電子政務(wù)網(wǎng)絡(luò)應(yīng)用安全

1、電子政務(wù)網(wǎng)絡(luò)應(yīng)用安全－數(shù)字證書(shū)及電子簽章介紹,沈穎華政單證 學(xué)號(hào)：1035000033,問(wèn)題的引出,主要內(nèi)容,第一部分：數(shù)字證書(shū)相關(guān)知識(shí)介紹第二部分：數(shù)字證書(shū)的應(yīng)用領(lǐng)域 第三部分：電子簽名相關(guān)知識(shí)介紹第四部分：電子簽名的主要作用第五部分：證書(shū)及簽章在投資網(wǎng)上的使用,第一部分 數(shù)字證書(shū)相關(guān)知識(shí)介紹,（一）、產(chǎn)生背景及PKI/CA簡(jiǎn)介（二）、網(wǎng)絡(luò)安全性及數(shù)字證書(shū)知識(shí)簡(jiǎn)介（三）、數(shù)字證書(shū)認(rèn)證中心介紹,(一)、產(chǎn)生背景

2、及PKI/CA簡(jiǎn)介,機(jī)遇當(dāng)今的時(shí)代是信息時(shí)代，政務(wù)工作也必須要適應(yīng)時(shí)代的要求。在有關(guān)部門(mén)的重視下，各級(jí)政府貫徹落實(shí)加強(qiáng)計(jì)算機(jī)信息化建設(shè)工作，利用計(jì)算機(jī)在文檔傳遞管理、網(wǎng)上報(bào)稅、網(wǎng)上銀行、項(xiàng)目直報(bào)、遠(yuǎn)程通信等工作中都應(yīng)用了計(jì)算機(jī)輔助辦公，并進(jìn)入了網(wǎng)絡(luò)信息共享的階段。,挑戰(zhàn)然而，人們?cè)诘靡嬗谛畔⒏锩鶐?lái)的新機(jī)遇，享受新技術(shù)帶來(lái)的便利的同時(shí)，也不得不面對(duì)信息安全問(wèn)題的嚴(yán)峻考驗(yàn)。通過(guò)網(wǎng)絡(luò)傳遞的信息會(huì)不會(huì)被截獲和篡改，網(wǎng)絡(luò)另一方的人的身份是

3、否真實(shí)，如何確保人們不能抵賴在網(wǎng)上所做的歷史行為，等等這些信息安全問(wèn)題已經(jīng)引起了各部門(mén)、各企業(yè)以及每個(gè)互聯(lián)網(wǎng)用戶的重視。,,在因特網(wǎng)上， 誰(shuí)也不知道你是一條狗！,網(wǎng)絡(luò)中，我如何能相信你?,網(wǎng)絡(luò)特點(diǎn) —— 開(kāi)放性及匿名性,,大家共同信任的權(quán)威機(jī)構(gòu)。,證書(shū)機(jī)構(gòu),通過(guò)數(shù)字證書(shū)把用戶的公鑰和用戶的身份進(jìn)行捆綁，從而證明公鑰持有者身份的真實(shí)性,用戶A,用戶B,CA可以擔(dān)保我的網(wǎng)上業(yè)務(wù)對(duì)方的真實(shí)身份,CA可以擔(dān)保我的網(wǎng)上業(yè)務(wù)對(duì)方的真

4、實(shí)身份,,??,CA中心,我了解用戶A我可以為他們的真實(shí)身份擔(dān)保,,,我了解用戶B我可以為他們的真實(shí)身份擔(dān)保,CA（Certificate Authority）是頒發(fā)數(shù)字證書(shū)的機(jī)構(gòu)。證書(shū)是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證明，所以證書(shū)的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性。,利用公開(kāi)密鑰理論和技術(shù)建立的提供安全服務(wù)的在線基礎(chǔ)設(shè)施。它利用加密、數(shù)字簽名、數(shù)字證書(shū)來(lái)保護(hù)應(yīng)用、通信或事務(wù)處理的安全?；诠€理論相對(duì)于傳統(tǒng)的秘密密鑰（對(duì)稱密鑰）基礎(chǔ)

5、設(shè)施如同電力基礎(chǔ)設(shè)施為家用電器提供電力一樣PKI為各種互聯(lián)網(wǎng)應(yīng)用提供安全保障,公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）,加密的工具,是通過(guò)用戶的公鑰（Public Key）和私鑰(Private Key）來(lái)實(shí)現(xiàn)的，加密、解密必須用同一個(gè)用戶的一對(duì)公鑰和私鑰來(lái)配對(duì)使用。公鑰可以告訴別人，但私鑰卻一般不能告訴別人，除非授權(quán)。就象我們的大樓一樣，大門(mén)鑰匙我們可以給各住戶，但各家自己門(mén)的鑰匙卻只能給住戶本人，不能

6、隨便給。,文件加密與數(shù)字簽名,“文件加密”與“數(shù)字簽名”雖然其過(guò)程不一樣，但原理是一樣的，大家注意理解。,文件加密原理,現(xiàn)假設(shè)有A公司的老板名叫張三，B公司的老板名叫李四，現(xiàn)張三想傳輸一個(gè)文件file bs給李四，這個(gè)文件是有關(guān)于一個(gè)合作項(xiàng)目標(biāo)書(shū)議案，屬公司機(jī)密，不能給其它人知道，而恰好有一個(gè)C公司的老板王五對(duì)A和B公司有關(guān)那項(xiàng)合作標(biāo)書(shū)非常關(guān)注，總想取得A公司的標(biāo)書(shū)議案，于是他時(shí)刻監(jiān)視他們的網(wǎng)絡(luò)通信，想如果張三通過(guò)網(wǎng)絡(luò)傳輸這份標(biāo)書(shū)議案時(shí)

7、從網(wǎng)絡(luò)上截取它。為了防止王五截取標(biāo)書(shū)議案，實(shí)現(xiàn)安全傳輸，我們可以采用以下步驟：,文件加密原理,A公司：張三,B公司：李四,C公司：王五,,文件簽名原理,數(shù)字簽名也主要是為了證明發(fā)件人身份，就象我們來(lái)看到的某文件簽名一樣，但現(xiàn)在要說(shuō)的簽名是采取數(shù)字的方式，它可以防止別人仿簽，因?yàn)榧用芎蟮暮灻妥兊妹婺咳牵瑒e人根本不可能看到真正的簽名樣子，它與前面所講的文件加密機(jī)理是一樣的，但方法不太一樣，下面介紹如下。,文件簽名原理,和文件加密所舉的例

8、子一樣，張三要在所發(fā)的文件File BS后面要加以簽名，以證明這份標(biāo)書(shū)的有效性，同樣是發(fā)給B公司的老板李四，公司C的老板王五如果想要假冒張三的簽名發(fā)另一份標(biāo)書(shū)給李四，以達(dá)到破壞A公司中標(biāo)的目的。,A公司：張三,B公司：李四,C公司：王五,,公鑰的獲取與驗(yàn)證,實(shí)際上，在張三和李四交換密鑰的過(guò)程中，王五也可以獲得他們的公鑰。那么李四怎樣區(qū)別哪一個(gè)公鑰是真正的張三的公鑰呢？李四可以到第三方發(fā)證機(jī)關(guān)證書(shū)目錄服務(wù)器上進(jìn)行查詢來(lái)辨別，就這樣王五

9、的陰謀也就不能得逞。,安全是相對(duì)的,加密后的文件在解密之前會(huì)面目全非，沒(méi)有對(duì)應(yīng)的密碼是無(wú)法進(jìn)行閱讀的，更別談修改了，況且這種密碼比一般所使用的密碼長(zhǎng)許多倍（非對(duì)稱密碼為1024位），而且是配對(duì)使用的。據(jù)專家分析用任何程序解密的可能性幾乎為零，即使能解密，也起碼要10000年，這樣的解密又有什么意義呢 ？,PKI的組成,,,,,CA/RA,目錄服務(wù),PKI-Enabled安全軟件,相關(guān)政策及程序,,PKI技術(shù)的應(yīng)用范圍,,PKI已成為

10、信息安全的核心,,,,,PKI,CA的技術(shù)框架,CA中心：證書(shū)管理中心制訂證書(shū)相關(guān)規(guī)定生成證書(shū)管理廢止證書(shū)（黑名單）更新證書(shū)目錄密鑰管理RA：管理證書(shū)受理點(diǎn)辦理和審批證書(shū)申請(qǐng)受理點(diǎn)：面向用戶辦理證書(shū)申請(qǐng),CA的服務(wù)架構(gòu),（二）、網(wǎng)絡(luò)安全性及數(shù)字證書(shū)知識(shí)簡(jiǎn)介,,安全保障體系,,,如何保障網(wǎng)絡(luò)應(yīng)用的安全性？,首先，一個(gè)安全的網(wǎng)絡(luò)保護(hù)著該網(wǎng)絡(luò)的資源。這些資源包括網(wǎng)絡(luò)的數(shù)據(jù)（不管是通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)還是存貯在媒介中的

11、數(shù)據(jù)），還包括對(duì)物理資源的訪問(wèn)權(quán)力。第二，這些資源應(yīng)該不受有意或無(wú)意的破壞。一個(gè)安全的網(wǎng)絡(luò)應(yīng)該是黑客們所破壞不了的。最后，對(duì)網(wǎng)絡(luò)資源的保護(hù)不能太強(qiáng)制和繁瑣。不能為了安全性而把系統(tǒng)設(shè)計(jì)得很復(fù)雜，以至于被授權(quán)的人不能以一種簡(jiǎn)單的方式來(lái)訪問(wèn)這些資源。,綜上所述，網(wǎng)絡(luò)安全可以定義為： 一些保護(hù)重要信息的手段和措施，使之免受蓄意的和無(wú)意的破壞。而且這些手段和措施的實(shí)現(xiàn)不應(yīng)給已授權(quán)的用戶在訪問(wèn)這些信息時(shí)造成任何影響。,網(wǎng)絡(luò)安全必須達(dá)到

12、幾條基本的要求：,（1）我們必須確保數(shù)據(jù)能夠保持私有或保存為一個(gè)秘密的格式。我們稱之為“機(jī)密性”。 （2）我們需要一種授權(quán)方式，使需要它的人可以訪問(wèn)那些私有的或秘密的數(shù)據(jù)。這叫“訪問(wèn)控制”。 （3）當(dāng)你在處理電子交易的時(shí)候。例如，假設(shè)你對(duì)銀行發(fā)出一個(gè)要求說(shuō)將100美元在兩個(gè)帳戶之間轉(zhuǎn)移。銀行必須能夠確信他們收到的正是你所發(fā)出的。這稱之為“完整性”。,（4）跟完整性一樣重要的是，銀行要能夠證實(shí)是你要求轉(zhuǎn)帳。這稱之為“真實(shí)性”。 （5

13、）用這個(gè)相同的例子，這個(gè)處理你的要求的銀行要有能力讓你對(duì)你的要求負(fù)責(zé)，這一點(diǎn)至關(guān)重要。如果你要求轉(zhuǎn)帳100美元，你不能事后否認(rèn)你發(fā)出過(guò)這個(gè)要求。這稱之為“不可抵賴性”。,把機(jī)密性，訪問(wèn)控制、完整性、真實(shí)性和不可抵賴性結(jié)合起來(lái)，就組成了一個(gè)具有很高程度的網(wǎng)絡(luò)安全。 解決之道就是數(shù)字證書(shū)。,什么是數(shù)字證書(shū)？,數(shù)字證書(shū)是是一個(gè)經(jīng)數(shù)字證書(shū)認(rèn)證中心(CA認(rèn)證中心)數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰等信息的具有X.50

14、9格式編碼的文件。 通俗地講，數(shù)字證書(shū)就是個(gè)人、單位或服務(wù)器在網(wǎng)絡(luò)上的身份證，又稱為數(shù)字ID，在網(wǎng)上事務(wù)的各個(gè)環(huán)節(jié)，參與各方都需驗(yàn)證對(duì)方證書(shū)的有效性，從而解決相互間的信任問(wèn)題。,數(shù)字證書(shū)是由公證、權(quán)威的第三方CA中心簽發(fā)的，以數(shù)字證書(shū)為核心的密碼技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性和行為的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。,數(shù)字證書(shū)的組成,數(shù)字

15、證書(shū)分類,證書(shū)存儲(chǔ)介質(zhì):磁盤(pán)、IC卡、USB KEY等理想介質(zhì)USB KEY：私鑰不可讀:只能在滿足條件時(shí)使用，由KEY的軟硬件設(shè)計(jì)保障KEY內(nèi)簽名、驗(yàn)證: 私鑰的使用也在KEY內(nèi)，不存在傳輸中私鑰泄露的可能性KEY內(nèi)生成RSA密鑰對(duì):并能直接存于KEY內(nèi)，從而從源頭上杜絕泄露的可能性使用方便:可以在任何接有讀寫(xiě)器（或USB接口）的PC上使用,,,單位證書(shū),頒發(fā)給獨(dú)立的單位、組織，在互聯(lián)網(wǎng)上證明該單位、組織的身份

16、。單位數(shù)字證書(shū)根據(jù)各個(gè)單位的不同需要，可以分為單位證書(shū)和單位員工證書(shū)。單位證書(shū)對(duì)外代表整個(gè)單位，單位員工證書(shū)對(duì)外代表單位中具體的某一位員工。,服務(wù)器證書(shū),主要頒發(fā)給Web站點(diǎn)或其他需要安全鑒別的服務(wù)器，證明服務(wù)器的身份信息。服務(wù)器數(shù)字證書(shū)支持目前主流的Web Server，包括但不限于：IIS、Lotus Domino、Apache、iPlant等Web服務(wù)器?？纱娣庞诜?wù)器硬盤(pán)或加密硬件設(shè)備上。,數(shù)字證書(shū)生命周期,用戶證書(shū)：1

17、、申請(qǐng) .獲取2、更新 .有效期3、撤銷 .密鑰泄漏,(三)、數(shù)字證書(shū)認(rèn)證中心介紹,數(shù)字證書(shū)的權(quán)威性取決于其頒發(fā)機(jī)構(gòu)的權(quán)威性,基本情況,必須使用獲得信息產(chǎn)業(yè)部批準(zhǔn)的認(rèn)證中心。自《中華人民共和國(guó)電子簽名法》實(shí)施一周年以來(lái)，獲得國(guó)家電子認(rèn)證服務(wù)許可證的17家認(rèn)證機(jī)構(gòu)已經(jīng)發(fā)出了近260萬(wàn)張電子證書(shū)。依照電子簽名法規(guī)定，只有擁有許可證的電子認(rèn)證機(jī)構(gòu)才能提供電子簽名認(rèn)證服務(wù)。我國(guó)目前的140余家電子簽名認(rèn)證

18、服務(wù)機(jī)構(gòu)中，僅17家擁有國(guó)家電子認(rèn)證服務(wù)許可證，其余的120余家尚未經(jīng)認(rèn)證。,發(fā)展方向,——作為信息化安全基礎(chǔ)設(shè)施、為全省各行各業(yè)提供信任與認(rèn)證服務(wù),國(guó)家PKI互聯(lián)工程,,,北京CA,中國(guó)電信,CA,福建,CA,上海CA,,,,,,BCA,吉大正元體系,,,吉林,CA,與各PKI體系廣泛合作，實(shí)現(xiàn) 一證在手，走遍天下,天津CA,,證書(shū)軟件產(chǎn)品一覽圖,,數(shù)字北京安全工程,認(rèn)證中心CA系統(tǒng)/KM系統(tǒng),,,

19、,,,,WEB安全通信系統(tǒng),統(tǒng)一認(rèn)證管理系統(tǒng),電子簽章管理系統(tǒng),安全電子郵件系統(tǒng),安全站點(diǎn)系統(tǒng),證書(shū)應(yīng)用引擎,證書(shū)應(yīng)用體系,證書(shū)發(fā)放體系,,地稅RA,中心RA,銀行RA,遍布各地的受理點(diǎn),小結(jié),PKI是構(gòu)建安全信任體系的基礎(chǔ)CA中心只是一個(gè)證書(shū)發(fā)放體系基于應(yīng)用驅(qū)動(dòng)的證書(shū)應(yīng)用體系,第二部分 數(shù)字證書(shū)的應(yīng)用領(lǐng)域,（一）、數(shù)字證書(shū)解決的安全問(wèn)題（二）、數(shù)字證書(shū)的應(yīng)用領(lǐng)域（三）、電子簽名法對(duì)數(shù)字證書(shū)應(yīng)用的推動(dòng),（一）、數(shù)字證書(shū)解

20、決的安全問(wèn)題,來(lái)自網(wǎng)絡(luò)的風(fēng)險(xiǎn),竊聽(tīng)單位秘密文件被竊取個(gè)人安全信息被竊取偽裝假冒真正的服務(wù)器假冒真正的用戶篡改信息被修改抵賴否認(rèn)其行為,網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)——行為抵賴,,業(yè)務(wù)系統(tǒng),最終用戶A,Internet,A于2005年11月25日下午3點(diǎn)整轉(zhuǎn)帳100萬(wàn)到 B 賬戶,,A：我沒(méi)有做過(guò)，是你們搞錯(cuò)了！說(shuō)不定還可能是系統(tǒng)管理員干的呢。,,Web服務(wù)器,信息的私密性(Privacy)數(shù)據(jù)加密 信息的完整性(Integri

21、ty)數(shù)字簽名 信息的源發(fā)鑒別(Authentication)—身份認(rèn)證數(shù)字簽名 + 數(shù)據(jù)加密 信息的防抵賴性(Non-Reputation)數(shù)字簽名,數(shù)字證書(shū)解決的安全要素,,各種安全技術(shù)比較,,,,,身份鑒別,機(jī)密性,完整性,抗抵賴,口令,動(dòng)態(tài)口令,密碼技術(shù),數(shù)字證書(shū),,ü,ü,ü,ü,ü,ü,ü,ü,,,,,ü,電子政務(wù)、電子

22、商務(wù)的安全支柱,,安全設(shè)施,安全策略,,,,,保密性,身份鑒別,授權(quán),數(shù)據(jù)完整性,抗抵賴,可靠的電子政務(wù)、電子商務(wù),技術(shù),管理,,數(shù)字證書(shū),（二）、數(shù)字證書(shū)的應(yīng)用領(lǐng)域,身份管理——身份認(rèn)證,使用數(shù)字證書(shū)技術(shù)認(rèn)證身份 技術(shù)相對(duì)成熟 應(yīng)用發(fā)展迅速 新的發(fā)展： 無(wú)線設(shè)備：WPKI 與XML結(jié)合：XKMS,身份管理——授權(quán)與訪問(wèn)控制,使用數(shù)字證書(shū)技術(shù)確定和傳遞屬性與權(quán)限 SSO SAML / XACML

23、 AA / AC Liberty / Passport 應(yīng)用的復(fù)雜性和關(guān)聯(lián)性,訪問(wèn)安全,使用數(shù)字證書(shū)技術(shù)構(gòu)筑安全的訪問(wèn)通道 Web ：SSL/ TLS IPSec VPN：安全的網(wǎng)絡(luò)互聯(lián) SSL VPN：遠(yuǎn)程訪問(wèn) 無(wú)線應(yīng)用：WAP/WTLS 與身份管理的結(jié)合,內(nèi)容安全,使用數(shù)字證書(shū)技術(shù)對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行保護(hù) 郵件應(yīng)用：S/MIME 網(wǎng)上交易：電子表單 桌面：文件/目錄/應(yīng)用軟件,內(nèi)容安全,數(shù)字證書(shū)技

24、術(shù)與XML技術(shù)的結(jié)合，保護(hù)XML應(yīng)用數(shù)據(jù)的安全 XML Signature XML Encryption WS-Security XKMS 新的應(yīng)用模式，與安全緊密結(jié)合,與應(yīng)用更加緊密的結(jié)合,身份管理的整合 真正的“基礎(chǔ)設(shè)施” 網(wǎng)絡(luò)信任體系 成為應(yīng)用的一個(gè)部分,四川省電子政務(wù)網(wǎng)絡(luò)的設(shè)計(jì)問(wèn)題,政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)政務(wù)外網(wǎng)劃分為三個(gè)邏輯隔離的網(wǎng)絡(luò),完全可以使用證書(shū)來(lái)解決不同應(yīng)用的訪問(wèn)安全問(wèn)題,幾種典型的應(yīng)用方案

25、,,（1）Web應(yīng)用安全解決方案,為Web服務(wù)器頒發(fā)證書(shū)，驗(yàn)證服務(wù)器端的身份為用戶頒發(fā)證書(shū)，驗(yàn)證最終用戶的身份服務(wù)器與用戶之間通過(guò)認(rèn)證協(xié)議，相互認(rèn)證采用數(shù)字證書(shū)對(duì)傳輸數(shù)據(jù)進(jìn)行加密、簽名處理,CA認(rèn)證中心,,Web服務(wù)器,業(yè)務(wù)系統(tǒng),最終用戶,Internet,,是發(fā)放給互聯(lián)網(wǎng)站的數(shù)字證書(shū)。 作用：實(shí)現(xiàn)了網(wǎng)站服務(wù)器的身份認(rèn)證，解決了網(wǎng)站訪問(wèn)中網(wǎng)絡(luò)釣魚(yú)、竊聽(tīng)、篡改等安全問(wèn)題。 實(shí)現(xiàn)：通過(guò)在Web服務(wù)器中配置服務(wù)器證書(shū)，在瀏覽

26、器和服務(wù)器之間建立了SSL安全通道。使用服務(wù)器證書(shū)后，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?，確保了網(wǎng)站身份的真實(shí)性，提高了網(wǎng)站的公信度。,web服務(wù)器證書(shū),加密套接字層協(xié)議（SSL）,Web服務(wù)器,最終用戶,,,,,我是網(wǎng)銀服務(wù)器，這是我的證書(shū),我是網(wǎng)銀用戶，這是我的證書(shū)（可選）,hello,交換密鑰建立SSL通道,客戶端證書(shū)驗(yàn)證,服務(wù)器端證書(shū)驗(yàn)證,,1011 0110001 10101 00110110101,SSL所實(shí)現(xiàn)的安全：相互身

27、份鑒別信息加密安全傳輸中的數(shù)據(jù)完整性,加密的應(yīng)用數(shù)據(jù),（2）統(tǒng)一認(rèn)證、單點(diǎn)登錄,（3）電子簽章,電子簽名的可視化表示保證文檔完整性、不可否認(rèn)性又符合人們?nèi)粘＾k公習(xí)慣,（4）SSL VPN,實(shí)現(xiàn)遠(yuǎn)程安全接入訪問(wèn),（5）郵件安全解決方案,為通信雙方簽發(fā)數(shù)字證書(shū)通信雙方使用證書(shū)進(jìn)行加密和簽名的電子郵件防止被第三方截取、閱讀身份認(rèn)證，防止被假冒防止被篡改,,Internet,發(fā)信人,收信人,CA認(rèn)證中心,（6）代碼下載的安全問(wèn)題

28、,網(wǎng)上直報(bào)、網(wǎng)上銀行、網(wǎng)上證券等越來(lái)越多應(yīng)用通過(guò)Web平臺(tái)實(shí)現(xiàn)，許多代碼通過(guò)網(wǎng)絡(luò)，以ActiveX控件的形式發(fā)布。用戶使用瀏覽器下載這些代碼時(shí)，面臨極大的風(fēng)險(xiǎn)。不明身份的代碼的威脅是誰(shuí)發(fā)布的這個(gè)代碼？微軟或黑客發(fā)布后這代碼被修改過(guò)么？病毒或木馬,代碼安全的解決方案,是誰(shuí)發(fā)布的這個(gè)代碼？由可信第三方CA鑒證軟件開(kāi)發(fā)商身份，簽發(fā)代碼簽名數(shù)字證書(shū)完整可靠的鑒證機(jī)制使黑客無(wú)法得到公信的證書(shū)發(fā)布后這代碼被修改過(guò)么？由軟件開(kāi)發(fā)商為自己

29、的代碼進(jìn)行數(shù)字簽名，保證發(fā)布后第三方無(wú)法修改客戶端下載代碼時(shí)，會(huì)自動(dòng)驗(yàn)證證書(shū)及數(shù)字簽名確認(rèn)由代碼由可信的廠商發(fā)布，并且發(fā)布后未被篡改,小結(jié),系統(tǒng)登錄的身份認(rèn)證： 系統(tǒng)的首要安全需求。系統(tǒng)用戶不僅僅是內(nèi)部的工作人員，而且也包含分布全分支的機(jī)構(gòu)的工作人員，因此為確保系統(tǒng)訪問(wèn)的安全性，必須要對(duì)用戶身份的真實(shí)性進(jìn)行有效鑒別。重要信息的數(shù)字簽名： 需要對(duì)用戶信息進(jìn)行針對(duì)性安全保護(hù)，通過(guò)數(shù)字簽名機(jī)制確保其在傳輸過(guò)程中完整性，保證重要信息能完整

30、一致的下達(dá)到相關(guān)工作人員。重要信息的機(jī)密保護(hù)： 鑒于網(wǎng)絡(luò)的開(kāi)放性，防止信息在傳輸過(guò)程中被竊聽(tīng)與盜用，使用數(shù)字信封技術(shù)對(duì)使用需保護(hù)的機(jī)密信息進(jìn)行加密保護(hù)。,(三)、電子簽名法對(duì)數(shù)字證書(shū)應(yīng)用的推動(dòng),立法必要性,1、我國(guó)電子政務(wù)和電子商務(wù)的發(fā)展，提出了建立有效的身份認(rèn)證機(jī)制和責(zé)任認(rèn)定機(jī)制的需求；2、一些實(shí)現(xiàn)電子簽名的技術(shù)已能達(dá)到法律對(duì)傳統(tǒng)簽名的要求；3、電子簽名在傳統(tǒng)法律環(huán)境下，遇到法律問(wèn)題 ： 電子簽名和數(shù)據(jù)電文是否具有法律效力在

31、已有的法律中無(wú)明文規(guī)定，客觀上阻礙了電子政務(wù)和電子商務(wù)的發(fā)展； 電子簽名的規(guī)則不明確，對(duì)電子簽名人的行為缺乏規(guī)范，發(fā)生糾紛后責(zé)任難以認(rèn)定； 電子認(rèn)證服務(wù)提供者的法律地位和法律責(zé)任不明確，行為不規(guī)范，認(rèn)證的合法性難以保證； 電子簽名的安全性、可靠性沒(méi)有法律保障 。,加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系：規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的的網(wǎng)絡(luò)信任體系建設(shè),信息安全保障體系建設(shè)的需要,立法過(guò)程,千呼萬(wàn)喚

32、始出來(lái) 2002年4月國(guó)信辦組織起草，同年底提交國(guó)務(wù)院法制辦《電子簽章條例》。2003年國(guó)務(wù)院法制辦合同國(guó)信辦、信產(chǎn)部再次起草，2004月3月國(guó)務(wù)院原則通過(guò)。2004年4月6日十屆全國(guó)人大常委會(huì)第八次會(huì)議上一讀；6月21日第十次會(huì)議二讀；8月28日第十一次會(huì)議三讀通過(guò)，2005年4月1日實(shí)施。,核心內(nèi)容,(一)確立了電子簽名的法律效力；(二)規(guī)范了電子簽名行為；(三)明確了認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序；(四)規(guī)定了電子簽

33、名的安全保障措施；(五)明確了電子認(rèn)證服務(wù)行政許可的實(shí)施機(jī)關(guān)。,概念辨析,電子簽名（electronic signature) 是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。包括數(shù)字簽名（digital signature)、電子化印章和生理特征簽名等，區(qū)別數(shù)字簽名和電子簽章。電子簽名有兩種形式存在，其一是在數(shù)據(jù)電文中所含，包含在數(shù)據(jù)電文中，可能見(jiàn)到也可能見(jiàn)不到。類似于我們?cè)诩堎|(zhì)文件中的某一

34、段落簽了個(gè)名字。其二是所附。即附在正文后面的，類似于我們通常在紙質(zhì)文件末尾的簽名。電子簽名是一組數(shù)據(jù)，人人可為，電子郵件的簽署名字。,概念辨析,數(shù)據(jù)電文（date message) 是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。 用語(yǔ)與合同法對(duì)接，與電子文件（electronic document)沒(méi)有本質(zhì)區(qū)別。一般來(lái)說(shuō)，數(shù)據(jù)電文即為常見(jiàn)的電子文件。如電子文檔、表格、郵件、短信等。其他

35、 包括電子簽名人、電子簽名依賴方、電子簽名認(rèn)證證書(shū)、電子簽名制作數(shù)據(jù)、電子簽名驗(yàn)證數(shù)據(jù)。,電子簽名法頒布意義,《電子簽名法》通過(guò)確立電子簽名的法律效力、規(guī)范電子簽名行為、維護(hù)電子交易各方的合法權(quán)益、保障電子交易安全，為電子商務(wù)和電子政務(wù)的發(fā)展創(chuàng)造了良好的法律環(huán)境，同時(shí)也為電子認(rèn)證服務(wù)業(yè)的發(fā)展提供了有力的法律保障，為我國(guó)電子政務(wù)和電子商務(wù)安全認(rèn)證體系和網(wǎng)絡(luò)信任體系的建立奠定了堅(jiān)實(shí)的法律基礎(chǔ)。,對(duì)今后工作的影響,將有

36、力地促進(jìn)全社會(huì)信息責(zé)任意識(shí)的提高。將促進(jìn)電子商務(wù)、電子政務(wù)的發(fā)展。 網(wǎng)上審批、電子商務(wù)、網(wǎng)上保單、網(wǎng)上教育、網(wǎng)上證券和網(wǎng)上銀行、網(wǎng)上通關(guān)、網(wǎng)上稅務(wù)、網(wǎng)上統(tǒng)計(jì)等。將進(jìn)一步推動(dòng)網(wǎng)上身份標(biāo)識(shí)的統(tǒng)一。 將推動(dòng)軟件知識(shí)產(chǎn)權(quán)的保護(hù)，為軟件業(yè)的發(fā)展提供了保障。,可靠電子簽名與手寫(xiě)簽名或者蓋章具有同等的法律效力。 目前數(shù)字證書(shū)及其相關(guān)技術(shù)是唯一符合電子簽名法相關(guān)規(guī)定的實(shí)用技術(shù)手段。 數(shù)字證書(shū)的應(yīng)用必將進(jìn)一步廣泛深入

37、到電子政務(wù)、電子商務(wù)的方方面面。,小結(jié),第三部分：電子簽名/簽章知識(shí)介紹,《中華人民共和國(guó)電子簽名法》,,確立電子簽名的法律效力電子簽名的作用：識(shí)別簽名人的身份；保證簽 名人認(rèn)可文件的內(nèi)容電子簽名具有與手寫(xiě)簽名同等的法律效力，并規(guī)定了相應(yīng)條件對(duì)數(shù)據(jù)電文作了相關(guān)規(guī)定：電子文件具有法律效力的條件、作為證據(jù)的條件等設(shè)立電子認(rèn)證服務(wù)市場(chǎng)準(zhǔn)入制度規(guī)定電子簽名安全保障制度,電子簽名的需求,簽名文檔的完整性、簽名人的身份認(rèn)證、事后對(duì)簽名

38、的不可否認(rèn)性。使用政務(wù)數(shù)字證書(shū)進(jìn)行數(shù)字簽名，有多種解決方案：基于Web的簽名（對(duì)網(wǎng)頁(yè)提交內(nèi)容進(jìn)行簽名）基于Email的簽名（對(duì)電子郵件進(jìn)行簽名）基于文件的簽名（對(duì)任意格式的文件整體進(jìn)行電子簽名）基于特定格式文件內(nèi)容的簽名（對(duì) Word、Excel、PDF等文件中的內(nèi)容進(jìn)行簽名）,電子簽章技術(shù)？,電子簽章是電子簽名一種重要表現(xiàn)形式，它結(jié)合成熟的組件技術(shù)、 PKI 技術(shù)、圖像處理技術(shù)以及智能卡技術(shù)，按照一系列的標(biāo)準(zhǔn)體系，以電子形式

39、對(duì)電子文檔簽名并加蓋簽章。電子簽章是以電子形式存在，依附于電子文件并與其相關(guān)聯(lián)，可用于辨識(shí)電子文件簽署者的身份，表示簽署者同意電子文件所陳述的內(nèi)容，并保證文件的完整性。電子簽名與手寫(xiě)簽名和蓋章具有同等的法律效力。,電子簽章如何實(shí)現(xiàn),電子簽章是電子簽名的一種可視化表現(xiàn)形式，利用圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視效果，同時(shí)利用電子簽名技術(shù)保障電子信息的真實(shí)性和完整性以及簽名人的不可否認(rèn)性。,,電子簽章的特點(diǎn),安全

40、 ：簽章不可仿造、復(fù)制，防止非法制作拷貝印章、仿造新的文件； 通用 ：提供豐富靈活的開(kāi)發(fā)接口，易于與應(yīng)用結(jié)合。方便 ：符合傳統(tǒng)的印章使用習(xí)慣，操作簡(jiǎn)單；高效 ：執(zhí)行效率高且占用系統(tǒng)資源少；標(biāo)準(zhǔn) ：嚴(yán)格遵循《中華人民共和國(guó)電子簽名法》，支持國(guó)家指定密碼算法，密碼運(yùn)算在硬件介質(zhì)中完成，符合國(guó)家安全標(biāo)準(zhǔn)。,電子簽章的功能,加蓋簽章 ：文檔加蓋簽章，證明簽名人的身份； 驗(yàn)證簽章 ：驗(yàn)證文檔簽章，證實(shí)文檔有效性； 抗抵賴 ：簽名者認(rèn)可

41、所簽文檔內(nèi)容，不能對(duì)簽名行為抵賴； 抗偽造 ：簽章不能通過(guò)復(fù)制或其他方式進(jìn)行偽造或冒充； 抗篡改 ：文檔一旦被篡改，簽章即失效。,電子簽章分為三類,組織機(jī)構(gòu)（單位）安全電子公章下屬部門(mén)內(nèi)部業(yè)務(wù)專用電子印章個(gè)人安全電子名章（私章）或業(yè)務(wù)便章,處理流程,電子簽名的關(guān)鍵環(huán)節(jié),CA認(rèn)證中心,客戶端,服務(wù)端,,鑒證,,鑒證,原文,數(shù)字簽名,,,,,原文,數(shù)字簽名,,,,時(shí)間: 2006-1-1 18:01:01,,,數(shù)字簽名(

42、時(shí)間戳回執(zhí)),,數(shù)字簽名(時(shí)間戳回執(zhí)),,,,1、CA中心通過(guò)嚴(yán)格的鑒證，分別給客戶/服務(wù)器頒發(fā)數(shù)字證書(shū),,2、客戶端使用客戶端證書(shū)對(duì)原文進(jìn)行數(shù)字簽名,,3、原文和數(shù)字簽名數(shù)據(jù)一起上傳服務(wù)器，服務(wù)器驗(yàn)證簽名。并保留數(shù)據(jù),,4、服務(wù)器端使用服務(wù)器證書(shū)對(duì)原文、客戶端數(shù)字簽名、以及時(shí)間信息進(jìn)行數(shù)字簽名,,5、時(shí)間戳回執(zhí)返回給客戶端，客戶端進(jìn)行驗(yàn)證和保存,雙向抗抵賴流程（可選）,第四部分：電子簽名的責(zé)任認(rèn)定,如何利用電子簽名進(jìn)行責(zé)任認(rèn)定,,前

43、提：電子簽名人具有合法的數(shù)字證書(shū),,,糾紛一：客戶端抵賴,,,糾紛二：服務(wù)端抵賴,,如何利用電子簽名進(jìn)行責(zé)任認(rèn)定,,前提：電子簽名人具有合法的數(shù)字證書(shū),,,證據(jù)：簽名人數(shù)字證書(shū)（通過(guò)簽名人提供或簽名中所保存）舉證流程：1、驗(yàn)證證書(shū)的簽名CA是合法CA（如BJCA）2、驗(yàn)證證書(shū)中內(nèi)容信息指向簽名實(shí)體本人3、CA機(jī)構(gòu)根據(jù)發(fā)證時(shí)的鑒證流程，提供該實(shí)體獲得證書(shū)的證據(jù)（如加蓋公章的申請(qǐng)表、所提供鑒證材料復(fù)印件等）4、查驗(yàn)證書(shū)吊銷記錄

44、結(jié)論：證書(shū)無(wú)效：簽名都無(wú)效證書(shū)被吊銷：吊銷時(shí)間后的簽名無(wú)效,如何利用電子簽名進(jìn)行責(zé)任認(rèn)定,,糾紛一：客戶端抵賴,,,證據(jù)：原文數(shù)字簽名（客戶端）驗(yàn)證后的數(shù)字證書(shū)（客戶端）舉證流程：1、數(shù)字證書(shū)的有效性2、根據(jù)原文和數(shù)字證書(shū)驗(yàn)證數(shù)字簽名的有效性簽名有效時(shí)結(jié)論：1、客戶端簽過(guò)名，抵賴2、客戶端證書(shū)被盜用（客戶端負(fù)責(zé)）簽名無(wú)效時(shí)結(jié)論：1、原文被篡改,如何利用電子簽名進(jìn)行責(zé)任認(rèn)定,,糾紛二：服務(wù)器端抵賴,,,證據(jù)：原

45、文數(shù)字簽名（客戶端）時(shí)間戳回執(zhí)（服務(wù)端）驗(yàn)證后的數(shù)字證書(shū)（服務(wù)端）舉證流程：1、服務(wù)端數(shù)字證書(shū)的有效性（前提）2、根據(jù)回執(zhí)信息和數(shù)字證書(shū)驗(yàn)證回執(zhí)簽名的有效性3、回執(zhí)信息中時(shí)間、數(shù)字簽名等信息的有效性回執(zhí)簽名有效結(jié)論：1、服務(wù)端保存信息丟失2、服務(wù)器端證書(shū)被盜用（服務(wù)端負(fù)責(zé)）回執(zhí)簽名無(wú)效結(jié)論：1、服務(wù)器端所接收信息與此回執(zhí)信息不符,第五部分 數(shù)字證書(shū)安裝及使用（以投資網(wǎng)為例）,使用證書(shū)登錄,必須準(zhǔn)備好裝有證書(shū)的

46、存儲(chǔ)介質(zhì)；插入證書(shū)介質(zhì)；輸入申請(qǐng)證書(shū)時(shí)獲得的證書(shū)信封密碼。 密碼驗(yàn)證正確后系統(tǒng)將自動(dòng)調(diào)用數(shù)字證書(shū)進(jìn)行相關(guān)操作。,打開(kāi)投資網(wǎng)站,點(diǎn)擊,進(jìn)入證書(shū)服務(wù)與登錄頁(yè)面,,,① 將安裝光盤(pán)放入光驅(qū)中，雙擊光盤(pán)根目錄下的安裝程序“BJCA證書(shū)管理工具”：,(一)、數(shù)字證書(shū)安裝,② 安裝程序會(huì)自動(dòng)運(yùn)行：,③ 直至出現(xiàn)安裝成功提示：,④ 安裝完成后，桌面上會(huì)自動(dòng)生成管理工具的圖標(biāo)：,⑤ 將數(shù)字證書(shū)USBKey插入電腦的USB接口，

47、雙擊桌面“BJCA證書(shū)管理工具”圖標(biāo)或在點(diǎn)擊開(kāi)始菜單中的該程序；,⑥ 點(diǎn)擊“安裝證書(shū)”按鈕；,⑦ 選擇即將安裝的證書(shū)，點(diǎn)擊其前面的方框，然后點(diǎn)擊“安裝證書(shū)”按鈕,⑧ 安裝完成，點(diǎn)擊“確定”按鈕,⑨ 在證書(shū)管理工具程序主界面的右側(cè)顯示出證書(shū)信息，證明數(shù)字證書(shū)已成功安裝。,卸載安裝是指您的計(jì)算機(jī)內(nèi)以前安裝過(guò)數(shù)字證書(shū)或USBKey的驅(qū)動(dòng)程序，選擇“卸載管理工具及USBKey驅(qū)動(dòng)”，點(diǎn)擊“下一步”；,(二)、卸載安裝,此時(shí)出現(xiàn)驅(qū)動(dòng)程序卸載

48、界面點(diǎn)擊“卸載”；,如果出現(xiàn)電腦重啟提示，請(qǐng)選擇“現(xiàn)在重新啟動(dòng)”，點(diǎn)擊“完成”，重啟電腦；,(三)、修改密碼,雙擊桌面“BJCA證書(shū)管理工具”圖標(biāo)或點(diǎn)擊開(kāi)始菜單中的該程序，出現(xiàn)程序主界面，點(diǎn)擊證書(shū)管理標(biāo)簽頁(yè)的“修改密碼”按鈕,您可以修改證書(shū)密碼:,(四)、數(shù)字證書(shū)的使用,插入U(xiǎn)SBKey或刷新登錄頁(yè)面；選擇正確的登錄證書(shū)；輸入數(shù)字證書(shū)密碼；點(diǎn)擊提交按鈕；點(diǎn)擊角色確認(rèn)按鈕，即可登錄到投資管理系統(tǒng)中。,使用證書(shū)登錄過(guò)程,插入U(xiǎn)SBK

49、ey,證書(shū)讀取完成以后,輸入證書(shū)密碼,確認(rèn)角色,證書(shū)登錄完成,重要提示：請(qǐng)牢記您的數(shù)字證書(shū)密碼，如果您的密碼重試次數(shù)超過(guò)10次，智能key將被鎖死，必須拿到數(shù)字認(rèn)證受理點(diǎn)解鎖。（數(shù)字證書(shū)的密碼即智能key的保護(hù)口令，您可以在數(shù)字證書(shū)的包裝中找到包含密碼的保密信封,請(qǐng)您拿到證書(shū)后盡快修改您的密碼）,數(shù)字證書(shū)的更新,一年有效期，一年后更新證書(shū)具體更新注意事項(xiàng)可參考證書(shū)申請(qǐng)聲明,(五)、電子簽章的安裝及使用,如果已經(jīng)申請(qǐng)了單位數(shù)字證書(shū)的用

50、戶，并且在業(yè)務(wù)中需要使用電子簽章時(shí)，請(qǐng)先安裝BJCA電子簽章工具，將BJCA電子簽章安裝光盤(pán)放入光驅(qū)中，雙擊光盤(pán)根目錄下的安裝程序“電子簽章安裝.exe”，安裝成功即可。,電子簽章在待辦通知中的使用,① Web頁(yè)面簽章圖標(biāo),② 點(diǎn)擊鼠標(biāo)右鍵,簽章后的待辦事宜,電子簽章在文件交換中的使用,電子簽章在項(xiàng)目直報(bào)中的使用,電子簽章在項(xiàng)目辦理中的使用,電子簽章在word文檔中的使用,,① Office Word 簽章圖標(biāo),② 點(diǎn)擊鼠標(biāo)右鍵,電

51、子簽章后的word 文檔,點(diǎn)擊鼠標(biāo)右鍵驗(yàn)證簽章,簽章驗(yàn)證,驗(yàn)證成功,驗(yàn)證失敗,插入一個(gè)空格后再驗(yàn)證簽章,(六)、常見(jiàn)問(wèn)題,1、什么是數(shù)字證書(shū) ：數(shù)字證書(shū)，也稱為網(wǎng)絡(luò)身份證，是一個(gè)在網(wǎng)絡(luò)上標(biāo)識(shí)某實(shí)體身份的文件。其作用類似于現(xiàn)實(shí)生活中的身份證。它可以存儲(chǔ)在USBKey上，也可以存儲(chǔ)在電腦或者其它介質(zhì)中。某些軟件會(huì)通過(guò)讀取這個(gè)文件來(lái)驗(yàn)證實(shí)體的身份。數(shù)字證書(shū)是由一個(gè)值得信賴的權(quán)威機(jī)構(gòu)（數(shù)字證書(shū)認(rèn)證中心，簡(jiǎn)稱CA）發(fā)行，人們可以在

52、交往中用它來(lái)鑒別對(duì)方的身份和表明自身的身份。 數(shù)字證書(shū)的格式一般采用X.509國(guó)際標(biāo)準(zhǔn)；數(shù)字證書(shū)通常包括以下信息：您的公鑰您的名字和e-mail地址證書(shū)有效期證書(shū)頒發(fā)機(jī)構(gòu)的名稱（例如北京數(shù)字證書(shū)認(rèn)證中心）證書(shū)的序列號(hào)CA（證書(shū)頒發(fā)機(jī)構(gòu)）的數(shù)字簽名,2、數(shù)字證書(shū)能做什么 ： 應(yīng)用軟件、網(wǎng)絡(luò)和電腦可以在很多場(chǎng)合使用您的數(shù)字證書(shū)：加密 保護(hù)您在網(wǎng)絡(luò)上傳送的數(shù)據(jù)的安全性。例如，電子郵件軟件可利用郵件接收者的數(shù)

53、字證書(shū)來(lái)加密郵件內(nèi)容。認(rèn)證 表明和證實(shí)您的身份。例如，在現(xiàn)實(shí)生活中您到銀行進(jìn)行取款等操作時(shí)，銀行會(huì)讓您出示您的身份證等其它有效證件；而在網(wǎng)上銀行業(yè)務(wù)中，銀行的網(wǎng)上系統(tǒng)則需要驗(yàn)證您的數(shù)字證書(shū)。數(shù)字簽名 根據(jù)《中華人民共和國(guó)電子簽名法》，用數(shù)字證書(shū)合法實(shí)現(xiàn)的電子簽名，其法律效力等同于手寫(xiě)的簽名。例如，電子簽章軟件將使用您的數(shù)字證書(shū)對(duì)您發(fā)布的文檔或其它文件進(jìn)行電子簽名。,3、如果登錄時(shí)選擇證書(shū)方式無(wú)法顯示您的用戶名：關(guān)閉

54、所有瀏覽器，運(yùn)行光盤(pán)下的“BJCA證書(shū)管理工具.exe” 安裝管理工具。按照首都政務(wù)通使用說(shuō)明書(shū)中的步驟安裝數(shù)字證書(shū)。重新登錄即可。,4、數(shù)字證書(shū)密碼卡有什么作用： 數(shù)字證書(shū)密碼卡上的密碼是USBKey的初始密碼，也是您的證書(shū)初始密碼。 如果以后證書(shū)使用的過(guò)程中，由于密碼錯(cuò)誤重試的次數(shù)太多而被鎖住，需要憑此卡上的初始密碼解鎖。,5、為什么要使用USBKey存儲(chǔ)數(shù)字證書(shū)？數(shù)字證書(shū)可以存儲(chǔ)在軟盤(pán)、光盤(pán)、IC卡中。但是軟盤(pán)易于損壞

55、，且軟盤(pán)和光盤(pán)證書(shū)的備份會(huì)導(dǎo)致證書(shū)容易被他人盜用，而存于IC卡中的證書(shū)使用時(shí)需要讀卡器，成本較高。使用USBKey存儲(chǔ)數(shù)字證書(shū)，具有攜帶方便和安全性極高的優(yōu)點(diǎn)。您可以將USBKey與鑰匙掛在一起，隨身攜帶；存儲(chǔ)在USBKey中的信息不可復(fù)制，密鑰信息不出Key，且密鑰本身不可讀，最大限度的保障了用戶的認(rèn)證信息的安全性；結(jié)合密碼驗(yàn)證的認(rèn)證方式，實(shí)現(xiàn)了雙因素認(rèn)證的高強(qiáng)度數(shù)字身份認(rèn)證。 6、 怎樣保管數(shù)字證書(shū)？ 請(qǐng)您務(wù)必妥善保