数字签名

如何保证数据在传输过程中不被篡改？
签名接口 签名接口
业务系统
税务系统
Internet
数字签名 服务器组
防火墙
防火墙
数字签名 服务器组
银行系统
国税系统
数字签名为系统签名，保证银行作为报税个体的确定性，不可否认性 对报税数据做数字签名，保证了数据的完整性。 采用集群部署，保证了业务稳定、高效。
主要内容
交叉验证
数字签名服务器支持标准X509格式证书，同时支持配置多家信任CA 签发的根证书，可支持验证多家机构的标准PKCS#7签名和信封。
负载均衡
服务器支持负载均衡部署，包括单负载和双负载，解决大压力，大并 发业务需求。
主要内容
• • • • • • 产品概述 应用模式 基本功能 产品特点 成功案例 产品使用
数据摘要
签名服务器和签名客户端提供接口，对数据提取摘要信息，默认算法 为SHA-1，业务系统可以使用获取的摘要进行相应的业务操作。
基本功能
证书增值
数字证书作为用户身份标识，其中可以记载很多用户信息，如姓名、 联系方式、工作单位、职务等等，也可以在CA机构定义扩展信息。 签名服务器和签名客户端提供获取证书信息接口，获取相关信息，供 应用系统使用，充分发挥证书的作用。
使用简单
• B/S管理模式，随时随地方便管理 • 接口调用简单 • 客户端软件使用，实现自动注册
主要内容
• • • • • • 产品概述 应用模式 基本功能 产品特点 成功案例 产品使用
成功案例－用户签名
某报社驻外记者，需要将稿件安全传回报社。 如何保证稿件在传输过程中的安全？
如何保证报社收到的稿件确实是我发送的？
产品定义
• 吉大正元数字签名服务器（JIT Cinas Sign Server），是基于数字证书和PKI 技术自主研制的硬件安全产品，提供数字签名和数字信封服务，保证关键 业务在交易过程中的机密性、信息完整性、不可否认性和事后可追溯。
解决问题
• • • 行为可追述，不可抵赖 数据防篡改 数据保密
公钥 解密信封 加密文件 解密 解密 源文件
加密对称密钥
对称密钥
私钥
产品概述
完整性 数字签名：如果签名验证失败，说明数据的完整性 遭到了破坏 数字签名：接收者能验证签名，而任何其他人都不 能伪造签名 数字签名：签名者事后不能否认自己的签名
身份认证
不可抵赖
机密性
数字信封：使用两层加密来获得公开密钥技术的灵 活性和秘密密钥技术高效性
产品概述－产品形态
产品形态
• 硬件服务器 • 服务器接口 • 客户端软件 数字签名服务器 用户业务系统调用数字签名服务器接口执行业务，数字签名服务器 中内置服务器证书、签名证书、验证签名证书的根证书，提供完整的数 字签名、数字信封服务。 数字签名客户端 数字签名客户端软件能独立提供数字签名、数字信封服务，提供相 关接口供业务系统调用。
主要内容
• • • • • • 产品概述 应用模式 基本功能 产品特点 成功案例 产品使用
应用模式—管理
B/S结构设计 通过浏览器维护服务器基本参数 从目录服务器获取证书撤销列表 远程控制服务器启动、停止 审计信息本地处理和远程发送
目录服务器
JIT Cinas 数字签名服务器
• Dll链接库，供客户端程序调用
• Com接口
• Ocx控件，自动下载、安装
谢谢！
问题？
产品特点
安全性高
• • • • 管理员与服务器需要通过双向认证，确保管理者合法身份 封闭除了管理端口和业务端口的所有端口 屏蔽不用服务 多管理员控制，实现分权管理
高效、稳定
• 支持负载均衡模式部署，有效解决单点故障
标准化
• 证书格式标准化，符合X509.v3标准 • 签名结果标准化，签名和信封符合PKCS#7标准
通过WEB方式 管理服务器
证书存储
私钥存储
管理员
基本功能
数字签名
制作数字签名，支持数据原文制作数字签名，签名结构符合PKCS#7标 准。 验证数字签名，支持验证标准的PKCS#7签名结果，验证签名过程中， 对制作签名证书进行完整验证，包括信任域、有效期、证书状态。
数字信封
制作数字信封，支持数据原文制作数字信封，信封结构符合PKCS#7标 准。 验证数字信封，支持验证标准的PKCS#7信封结果，验证信封过程中， 对制作信封的证书进行完整验证，包括信任域、有效期、证书状态。
主要内容
• • • • • • 产品概述 应用模式 基本功能 产品特点 成功案例 产品使用
基本功能
制作数字签名，支持数据原文制作 数字签名，签名结构符合P7标准。 验证数字签名，支持验证标准的P7 签名结果，验证签名过程中，对制作 签名证书进行完整验证，包括信任域、 有效期、证书状态。
用户
产品概述－数字签名
数字签名：私钥加密，公钥解密
私钥 签名过程 源文件 数字摘要 加密 验签过程 源文件 解密 加密数字摘要 数字摘要2 数字摘要1 比较，如果相同 则通过验证 加密数字摘要
公钥
产品概述－数字信封
数字信封：公钥加密，私钥解密
制作信封 源文件 加密 加密文件 对称密钥 加密 加密对称密钥
• • • • • • 产品概述 应用模式 基本功能 产品特点 成功案例 产品使用
产品使用－页面
产品使用—参数
基本参数
• 服务器通讯端口、服务器证书、许可证
签名参数
• 签名证书、验签根证书
验签参数
• 验签根证书、目录服务器
日志参数
• 日志策略控制文件个数、大小；远程发送参数
管理员维护
发送数据 发送数据 获得信封 解密信封 制作数字信封，支持数据原文制 作数字信封，信封结构符合P7标准。 验证数字信封，支持验证标准的 P7信封结果，验证信封过程中，对 制作信封的证书进行完整验证，包 括信任域、有效期、证书状态。
LDAP/OCSP
获得签名 验证签名 证书状 态检索
数字签名服务器
签名控件
签名接口
远程稿 件客户 端系统
Internet
FTP服务器 服务器解密 验签系统
数字签名 服务器
CA 报社记者
数字签名为记者签名，保证了记者身份的确定性，不可否认性 对稿件做数字签名，保证了稿件内容的完整性 对稿件做数字信封，保证了稿件的机密性
成功案例－系统签名
某银行进行网上报税。 如何保证数据是银行发送的？
• 设置管理员IP、多管理员维护
wk.baidu.com
设备管理
• 设备参数察看、服务启动、停止
数据管理
• 重要参数配置备份、恢复
产品使用—接口
服务端
• • Java接口
• 部署Jar包到业务系统类路径下
C接口
• 部署Dll、So文件在系统目录下
客户端
• • Java接口
• 通过JNI方式，调用Dll
C接口
客户端管理 审计服务器
应用模式—使用
服务器部分
• 硬件服务器 • API接口，C接口、Java接口
客户端软件
• OCX控件 • Dll动态链接库 • Jar开发包
第三方业务系统
IE 浏览器
客户端程序
第三方业务系统 应用服务器 第三方业务系统
API接口
应用客户端 客户端程序
JIT Cinas 数字签名服务器
数字签名服务器 产品介绍
吉大正元信息技术股份有限公司 2012/9/2
主要内容
• • • • • • 产品概述 应用模式 基本功能 产品特点 成功案例 产品使用
产品概述－产品背景
研制背景
• • • • 需求，电子交易和网络业务，如何保证业务行为不可否认和数据防篡改。 技术，PKI技术和数字证书应用，提供了技术保障和解决方案。 保障，随着电子签名法颁布（2005年4月1日），电子签名具有法律效力。 历程，2004年研制，2006年推出硬件产品