金格电子签章_PKI概念
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
30
•Web页面文档盖章接口:
目 录
对称算法、非对称算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
31
名词解释
CA(Certificate Authority):证书授权机构 ,负责颁发、公布和废除证书,并提供诸如证 书暂停服务的可以信赖人员(自然人或组织) 。 RA(Registered Authority): 注册授权机构, 负责向申请证书的人员或组织提供身份注册, 审核的机构。 KMC(Key Management Center):密钥管理中 心,负责密钥管理。
金格电子签章
PKI概念
江西金格网络科技有限责任公司
——可信应用软件提供商
1
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI 什么是CA、RA 电子签章与PKI 名词解释
2
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
23
微软CryptoAPI2.0
CryptoAPI功能是:为应用程序开发者提 供在Win32环境下使用加密、验证等安全服务 时的标准加密接口。CryptoAPI之上是应用程 序,之下是CSP(Cryptographic Service Provider加密服务提供者,密码key)。CSP是 一个真正执行加密功能的独立模块。
硬件加密机 密钥管理中心 (KMC)
RA管理员
系统管理 服务器
密钥管理员
CA管理员
证书注销
CA认证中心
证书发布
CA
证书终止
控制认证策略 产生证书 管理证书注销列表 更新目录服务器 保护CA签名密钥
目录 服务
RA – 注册机构
RA
证书备份与 恢复
鉴别用户身份 分配用户角色与职责 与终端用户交流 公布终端用户的信息
散列函数与指纹对象
比原物(本人)信息量小 与本人一一对应 无法找到相同指纹的两个人 知道了指纹,无法重建一个人 常见的散列算法 RSA公司的 MD4 和 MD5 (128 位即16 字节) NIST 的安全散列算法 SHA(160 位即20字节)
目 录
PKI/PMI拓扑结构图
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
19
完整CA体系
CA中心 目录服务、 CRL、 OCSP、时戳服务 … 数据库 服务器
最终用户
RA中心
证书管理 服务器 签名 服务器
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
13
数字签名过程
Alice
Hi Bob Alice
Bob
明文 相同 7
gJ39vz amp4x
1、没有篡改 2、是Alice发送的
哈希函数
1
gJ39vz amp4x 摘要
? gJ39vz =
证书生成
终端 用户
目录服务
终端用户
-终端用户或应用程序
申请与审核
目 录
对称算法、非对称算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
22
加密API
•目前有关加密API的国际标准和规范: 1. GSS-API V2.0; 2. GCS-API; 3. CDSA; 4. RSA PKCS#11 Cryptographic Token Interface Standard V2.01; 5. RSA BSAFE API; 6. 微软CryptoAPI V2.0 (iSignature)
注册表查看csp:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\D efaultsHKEY_CURRENT_USER\Software\Microsoft\Cryptography \Providers
24
25
签章验证过程
用户A
Hi Bob Hi Bob Alice Alice
数字签名
文档摘要 并加密
验证签名
OK ?
A的公钥 A的私钥
27
办公自动化系统
电子数据… 电子签章 电子签名 签章回执数据…
签章用户端
签章服务器
OA 服务器
数据库
签章端与签章服务器采用金格自主研发的传输引擎(可信网络通讯引擎; Trusty Internet Communication Engineer) 数据电文加盖电子签章经过签章服务器认证后存到业务数据库内 最后签章服务器把签章结果返回给签章客户端
用户B
不相同 明文 明文
gJ39vz gJ39vz amp4x amp4x
相同 7 7 = = 6 6
gJ39vz ? amp4x gJ39vz amp4x
哈希函数 哈希函数
gJ39vz gJ39vz amp4x amp4x
1 1
摘要 摘要
新 摘要 新 摘要
2 2 A的私钥
Ourjj9r Ourjj9r Rr%9$ Rr%9$ Hi Bob Hi Bob Alice Alice
解
密
随机产生 的DES密钥
信息 原文
加
密
加密 信息
解
密
信息 原文
用散列算法 计算新摘要
新 摘要
用散列算法 计算摘要
加 密 摘 要
发送者 的私钥
电子签名 (已加密 的摘要) 发送者 的公钥
解 密 摘 要
摘要
摘要
检验两 结果是 否一致
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
公钥算法问题
公钥加解密对速度敏感
大数幂运算,因此非常慢 软件,公钥算法比对称密钥算法慢 100 多倍。(硬件 可能慢 1000倍 )
公钥加密长信息无法接受的慢,而对称密钥算法 非常快 结合公钥算法和对称密钥算法,使用对称密钥与 公开密钥的优点
对称密钥快速而强健 公开密钥易于密钥交换
•数字签名的问题
传统加密算法无法实现抗抵赖的需求
6
公钥加密模型
7
公钥算法用于加密
Alice
明文
Hi Bob Alice
密文 Hi Bob Alice
Bob
加密
gJ39vz amp4x
解密
B的公钥 B的私钥
A 发送机密信息给 B, 知道只有 B 可以解密 A 用 B 的公钥加密 (公开) B 使用自己的私钥解密 (保密)
32
名词解释
X.509v3:是由IETF提出的公开密钥基础架构 规范的第三版 PKI(Public Key Infrastructure):公开密 钥基础架构 明文(plaintext或message):未经加密的原 始数据。 加密(encryption):用某种方法伪装数据的 过程。 密文(ciphertext):加密后的数据。 解密(decryption):将密文还原为明文的过 程。
6 5
amp4x 新摘要
2 A的私钥
Ourjj9r Rr%9$ Hi Bob Alice
A的公钥
4
哈希函数
Ourjj9r Rr%9$
Hi Bob Alice
数字签名
明文
3
数字签名
明文
签名加密模型
发送者
接收者 的公钥
传送加密的 信息、密钥 及电子签名 接收者 的私钥
接收者
随机产生 的DES密钥
加
密
用公钥加密 后的DES密钥
问题:签名太长,速度慢 解决方法:签名一个短的信息-数字摘要 数字摘要(Message Digest)
一个函数,输入一个任意长度的信息,而输出 一个短的固定长度的编码 一般 16 到 20 字节长 对于输入信息 MD 是唯一 无法找到具有相同 MD 的两个信息 对于信息的任何修改,MD将改变
28
iSignature在什么地方
29
接口开发问题
•Office文档盖章接口:
1.参数设置用接口实现; 2.接口实现特殊需求(脱密、盖章等); 3.签章服务器与客户系统信息整合; 4. 二维条形码集成(打印解决方案) 1. 参数设置用接口实现; 2. 快速集成方案(Service文件不变); 3. Web页面盖章归档;
3百度文库
加密模型
4
算法分类
•对称加密算法
DES AES •非对称公钥算法
RSA(1976)、背包密码、 McEliece密码、Rabin、 椭圆曲线、 EIGamal D_H。
5
问题提出
•密钥管理量的困难
传统密钥管理两两分别用一对密钥时则n个用 户需要C(n,2)=n(n-1)/2个密钥当用户量增大时密 钥空间急剧增大如: n=100 时C(100,2)=4,995 n=5000时C(5000,2)=12,497,500
33
名词解释
ARL Authority Revocation Lists 认证机构证书 撤销列表 CRL Certificate Revocation Lists 证书撤销列表 LDAP Lightweight Directory Access Protocol 轻 型目录访问协议 LRA Local Registration Authority 本地审核受理 点 OCSP Online Certificate Status Protocol 在线证 书状态协议 PKCS Public Key Cryptography Standards 公钥 加密标准 SSL Secure Socket Layer 安全套接层协议。 34
公钥算法用于签名
Alice
明文
Hi Bob Alice 密文
Bob
加密
gJ39vz amp4x
解密
Hi Bob Alice
A的公钥 A的私钥
Alice 用她的私钥加密整个信息 所有人都可以解密这个信息 因此,Bob 可以确信这个信息是由 Alice 产生的 — 因为只有她的 公钥可以解开该信息,而只有Alice 有对应的私钥。
4 4 A的公钥
Ourjj9r Ourjj9r Rr%9$ Rr%9$
5 5
Hi Bob Hi Bob Alice Alice
哈希函数 哈希函数
数字签名 数字签名
明文 明文 3 3
数字签名 数字签名
明文 明文
26
签章后的文档 Hi Bob Alice
加盖印章
Hi Bob Alice
Hi Bob Alice
16
什么是PKI
公钥基础设施(Public Key Infrastructure, PKI) 从字面上去理解,就是利用公开密钥理论和 技术建立的提供安全服务的在线基础设施。所谓 基础设施,就是在某个大环境下普遍适用的系统 和准则。在现实生活中一个简单的例子是电力系 统,它提供的服务是电能,我们可以把电灯、电 视、电吹风机等看成是电力系统这个基础设施的 一些应用。公钥基础设施则是希望从技术上解决 网上身份认证、电子信息的完整性和不可抵赖性 等安全问题,为网络应用(如浏览器、电子邮件、 电子交易)提供可靠的安全服务。
•Web页面文档盖章接口:
目 录
对称算法、非对称算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
31
名词解释
CA(Certificate Authority):证书授权机构 ,负责颁发、公布和废除证书,并提供诸如证 书暂停服务的可以信赖人员(自然人或组织) 。 RA(Registered Authority): 注册授权机构, 负责向申请证书的人员或组织提供身份注册, 审核的机构。 KMC(Key Management Center):密钥管理中 心,负责密钥管理。
金格电子签章
PKI概念
江西金格网络科技有限责任公司
——可信应用软件提供商
1
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI 什么是CA、RA 电子签章与PKI 名词解释
2
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
23
微软CryptoAPI2.0
CryptoAPI功能是:为应用程序开发者提 供在Win32环境下使用加密、验证等安全服务 时的标准加密接口。CryptoAPI之上是应用程 序,之下是CSP(Cryptographic Service Provider加密服务提供者,密码key)。CSP是 一个真正执行加密功能的独立模块。
硬件加密机 密钥管理中心 (KMC)
RA管理员
系统管理 服务器
密钥管理员
CA管理员
证书注销
CA认证中心
证书发布
CA
证书终止
控制认证策略 产生证书 管理证书注销列表 更新目录服务器 保护CA签名密钥
目录 服务
RA – 注册机构
RA
证书备份与 恢复
鉴别用户身份 分配用户角色与职责 与终端用户交流 公布终端用户的信息
散列函数与指纹对象
比原物(本人)信息量小 与本人一一对应 无法找到相同指纹的两个人 知道了指纹,无法重建一个人 常见的散列算法 RSA公司的 MD4 和 MD5 (128 位即16 字节) NIST 的安全散列算法 SHA(160 位即20字节)
目 录
PKI/PMI拓扑结构图
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
19
完整CA体系
CA中心 目录服务、 CRL、 OCSP、时戳服务 … 数据库 服务器
最终用户
RA中心
证书管理 服务器 签名 服务器
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
13
数字签名过程
Alice
Hi Bob Alice
Bob
明文 相同 7
gJ39vz amp4x
1、没有篡改 2、是Alice发送的
哈希函数
1
gJ39vz amp4x 摘要
? gJ39vz =
证书生成
终端 用户
目录服务
终端用户
-终端用户或应用程序
申请与审核
目 录
对称算法、非对称算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
22
加密API
•目前有关加密API的国际标准和规范: 1. GSS-API V2.0; 2. GCS-API; 3. CDSA; 4. RSA PKCS#11 Cryptographic Token Interface Standard V2.01; 5. RSA BSAFE API; 6. 微软CryptoAPI V2.0 (iSignature)
注册表查看csp:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\D efaultsHKEY_CURRENT_USER\Software\Microsoft\Cryptography \Providers
24
25
签章验证过程
用户A
Hi Bob Hi Bob Alice Alice
数字签名
文档摘要 并加密
验证签名
OK ?
A的公钥 A的私钥
27
办公自动化系统
电子数据… 电子签章 电子签名 签章回执数据…
签章用户端
签章服务器
OA 服务器
数据库
签章端与签章服务器采用金格自主研发的传输引擎(可信网络通讯引擎; Trusty Internet Communication Engineer) 数据电文加盖电子签章经过签章服务器认证后存到业务数据库内 最后签章服务器把签章结果返回给签章客户端
用户B
不相同 明文 明文
gJ39vz gJ39vz amp4x amp4x
相同 7 7 = = 6 6
gJ39vz ? amp4x gJ39vz amp4x
哈希函数 哈希函数
gJ39vz gJ39vz amp4x amp4x
1 1
摘要 摘要
新 摘要 新 摘要
2 2 A的私钥
Ourjj9r Ourjj9r Rr%9$ Rr%9$ Hi Bob Hi Bob Alice Alice
解
密
随机产生 的DES密钥
信息 原文
加
密
加密 信息
解
密
信息 原文
用散列算法 计算新摘要
新 摘要
用散列算法 计算摘要
加 密 摘 要
发送者 的私钥
电子签名 (已加密 的摘要) 发送者 的公钥
解 密 摘 要
摘要
摘要
检验两 结果是 否一致
目 录
对称算法、非对称(公钥)算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
公钥算法问题
公钥加解密对速度敏感
大数幂运算,因此非常慢 软件,公钥算法比对称密钥算法慢 100 多倍。(硬件 可能慢 1000倍 )
公钥加密长信息无法接受的慢,而对称密钥算法 非常快 结合公钥算法和对称密钥算法,使用对称密钥与 公开密钥的优点
对称密钥快速而强健 公开密钥易于密钥交换
•数字签名的问题
传统加密算法无法实现抗抵赖的需求
6
公钥加密模型
7
公钥算法用于加密
Alice
明文
Hi Bob Alice
密文 Hi Bob Alice
Bob
加密
gJ39vz amp4x
解密
B的公钥 B的私钥
A 发送机密信息给 B, 知道只有 B 可以解密 A 用 B 的公钥加密 (公开) B 使用自己的私钥解密 (保密)
32
名词解释
X.509v3:是由IETF提出的公开密钥基础架构 规范的第三版 PKI(Public Key Infrastructure):公开密 钥基础架构 明文(plaintext或message):未经加密的原 始数据。 加密(encryption):用某种方法伪装数据的 过程。 密文(ciphertext):加密后的数据。 解密(decryption):将密文还原为明文的过 程。
6 5
amp4x 新摘要
2 A的私钥
Ourjj9r Rr%9$ Hi Bob Alice
A的公钥
4
哈希函数
Ourjj9r Rr%9$
Hi Bob Alice
数字签名
明文
3
数字签名
明文
签名加密模型
发送者
接收者 的公钥
传送加密的 信息、密钥 及电子签名 接收者 的私钥
接收者
随机产生 的DES密钥
加
密
用公钥加密 后的DES密钥
问题:签名太长,速度慢 解决方法:签名一个短的信息-数字摘要 数字摘要(Message Digest)
一个函数,输入一个任意长度的信息,而输出 一个短的固定长度的编码 一般 16 到 20 字节长 对于输入信息 MD 是唯一 无法找到具有相同 MD 的两个信息 对于信息的任何修改,MD将改变
28
iSignature在什么地方
29
接口开发问题
•Office文档盖章接口:
1.参数设置用接口实现; 2.接口实现特殊需求(脱密、盖章等); 3.签章服务器与客户系统信息整合; 4. 二维条形码集成(打印解决方案) 1. 参数设置用接口实现; 2. 快速集成方案(Service文件不变); 3. Web页面盖章归档;
3百度文库
加密模型
4
算法分类
•对称加密算法
DES AES •非对称公钥算法
RSA(1976)、背包密码、 McEliece密码、Rabin、 椭圆曲线、 EIGamal D_H。
5
问题提出
•密钥管理量的困难
传统密钥管理两两分别用一对密钥时则n个用 户需要C(n,2)=n(n-1)/2个密钥当用户量增大时密 钥空间急剧增大如: n=100 时C(100,2)=4,995 n=5000时C(5000,2)=12,497,500
33
名词解释
ARL Authority Revocation Lists 认证机构证书 撤销列表 CRL Certificate Revocation Lists 证书撤销列表 LDAP Lightweight Directory Access Protocol 轻 型目录访问协议 LRA Local Registration Authority 本地审核受理 点 OCSP Online Certificate Status Protocol 在线证 书状态协议 PKCS Public Key Cryptography Standards 公钥 加密标准 SSL Secure Socket Layer 安全套接层协议。 34
公钥算法用于签名
Alice
明文
Hi Bob Alice 密文
Bob
加密
gJ39vz amp4x
解密
Hi Bob Alice
A的公钥 A的私钥
Alice 用她的私钥加密整个信息 所有人都可以解密这个信息 因此,Bob 可以确信这个信息是由 Alice 产生的 — 因为只有她的 公钥可以解开该信息,而只有Alice 有对应的私钥。
4 4 A的公钥
Ourjj9r Ourjj9r Rr%9$ Rr%9$
5 5
Hi Bob Hi Bob Alice Alice
哈希函数 哈希函数
数字签名 数字签名
明文 明文 3 3
数字签名 数字签名
明文 明文
26
签章后的文档 Hi Bob Alice
加盖印章
Hi Bob Alice
Hi Bob Alice
16
什么是PKI
公钥基础设施(Public Key Infrastructure, PKI) 从字面上去理解,就是利用公开密钥理论和 技术建立的提供安全服务的在线基础设施。所谓 基础设施,就是在某个大环境下普遍适用的系统 和准则。在现实生活中一个简单的例子是电力系 统,它提供的服务是电能,我们可以把电灯、电 视、电吹风机等看成是电力系统这个基础设施的 一些应用。公钥基础设施则是希望从技术上解决 网上身份认证、电子信息的完整性和不可抵赖性 等安全问题,为网络应用(如浏览器、电子邮件、 电子交易)提供可靠的安全服务。