构不 能证明举证的电子病历是未被伪造或篡改的原件, 普通的电子病历得不到法院的支持,容易被医患 双方否认和抵赖。
网络技术教研室
什么是电子签名
在传统商务活动中,一份书面合同要由当 事人签字和盖章,以保证签字人或盖章方 认可合同的内容,具有法律效力。
在电子商务活动中,合同或文件以电子文 件的形式表现和传递。电子签名用于识别 双方交易人的真实身份,保证真实性和不 可抵赖性,起到与手写签名同等效力。
网络技术教研室
网络技术教研室
卫生系统电子认证服务
电子认证服务机构按照卫生系统电子 认证服务体系相关技术标准和服务规 范,为使用方提供数字证书的颁发、 更新、吊销、密码解锁、密钥恢复以 及证书应用等服务,从而满足卫生信 息系统在身份认证、授权管理、责任 认定等方面的信息安全需求。
网络技术教研室
卫生系统电子认证服务体系系列规范 1卫生系统电子认证服务规范 2卫生系统数字证书应用集成规范 3卫生系统数字证书格式规范 4卫生系统数字证书介质技术规范 5卫生系统数字证书服务管理平台接入规范
网络技术教研室
HospitalInformationSystem
电子签名技术
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
数字签名技术实现过程 首先要在网上进行身份认证 然后再进行签名 最后是对签名的验证。
网络技术教研室
认证 PKI提供的服务首先是认证,即身份识别
由于电子签名后的医疗电子数据具有法律 效力,因此责任人在签名前应仔细核查内容, 医疗文书质控人员代表单位进行电子签名.
网络技术教研室
更多精品资源请访问
docin/sanshengshiyuan doc88/sa研室
什么是电子签名
网络技术教研室
中华人民共和国电子签名法
本法所称电子签名,是指数据电文中以电 子形式所含、所附用于识别签名人身份并 表明签名人认可其中内容的数据。
本法所称数据电文,是指以电子、光学、 磁或者类似手段生成、发送、接收或者储 存的信息,即电子病历或电子合同。
应用服务器
展示业务表单
展示业务表单
填写业务数据; 提交业务申请
客户端程序 对交易数据进行签名; 提交交易原文和签名值
获取业务原文和签名 值,验证签名值是否正
确?
交易失败 交易成功
提示:验证签名失败。
N
验证成功?
Y
保持业务数据和签名值, 进行后续业务处理
网络技术教研室
HospitalInformationSystem
护口令、证书使用说明书以及证书管理 工具等。
网络技术教研室
卫生系统电子认证服务模式 集中服务模式 分级服务模式 认证机构直接服务模式
网络技术教研室
卫生系统电子认证服务内容
证书业务服务是指电子认证服务机构为 卫生系统用户提供的证书申请、发放、 更新、吊销、解锁、密钥恢复、证书查 询等证书业务办理服务。
N
验证成功?
Y
解析证书信息, 获取证书唯一标识
登录失败
网络技术教研室
登录成功
提示:系统无此用户 或用户无权限
根据证书唯一标识查询用 户库,获取相应操作权限
N 查询成功? Y
数字签名与验证过程 网上通信的双方,在互相认证身份之后,
即可发送签名的数据电文。数字签名的全 过程分两大部分,即签名与验证。
网络技术教研室
数字签名的操作过程
网络技术教研室
数字签名的验证过程
网络技术教研室
原文保密的数字签名的实现方法
网络技术教研室
数字签名的作用
如果接收方对发方数字签名验证成功,就可以说 明以下三个实质性的问题:
该电子文件确实是由签名者的发方所发出的,电 子文件来源于该发送者。因为,签署时电子签名 数据由电子签名人所控制。
被签名的电子文件确实是经发方签名后发送的, 说明发方用了自己的私钥做的签名,并得到验证, 达到不可否认的目的。
接收方收到的电子文件在传输中没有被篡改,保 持了数据的完整性,因为,签署后对电子签名的 任何改动都能够被发现。
网络技术教研室
HospitalInformationSystem
电子签名技术
与鉴别。认证的前提是甲乙双方都具有第 三方CA所签发的证书.
网络技术教研室
数字证书登录认证示意图 证书用户
开始
客户端(PC)
应用服务器
用户插入USBKey 访问应用系统首页
生成随机数并保存在session中
显示系统登录页面 列举出USBkey内的证书
选择证书,输入 USBkey Pin码,提
交“登录”
网络技术教研室
HospitalInformationSystem
电子签名技术
基本概念 数字签名的技术实现 卫生系统数字证书应用集成规范 数字证书服务管理平台接入规范
网络技术教研室
对称密钥算法 加密和解密使用相同的密钥,常用的是
DES算法。
网络技术教研室
非对称密钥算法 非对称密码算法:加密与解密使用不同的
对卫生信息系统的敏感信息实现基于数字证书 的数据加密功能,确保敏感信息在传输和存储 阶段的安全性。
网络技术教研室
卫生系统数字证书应用集成要求
卫生信息系统在集成数字证书的安全功能时,首先 应实现基于数字证书的身份认证功能;
对有操作行为责任认定、证据保存需求的卫生信息 系统,应实现基于数字证书的数字签名的功能;