您的位置:360文档中心› 数字证书产品介绍和应用举例

数字证书产品介绍和应用举例

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

数字证书产品介绍和应用举例

广东省数字证书认证中心

二○○三年五月

目录

1信息安全需求 (2)

2实现手段 (2)

3信息的机密性 (3)

3.1加密 (4)

3.2解密 (5)

4信息的完整性 (6)

4.1签名 (6)

4.2验证签名 (7)

5身份认证 (8)

5.1单向认证 (8)

5.2双向认证 (9)

6不可否认 (11)

7主要安全应用流程举例 (14)

7.1证书申请 (14)

7.2安全登录 (16)

7.3发送公文 (17)

1 信息安全需求

n 信息的机密性;

n 信息的完整性;

n 身份认证;

n 不可否认。

2 实现手段

n 加密/解密;

n 杂凑算法;

n 数字签名。

3 数字证书和数字证书认证中心

数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或具有的某种资格。 

数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。 

数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制

中,常用的一种是RSA体制。 

数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。数字证书的格式一般采用X.509国际标准。 

广东省数字证书认证中心和广东省电子密钥管理中心是经粤信厅[2002]68号文和粤国密办字[2002]19号文批准,于2003年2月21日正式挂牌成立,为广东省的电子政务建设和电子商务活动提供统一的安全认证基础设施,共享统一的安全认证平台和统一的标准体系的管理机构和服务机构。 

广东省数字证书认证中心作为目前广东省唯一一家经广东省信息产业厅批准成立的数字证书的管理与服务机构,主要从事电子政务、电子商务安全证书制作、颁发和管理工作,为全省的政府机构和公务人员、企业、公众和商业用户提供统一的数字证书制作、颁发和管理等服务;同时受广东省国密办的委托,代管广东省电子密钥管理中心的业务和服务系统。 

4 信息的机密性

信息的机密性主要通过对信息的加密和解密来实现,其中实现的手段包括对称和非对称体系。对于通常使用的大数据量加密通常是采用对称加密和数字信封相结合的方式,充分发挥对称加、解密速度快的优点。

加密流程说明:

1、Alice创建待发送的数据;

2、将待加密的数据提交给密码服务系统进行加密(使用SHAREKEY加

密);

3、密码服务系统生成密文,使用共享密钥;

4、将密文发送给Bob;

5、Alice通过LDAP服务器查找Bob的证书;

6、找到Bob证书;

7、通过密码服务系统使用Bob证书对SHAREKEY加密;

8、生成数字信封;

9、将数字信封发送Bob。

解密流程说明:

1、Bob收到共享密钥加密的密文;

2、Bob收到数字信封;

3、Bob的KEYNET;

4、Bob的私钥;

5、通过密码服务系统使用Bob的私钥解密数字信封;

6、得到共享密钥;

7、通过密码服务系统使用共享密钥解密密文;

8、得到明文。

5 信息的完整性

5.1 签名

签名流程:

1、Alice生成明文数据;

2、应用密码服务系统对明文进行摘要运算;

3、生成明文的数据摘要;

4、Alice的KEYNET;

5、Alice的私钥;

6、应用Alice的私钥对数据摘要进行加密;

7、生成数字签名;

8、数字签名发送给Bob;

9、明文发送给Bob。

5.2 验证签名

签名验证流程:

1、Bob收到明文数据;

2、Bob收到数字签名;

3、Bob通过LDAP服务器查找Alice的证书;

4、Alice的数字证书;

5、通过Alice的数字证书对数字签名进行解密;

6、得到明文摘要;

7、应用密码服务系统对明文进行摘要运算;

8、得到明文摘要;

9、比较摘要是否相等。

6 身份认证

6.1 单向认证

身份认证流程(单向):

1、Alice向Bob发起连接请求;

2、Bob返回请求确认;

3、Bob发送随机数R1;

4、Alice的KEYNET;

5、Alice对R1进行数字签名;

6、生成数字签名SR1;

7、Alice发送数字签名给Bob;

8、Bob通过LDAP查找Alice的数字证书;

9、找到Alice的证书;

10、Bob收到的R1的签名SR1;

相关文档
最新文档