數(shù)字證書服務(wù)

1、數(shù)字證書服務(wù)使用瀏覽器訪問使用瀏覽器訪問webweb頁面能夠輕松實現(xiàn)網(wǎng)頁面能夠輕松實現(xiàn)網(wǎng)上購物、網(wǎng)上炒股和網(wǎng)上銀行等作業(yè)，其上購物、網(wǎng)上炒股和網(wǎng)上銀行等作業(yè)，其中會通過網(wǎng)絡(luò)傳送一些敏感信息，包括合中會通過網(wǎng)絡(luò)傳送一些敏感信息，包括合同、金融帳號、帳號密碼和支付信息等。同、金融帳號、帳號密碼和支付信息等。tcp/iptcp/ip在制定之初處于網(wǎng)絡(luò)技術(shù)的初級階在制定之初處于網(wǎng)絡(luò)技術(shù)的初級階段，并沒有考慮安全問題，數(shù)據(jù)流采用明段，并沒有考慮安全問題，數(shù)據(jù)流采用明文傳輸。因此，對于一些有保密要求的應(yīng)文傳輸。因此，對于一些有保密要求的應(yīng)用如電子商務(wù)、電子政務(wù)、網(wǎng)絡(luò)銀行等，用如電子商務(wù)、電子政務(wù)、網(wǎng)絡(luò)銀行

2、等，首先考慮的是安全性。首先考慮的是安全性。安全的網(wǎng)絡(luò)信息最基本的安全的網(wǎng)絡(luò)信息最基本的3 3個特征個特征n1 1機密性機密性-n2 2完整性完整性-n3 3可用性可用性-信息僅能夠被授權(quán)的用戶得到信息僅能夠被授權(quán)的用戶得到信息不被未授權(quán)者篡改和破壞信息不被未授權(quán)者篡改和破壞保證信息和信息系統(tǒng)隨時為保證信息和信息系統(tǒng)隨時為授權(quán)者服務(wù)授權(quán)者服務(wù)概括起來，安全的網(wǎng)絡(luò)信息就是指授權(quán)的概括起來，安全的網(wǎng)絡(luò)信息就是指授權(quán)的用戶可以訪問到完整的信息。用戶可以訪問到完整的信息。采用對網(wǎng)上傳輸?shù)男畔⑦M行加密的方式n信息的發(fā)送方對要傳輸?shù)男畔⑦M行加密，信息的發(fā)送方對要傳輸?shù)男畔⑦M行加密，在在internetin

3、ternet上傳輸?shù)男畔⑹羌用芎蟮男派蟼鬏數(shù)男畔⑹羌用芎蟮男畔?。信息的接受方收到加密后的信息進息。信息的接受方收到加密后的信息進行解密，還原成原來的信息，這就是網(wǎng)行解密，還原成原來的信息，這就是網(wǎng)絡(luò)信息加密技術(shù)的原理。絡(luò)信息加密技術(shù)的原理。常規(guī)加解密技術(shù)常規(guī)加解密技術(shù)加密算法加密算法解密算法解密算法internet/intranet明文明文明文明文密文傳送密文傳送發(fā)送方發(fā)送方/ /接受方接受方共同的密鑰共同的密鑰發(fā)送方發(fā)送方/ /接收方接收方共同的密鑰共同的密鑰發(fā)送方發(fā)送方接收方接收方常規(guī)加解密技術(shù)的名詞常規(guī)加解密技術(shù)的名詞n明文：未被加密的信息明文：未被加密的信息n密文：被加密后的信息密文：

4、被加密后的信息n加密：使用某種方法偽裝信息以隱藏其內(nèi)容的過程，加密：使用某種方法偽裝信息以隱藏其內(nèi)容的過程，把明文轉(zhuǎn)變?yōu)槊芪摹０衙魑霓D(zhuǎn)變?yōu)槊芪?。n解密：把密文轉(zhuǎn)變?yōu)槊魑牡倪^程。解密：把密文轉(zhuǎn)變?yōu)槊魑牡倪^程。n加密算法：對明文進行加密時采用的一組算法加密算法：對明文進行加密時采用的一組算法n解密算法：對密文進行解密時采用的一組規(guī)則解密算法：對密文進行解密時采用的一組規(guī)則n加密密鑰：加密過程中使用的密鑰加密密鑰：加密過程中使用的密鑰n解密密鑰：解密過程中使用的密鑰解密密鑰：解密過程中使用的密鑰常規(guī)加解密技術(shù)中，接受方和發(fā)送方使用同樣的密鑰，常規(guī)加解密技術(shù)中，接受方和發(fā)送方使用同樣的密鑰，加密密鑰和

5、解密密鑰完全相同。加密密鑰和解密密鑰完全相同。網(wǎng)絡(luò)信息安全的新需求n1身份認證和鑒別身份認證和鑒別: 對信息傳輸?shù)碾p方進行身份認對信息傳輸?shù)碾p方進行身份認證和鑒別，需要某種機制來證明雙方的真實身份。證和鑒別，需要某種機制來證明雙方的真實身份。n2不可否認性不可否認性: 信息的發(fā)送方必須對自己的操作承信息的發(fā)送方必須對自己的操作承擔(dān)責(zé)任，不可否認。擔(dān)責(zé)任，不可否認。n3數(shù)字簽名數(shù)字簽名: 日常生活中，通信雙方為了解決抵賴日常生活中，通信雙方為了解決抵賴和欺騙的問題，會在文檔上進行手寫簽名，把這個原和欺騙的問題，會在文檔上進行手寫簽名，把這個原理用在網(wǎng)絡(luò)上就是數(shù)字簽名。理用在網(wǎng)絡(luò)上就是數(shù)字簽名。數(shù)

6、字簽名的目的：用于證明是作者的簽名、簽名日期和數(shù)字簽名的目的：用于證明是作者的簽名、簽名日期和時間；在簽名的同時對內(nèi)容的真?zhèn)芜M行鑒別；簽名能夠時間；在簽名的同時對內(nèi)容的真?zhèn)芜M行鑒別；簽名能夠被公正、權(quán)威的第三方進行仲裁。被公正、權(quán)威的第三方進行仲裁。公鑰加密技術(shù)n公鑰加解密技術(shù)的結(jié)構(gòu)：公鑰加解密技術(shù)的結(jié)構(gòu)：n每個網(wǎng)絡(luò)用戶有兩個密鑰，稱為公鑰和私鑰。每個網(wǎng)絡(luò)用戶有兩個密鑰，稱為公鑰和私鑰。在信息的發(fā)送和接受過程中，使用一個密鑰加在信息的發(fā)送和接受過程中，使用一個密鑰加密，使用另一個密鑰解密，同一個用戶的兩個密，使用另一個密鑰解密，同一個用戶的兩個密鑰可以互相加解密，但這兩個密鑰相互之間密鑰可以互

7、相加解密，但這兩個密鑰相互之間很難相互推導(dǎo)得出。很難相互推導(dǎo)得出。n公鑰：稱為公開密鑰，可以向其他用戶公開公鑰：稱為公開密鑰，可以向其他用戶公開n私鑰：稱為私有密鑰，是用戶自己擁有，不能私鑰：稱為私有密鑰，是用戶自己擁有，不能公開。公開。公鑰結(jié)構(gòu)的保密通信原理加密算法加密算法解密算法解密算法internet/intranet密文傳送密文傳送明文明文明文明文發(fā)送方發(fā)送方接收方接收方發(fā)送方的私鑰發(fā)送方的私鑰接收方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰接收方的公鑰接收方的公鑰要進行保密通信，發(fā)送方使用接收方的公鑰對明文進行加密，接受方使用自己的要進

8、行保密通信，發(fā)送方使用接收方的公鑰對明文進行加密，接受方使用自己的私鑰對密文進行解密。由于只有接收方才能對由自己的公鑰加密的信息解密，因私鑰對密文進行解密。由于只有接收方才能對由自己的公鑰加密的信息解密，因此可以實現(xiàn)保密通信。此可以實現(xiàn)保密通信。公鑰結(jié)構(gòu)的鑒別鑒別通信的原理加密算法加密算法解密算法解密算法internet/intranet密文傳送密文傳送明文明文明文明文發(fā)送方發(fā)送方接收方接收方發(fā)送方的私鑰發(fā)送方的私鑰接收方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰接收方的公鑰接收方的公鑰要進行鑒別通信，發(fā)送方使用自己的私鑰對明文進行加密，接收方使

9、用發(fā)送方的要進行鑒別通信，發(fā)送方使用自己的私鑰對明文進行加密，接收方使用發(fā)送方的公鑰對密文進行解密。接收方使用發(fā)送方的公鑰進行解密，可以確信信息是由發(fā)公鑰對密文進行解密。接收方使用發(fā)送方的公鑰進行解密，可以確信信息是由發(fā)送方加密的，也就可以鑒別了發(fā)送方的身份。送方加密的，也就可以鑒別了發(fā)送方的身份。公鑰結(jié)構(gòu)的鑒別鑒別+ +保密通信保密通信的原理加密算法加密算法解密算法解密算法internet/intranet密文傳送密文傳送明文明文明文明文發(fā)送方發(fā)送方接收方接收方發(fā)送方的私鑰發(fā)送方的私鑰接收方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰接收方的公鑰

10、接收方的公鑰發(fā)送方先使用自己的私鑰對明文進行加密，然后使用接收方的公鑰進行加密。接發(fā)送方先使用自己的私鑰對明文進行加密，然后使用接收方的公鑰進行加密。接收方先使用發(fā)送方的公鑰進行解密，然后使用自己的私鑰進行解密，這樣就實現(xiàn)收方先使用發(fā)送方的公鑰進行解密，然后使用自己的私鑰進行解密，這樣就實現(xiàn)了鑒別和保密通信。了鑒別和保密通信。數(shù)字證書的pki解決方案npki(public key infrastructure pki(public key infrastructure 公鑰公鑰結(jié)構(gòu)結(jié)構(gòu)) )是利用公鑰加解密技術(shù)來實現(xiàn)信息是利用公鑰加解密技術(shù)來實現(xiàn)信息安全的技術(shù)，代表了當(dāng)今世界網(wǎng)絡(luò)安全安全的技術(shù)

11、，代表了當(dāng)今世界網(wǎng)絡(luò)安全技術(shù)的最高水平。技術(shù)的最高水平。npkipki方案的核心就是數(shù)字證書。方案的核心就是數(shù)字證書。數(shù)字證書n在在internetinternet上從事一些需要保密的業(yè)務(wù)時必備的上從事一些需要保密的業(yè)務(wù)時必備的“個人身份證個人身份證”，有權(quán)威機構(gòu)發(fā)行，在網(wǎng)絡(luò)通信中，有權(quán)威機構(gòu)發(fā)行，在網(wǎng)絡(luò)通信中標(biāo)志通信各方身份的一系列數(shù)據(jù)。標(biāo)志通信各方身份的一系列數(shù)據(jù)。n網(wǎng)絡(luò)上通信各方向網(wǎng)絡(luò)上通信各方向pkipki的數(shù)字證書頒發(fā)機構(gòu)申請數(shù)字的數(shù)字證書頒發(fā)機構(gòu)申請數(shù)字證書，通過證書，通過pkipki系統(tǒng)建立的一套嚴(yán)密的身份認證系統(tǒng)系統(tǒng)建立的一套嚴(yán)密的身份認證系統(tǒng)來保證：來保證：n1 1信息除發(fā)送

12、方和接受方外不被其他人截取信息除發(fā)送方和接受方外不被其他人截取n2 2信息在傳輸過程中不被篡改信息在傳輸過程中不被篡改n3 3發(fā)送方能夠通過數(shù)字證書來確認接受方的身份發(fā)送方能夠通過數(shù)字證書來確認接受方的身份n4 4發(fā)送方對于自己的信息不能抵賴發(fā)送方對于自己的信息不能抵賴數(shù)字證書的格式n版本、序列號、簽名算法、頒發(fā)者、使版本、序列號、簽名算法、頒發(fā)者、使用者、標(biāo)識、有效期。用者、標(biāo)識、有效期。數(shù)字證書的原理公鑰公鑰公鑰公鑰私鑰私鑰私鑰私鑰數(shù)字證書采用公鑰機制，證書頒發(fā)機構(gòu)提供的程序為用戶產(chǎn)生一對密鑰，數(shù)字證書采用公鑰機制，證書頒發(fā)機構(gòu)提供的程序為用戶產(chǎn)生一對密鑰，一把是公開的公鑰，它將在用戶的數(shù)

13、字證書中公布并寄存于數(shù)字證書認一把是公開的公鑰，它將在用戶的數(shù)字證書中公布并寄存于數(shù)字證書認證中心。另一把是私人的私鑰，它將存放在用戶的計算機上。證中心。另一把是私人的私鑰，它將存放在用戶的計算機上。數(shù)字證書認證中心數(shù)字證書認證中心ca(certificate agency) 數(shù)字證書認證中心數(shù)字證書認證中心ca證書申請與頒發(fā)證書申請與頒發(fā)證書申請與頒發(fā)證書申請與頒發(fā)pki解決方案實例-internet電子商務(wù)解決方案n售物方和購物方向售物方和購物方向caca中心申請用戶證書中心申請用戶證書n電子商務(wù)服務(wù)器向電子商務(wù)服務(wù)器向caca中心申請服務(wù)器證中心申請服務(wù)器證書書n售物方和購物方的開戶銀行

14、向售物方和購物方的開戶銀行向caca中心申中心申請服務(wù)器證書。請服務(wù)器證書。pki的發(fā)展情況n美國的猶他州于美國的猶他州于19951995年頒布的年頒布的數(shù)字簽名法數(shù)字簽名法是全世是全世界范圍內(nèi)第一部全面規(guī)范電子簽名的法律。美國界范圍內(nèi)第一部全面規(guī)范電子簽名的法律。美國20002000年開始實行年開始實行數(shù)字簽名法數(shù)字簽名法，數(shù)字簽名法具有法律效，數(shù)字簽名法具有法律效率。美國目前已經(jīng)建立了覆蓋全國的率。美國目前已經(jīng)建立了覆蓋全國的pkipki網(wǎng)絡(luò)，聯(lián)邦、網(wǎng)絡(luò)，聯(lián)邦、州和大型企業(yè)之間的州和大型企業(yè)之間的pkipki實現(xiàn)了橋接。實現(xiàn)了橋接。n歐洲各國已經(jīng)建立了自己的歐洲各國已經(jīng)建立了自己的pkip

15、ki。20012001年歐盟建立了橋年歐盟建立了橋接的接的caca，20022002年歐盟開始實行年歐盟開始實行數(shù)字簽名法數(shù)字簽名法。n亞洲范圍內(nèi)的日本、韓國和新加坡在亞洲范圍內(nèi)的日本、韓國和新加坡在pkipki建設(shè)方面起步建設(shè)方面起步較早，這較早，這3 3個國家目前已經(jīng)實現(xiàn)了交叉認證。個國家目前已經(jīng)實現(xiàn)了交叉認證。我國的電子簽名法n我國的立法從我國的立法從20022002年開始的，最初的定位是行政法規(guī)，但在網(wǎng)年開始的，最初的定位是行政法規(guī)，但在網(wǎng)絡(luò)經(jīng)濟迅猛發(fā)展的背景下，國務(wù)院決定直接將該立法的層級提絡(luò)經(jīng)濟迅猛發(fā)展的背景下，國務(wù)院決定直接將該立法的層級提高為法律。在對原來起草的條例內(nèi)容進行了修

16、改后，形成了高為法律。在對原來起草的條例內(nèi)容進行了修改后，形成了中華人民共和國電子簽名法中華人民共和國電子簽名法( (草案草案) )。20042004年年3 3月月2424日，在日，在溫家寶總理主持的國務(wù)院常務(wù)會議上，溫家寶總理主持的國務(wù)院常務(wù)會議上，電子簽名法電子簽名法( (草案草案) )獲得原則通過，隨即被提交全國人大討論。獲得原則通過，隨即被提交全國人大討論。4 4月月2 2日，十屆全國日，十屆全國人大常委會第八次會議第一次對該法進行了審議，人大常委會第八次會議第一次對該法進行了審議，6 6月月2121日，日，十屆全國人大常委會第十次會議再次對該草案進行了審議。十屆全國人大常委會第十次會

17、議再次對該草案進行了審議。20042004年年8 8月月2828日中華人民共和國第十屆全國人民代表大會常務(wù)日中華人民共和國第十屆全國人民代表大會常務(wù)委員會第十一次會議通過了委員會第十一次會議通過了中華人民共和國電子簽名法中華人民共和國電子簽名法，并于并于20052005年年4 4月月1 1日起施行。日起施行。在windows 2003 server上的數(shù)字證書服務(wù)n 證書服務(wù)的安裝證書服務(wù)的安裝-添加刪除組件添加刪除組件n ca ca的配置的配置-控制面板控制面板/ /管理工具管理工具/ /證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu)n ca ca的啟動與關(guān)閉的啟動與關(guān)閉-證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu)/ /操作操作/

18、 /所有任務(wù)所有任務(wù)n ca ca的備份與還原的備份與還原-證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu)/ /操作操作/ /所有任務(wù)所有任務(wù)n 向向caca申請數(shù)字證書申請數(shù)字證書-證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu)/ /掛起的申請掛起的申請n 頒發(fā)數(shù)字證書頒發(fā)數(shù)字證書-http:/yourserver/certsrvhttp:/yourserver/certsrv網(wǎng)站加密ssl站點n只要瀏覽器和只要瀏覽器和web服務(wù)器都配置成使用服務(wù)器都配置成使用ssl(secure socket layer 安全套接層安全套接層)，就可以在傳輸層實現(xiàn)網(wǎng)，就可以在傳輸層實現(xiàn)網(wǎng)絡(luò)信息安全。絡(luò)信息安全。nssl會話會話-通信雙方就通信規(guī)則達

19、成一致就是一個通信雙方就通信規(guī)則達成一致就是一個ssl會話，會話由會話，會話由ssl握手協(xié)議完成，定義加密安全握手協(xié)議完成，定義加密安全參數(shù)的集合。參數(shù)的集合。nssl連接連接-利用會話參數(shù)進行的一次實際的數(shù)據(jù)傳輸利用會話參數(shù)進行的一次實際的數(shù)據(jù)傳輸過程。過程。基于ssl的一個完整的web訪問過程1.客戶機瀏覽器的數(shù)字證書和公鑰客戶機瀏覽器的數(shù)字證書和公鑰2.服務(wù)器的數(shù)字證書和公鑰服務(wù)器的數(shù)字證書和公鑰3.用服務(wù)器的公鑰加密信息用服務(wù)器的公鑰加密信息4.用服務(wù)用服務(wù)器的私鑰器的私鑰解密信息解密信息5.用客戶機瀏覽器的公鑰加密會話密鑰用客戶機瀏覽器的公鑰加密會話密鑰6.用客戶用客戶機瀏覽器機瀏覽

20、器的私鑰解的私鑰解密信息密信息7.用會話密鑰加密傳輸?shù)臄?shù)據(jù)用會話密鑰加密傳輸?shù)臄?shù)據(jù)客戶端客戶端服務(wù)器服務(wù)器公鑰、私鑰和會話密鑰的關(guān)系n只要只要web服務(wù)器和客戶機瀏覽器使用的數(shù)字證服務(wù)器和客戶機瀏覽器使用的數(shù)字證書不變，它們的公鑰和私鑰就不變，而每次會書不變，它們的公鑰和私鑰就不變，而每次會話的會話密鑰會改變。會話密鑰的不斷變化，話的會話密鑰會改變。會話密鑰的不斷變化，使信息的破譯難度加大，確保信息的安全。使信息的破譯難度加大，確保信息的安全。n使用使用ssl協(xié)議通信，獲得的數(shù)字證書中的公鑰協(xié)議通信，獲得的數(shù)字證書中的公鑰用于安全傳遞會話密鑰，每次產(chǎn)生的不同的會用于安全傳遞會話密鑰，每次產(chǎn)生的不同的會話密鑰才是對傳輸數(shù)據(jù)進行真正的加密和解密，話密鑰才是對傳輸數(shù)據(jù)進行真正的加密和解密，因此因此ssl的通信是常規(guī)加解密技術(shù)和公鑰加解的通信是常規(guī)加解密技術(shù)和公鑰加解密技術(shù)的融合。密技術(shù)的融合。在windows 2003 server上構(gòu)建ssl的web站點n 生成生成web服務(wù)器數(shù)字證書申請文件服務(wù)器數(shù)字