電子政務網絡應用安全

1、電子政務網絡應用安全－數(shù)字證書及電子簽章介紹,沈穎華政單證 學號：1035000033,問題的引出,主要內容,第一部分：數(shù)字證書相關知識介紹第二部分：數(shù)字證書的應用領域 第三部分：電子簽名相關知識介紹第四部分：電子簽名的主要作用第五部分：證書及簽章在投資網上的使用,第一部分 數(shù)字證書相關知識介紹,（一）、產生背景及PKI/CA簡介（二）、網絡安全性及數(shù)字證書知識簡介（三）、數(shù)字證書認證中心介紹,(一)、產生背景

2、及PKI/CA簡介,機遇當今的時代是信息時代，政務工作也必須要適應時代的要求。在有關部門的重視下，各級政府貫徹落實加強計算機信息化建設工作，利用計算機在文檔傳遞管理、網上報稅、網上銀行、項目直報、遠程通信等工作中都應用了計算機輔助辦公，并進入了網絡信息共享的階段。,挑戰(zhàn)然而，人們在得益于信息革命所帶來的新機遇，享受新技術帶來的便利的同時，也不得不面對信息安全問題的嚴峻考驗。通過網絡傳遞的信息會不會被截獲和篡改，網絡另一方的人的身份是

3、否真實，如何確保人們不能抵賴在網上所做的歷史行為，等等這些信息安全問題已經引起了各部門、各企業(yè)以及每個互聯(lián)網用戶的重視。,,在因特網上， 誰也不知道你是一條狗！,網絡中，我如何能相信你?,網絡特點 —— 開放性及匿名性,,大家共同信任的權威機構。,證書機構,通過數(shù)字證書把用戶的公鑰和用戶的身份進行捆綁，從而證明公鑰持有者身份的真實性,用戶A,用戶B,CA可以擔保我的網上業(yè)務對方的真實身份,CA可以擔保我的網上業(yè)務對方的真

4、實身份,,??,CA中心,我了解用戶A我可以為他們的真實身份擔保,,,我了解用戶B我可以為他們的真實身份擔保,CA（Certificate Authority）是頒發(fā)數(shù)字證書的機構。證書是一個機構頒發(fā)給一個安全個體的證明，所以證書的權威性取決于該機構的權威性。,利用公開密鑰理論和技術建立的提供安全服務的在線基礎設施。它利用加密、數(shù)字簽名、數(shù)字證書來保護應用、通信或事務處理的安全?；诠€理論相對于傳統(tǒng)的秘密密鑰（對稱密鑰）基礎

5、設施如同電力基礎設施為家用電器提供電力一樣PKI為各種互聯(lián)網應用提供安全保障,公鑰基礎設施（Public Key Infrastructure）,加密的工具,是通過用戶的公鑰（Public Key）和私鑰(Private Key）來實現(xiàn)的，加密、解密必須用同一個用戶的一對公鑰和私鑰來配對使用。公鑰可以告訴別人，但私鑰卻一般不能告訴別人，除非授權。就象我們的大樓一樣，大門鑰匙我們可以給各住戶，但各家自己門的鑰匙卻只能給住戶本人，不能

6、隨便給。,文件加密與數(shù)字簽名,“文件加密”與“數(shù)字簽名”雖然其過程不一樣，但原理是一樣的，大家注意理解。,文件加密原理,現(xiàn)假設有A公司的老板名叫張三，B公司的老板名叫李四，現(xiàn)張三想傳輸一個文件file bs給李四，這個文件是有關于一個合作項目標書議案，屬公司機密，不能給其它人知道，而恰好有一個C公司的老板王五對A和B公司有關那項合作標書非常關注，總想取得A公司的標書議案，于是他時刻監(jiān)視他們的網絡通信，想如果張三通過網絡傳輸這份標書議案時

7、從網絡上截取它。為了防止王五截取標書議案，實現(xiàn)安全傳輸，我們可以采用以下步驟：,文件加密原理,A公司：張三,B公司：李四,C公司：王五,,文件簽名原理,數(shù)字簽名也主要是為了證明發(fā)件人身份，就象我們來看到的某文件簽名一樣，但現(xiàn)在要說的簽名是采取數(shù)字的方式，它可以防止別人仿簽，因為加密后的簽名就變得面目全非，別人根本不可能看到真正的簽名樣子，它與前面所講的文件加密機理是一樣的，但方法不太一樣，下面介紹如下。,文件簽名原理,和文件加密所舉的例

8、子一樣，張三要在所發(fā)的文件File BS后面要加以簽名，以證明這份標書的有效性，同樣是發(fā)給B公司的老板李四，公司C的老板王五如果想要假冒張三的簽名發(fā)另一份標書給李四，以達到破壞A公司中標的目的。,A公司：張三,B公司：李四,C公司：王五,,公鑰的獲取與驗證,實際上，在張三和李四交換密鑰的過程中，王五也可以獲得他們的公鑰。那么李四怎樣區(qū)別哪一個公鑰是真正的張三的公鑰呢？李四可以到第三方發(fā)證機關證書目錄服務器上進行查詢來辨別，就這樣王五

9、的陰謀也就不能得逞。,安全是相對的,加密后的文件在解密之前會面目全非，沒有對應的密碼是無法進行閱讀的，更別談修改了，況且這種密碼比一般所使用的密碼長許多倍（非對稱密碼為1024位），而且是配對使用的。據專家分析用任何程序解密的可能性幾乎為零，即使能解密，也起碼要10000年，這樣的解密又有什么意義呢 ？,PKI的組成,,,,,CA/RA,目錄服務,PKI-Enabled安全軟件,相關政策及程序,,PKI技術的應用范圍,,PKI已成為

10、信息安全的核心,,,,,PKI,CA的技術框架,CA中心：證書管理中心制訂證書相關規(guī)定生成證書管理廢止證書（黑名單）更新證書目錄密鑰管理RA：管理證書受理點辦理和審批證書申請受理點：面向用戶辦理證書申請,CA的服務架構,（二）、網絡安全性及數(shù)字證書知識簡介,,安全保障體系,,,如何保障網絡應用的安全性？,首先，一個安全的網絡保護著該網絡的資源。這些資源包括網絡的數(shù)據（不管是通過網絡傳輸?shù)臄?shù)據還是存貯在媒介中的

11、數(shù)據），還包括對物理資源的訪問權力。第二，這些資源應該不受有意或無意的破壞。一個安全的網絡應該是黑客們所破壞不了的。最后，對網絡資源的保護不能太強制和繁瑣。不能為了安全性而把系統(tǒng)設計得很復雜，以至于被授權的人不能以一種簡單的方式來訪問這些資源。,綜上所述，網絡安全可以定義為： 一些保護重要信息的手段和措施，使之免受蓄意的和無意的破壞。而且這些手段和措施的實現(xiàn)不應給已授權的用戶在訪問這些信息時造成任何影響。,網絡安全必須達到

12、幾條基本的要求：,（1）我們必須確保數(shù)據能夠保持私有或保存為一個秘密的格式。我們稱之為“機密性”。 （2）我們需要一種授權方式，使需要它的人可以訪問那些私有的或秘密的數(shù)據。這叫“訪問控制”。 （3）當你在處理電子交易的時候。例如，假設你對銀行發(fā)出一個要求說將100美元在兩個帳戶之間轉移。銀行必須能夠確信他們收到的正是你所發(fā)出的。這稱之為“完整性”。,（4）跟完整性一樣重要的是，銀行要能夠證實是你要求轉帳。這稱之為“真實性”。 （5

13、）用這個相同的例子，這個處理你的要求的銀行要有能力讓你對你的要求負責，這一點至關重要。如果你要求轉帳100美元，你不能事后否認你發(fā)出過這個要求。這稱之為“不可抵賴性”。,把機密性，訪問控制、完整性、真實性和不可抵賴性結合起來，就組成了一個具有很高程度的網絡安全。 解決之道就是數(shù)字證書。,什么是數(shù)字證書？,數(shù)字證書是是一個經數(shù)字證書認證中心(CA認證中心)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰等信息的具有X.50

14、9格式編碼的文件。 通俗地講，數(shù)字證書就是個人、單位或服務器在網絡上的身份證，又稱為數(shù)字ID，在網上事務的各個環(huán)節(jié)，參與各方都需驗證對方證書的有效性，從而解決相互間的信任問題。,數(shù)字證書是由公證、權威的第三方CA中心簽發(fā)的，以數(shù)字證書為核心的密碼技術可以對網絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性和行為的不可否認性，從而保障網絡應用的安全性。,數(shù)字證書的組成,數(shù)字

15、證書分類,證書存儲介質:磁盤、IC卡、USB KEY等理想介質USB KEY：私鑰不可讀:只能在滿足條件時使用，由KEY的軟硬件設計保障KEY內簽名、驗證: 私鑰的使用也在KEY內，不存在傳輸中私鑰泄露的可能性KEY內生成RSA密鑰對:并能直接存于KEY內，從而從源頭上杜絕泄露的可能性使用方便:可以在任何接有讀寫器（或USB接口）的PC上使用,,,單位證書,頒發(fā)給獨立的單位、組織，在互聯(lián)網上證明該單位、組織的身份

16、。單位數(shù)字證書根據各個單位的不同需要，可以分為單位證書和單位員工證書。單位證書對外代表整個單位，單位員工證書對外代表單位中具體的某一位員工。,服務器證書,主要頒發(fā)給Web站點或其他需要安全鑒別的服務器，證明服務器的身份信息。服務器數(shù)字證書支持目前主流的Web Server，包括但不限于：IIS、Lotus Domino、Apache、iPlant等Web服務器?？纱娣庞诜掌饔脖P或加密硬件設備上。,數(shù)字證書生命周期,用戶證書：1

17、、申請 .獲取2、更新 .有效期3、撤銷 .密鑰泄漏,(三)、數(shù)字證書認證中心介紹,數(shù)字證書的權威性取決于其頒發(fā)機構的權威性,基本情況,必須使用獲得信息產業(yè)部批準的認證中心。自《中華人民共和國電子簽名法》實施一周年以來，獲得國家電子認證服務許可證的17家認證機構已經發(fā)出了近260萬張電子證書。依照電子簽名法規(guī)定，只有擁有許可證的電子認證機構才能提供電子簽名認證服務。我國目前的140余家電子簽名認證

18、服務機構中，僅17家擁有國家電子認證服務許可證，其余的120余家尚未經認證。,發(fā)展方向,——作為信息化安全基礎設施、為全省各行各業(yè)提供信任與認證服務,國家PKI互聯(lián)工程,,,北京CA,中國電信,CA,福建,CA,上海CA,,,,,,BCA,吉大正元體系,,,吉林,CA,與各PKI體系廣泛合作，實現(xiàn) 一證在手，走遍天下,天津CA,,證書軟件產品一覽圖,,數(shù)字北京安全工程,認證中心CA系統(tǒng)/KM系統(tǒng),,,

19、,,,,WEB安全通信系統(tǒng),統(tǒng)一認證管理系統(tǒng),電子簽章管理系統(tǒng),安全電子郵件系統(tǒng),安全站點系統(tǒng),證書應用引擎,證書應用體系,證書發(fā)放體系,,地稅RA,中心RA,銀行RA,遍布各地的受理點,小結,PKI是構建安全信任體系的基礎CA中心只是一個證書發(fā)放體系基于應用驅動的證書應用體系,第二部分 數(shù)字證書的應用領域,（一）、數(shù)字證書解決的安全問題（二）、數(shù)字證書的應用領域（三）、電子簽名法對數(shù)字證書應用的推動,（一）、數(shù)字證書解

20、決的安全問題,來自網絡的風險,竊聽單位秘密文件被竊取個人安全信息被竊取偽裝假冒真正的服務器假冒真正的用戶篡改信息被修改抵賴否認其行為,網絡的安全風險——行為抵賴,,業(yè)務系統(tǒng),最終用戶A,Internet,A于2005年11月25日下午3點整轉帳100萬到 B 賬戶,,A：我沒有做過，是你們搞錯了！說不定還可能是系統(tǒng)管理員干的呢。,,Web服務器,信息的私密性(Privacy)數(shù)據加密 信息的完整性(Integri

21、ty)數(shù)字簽名 信息的源發(fā)鑒別(Authentication)—身份認證數(shù)字簽名 + 數(shù)據加密 信息的防抵賴性(Non-Reputation)數(shù)字簽名,數(shù)字證書解決的安全要素,,各種安全技術比較,,,,,身份鑒別,機密性,完整性,抗抵賴,口令,動態(tài)口令,密碼技術,數(shù)字證書,,ü,ü,ü,ü,ü,ü,ü,ü,,,,,ü,電子政務、電子

22、商務的安全支柱,,安全設施,安全策略,,,,,保密性,身份鑒別,授權,數(shù)據完整性,抗抵賴,可靠的電子政務、電子商務,技術,管理,,數(shù)字證書,（二）、數(shù)字證書的應用領域,身份管理——身份認證,使用數(shù)字證書技術認證身份 技術相對成熟 應用發(fā)展迅速 新的發(fā)展： 無線設備：WPKI 與XML結合：XKMS,身份管理——授權與訪問控制,使用數(shù)字證書技術確定和傳遞屬性與權限 SSO SAML / XACML

23、 AA / AC Liberty / Passport 應用的復雜性和關聯(lián)性,訪問安全,使用數(shù)字證書技術構筑安全的訪問通道 Web ：SSL/ TLS IPSec VPN：安全的網絡互聯(lián) SSL VPN：遠程訪問 無線應用：WAP/WTLS 與身份管理的結合,內容安全,使用數(shù)字證書技術對應用層數(shù)據進行保護 郵件應用：S/MIME 網上交易：電子表單 桌面：文件/目錄/應用軟件,內容安全,數(shù)字證書技

24、術與XML技術的結合，保護XML應用數(shù)據的安全 XML Signature XML Encryption WS-Security XKMS 新的應用模式，與安全緊密結合,與應用更加緊密的結合,身份管理的整合 真正的“基礎設施” 網絡信任體系 成為應用的一個部分,四川省電子政務網絡的設計問題,政務外網和政務內網政務外網劃分為三個邏輯隔離的網絡,完全可以使用證書來解決不同應用的訪問安全問題,幾種典型的應用方案

25、,,（1）Web應用安全解決方案,為Web服務器頒發(fā)證書，驗證服務器端的身份為用戶頒發(fā)證書，驗證最終用戶的身份服務器與用戶之間通過認證協(xié)議，相互認證采用數(shù)字證書對傳輸數(shù)據進行加密、簽名處理,CA認證中心,,Web服務器,業(yè)務系統(tǒng),最終用戶,Internet,,是發(fā)放給互聯(lián)網站的數(shù)字證書。 作用：實現(xiàn)了網站服務器的身份認證，解決了網站訪問中網絡釣魚、竊聽、篡改等安全問題。 實現(xiàn)：通過在Web服務器中配置服務器證書，在瀏覽

26、器和服務器之間建立了SSL安全通道。使用服務器證書后，實現(xiàn)數(shù)據傳輸?shù)谋Ｃ苄院屯暾?，確保了網站身份的真實性，提高了網站的公信度。,web服務器證書,加密套接字層協(xié)議（SSL）,Web服務器,最終用戶,,,,,我是網銀服務器，這是我的證書,我是網銀用戶，這是我的證書（可選）,hello,交換密鑰建立SSL通道,客戶端證書驗證,服務器端證書驗證,,1011 0110001 10101 00110110101,SSL所實現(xiàn)的安全：相互身

27、份鑒別信息加密安全傳輸中的數(shù)據完整性,加密的應用數(shù)據,（2）統(tǒng)一認證、單點登錄,（3）電子簽章,電子簽名的可視化表示保證文檔完整性、不可否認性又符合人們日常辦公習慣,（4）SSL VPN,實現(xiàn)遠程安全接入訪問,（5）郵件安全解決方案,為通信雙方簽發(fā)數(shù)字證書通信雙方使用證書進行加密和簽名的電子郵件防止被第三方截取、閱讀身份認證，防止被假冒防止被篡改,,Internet,發(fā)信人,收信人,CA認證中心,（6）代碼下載的安全問題

28、,網上直報、網上銀行、網上證券等越來越多應用通過Web平臺實現(xiàn)，許多代碼通過網絡，以ActiveX控件的形式發(fā)布。用戶使用瀏覽器下載這些代碼時，面臨極大的風險。不明身份的代碼的威脅是誰發(fā)布的這個代碼？微軟或黑客發(fā)布后這代碼被修改過么？病毒或木馬,代碼安全的解決方案,是誰發(fā)布的這個代碼？由可信第三方CA鑒證軟件開發(fā)商身份，簽發(fā)代碼簽名數(shù)字證書完整可靠的鑒證機制使黑客無法得到公信的證書發(fā)布后這代碼被修改過么？由軟件開發(fā)商為自己

29、的代碼進行數(shù)字簽名，保證發(fā)布后第三方無法修改客戶端下載代碼時，會自動驗證證書及數(shù)字簽名確認由代碼由可信的廠商發(fā)布，并且發(fā)布后未被篡改,小結,系統(tǒng)登錄的身份認證： 系統(tǒng)的首要安全需求。系統(tǒng)用戶不僅僅是內部的工作人員，而且也包含分布全分支的機構的工作人員，因此為確保系統(tǒng)訪問的安全性，必須要對用戶身份的真實性進行有效鑒別。重要信息的數(shù)字簽名： 需要對用戶信息進行針對性安全保護，通過數(shù)字簽名機制確保其在傳輸過程中完整性，保證重要信息能完整

30、一致的下達到相關工作人員。重要信息的機密保護： 鑒于網絡的開放性，防止信息在傳輸過程中被竊聽與盜用，使用數(shù)字信封技術對使用需保護的機密信息進行加密保護。,(三)、電子簽名法對數(shù)字證書應用的推動,立法必要性,1、我國電子政務和電子商務的發(fā)展，提出了建立有效的身份認證機制和責任認定機制的需求；2、一些實現(xiàn)電子簽名的技術已能達到法律對傳統(tǒng)簽名的要求；3、電子簽名在傳統(tǒng)法律環(huán)境下，遇到法律問題 ： 電子簽名和數(shù)據電文是否具有法律效力在

31、已有的法律中無明文規(guī)定，客觀上阻礙了電子政務和電子商務的發(fā)展； 電子簽名的規(guī)則不明確，對電子簽名人的行為缺乏規(guī)范，發(fā)生糾紛后責任難以認定； 電子認證服務提供者的法律地位和法律責任不明確，行為不規(guī)范，認證的合法性難以保證； 電子簽名的安全性、可靠性沒有法律保障 。,加強以密碼技術為基礎的信息保護和網絡信任體系：規(guī)范和加強以身份認證、授權管理、責任認定等為主要內容的的網絡信任體系建設,信息安全保障體系建設的需要,立法過程,千呼萬喚

32、始出來 2002年4月國信辦組織起草，同年底提交國務院法制辦《電子簽章條例》。2003年國務院法制辦合同國信辦、信產部再次起草，2004月3月國務院原則通過。2004年4月6日十屆全國人大常委會第八次會議上一讀；6月21日第十次會議二讀；8月28日第十一次會議三讀通過，2005年4月1日實施。,核心內容,(一)確立了電子簽名的法律效力；(二)規(guī)范了電子簽名行為；(三)明確了認證機構的法律地位及認證程序；(四)規(guī)定了電子簽

33、名的安全保障措施；(五)明確了電子認證服務行政許可的實施機關。,概念辨析,電子簽名（electronic signature) 是指數(shù)據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據。包括數(shù)字簽名（digital signature)、電子化印章和生理特征簽名等，區(qū)別數(shù)字簽名和電子簽章。電子簽名有兩種形式存在，其一是在數(shù)據電文中所含，包含在數(shù)據電文中，可能見到也可能見不到。類似于我們在紙質文件中的某一

34、段落簽了個名字。其二是所附。即附在正文后面的，類似于我們通常在紙質文件末尾的簽名。電子簽名是一組數(shù)據，人人可為，電子郵件的簽署名字。,概念辨析,數(shù)據電文（date message) 是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。 用語與合同法對接，與電子文件（electronic document)沒有本質區(qū)別。一般來說，數(shù)據電文即為常見的電子文件。如電子文檔、表格、郵件、短信等。其他

35、 包括電子簽名人、電子簽名依賴方、電子簽名認證證書、電子簽名制作數(shù)據、電子簽名驗證數(shù)據。,電子簽名法頒布意義,《電子簽名法》通過確立電子簽名的法律效力、規(guī)范電子簽名行為、維護電子交易各方的合法權益、保障電子交易安全，為電子商務和電子政務的發(fā)展創(chuàng)造了良好的法律環(huán)境，同時也為電子認證服務業(yè)的發(fā)展提供了有力的法律保障，為我國電子政務和電子商務安全認證體系和網絡信任體系的建立奠定了堅實的法律基礎。,對今后工作的影響,將有

36、力地促進全社會信息責任意識的提高。將促進電子商務、電子政務的發(fā)展。 網上審批、電子商務、網上保單、網上教育、網上證券和網上銀行、網上通關、網上稅務、網上統(tǒng)計等。將進一步推動網上身份標識的統(tǒng)一。 將推動軟件知識產權的保護，為軟件業(yè)的發(fā)展提供了保障。,可靠電子簽名與手寫簽名或者蓋章具有同等的法律效力。 目前數(shù)字證書及其相關技術是唯一符合電子簽名法相關規(guī)定的實用技術手段。 數(shù)字證書的應用必將進一步廣泛深入

37、到電子政務、電子商務的方方面面。,小結,第三部分：電子簽名/簽章知識介紹,《中華人民共和國電子簽名法》,,確立電子簽名的法律效力電子簽名的作用：識別簽名人的身份；保證簽 名人認可文件的內容電子簽名具有與手寫簽名同等的法律效力，并規(guī)定了相應條件對數(shù)據電文作了相關規(guī)定：電子文件具有法律效力的條件、作為證據的條件等設立電子認證服務市場準入制度規(guī)定電子簽名安全保障制度,電子簽名的需求,簽名文檔的完整性、簽名人的身份認證、事后對簽名

38、的不可否認性。使用政務數(shù)字證書進行數(shù)字簽名，有多種解決方案：基于Web的簽名（對網頁提交內容進行簽名）基于Email的簽名（對電子郵件進行簽名）基于文件的簽名（對任意格式的文件整體進行電子簽名）基于特定格式文件內容的簽名（對 Word、Excel、PDF等文件中的內容進行簽名）,電子簽章技術？,電子簽章是電子簽名一種重要表現(xiàn)形式，它結合成熟的組件技術、 PKI 技術、圖像處理技術以及智能卡技術，按照一系列的標準體系，以電子形式

39、對電子文檔簽名并加蓋簽章。電子簽章是以電子形式存在，依附于電子文件并與其相關聯(lián)，可用于辨識電子文件簽署者的身份，表示簽署者同意電子文件所陳述的內容，并保證文件的完整性。電子簽名與手寫簽名和蓋章具有同等的法律效力。,電子簽章如何實現(xiàn),電子簽章是電子簽名的一種可視化表現(xiàn)形式，利用圖像處理技術將電子簽名操作轉化為與紙質文件蓋章操作相同的可視效果，同時利用電子簽名技術保障電子信息的真實性和完整性以及簽名人的不可否認性。,,電子簽章的特點,安全

40、 ：簽章不可仿造、復制，防止非法制作拷貝印章、仿造新的文件； 通用 ：提供豐富靈活的開發(fā)接口，易于與應用結合。方便 ：符合傳統(tǒng)的印章使用習慣，操作簡單；高效 ：執(zhí)行效率高且占用系統(tǒng)資源少；標準 ：嚴格遵循《中華人民共和國電子簽名法》，支持國家指定密碼算法，密碼運算在硬件介質中完成，符合國家安全標準。,電子簽章的功能,加蓋簽章 ：文檔加蓋簽章，證明簽名人的身份； 驗證簽章 ：驗證文檔簽章，證實文檔有效性； 抗抵賴 ：簽名者認可

41、所簽文檔內容，不能對簽名行為抵賴； 抗偽造 ：簽章不能通過復制或其他方式進行偽造或冒充； 抗篡改 ：文檔一旦被篡改，簽章即失效。,電子簽章分為三類,組織機構（單位）安全電子公章下屬部門內部業(yè)務專用電子印章個人安全電子名章（私章）或業(yè)務便章,處理流程,電子簽名的關鍵環(huán)節(jié),CA認證中心,客戶端,服務端,,鑒證,,鑒證,原文,數(shù)字簽名,,,,,原文,數(shù)字簽名,,,,時間: 2006-1-1 18:01:01,,,數(shù)字簽名(

42、時間戳回執(zhí)),,數(shù)字簽名(時間戳回執(zhí)),,,,1、CA中心通過嚴格的鑒證，分別給客戶/服務器頒發(fā)數(shù)字證書,,2、客戶端使用客戶端證書對原文進行數(shù)字簽名,,3、原文和數(shù)字簽名數(shù)據一起上傳服務器，服務器驗證簽名。并保留數(shù)據,,4、服務器端使用服務器證書對原文、客戶端數(shù)字簽名、以及時間信息進行數(shù)字簽名,,5、時間戳回執(zhí)返回給客戶端，客戶端進行驗證和保存,雙向抗抵賴流程（可選）,第四部分：電子簽名的責任認定,如何利用電子簽名進行責任認定,,前

43、提：電子簽名人具有合法的數(shù)字證書,,,糾紛一：客戶端抵賴,,,糾紛二：服務端抵賴,,如何利用電子簽名進行責任認定,,前提：電子簽名人具有合法的數(shù)字證書,,,證據：簽名人數(shù)字證書（通過簽名人提供或簽名中所保存）舉證流程：1、驗證證書的簽名CA是合法CA（如BJCA）2、驗證證書中內容信息指向簽名實體本人3、CA機構根據發(fā)證時的鑒證流程，提供該實體獲得證書的證據（如加蓋公章的申請表、所提供鑒證材料復印件等）4、查驗證書吊銷記錄

44、結論：證書無效：簽名都無效證書被吊銷：吊銷時間后的簽名無效,如何利用電子簽名進行責任認定,,糾紛一：客戶端抵賴,,,證據：原文數(shù)字簽名（客戶端）驗證后的數(shù)字證書（客戶端）舉證流程：1、數(shù)字證書的有效性2、根據原文和數(shù)字證書驗證數(shù)字簽名的有效性簽名有效時結論：1、客戶端簽過名，抵賴2、客戶端證書被盜用（客戶端負責）簽名無效時結論：1、原文被篡改,如何利用電子簽名進行責任認定,,糾紛二：服務器端抵賴,,,證據：原

45、文數(shù)字簽名（客戶端）時間戳回執(zhí)（服務端）驗證后的數(shù)字證書（服務端）舉證流程：1、服務端數(shù)字證書的有效性（前提）2、根據回執(zhí)信息和數(shù)字證書驗證回執(zhí)簽名的有效性3、回執(zhí)信息中時間、數(shù)字簽名等信息的有效性回執(zhí)簽名有效結論：1、服務端保存信息丟失2、服務器端證書被盜用（服務端負責）回執(zhí)簽名無效結論：1、服務器端所接收信息與此回執(zhí)信息不符,第五部分 數(shù)字證書安裝及使用（以投資網為例）,使用證書登錄,必須準備好裝有證書的

46、存儲介質；插入證書介質；輸入申請證書時獲得的證書信封密碼。 密碼驗證正確后系統(tǒng)將自動調用數(shù)字證書進行相關操作。,打開投資網站,點擊,進入證書服務與登錄頁面,,,① 將安裝光盤放入光驅中，雙擊光盤根目錄下的安裝程序“BJCA證書管理工具”：,(一)、數(shù)字證書安裝,② 安裝程序會自動運行：,③ 直至出現(xiàn)安裝成功提示：,④ 安裝完成后，桌面上會自動生成管理工具的圖標：,⑤ 將數(shù)字證書USBKey插入電腦的USB接口，

47、雙擊桌面“BJCA證書管理工具”圖標或在點擊開始菜單中的該程序；,⑥ 點擊“安裝證書”按鈕；,⑦ 選擇即將安裝的證書，點擊其前面的方框，然后點擊“安裝證書”按鈕,⑧ 安裝完成，點擊“確定”按鈕,⑨ 在證書管理工具程序主界面的右側顯示出證書信息，證明數(shù)字證書已成功安裝。,卸載安裝是指您的計算機內以前安裝過數(shù)字證書或USBKey的驅動程序，選擇“卸載管理工具及USBKey驅動”，點擊“下一步”；,(二)、卸載安裝,此時出現(xiàn)驅動程序卸載

48、界面點擊“卸載”；,如果出現(xiàn)電腦重啟提示，請選擇“現(xiàn)在重新啟動”，點擊“完成”，重啟電腦；,(三)、修改密碼,雙擊桌面“BJCA證書管理工具”圖標或點擊開始菜單中的該程序，出現(xiàn)程序主界面，點擊證書管理標簽頁的“修改密碼”按鈕,您可以修改證書密碼:,(四)、數(shù)字證書的使用,插入USBKey或刷新登錄頁面；選擇正確的登錄證書；輸入數(shù)字證書密碼；點擊提交按鈕；點擊角色確認按鈕，即可登錄到投資管理系統(tǒng)中。,使用證書登錄過程,插入USBK

49、ey,證書讀取完成以后,輸入證書密碼,確認角色,證書登錄完成,重要提示：請牢記您的數(shù)字證書密碼，如果您的密碼重試次數(shù)超過10次，智能key將被鎖死，必須拿到數(shù)字認證受理點解鎖。（數(shù)字證書的密碼即智能key的保護口令，您可以在數(shù)字證書的包裝中找到包含密碼的保密信封,請您拿到證書后盡快修改您的密碼）,數(shù)字證書的更新,一年有效期，一年后更新證書具體更新注意事項可參考證書申請聲明,(五)、電子簽章的安裝及使用,如果已經申請了單位數(shù)字證書的用

50、戶，并且在業(yè)務中需要使用電子簽章時，請先安裝BJCA電子簽章工具，將BJCA電子簽章安裝光盤放入光驅中，雙擊光盤根目錄下的安裝程序“電子簽章安裝.exe”，安裝成功即可。,電子簽章在待辦通知中的使用,① Web頁面簽章圖標,② 點擊鼠標右鍵,簽章后的待辦事宜,電子簽章在文件交換中的使用,電子簽章在項目直報中的使用,電子簽章在項目辦理中的使用,電子簽章在word文檔中的使用,,① Office Word 簽章圖標,② 點擊鼠標右鍵,電

51、子簽章后的word 文檔,點擊鼠標右鍵驗證簽章,簽章驗證,驗證成功,驗證失敗,插入一個空格后再驗證簽章,(六)、常見問題,1、什么是數(shù)字證書 ：數(shù)字證書，也稱為網絡身份證，是一個在網絡上標識某實體身份的文件。其作用類似于現(xiàn)實生活中的身份證。它可以存儲在USBKey上，也可以存儲在電腦或者其它介質中。某些軟件會通過讀取這個文件來驗證實體的身份。數(shù)字證書是由一個值得信賴的權威機構（數(shù)字證書認證中心，簡稱CA）發(fā)行，人們可以在

52、交往中用它來鑒別對方的身份和表明自身的身份。 數(shù)字證書的格式一般采用X.509國際標準；數(shù)字證書通常包括以下信息：您的公鑰您的名字和e-mail地址證書有效期證書頒發(fā)機構的名稱（例如北京數(shù)字證書認證中心）證書的序列號CA（證書頒發(fā)機構）的數(shù)字簽名,2、數(shù)字證書能做什么 ： 應用軟件、網絡和電腦可以在很多場合使用您的數(shù)字證書：加密 保護您在網絡上傳送的數(shù)據的安全性。例如，電子郵件軟件可利用郵件接收者的數(shù)

53、字證書來加密郵件內容。認證 表明和證實您的身份。例如，在現(xiàn)實生活中您到銀行進行取款等操作時，銀行會讓您出示您的身份證等其它有效證件；而在網上銀行業(yè)務中，銀行的網上系統(tǒng)則需要驗證您的數(shù)字證書。數(shù)字簽名 根據《中華人民共和國電子簽名法》，用數(shù)字證書合法實現(xiàn)的電子簽名，其法律效力等同于手寫的簽名。例如，電子簽章軟件將使用您的數(shù)字證書對您發(fā)布的文檔或其它文件進行電子簽名。,3、如果登錄時選擇證書方式無法顯示您的用戶名：關閉

54、所有瀏覽器，運行光盤下的“BJCA證書管理工具.exe” 安裝管理工具。按照首都政務通使用說明書中的步驟安裝數(shù)字證書。重新登錄即可。,4、數(shù)字證書密碼卡有什么作用： 數(shù)字證書密碼卡上的密碼是USBKey的初始密碼，也是您的證書初始密碼。 如果以后證書使用的過程中，由于密碼錯誤重試的次數(shù)太多而被鎖住，需要憑此卡上的初始密碼解鎖。,5、為什么要使用USBKey存儲數(shù)字證書？數(shù)字證書可以存儲在軟盤、光盤、IC卡中。但是軟盤易于損壞

55、，且軟盤和光盤證書的備份會導致證書容易被他人盜用，而存于IC卡中的證書使用時需要讀卡器，成本較高。使用USBKey存儲數(shù)字證書，具有攜帶方便和安全性極高的優(yōu)點。您可以將USBKey與鑰匙掛在一起，隨身攜帶；存儲在USBKey中的信息不可復制，密鑰信息不出Key，且密鑰本身不可讀，最大限度的保障了用戶的認證信息的安全性；結合密碼驗證的認證方式，實現(xiàn)了雙因素認證的高強度數(shù)字身份認證。 6、 怎樣保管數(shù)字證書？ 請您務必妥善保