NetSign产品技术白皮书

目前 第1 产品概 公司介 产品体系介 产品背 第2 相关技术知 PKI技术知 对称密钥算 非对称密钥算 其他技术知 ActiveX插 MS 第3 产品结 产品组 DownloadCRL服 产品架 第4 产品功 核心功 签名功 数字信封功 带签名的数字信封功 附加功 独立使用的接 获取证书信息的接 第5 产品特 产品特 双向的数字签名/验 支持IC卡形式的证书介 强大的证书状态检验功 灵活而且便于使 第6 运行环 操作系 Java应用服务 第7 典型应 应用背 解决方 系统结构 产品部 第8 技术规 证书标 PKI标 目录服 编 算法强 第9 附 词汇 信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司PAGE1PAGE1前第1章产品概述1998信安世纪与众多著名企业、优质客户建立了长期、稳定的战略伙伴关系，公司将加强对客户需求的了解，为客户提供具有创新价值的应用解决方案，更好地为客户提供优质的服务；公司还将致力于与合作伙伴共同发展，加强新技术交流，促进应用安全行业的蓬勃发展。ISO7498-2中提身份管理：NetCert（证安通（CA、RA、OCSP、安全传输是实时的，使用的临时加密密钥难于存储，一旦连接结束，基于SSL/TLS协议的身份认证就消失了。交易双方可以对发生过的交易内容进行否信安世纪提供的NetSign这个产品作为应用开发商实现信息安全的接口，第2章相关技术知识PKIPKI是“PublicKeyInfrastructure作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认为网络应用提供可靠的安全保障。PKI的核心是要解决信息网络空间中的信任一个标准的PKI域一般包括数字证书认证中心CA、审核注册中心RA(RegistrationAuthority)、密钥管理中心KM(KeyManager)等关键组件。CA（CertificateAuthority）PKIPKI的主（CRL信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司PAGE6PAGE6RA（RegistrationAuthority）CA的组成部分，非对称密钥算法采用两个不同的密钥进行加解密的操作，一个密钥公开只（通称为公钥（通称为私钥那么只有拥有私钥的接收人才能阅读经过公钥加密的消息。当然，如果发送的信息还要经过信息发送者的署名，只要需要用信息发送者的私钥做签名操作，则接收方只要用发送者的公钥进行验证，就可识别信息发布者的身份。常用的公钥算法有：、、。CA发放X.509是广泛使用的证书格式之一，X.509用户公钥证书由可信赖的证书在ITU标准和X.509V3里定义。根据这项标准，数字证书包括证书申请者的信息和发放证书CA的信息。X.509数字证书内容：域SerialPeriodofSubject'sKeyMD5SHA-1A将需要发送的信息使用散列函数生成摘要信息，自己的私钥B。BA的公钥验加密：ABB；B在收到密文后用自己的私钥进行解密，将密文恢复为原文。该过程实现了信息的保密性以及对信息接收方B的认证。信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司A先用由计算机随机生成的一组一次使用的对称密钥——会话密钥（SessionKey）B的公钥对会话密钥进行加密处理，并将加密的会话密钥附在密文后一起发送给B；B在收到密文和加密LDAP（LightweightDirectoryAccessProtocol，轻目录访问协议。它是一种标准，用于采用TCP/IP来更新和搜索目录。LDAP允许通过访问其它任LDAPInternetIntranet目录，方便查找其它的Internet用户。信息被集中存储在服务器上的LDAP目录中，LDAP目录是一种数据库；然UNIX文件系统非常相似：DN（Name；目录被进一步细分成组织单元（OrganizationUnits或OU；在这些OU中是包含数据的项。这种树-叶结构不仅使LDAP变得可扩展，而且当进行简单ActiveXActiveXMicrosoftCOM（ComponentObject现组件之间及组件与系统之间的相互作用。ActiveX控件作为一个模块化的灵序，只要灵活地插入一个具有此项功能的ActiveX控件即可实现。ActiveX的MSMSCryptoAPIPKIwindows操作系统实现安全加密应用的服务体系。通过MSCryptoAPI可以在windows操作系统快速开发PKI应用实现SSL连接、数字签名和加密、安全邮件服务。CSP（CryptographicServiceProvider）通常是一个动态连接库文件(DynamicLinkLibraryDLL文件)CryptoAPICSP提供的函数，从而使硬件设备CPU卡或者USBKey完成加密服务。PKCS(PublicKeyCryptographicStandard)RSA公司提出公开法标准)是在S/MIME中密码书写功能实现的框架，详细说明了数据格式和加第3章产品结构NetSign为客户提供了基于Web浏览器和Web服务器的数字签名解决方案，实现了对Web页面中的指定内容和文件进行数字签名和验证。NetSign由客户端的浏览器控件（NetSign/Client）和一系列服务器端的API组件NetSignActiveX控件和服务器端的API组合，可以使用户通过使用自己的证书（私钥）来对交易过程中所要提交DownloadCRL是NetSign的外围服务组件，完成CRL文件的下载。在NetSign的签名和数字信封的认证过程中，主要包括证书的三个特性的验证，CRL（证书废弃列表）CFL（证书冻结列表）验证证书是否在由证书认证中心（CA）签发的CRL和CFL文件中通常情况下，证书认证中心（CA）CRLCFL文件到发布证LDAP目录服务器上。DownloadCRLNetSign运行在一台服务器上，通过远程下载的模式将文件放置在指定的目录中供NetSign的使用。WebWebWebWebClient组件第4章产品功能AttachedDettachedAttachedAttachedCRL。Dettached对由Dettached方式产生的签名数据进行验证，并且验证该签名证书的有打包数字信封(Attach带签名该功能按照MS定义的格式封装带签名的数字信封，整个过程保证数字信解密数字信封(Attach带签名),接收者对接收的,数字信封(Attach带签名)进行解密后，对获得的签名包进NetSignAPI对输入的串进行用户可以实现按BASE64方式返回一个字符串的SHA1_HASH结果的功BASE64BASE64获取证书的完整信息（需要自行解析第5章产品特点NetSign可以实现客户——服务器的双向数字签名和验证，比普通的单向支持ICNetSignCRL方式来进行证书作废状态查询，确保关键应用的安全可NetSignWeb应用平台，可以方便地与现有的应用系统连接与客第6章运行环境SUNRedFlagMicrosoftJavaJavaIBMBEA 第7章典型应用该集团财务公司内部银行系统最终成功地采用了信安世纪提供的安全解决e实现了基于Ie控制功能将无有效证书的用户隔离在业务系统之外；用NetSign行结合，实现了对交易单的数字签名，从而保证了交易数据的提交者是可以进RLL同时对于关键数据采用通用的标准实现了签名、加密操作，保证了数据的完整WeWebNetSigNetSaWebNetSigNetSaLDAInteLDAInterneInterne信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司P3800以上、40GWindows2000第8章技术规格X.509InternetX.509PublicKeyCertificateandCRL证书策略及证书实施InternetX.509PublicKeyInfrastructureCertificatePolicyandCertification证书管理协议与消息CertificateManagementOn-lineCertificateStatusAnInternetAttributeCertificateProfileRFCPKIRSARSACryptographyDHPassword-BasedCryptographyExtended-CertificateSyntaxCryptographicMessageSyntaxPrivate-KeyInformationSyntaxCertificationRequestSyntaxCryptographicTokenInterface EllipticCurveCryptography加密硬件信息格式标准CryptographicTokenInformationOverviewofconcepts,modelsand TheLDAPDataInterchange ObjectLightweightDirectoryAccessProtocolLDAPAccessControlRequirementsforLDAPAuthenticationMethodsforLDAPLDAPv3:ExtensionforTransportWebHypertextTransferProtocol--HypertextTransferProtocol--HTML(HyperTextMarkupLanguage)ExtensibleMarkupLanguage(XML)Specificationofbasicnotation;objectspecification;Constraint2ASN.1ASN.1encodingrules:SpecificationBasicEncodingRules(BER),1EncodingRules(CER)andEncodingRules(DER);SpecificationPackedEncodingRules1281024信安世纪信息安全技术有限公司信安世纪信息安全技术有限公司第9章附录NetCert（证安通PKI体系的技术实现，它PKICARA、KMC密钥管理中NetCert产品将为整个应用安全信任域内的所有用户签发有效的口的网络安全连接的代理服务器；主要通过个人数字证书通过IE浏览器实现Web应用的SSL/TLS安全连接。LinkSafe（联安通NetSafe实现Web应用的SSL/TLS安全连接。RSA：适用于数字签名和密钥交换。Rivest-Shamir-Adleman(RSA)加密算法是目前应用最广泛的公钥加密算法，特别适用于通过Internet传送的数据。这种算法以它的三位发明者的名字命名：RonRivest、AdiShamir和LeonardAdleman。RSA算法的安全性基于分解大数字时的困难（处理时间而言。在常用的公钥算法中，RSA与众不同，它能够进行数字签名DSA由美国国家安全署(UnitedStatesNationalSecurityAgencyNSA)发明，已经由美国国家标准与技术协会(NationalInstituteofStandardsandTechnology,NIST)收录到联邦信息处理标准(FederalInformationProcessingStandard,FIPS)之D