福建省粮油储备管理系统安全认证解决方案

福建省数字安全证书管理有限公司 1 福建省粮油储备管理系统安全认证解决方案福建省粮油储备管理系统安全认证解决方案 一 数字证书一 数字证书 1 1 什么是数字证书 什么是数字证书 数字证书是标志网络用户身份信息的一系列数据 用来在网络通讯中识别通讯各方的身份 即要在 Internet 上解决 我是谁 的问题 就如同现实中我们每一个人都要拥有一张证明个人身份 的身份证或驾驶执照一样 以表明我们的身份或某种资格 数字证书是由权威公正的第三方机构即 CA 中心签发的 以数字证书为核心的加密技术可以对 网络上传输的信息进行加密和解密 数字签名和签名验证 确保网上传递信息的机密性 完整性 以及交易实体身份的真实性 签名信息的不可否认性 从而保障网络应用的安全性 数字证书采 用公钥密码体制 即利用一对互相匹配的密钥进行加密 解密 每个用户拥有一把仅为本人所掌 握的私有密钥 私钥 用它进行解密和签名 同时拥有一把公共密钥 公钥 并可以对外公开 用于加密和验证签名 当发送一份保密文件时 发送方使用接收方的公钥对数据加密 而接收方 则使用自己的私钥解密 这样 信息就可以安全无误地到达目的地了 即使被第三方截获 由于 没有相应的私钥 也无法进行解密 通过数字的手段保证加密过程是一个不可逆过程 即只有用 私有密钥才能解密 在公开密钥密码体制中 常用的一种是 RSA 体制 用户也可以采用自己的私钥对信息加以处理 由于密钥仅为本人所有 这样就产生了别人无 法生成的文件 也就形成了数字签名 采用数字签名 能够确认以下两点 1 保证信息是由签名者自己签名发送的 签名者不能否认或难以否认 2 保证信息自签发后到收到为止未曾作过任何修改 签发的文件是真实文件 数字证书的格式一般采用 X 509 国际标准 福建 CA 中心主要签发个人和企业身份证书 服务 器证书等几种类型证书 2 2 为什么要使用数字证书 为什么要使用数字证书 由于 Internet 电子商务系统技术使在网上交易各方能够极其方便轻松地获得政府 机构 商 家和企业的信息 但同时也增加了对某些敏感或有价值的数据被滥用的风险 交易各方在网上的 一切行为都必须是真实可靠的 并且要使顾客 商家 企业和机构等交易各方都具有绝对的信心 因而因特网 Internet 电子商务系统必须保证具有十分可靠的安全保密技术 也就是说 必须 依靠数字证书保证网络安全的四大要素 即信息传输的保密性 数据交换的完整性 发送信息的 不可否认性 交易者身份的确定性 3 3 数字签名的目的和验证 数字签名的目的和验证 在现实生活中签名的目的归纳起来有以下几个方面 验证签名者身份 表明签名者确认被签名文件的内容 福建省数字安全证书管理有限公司 2 确保己签名文件的内容不被篡改 防止签名者的抵赖行为 若要在电子文档上实现签名 可以使用数字签名 RSA 公钥体制可实现对数字信息的数字签 名 方法如下 信息发送者用其私钥对从所传报文中提取出的特征数据 或称数字指纹 进行 RSA 算法操作 以保证发信人无法抵赖曾发过该信息 即不可抵赖性 同时也确保信息报文在传递过 程中未被篡改 即完整性 当信息接收者收到报文后 就可以用发送者的公钥对数字签名进行验 收 在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数 HASH 函数 生成的 对这些 函数的特殊要求是 接受的输入报文数据没有长度限制 对任何输入报文数据生成固定长度的摘 要 数字指纹 输出 从报文能方便地算出摘要 难以对指定的摘要生成一个报文 而由该报文可 以算出该指定的摘要 难以生成两个不同的报文具有相同的摘要 收方在收到信息后按如下步骤验证签名 使用自己的密钥将信息转为明文 使用发信方的公 钥从数字签名部分得到原摘要 收方对所发送的源信息进行 hash 运算也产生一个摘要 收方比较 两个摘要 如果两者相同 则可以证明信息签名者的身份 如果两摘要内容不符 则可能对摘要 进行签名所用的私钥不是签名者的私钥 这就表明信息的签名者不可信 也可能收到的信息根本 就不是签名者发送的信息 信息在传输过程中己经遭到被坏或篡改 4 4 数字证书的种类 数字证书的种类 企业或机构身份证书 企业证书中包含企业身份信息 公钥及 CA 的签名 在网络通讯中标识证书持有企业的身份 可用于网上税务申报 网上办公系统 网上招标投标 网上拍卖 网上签约等多种应用系统 服务器身份证书 服务器身份证书中包含服务器信息 公钥及 CA 的签名 在网络通讯中标识证书持有服务器的 身份 用于电子商务应用系统中的服务器软件向其他企业和个人提供电子商务应用时使用 服务 器软件作为电子商务服务提供者 利用证书机制保证与其他服务器或用户通信的安全性 主要用 于网站交易服务器 目的是保证客户和服务器产生与交易支付等信息相关时确保双方身份的真实 性 安全性 可信任度等 5 5 数字证书存储设备的选用 数字证书存储设备的选用 目前 数字证书的存储介质主要有软盘 硬盘 IC 卡及 USB KEY 等形式 使用软盘的优点是 价格便宜 便于携带 缺点是 容易损坏且被他人非法拷贝而不易察觉 因此软盘存储证书只适 用于只在家中使用电脑的个人用户 使用硬盘存储也只适用于不常更换电脑的个人用户 使用软 盘或硬盘存储数字证书还有一个安全问题 即当使用证书时 必须将证书和私钥导入 IE 中 此时 如有人使用用户的电脑 就可以非法使用该用户的数字证书 使用 IC 卡和 USB KEY 就可避免上述 安全问题的发生 因为用户私钥是在 IC 卡和 USB KEY 中产生的 且私钥不可导出 在 IE 中使用 导入的证书时 如果没有 IC 卡或 USB KEY 也是无法使用的 但是 IC 卡和 USB KEY 相对软盘来说 价格较为昂贵 且 IC 卡还必须有专用的读写器 使用起来更为烦琐 因此 IC 卡将逐渐被淘汰 而 USB KEY 因其小巧美观 安全方便 将逐渐成为数字证书存储的首选设备 福建省数字安全证书管理有限公司采用的证书介质如下图 福建省数字安全证书管理有限公司 3 二 证书的结构及相关原理二 证书的结构及相关原理 1 1 证书的格式 证书的格式 目前与 SSL 协议配合并且得广泛使用的证书标准是 X 509 V3 该标准规定了证书的格式 并 且规定了建立证书发放系统的一些模式 福建 CA 中心颁发的数字安全证书采用 X 509 V3 版 其内容包括 1 版本号版本号 标示证书的版本 版本 1 版本 2 或是版本 3 2 序列号序列号 由证书颁发者分配的本证书的唯一标识符 3 签名签名 签名算法标识符 由对象标识符加相关参数组成 用于说明本证书所用的数字签名算 法 例如 SHA 1 和 RSA 的对象标识符就用来说明该数字签名是利用 RSA 对 SHA 1 杂凑加密 4 颁发者颁发者 证书颁发者的可识别名 DN 这是必须说明的 5 有效期有效期 证书有效的时间段 6 主体主体 证书拥有者的可识别名 此字段必须是非空的 除非使用了其他的名字形式 7 主体公钥信息主体公钥信息 主体的公钥 以及算法标识符 8 颁发者唯一标识符颁发者唯一标识符 证书颁发者的唯一标识符 仅在版本 2 和版本 3 中要求 属于可选项 9 主体唯一标识符主体唯一标识符 证书拥有者的唯一标识符 仅在版本 2 和版本 3 中要求 属于可选项 10 扩展扩展 可选的标准和专用扩展 2 2 证书的工作原理 证书的工作原理 数字安全证书利用一对互相匹配的密钥进行加密 解密 每个用户自己设定一把特定的仅为本 人所知的私有密钥 私钥 用它进行解密和签名 同时设定一把公共密钥 公钥 并由本人公开 为一组用户共享 用于加密和验证签名 明明文文用用会会话话密密钥钥 对对称称密密钥钥 加加 密密打打包包 会会话话密密钥钥用用接接受受方方公公钥钥 加加密密打打包包 两两包包捆捆绑绑在在一一起起 福建省数字安全证书管理有限公司 4 发发送送方方送送达达 的的加加密密包包 含含会会话话密密钥钥 的的加加密密包包 用用接接收收方方的的私私钥钥 打打开开会会话话密密钥钥包包 用用会会话话密密钥钥打打开开密密文文 原原文文 明明文文 3 3 用户如何获得密钥对 用户如何获得密钥对 大多数情况下 当你申请数字证书时 激活安全设置会为你产生密钥对 出于安全性考虑 密钥对应当在本地产生并且私人密钥不会在网上传输 一旦产生密钥对 就应在认证中心登记自己的公共密钥 随后认证中心将发送给用户数字凭 证 以证实你的公共密钥及其他一些信息 为简化对密钥的管理工作 大多数用户都不应为一把 密钥申请多份数字凭证 4 4 如何发现别人的公共密钥 如何发现别人的公共密钥 假设要找到用户甲的公共密钥 有许多可行方法 打电话给他 请他将公共密钥通过电子邮 件发给你 也可发电子邮件向他提出请求 也可从福建 CA 中心提供的目录服务上查找 由于目录 提供了抗攻击能力 用户可以确信其上所列的公共密钥都是属于用户甲的 遵照 X 509 标准的在线目录服务将包含数字证书及公共密钥 可通过福建 CA 中心主页查找 对方的数字证书 三 三 福建福建 CACA 中心中心 1 1 福建 福建 CACA 中心简介中心简介 福建省数字安全证书管理有限公司 简称福建 CA 中心 是由福建省经济贸易委员会承建 福建金贸 福建凯特联合出资组建 是国家密码管理委员会办公室及福建省政府批准的福建省内 唯一的数字证书发证机构 福建 CA 中心是 数字福建 的骨干工程 在经过一年的建设后 现已 成为我国首家通过国家密码管理委员会技术鉴定的区域性 CA 中心 福建 CA 是一个具有权威性 公正性 唯一性的机构 他负责向福建省内从事电子政务 电子 商务的各个主体颁发并管理符合国内 国际安全电子交易协议标准的数字安全证书 现经福建省 政府办公厅 闽政办 2002 函 6 号 批准 在全省范围内使用福建省数字安全证书 使用范围 为 工商 税务 证券 技术监督 公安 卫生 农业 林业 乡镇企业行业 福建 CA 中心的宗旨是为互联网络交易和作业的主体提供信任和安全的服务 保证交易和作业 主体身份的真实性 信息保密性和完整性 以及交易的不可抵赖性 实现跨地区跨行业的互认互 通 成为资源共享 公正信任的第三方 福建省数字安全证书管理有限公司 5 2 2 福建 福建 CACA 中心业务范围中心业务范围 福建 CA 中心主要是为福建省的电子商务 电子政务 网上金融 网上证券 网上办公等提 供安全可靠的认证和信任服务 并提供证书管理器 CA 安全引擎等各种相关产品和软件 福建 CA 中心同时还提供电子认证 证书目录查询 数据库安全托管 密钥托管 企事业单位安全办公 政府安全上网及各类安全架构建设 培训等一系列服务和解决方案 四 四 认证系统基本结构认证系统基本结构 省粮油储备管理系统安全认证部分采用多层网状结构 省级服务器 地市级服务器以及末端 粮库 其中 各级服务器均安装有服务器身份证书 末端所有粮库安装有单位身份证书 福建省数字安全证书管理有限公司 6 直直接接与与省省级级服服务务器器相相连连的的部部分分粮粮库库 省省级级服服务务器器 地地市市级级服服务务器器 与与 地地 市市 级级 服服 务务 器器 相相 连连 的的 粮粮 库库 装装有有福福 建建C CA A服服 务务器器证证 书书 装装有有福福 建建C CA A单单 位位身身份份 证证书书 装装有有福福 建建C CA A服服 务务器器证证 书书 装装有有福福 建建C CA A单单 位位身身份份 证证书书 福建省数字安全证书管理有限公司 7 无论是上级向下级或是下级向上级的连接均采用安全连接方式 SSL 所有数据全部经过加 密之后进行传输 粮库证书中 只有证书名称与服务器上实现存储好的名称一致的计算机才可以连接到服务器 为确保下级上报数据的真实有效性 关键数据 报文的提交需要使用数字签名 下级粮库向上级服务器提交信息并作数字签名的过程如下 首先 下级粮库使用专门的会话密钥对信息进行加密 然后使用上级服务器的公开密钥对会 话密钥进行加密 与此同时 由MD5算法对信息进行加密 并使用粮库数字证书的私有密钥对加密后的信息再次 加密形成数字签名 最后 将所有的加密信息以及数字签名通过安全传输通道传输给上级服务器 上级服务器的 解密以及获取数字签名的过程是以上过程的逆过程 所有证书全部由福建省数字安全证书管理有限公司统一签发 申请 挂失数字证书等操作均 需要填写相应的申请表单 并将表单交给福建CA统一处理 根据中华人民共和国国务院令第273 号 商用密码管理条例 规定 第七条第七条 商用密码产品由国家密码管理机构指定的单位生产 未经指定 任何单位或者个人 不得生产商用密码产品 第十四条第十四条 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品 不得使用 自行研制的或者境外生产的密码产品 五 数字证书价格五 数字证书价格 根据福建省物价局文件 闽价 2002 费 20 号 省粮油储备管理系统数字证书价格如下 金额 单位 元 证书种类开户费份数总额 服务器证书30001030000 企业或机构身份证书30010832400 说明 企业或机构身份证书的开户费中包括 介质费 200 元 签发费 30 元 管理费 70 元 项目开户费份数总额 政务服务20010821600 共计 84000 说明 本表中的收费仅为第一年签发证书所需费用 数字 安全证书的维护费以年为单位另行计算 证书挂失