数字证书服务

1、数字证书服务使用浏览器访问使用浏览器访问webweb页面能够轻松实现网页面能够轻松实现网上购物、网上炒股和网上银行等作业，其上购物、网上炒股和网上银行等作业，其中会通过网络传送一些敏感信息，包括合中会通过网络传送一些敏感信息，包括合同、金融帐号、帐号密码和支付信息等。同、金融帐号、帐号密码和支付信息等。tcp/iptcp/ip在制定之初处于网络技术的初级阶在制定之初处于网络技术的初级阶段，并没有考虑安全问题，数据流采用明段，并没有考虑安全问题，数据流采用明文传输。因此，对于一些有保密要求的应文传输。因此，对于一些有保密要求的应用如电子商务、电子政务、网络银行等，用如电子商务、电子政务、网络银行

2、等，首先考虑的是安全性。首先考虑的是安全性。安全的网络信息最基本的安全的网络信息最基本的3 3个特征个特征n1 1机密性机密性-n2 2完整性完整性-n3 3可用性可用性-信息仅能够被授权的用户得到信息仅能够被授权的用户得到信息不被未授权者篡改和破坏信息不被未授权者篡改和破坏保证信息和信息系统随时为保证信息和信息系统随时为授权者服务授权者服务概括起来，安全的网络信息就是指授权的概括起来，安全的网络信息就是指授权的用户可以访问到完整的信息。用户可以访问到完整的信息。采用对网上传输的信息进行加密的方式n信息的发送方对要传输的信息进行加密，信息的发送方对要传输的信息进行加密，在在internetin

3、ternet上传输的信息是加密后的信上传输的信息是加密后的信息。信息的接受方收到加密后的信息进息。信息的接受方收到加密后的信息进行解密，还原成原来的信息，这就是网行解密，还原成原来的信息，这就是网络信息加密技术的原理。络信息加密技术的原理。常规加解密技术常规加解密技术加密算法加密算法解密算法解密算法internet/intranet明文明文明文明文密文传送密文传送发送方发送方/ /接受方接受方共同的密钥共同的密钥发送方发送方/ /接收方接收方共同的密钥共同的密钥发送方发送方接收方接收方常规加解密技术的名词常规加解密技术的名词n明文：未被加密的信息明文：未被加密的信息n密文：被加密后的信息密文：

4、被加密后的信息n加密：使用某种方法伪装信息以隐藏其内容的过程，加密：使用某种方法伪装信息以隐藏其内容的过程，把明文转变为密文。把明文转变为密文。n解密：把密文转变为明文的过程。解密：把密文转变为明文的过程。n加密算法：对明文进行加密时采用的一组算法加密算法：对明文进行加密时采用的一组算法n解密算法：对密文进行解密时采用的一组规则解密算法：对密文进行解密时采用的一组规则n加密密钥：加密过程中使用的密钥加密密钥：加密过程中使用的密钥n解密密钥：解密过程中使用的密钥解密密钥：解密过程中使用的密钥常规加解密技术中，接受方和发送方使用同样的密钥，常规加解密技术中，接受方和发送方使用同样的密钥，加密密钥和

5、解密密钥完全相同。加密密钥和解密密钥完全相同。网络信息安全的新需求n1身份认证和鉴别身份认证和鉴别: 对信息传输的双方进行身份认对信息传输的双方进行身份认证和鉴别，需要某种机制来证明双方的真实身份。证和鉴别，需要某种机制来证明双方的真实身份。n2不可否认性不可否认性: 信息的发送方必须对自己的操作承信息的发送方必须对自己的操作承担责任，不可否认。担责任，不可否认。n3数字签名数字签名: 日常生活中，通信双方为了解决抵赖日常生活中，通信双方为了解决抵赖和欺骗的问题，会在文档上进行手写签名，把这个原和欺骗的问题，会在文档上进行手写签名，把这个原理用在网络上就是数字签名。理用在网络上就是数字签名。数

6、字签名的目的：用于证明是作者的签名、签名日期和数字签名的目的：用于证明是作者的签名、签名日期和时间；在签名的同时对内容的真伪进行鉴别；签名能够时间；在签名的同时对内容的真伪进行鉴别；签名能够被公正、权威的第三方进行仲裁。被公正、权威的第三方进行仲裁。公钥加密技术n公钥加解密技术的结构：公钥加解密技术的结构：n每个网络用户有两个密钥，称为公钥和私钥。每个网络用户有两个密钥，称为公钥和私钥。在信息的发送和接受过程中，使用一个密钥加在信息的发送和接受过程中，使用一个密钥加密，使用另一个密钥解密，同一个用户的两个密，使用另一个密钥解密，同一个用户的两个密钥可以互相加解密，但这两个密钥相互之间密钥可以互

7、相加解密，但这两个密钥相互之间很难相互推导得出。很难相互推导得出。n公钥：称为公开密钥，可以向其他用户公开公钥：称为公开密钥，可以向其他用户公开n私钥：称为私有密钥，是用户自己拥有，不能私钥：称为私有密钥，是用户自己拥有，不能公开。公开。公钥结构的保密通信原理加密算法加密算法解密算法解密算法internet/intranet密文传送密文传送明文明文明文明文发送方发送方接收方接收方发送方的私钥发送方的私钥接收方的私钥接收方的私钥发送方的公钥发送方的公钥发送方的公钥发送方的公钥接收方的公钥接收方的公钥接收方的公钥接收方的公钥要进行保密通信，发送方使用接收方的公钥对明文进行加密，接受方使用自己的要进

8、行保密通信，发送方使用接收方的公钥对明文进行加密，接受方使用自己的私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密，因私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密，因此可以实现保密通信。此可以实现保密通信。公钥结构的鉴别鉴别通信的原理加密算法加密算法解密算法解密算法internet/intranet密文传送密文传送明文明文明文明文发送方发送方接收方接收方发送方的私钥发送方的私钥接收方的私钥接收方的私钥发送方的公钥发送方的公钥发送方的公钥发送方的公钥接收方的公钥接收方的公钥接收方的公钥接收方的公钥要进行鉴别通信，发送方使用自己的私钥对明文进行加密，接收方使

9、用发送方的要进行鉴别通信，发送方使用自己的私钥对明文进行加密，接收方使用发送方的公钥对密文进行解密。接收方使用发送方的公钥进行解密，可以确信信息是由发公钥对密文进行解密。接收方使用发送方的公钥进行解密，可以确信信息是由发送方加密的，也就可以鉴别了发送方的身份。送方加密的，也就可以鉴别了发送方的身份。公钥结构的鉴别鉴别+ +保密通信保密通信的原理加密算法加密算法解密算法解密算法internet/intranet密文传送密文传送明文明文明文明文发送方发送方接收方接收方发送方的私钥发送方的私钥接收方的私钥接收方的私钥发送方的公钥发送方的公钥发送方的公钥发送方的公钥接收方的公钥接收方的公钥接收方的公钥

10、接收方的公钥发送方先使用自己的私钥对明文进行加密，然后使用接收方的公钥进行加密。接发送方先使用自己的私钥对明文进行加密，然后使用接收方的公钥进行加密。接收方先使用发送方的公钥进行解密，然后使用自己的私钥进行解密，这样就实现收方先使用发送方的公钥进行解密，然后使用自己的私钥进行解密，这样就实现了鉴别和保密通信。了鉴别和保密通信。数字证书的pki解决方案npki(public key infrastructure pki(public key infrastructure 公钥公钥结构结构) )是利用公钥加解密技术来实现信息是利用公钥加解密技术来实现信息安全的技术，代表了当今世界网络安全安全的技术

11、，代表了当今世界网络安全技术的最高水平。技术的最高水平。npkipki方案的核心就是数字证书。方案的核心就是数字证书。数字证书n在在internetinternet上从事一些需要保密的业务时必备的上从事一些需要保密的业务时必备的“个人身份证个人身份证”，有权威机构发行，在网络通信中，有权威机构发行，在网络通信中标志通信各方身份的一系列数据。标志通信各方身份的一系列数据。n网络上通信各方向网络上通信各方向pkipki的数字证书颁发机构申请数字的数字证书颁发机构申请数字证书，通过证书，通过pkipki系统建立的一套严密的身份认证系统系统建立的一套严密的身份认证系统来保证：来保证：n1 1信息除发送

12、方和接受方外不被其他人截取信息除发送方和接受方外不被其他人截取n2 2信息在传输过程中不被篡改信息在传输过程中不被篡改n3 3发送方能够通过数字证书来确认接受方的身份发送方能够通过数字证书来确认接受方的身份n4 4发送方对于自己的信息不能抵赖发送方对于自己的信息不能抵赖数字证书的格式n版本、序列号、签名算法、颁发者、使版本、序列号、签名算法、颁发者、使用者、标识、有效期。用者、标识、有效期。数字证书的原理公钥公钥公钥公钥私钥私钥私钥私钥数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，一把是公开的公钥，它将在用户的数

13、字证书中公布并寄存于数字证书认一把是公开的公钥，它将在用户的数字证书中公布并寄存于数字证书认证中心。另一把是私人的私钥，它将存放在用户的计算机上。证中心。另一把是私人的私钥，它将存放在用户的计算机上。数字证书认证中心数字证书认证中心ca(certificate agency) 数字证书认证中心数字证书认证中心ca证书申请与颁发证书申请与颁发证书申请与颁发证书申请与颁发pki解决方案实例-internet电子商务解决方案n售物方和购物方向售物方和购物方向caca中心申请用户证书中心申请用户证书n电子商务服务器向电子商务服务器向caca中心申请服务器证中心申请服务器证书书n售物方和购物方的开户银行

14、向售物方和购物方的开户银行向caca中心申中心申请服务器证书。请服务器证书。pki的发展情况n美国的犹他州于美国的犹他州于19951995年颁布的年颁布的数字签名法数字签名法是全世是全世界范围内第一部全面规范电子签名的法律。美国界范围内第一部全面规范电子签名的法律。美国20002000年开始实行年开始实行数字签名法数字签名法，数字签名法具有法律效，数字签名法具有法律效率。美国目前已经建立了覆盖全国的率。美国目前已经建立了覆盖全国的pkipki网络，联邦、网络，联邦、州和大型企业之间的州和大型企业之间的pkipki实现了桥接。实现了桥接。n欧洲各国已经建立了自己的欧洲各国已经建立了自己的pkip

15、ki。20012001年欧盟建立了桥年欧盟建立了桥接的接的caca，20022002年欧盟开始实行年欧盟开始实行数字签名法数字签名法。n亚洲范围内的日本、韩国和新加坡在亚洲范围内的日本、韩国和新加坡在pkipki建设方面起步建设方面起步较早，这较早，这3 3个国家目前已经实现了交叉认证。个国家目前已经实现了交叉认证。我国的电子签名法n我国的立法从我国的立法从20022002年开始的，最初的定位是行政法规，但在网年开始的，最初的定位是行政法规，但在网络经济迅猛发展的背景下，国务院决定直接将该立法的层级提络经济迅猛发展的背景下，国务院决定直接将该立法的层级提高为法律。在对原来起草的条例内容进行了修

16、改后，形成了高为法律。在对原来起草的条例内容进行了修改后，形成了中华人民共和国电子签名法中华人民共和国电子签名法( (草案草案) )。20042004年年3 3月月2424日，在日，在温家宝总理主持的国务院常务会议上，温家宝总理主持的国务院常务会议上，电子签名法电子签名法( (草案草案) )获得原则通过，随即被提交全国人大讨论。获得原则通过，随即被提交全国人大讨论。4 4月月2 2日，十届全国日，十届全国人大常委会第八次会议第一次对该法进行了审议，人大常委会第八次会议第一次对该法进行了审议，6 6月月2121日，日，十届全国人大常委会第十次会议再次对该草案进行了审议。十届全国人大常委会第十次会

17、议再次对该草案进行了审议。20042004年年8 8月月2828日中华人民共和国第十届全国人民代表大会常务日中华人民共和国第十届全国人民代表大会常务委员会第十一次会议通过了委员会第十一次会议通过了中华人民共和国电子签名法中华人民共和国电子签名法，并于并于20052005年年4 4月月1 1日起施行。日起施行。在windows 2003 server上的数字证书服务n 证书服务的安装证书服务的安装-添加删除组件添加删除组件n ca ca的配置的配置-控制面板控制面板/ /管理工具管理工具/ /证书颁发机构证书颁发机构n ca ca的启动与关闭的启动与关闭-证书颁发机构证书颁发机构/ /操作操作/

18、 /所有任务所有任务n ca ca的备份与还原的备份与还原-证书颁发机构证书颁发机构/ /操作操作/ /所有任务所有任务n 向向caca申请数字证书申请数字证书-证书颁发机构证书颁发机构/ /挂起的申请挂起的申请n 颁发数字证书颁发数字证书-http:/yourserver/certsrvhttp:/yourserver/certsrv网站加密ssl站点n只要浏览器和只要浏览器和web服务器都配置成使用服务器都配置成使用ssl(secure socket layer 安全套接层安全套接层)，就可以在传输层实现网，就可以在传输层实现网络信息安全。络信息安全。nssl会话会话-通信双方就通信规则达

19、成一致就是一个通信双方就通信规则达成一致就是一个ssl会话，会话由会话，会话由ssl握手协议完成，定义加密安全握手协议完成，定义加密安全参数的集合。参数的集合。nssl连接连接-利用会话参数进行的一次实际的数据传输利用会话参数进行的一次实际的数据传输过程。过程。基于ssl的一个完整的web访问过程1.客户机浏览器的数字证书和公钥客户机浏览器的数字证书和公钥2.服务器的数字证书和公钥服务器的数字证书和公钥3.用服务器的公钥加密信息用服务器的公钥加密信息4.用服务用服务器的私钥器的私钥解密信息解密信息5.用客户机浏览器的公钥加密会话密钥用客户机浏览器的公钥加密会话密钥6.用客户用客户机浏览器机浏览

20、器的私钥解的私钥解密信息密信息7.用会话密钥加密传输的数据用会话密钥加密传输的数据客户端客户端服务器服务器公钥、私钥和会话密钥的关系n只要只要web服务器和客户机浏览器使用的数字证服务器和客户机浏览器使用的数字证书不变，它们的公钥和私钥就不变，而每次会书不变，它们的公钥和私钥就不变，而每次会话的会话密钥会改变。会话密钥的不断变化，话的会话密钥会改变。会话密钥的不断变化，使信息的破译难度加大，确保信息的安全。使信息的破译难度加大，确保信息的安全。n使用使用ssl协议通信，获得的数字证书中的公钥协议通信，获得的数字证书中的公钥用于安全传递会话密钥，每次产生的不同的会用于安全传递会话密钥，每次产生的不同的会话密钥才是对传输数据进行真正的加密和解密，话密钥才是对传输数据进行真正的加密和解密，因此因此ssl的通信是常规加解密技术和公钥加解的通信是常规加解密技术和公钥加解密技术的融合。密技术的融合。在windows 2003 server上构建ssl的web站点n 生成生成web服务器数字证书申请文件服务器数字