第四講 數(shù)字簽名與認證技術_第1頁
第四講 數(shù)字簽名與認證技術_第2頁
第四講 數(shù)字簽名與認證技術_第3頁
第四講 數(shù)字簽名與認證技術_第4頁
第四講 數(shù)字簽名與認證技術_第5頁
已閱讀5頁,還剩64頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

第四章 數(shù)字簽名與

CA認證技術數(shù)字簽名的實現(xiàn)方法CA認證與認證產品鑒別技術與方法個人數(shù)字憑證的申請、頒發(fā)和使用本章要點:

2/5/20231計算機網絡安全第四章 數(shù)字簽名與

CA認證技術4.1數(shù)字簽名原理、種類與方法4.2鑒別技術與方法4.3數(shù)字憑證4.4通用認證中心4.5數(shù)字簽名與CA認證實驗2/5/20232計算機網絡安全

4.1

數(shù)字簽名原理、種類與方法4.1.1數(shù)字簽名原理在傳統(tǒng)商務活動中,為了保證交易的安全與真實,一份書面合同或公文要由當事人或其負責人簽字、蓋章,以便讓交易雙方識別是誰簽的合同,保證簽字或蓋章的人認可合同的內容,在法律上才能承認這份合同是有效的。而在電子商務的虛擬世界中,合同或文件是以電子文件的形式表現(xiàn)和傳遞的。能夠在電子文件中識別雙方交易人的真實身份,保證交易的安全性和真實性以及不可抵賴性,起到與手寫簽名或者蓋章同等作用的簽名的電子技術手段,稱為電子簽名。2/5/20233計算機網絡安全4.1.1

數(shù)字簽名原理聯(lián)合國貿發(fā)會的《電子簽名示范法》中對電子簽名做如下定義:“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù),它可用于鑒別與數(shù)據(jù)電文相關的簽名人和表明簽名人認可數(shù)據(jù)電文所含信息”;在歐盟的《電子簽名共同框架指令》中就規(guī)定:“以電子形式所附或在邏輯上與其他電子數(shù)據(jù)相關的數(shù)據(jù),作為一種判別的方法”稱電子簽名。

2/5/20234計算機網絡安全4.1.1

數(shù)字簽名原理所謂數(shù)字簽名就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章,對于這種電子式的簽名還可進行技術驗證,其驗證的準確度是一般手工簽名和圖章的驗證無法比擬的。數(shù)字簽名是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。它采用了規(guī)范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項電子數(shù)據(jù)內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動,確保傳輸電子文件的完整性、真實性和不可抵賴性。

2/5/20235計算機網絡安全4.1.2數(shù)字簽名的種類1.手寫簽名或圖章的模式識別即將手寫簽名或印章作為圖像,用光掃描經光電轉換后在數(shù)據(jù)庫中加以存儲,當驗證此人的手寫簽名或蓋印時,也用光掃描輸入,并將原數(shù)據(jù)庫中的對應圖像調出,用模式識別的數(shù)學計算方法對將兩者進行比對,以確認該簽名或印章的真?zhèn)?。這種方法曾經在銀行會計柜臺使用過,但由于需要大容量的數(shù)據(jù)庫存儲和每次手寫簽名和蓋印的差異性,證明它不實用,這種方法也不適合在互聯(lián)網上傳輸。2/5/20236計算機網絡安全4.1.2數(shù)字簽名的種類2.生物識別技術利用人體生物特征進行身份認證的一種技術。生物特征是一個人與他人不同的唯一表征,它是可以測量、自動識別和驗證的。生物識別系統(tǒng)對生物特征進行取樣,提取其唯一的特征進行數(shù)字化處理,轉換成數(shù)字代碼,并進一步將這些代碼組成特征模板存于數(shù)據(jù)庫中。人們同識別系統(tǒng)交互進行身份認證時,識別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進行比對,以確定是否匹配,從而決定確認或否認此人。2/5/20237計算機網絡安全4.1.2數(shù)字簽名的種類生物識別技術主要有以下幾種。1)指紋識別技術可以將一份紙質公文或數(shù)據(jù)電文按手印簽名或放于IC卡中簽名。但這種簽名需要有大容量的數(shù)據(jù)庫支持,適用于本地面對面的處理,不適宜網上傳輸。2)視網膜識別技術使用困難,不適用于直接數(shù)字簽名和網絡傳輸。3)聲音識別技術這種技術精確度較差,使用困難,不適用于直接數(shù)字簽名和網絡傳輸。2/5/20238計算機網絡安全4.1.2數(shù)字簽名的種類3.密碼、密碼代號或個人識別碼指用一種傳統(tǒng)的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件,甲方可產生一個隨機碼傳送給乙方,乙方用事先雙方約定好的對稱密鑰加密該隨機碼和電子文件回送給甲方,甲方用同樣的對稱密鑰解密后得到電文并核對隨機碼,如隨機碼核對正確,甲方即可認為該電文來自乙方。適合遠程網絡傳輸,但不適合大規(guī)模人群認證,因為對稱密鑰管理困難。在實際應用方面經常采用的是ID+PIN(身份唯一標識+口令)。日常生活中使用的銀行卡就是用的這種認證方法。2/5/20239計算機網絡安全4.1.2數(shù)字簽名的種類4.基于量子力學的計算機是以量子力學原理直接進行計算的計算機。它比傳統(tǒng)的計算機具有更強大的功能,它的計算速度要比現(xiàn)代的計算機快幾億倍。它是利用一種新的量子密碼的編碼方法,即利用光子的相位特性編碼。由于量子力學的隨機性非常特殊,無論多么聰明的竊聽者,在破譯這種密碼時都會留下痕跡,甚至在密碼被竊聽的同時會自動改變??梢哉f,這將是世界上最安全的密碼認證和簽名方法。但是,這種計算機還只是停留在理論研究階段,離實際應用還很遙遠。2/5/202310計算機網絡安全4.1.2數(shù)字簽名的種類5.基于PKI的電子簽名基于PKI的電子簽名被稱作數(shù)字簽名。有人稱“電子簽名”就是“數(shù)字簽名”,其實這是一般性說法。數(shù)字簽名只是電子簽名的一種特定形式。目前,具有實際意義的電子簽名只有公鑰密碼理論。所以,目前國內外普遍使用的還是基于PKI的數(shù)字簽名技術。作為公鑰基礎設施,PKI可提供多種網上安全服務,如認證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認性。2/5/202311計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法對一個電子文件進行數(shù)字簽名并在網上傳輸,其技術實現(xiàn)過程大致如下:首先要在網上進行身份認證,然后再進行簽名,最后是對簽名的驗證。1.認證PKI提供的服務首先是認證,即身份識別與鑒別,就是確認實體即為自己所聲明的實體。認證的前提是甲、乙雙方都具有第三方CA所簽發(fā)的證書,認證分單向認證和雙向認證。2/5/202312計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法1)單向認證單向認證是甲、乙雙方在網上通信時,甲只需要認證乙的身份。這時甲需要獲取乙的證書,獲取的方式有兩種,一種是在通信時乙直接將證書傳送給甲,另一種是甲向CA的目錄服務器查詢索取。甲獲得乙的證書后,首先用CA的根證書公鑰驗證該證書的簽名,驗證通過說明該證書是第三方CA簽發(fā)的有效證書。然后檢查證書的有效期及檢查該證書是否已被作廢(LRC檢查)而進入黑名單。2/5/202313計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法2)雙向認證雙向認證是甲、乙雙方在網上通信時,甲不但要認證乙的身份,乙也要認證甲的身份。其認證過程的每一方都與單向認證過程相同,即乙方也用同樣的過程認證甲方的證書有效性。2/5/202314計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法2.數(shù)字簽名與驗證過程網上通信的雙方,在互相認證身份之后,即可發(fā)送簽名的數(shù)據(jù)電文。數(shù)字簽名過程分兩部分:簽名過程和驗證過程。即發(fā)方將原文用哈希算法求得數(shù)字摘要,用簽名私鑰對數(shù)字摘要加密求得數(shù)字簽名,然后將原文與數(shù)字簽名一起發(fā)送給收方;收方驗證簽名,即用發(fā)方公鑰解密數(shù)字簽名,得出數(shù)字摘要;收方將原文采用同樣哈希算法又得一新的數(shù)字摘要,將兩個數(shù)字摘要進行比較,如果兩者匹配,說明經數(shù)字簽名的電子文件傳輸成功。2/5/202315計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法簽名過程

驗證過程2/5/202316計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法3.數(shù)字簽名的操作過程數(shù)字簽名的操作需要有發(fā)方的簽名證書的私鑰及其驗證公鑰。數(shù)字簽名操作具體過程如下:首先是生成被簽名的電子文件(《電子簽名法》中稱數(shù)據(jù)電文),然后對電子文件用哈希算法做數(shù)字摘要,再對數(shù)字摘要用簽名私鑰做非對稱加密,即做數(shù)字簽名;之后是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進行封裝,形成簽名結果發(fā)送給收方,待收方驗證。2/5/202317計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法2/5/202318計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法4.數(shù)字簽名的驗證過程收方收到數(shù)字簽名的結果包括數(shù)字簽名、電子原文和發(fā)方公鑰,即待驗證的數(shù)據(jù)。收方進行簽名驗證。驗證過程是:收方首先用發(fā)方公鑰解密數(shù)字簽名,導出數(shù)字摘要,并對電子文件原文做同樣哈希算法得一個新的數(shù)字摘要,將兩個摘要的哈希值進行結果比較,結果相同簽名得到驗證,否則簽名無效?!峨娮雍灻ā分幸髮灻荒芨膭?,對簽署的內容和形式也不能改動。2/5/202319計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法2/5/202320計算機網絡安全4.1.3數(shù)字簽名的技術實現(xiàn)方法如果收方對發(fā)方數(shù)字簽名驗證成功,就可以說明以下三個實質性的問題。(1)該電子文件確實是由簽名者的發(fā)方所發(fā)出的,電子文件來源于該發(fā)送者。(2)被簽名的電子文件確實是經發(fā)方簽名后發(fā)送的,說明發(fā)方用了自己的私鑰做的簽名,并得到驗證,達到不可否認的目的。(3)收方收到的電子文件在傳輸中沒有被篡改,保持了數(shù)據(jù)的完整性。《電子簽名法》中規(guī)定:“安全的電子簽名具有與手寫簽名或者蓋章同等的效力”。

2/5/202321計算機網絡安全4.2鑒別技術與方法4.2.1鑒別的概念鑒別是對網絡中的主體進行驗證的過程,通常有三種方法驗證主體身份。一是只有該主體了解的秘密,如口令、密鑰;二是主體攜帶的物品,如智能卡和令牌卡;三是只有該主體具有的獨一無二的特征或能力,如指紋、聲音、視網膜或簽字等。2/5/202322計算機網絡安全4.2.2數(shù)據(jù)完整性鑒別目前對于動態(tài)傳輸?shù)男畔?,許多協(xié)議確保信息完整性的方法是收錯重傳、丟棄后續(xù)包的辦法,但黑客的攻擊可以改變信息包內部的內容,所以應采取有效的措施來進行完整性控制。(1)報文鑒別:將報文名字段(或域)使用一定的操作組成一個約束值,稱為該報文的完整性檢測向量ICV。然后將它與數(shù)據(jù)封裝在一起進行加密,傳輸過程中由于侵入者不能對報文解密,所以也就不能同時修改數(shù)據(jù)并計算新的ICV,這樣,收方收到數(shù)據(jù)后解密并計算ICV,若與明文中的ICV不同,則認為此報文無效。2/5/202323計算機網絡安全4.2.2數(shù)據(jù)完整性鑒別(2)校驗和:計算出該文件的校驗和值并與上次計算出的值比較。若相等,則說明文件沒有改變;若不等,則說明文件可能被未察覺的行為改變了。(3)加密校驗和:將文件分成小塊,對每一塊計算CRC校驗值,然后再將這些CRC值加起來作為校驗和。這種機制運算量大,并且昂貴,只適用于那些完整性要求極高的情況。(4)消息完整性編碼MIC(MessageIntegrityCode):使用簡單單向散列函數(shù)計算消息的摘要,連同信息發(fā)送給收方,收方重新計算摘要,并進行比較驗證信息在傳輸過程中的完整性。2/5/202324計算機網絡安全4.3數(shù)字憑證4.3.1CA認證與數(shù)字憑證什么是CA和CA認證?什么是SSL?何為數(shù)字憑證?數(shù)字證書能解決什么問題?數(shù)字證書的原理是什么?數(shù)字證書可以用在什么地方?什么是根證書?什么是服務器證書?什么是客戶證書?數(shù)字證書如何正確使用?數(shù)字證書由誰來頒發(fā),如何頒發(fā)?用戶如何獲得自己的數(shù)字證書?目前哪些應用程序支持數(shù)字證書?數(shù)字證書下載失敗怎么辦?數(shù)字證書不小心丟失怎么辦?數(shù)字證書到期怎么辦?2/5/202325計算機網絡安全4.3.1CA認證與數(shù)字憑證1.CA(CertificationAuthority)CA是認證機構的國際通稱,它是對數(shù)字證書的申請者發(fā)放、管理、取消數(shù)字證書的機構。CA的作用是檢查證書持有者身份的合法性,并簽發(fā)證書,以防證書被偽造或篡改。認證機構相當于一個權威可信的中間人,它的職責是核實交易各方的身份,負責電子證書的發(fā)放和管理。理想化的狀態(tài)是,上網的每一個企業(yè)或者個人都要有一個自己的網絡身份證作為唯一的識別。而這些網絡身份證的發(fā)放、管理和認證就是一個復雜的過程,也就是所謂的CA認證。2/5/202326計算機網絡安全4.3.1CA認證與數(shù)字憑證2.SSLSSL(SecureSocketsLayer,安全套接字層)是一種國際標準的加密及身份認證通信協(xié)議,一般大家用的瀏覽器就支持此協(xié)議。SSL最初是由美國Netscape公司研究出來的,后來成為了因特網上安全通信與交易的標準。SSL協(xié)議使用通信雙方的客戶證書以及CA根證書,允許客戶/服務器應用以一種不能被偷聽的方式通信,在通信雙方間建立起了一條安全的、可信任的通信通道。它具備以下基本特征:信息保密性、信息完整性、相互鑒定。2/5/202327計算機網絡安全4.3.1CA認證與數(shù)字憑證3.數(shù)字憑證數(shù)字憑證又稱為數(shù)字證書、數(shù)字標識,也被稱作CA證書,實際是一串很長的數(shù)學編碼,包含有客戶的基本信息及CA的簽字,通常保存在計算機硬盤或IC卡中。數(shù)字證書一般是由CA認證中心簽發(fā)的,證明證書主體與證書中所包含的公鑰的唯一對應關系。它提供了一種在因特網上驗證身份的方式,在網上進行電子商務活動時,交易雙方需要使用數(shù)字證書來表明自己的身份,并使用數(shù)字證書來進行有關的交易操作。2/5/202328計算機網絡安全4.3.1CA認證與數(shù)字憑證數(shù)字證書主要包括三方面的內容:證書所有者的信息、證書所有者的公開密鑰和證書頒發(fā)機構的簽名及證書有效期等內容。數(shù)字憑證有三種類型。(1)個人憑證(PersonalDigitalID)(2)企業(yè)(服務器)憑證(ServerID)

(3)軟件(開發(fā)者)憑證(DeveloperID)上述三類憑證中前兩類是常用的憑證,第三類則用于較特殊的場合,大部分認證中心提供前兩類憑證。2/5/202329計算機網絡安全4.3.1CA認證與數(shù)字憑證4.數(shù)字證書能解決的問題在使用數(shù)字證書的過程中應用公開密鑰加密技術,建立起一套嚴密的身份認證系統(tǒng),它能夠保證:信息除發(fā)方和收方外不被其他人竊??;信息在傳輸過程中不被篡改;收方能夠通過數(shù)字證書來確認發(fā)方的身份;發(fā)方對于自己發(fā)送的信息不能抵賴。以電子郵件為例,數(shù)字證書可以解決:(1)保密性,使用收件人的數(shù)字證書對電子郵件加密,只有收件人才能閱讀加密的郵件,這樣保證在因特網上傳遞的電子郵件信息不會被他人竊取。2/5/202330計算機網絡安全4.3.1CA認證與數(shù)字憑證(2)完整性,利用發(fā)件人數(shù)字證書在傳送前對電子郵件進行數(shù)字簽名,可以判斷發(fā)送的信息在傳遞的過程中是否被篡改過。(3)身份認證:利用發(fā)件人數(shù)字證書在傳送前對電子郵件進行數(shù)字簽名即可確定發(fā)件人身份,而不是他人冒充的。(4)不可否認性,發(fā)件人的數(shù)字證書只有發(fā)件人擁有,所以發(fā)件人利用其數(shù)字證書在傳送前對電子郵件進行數(shù)字簽名后,發(fā)件人就無法否認發(fā)送過此電子郵件。2/5/202331計算機網絡安全4.3.1CA認證與數(shù)字憑證5.數(shù)字證書的工作原理數(shù)字證書采用PKI技術,利用一對互相匹配的密鑰進行加密和解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰),由本人公開,為一組用戶所共享,用于加密和驗證簽名。當發(fā)送一份保密文件時,發(fā)方使用收方的公鑰對數(shù)據(jù)加密,而收方則使用自己的私鑰解密,保證信息安全無誤地到達目的地。用戶也可以采用自己的私鑰對發(fā)送信息加以處理,形成數(shù)字簽名。這樣可以確定發(fā)送者的身份,防止發(fā)送者對發(fā)送信息抵賴。收方通過驗證簽名還可以判斷信息是否被篡改過。2/5/202332計算機網絡安全4.3.1CA認證與數(shù)字憑證在PKI公開密鑰基礎架構技術中,最常用一種算法是RSA算法,其數(shù)學原理是將一個大數(shù)分解成兩個質數(shù)的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰)在計算上是不可能的。按現(xiàn)在的計算機技術水平,要破解目前采用的1024位RSA密鑰,需要上千年的計算時間。2/5/202333計算機網絡安全4.3.1CA認證與數(shù)字憑證在網上銀行系統(tǒng)中有三個證書:銀行CA認證中心的根證書、銀行網銀中心的服務器證書和每個網上銀行用戶在瀏覽器端的客戶證書。有了這三個證書,就可以在瀏覽器與銀行網銀服務器之間建立起SSL連接。這樣,瀏覽器與銀行網銀服務器之間就有了一個安全的加密信道。證書可以使與你通信的對方驗證你的身份,你也可以用與你通信的對方的證書驗證他的身份,而這一驗證過程是由系統(tǒng)自動完成的。

2/5/202334計算機網絡安全4.3.1CA認證與數(shù)字憑證6.數(shù)字證書可以使用的地方目前主要包括:發(fā)送安全電子郵件、訪問安全站點、網上招標投標、網上簽約、網上訂購、安全網上公文傳送、網上繳費、網上繳稅、網上炒股、網上購物和網上報關等。2/5/202335計算機網絡安全4.3.1CA認證與數(shù)字憑證7.根證書根證書是CA認證中心給自己頒發(fā)的證書,是信任鏈的起始點。首次登錄網上銀行,根據(jù)系統(tǒng)提示必須下載并安裝建行CA認證中心頒發(fā)的根證書及客戶證書(二者缺一不可),以保證網上交易的安全。8.服務器證書服務器證書是CA認證中心頒發(fā)的,安裝在服務器上用以證明服務器身份的證書。9.客戶證書又稱瀏覽器證書,是指由CA認證中心頒發(fā)的,安裝在客戶瀏覽器端使用的個人或企業(yè)證書。2/5/202336計算機網絡安全4.3.1CA認證與數(shù)字憑證10.數(shù)字證書如何使用CA認證中心簽發(fā)證書后,證書的持有者給其他人、Web站點提供他的證書來證明他的身份,以建立加密的、可信的通信通道。在銀行網上銀行系統(tǒng)中,下載客戶證書及CA根證書的過程即是將這些證書安裝到瀏覽器的過程。在用戶進入網上銀行交易之前,瀏覽器與服務器之間建立SSL安全通道時,會自動使用雙方的證書,在進入交易之前,你應保證客戶證書及CA根證書已經安裝在瀏覽器中。在完成證書下載后,立即備份客戶證書及私鑰。在導出證書及私鑰時,系統(tǒng)將提示提供該密碼,應牢記這個密碼,并定期更換密碼。2/5/202337計算機網絡安全4.3.1CA認證與數(shù)字憑證11.數(shù)字證書的頒發(fā)用戶首先產生自己的密鑰對,并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后將執(zhí)行一些必要的步驟,以確信請求確實由用戶發(fā)送而來,然后,認證中心將發(fā)給用戶一個數(shù)字證書,該證書包含用戶的個人信息和他的公鑰信息,同時還附有認證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進行相關的各種活動。2/5/202338計算機網絡安全4.3.1CA認證與數(shù)字憑證12.用戶取得自己數(shù)字證書的方法可以為自己申請數(shù)字證書,也可以為一臺安全服務器申請數(shù)字憑證。目前海南省數(shù)字證書認證中心提供試用型數(shù)字證書,其申請過程在即時網上完成,并立即可以免費使用,而正式版數(shù)字證書則需要額外的處理方法及時間,一般過程是用戶首先在網上填寫數(shù)字證書申請資料,認證中心在接收到申請請求后,它將對申請人的身份進行審核,當用戶的申請請求滿足認證中心的所有要求后,認證中心將為其制作證書,然后發(fā)送給申請人或者是申請人在網上下載自己的證書。2/5/202339計算機網絡安全4.3.1CA認證與數(shù)字憑證13.目前支持數(shù)字證書的應用程序在客戶端,NetscapeNavigator4.0以上版本,及微軟的InternetExplorer4.0以上版本都支持數(shù)字證書。在服務器端,Microsoft、Netscape、Sun、IBM、OpenMarket、Oracle等公司提供的服務器產品都支持數(shù)字證書的應用。此外,大多數(shù)字證書認證中心還為第三方軟件開發(fā)商提供數(shù)字證書應用程序的開發(fā)接口,可以將數(shù)字證書應用到第三方軟件開發(fā)商開發(fā)的各種應用程序中。2/5/202340計算機網絡安全4.3.1CA認證與數(shù)字憑證14.證書下載失敗的辦法證書下載時,因網絡中斷等原因將造成下載失敗。如果是在開戶時下載證書失敗,可以單擊瀏覽器的“后退”按鈕,退回到網上開戶的頁面,再重新開戶申請;如果是在證書更新時下載失敗,只需重新下載。15.處理證書丟失的辦法如果因為病毒、計算機重裝等原因而遺失證書時,你可以恢復已備份的客戶證書。但最安全的做法是終止網銀服務,然后重新開戶。2/5/202341計算機網絡安全4.3.1CA認證與數(shù)字憑證16.證書到期的辦法某些銀行CA認證中心提供的數(shù)字證書有一年或兩年的有效期限。數(shù)字證書到期后你將不能再進入網上銀行交易系統(tǒng)。因此,在證書到期前你需要及時更換新的證書。到期換證有兩種途徑:登錄網上銀行時,網銀系統(tǒng)將提示你證書即將到期,可到CA站點上自動換證,并提供CA站點的URL超鏈接,只需單擊該URL到CA站點實時下載新的證書,換證后客戶個人證書的CN不會發(fā)生變化;如果證書已經過期,就只能到CA中心提供的一個專門站點申請換證。2/5/202342計算機網絡安全4.3.2個人數(shù)字憑證的申請、頒發(fā)和使用1.申請所需資料開始是申請表,依次是申請人聲明、用戶須知和受理審批。2.申請的具體過程1)個人數(shù)字憑證的申請個人數(shù)字憑證(PersonaldigitalID)的申請可以在網上進行。個人數(shù)字憑證分為兩個級別。2/5/202343計算機網絡安全4.3.2個人數(shù)字憑證的申請、頒發(fā)和使用第一級(class1)數(shù)字憑證,僅提供個人電子郵件地址的認證,該憑證只是與電子郵件地址相關,亦即并不對個人的真實姓名等信息認證。當在交易中,因郵件地址憑證的丟失、誤用或舞弊行為而引起經濟損失,認證中心的服務部門將會提供一定數(shù)量的經濟賠償。第二級(class2)數(shù)字憑證,提供對個人姓名、身份等信息的認證。認證中心亦會對數(shù)字憑證因丟失、誤用或舞弊行為而引起的經濟損失進行擔保。2/5/202344計算機網絡安全4.3.2個人數(shù)字憑證的申請、頒發(fā)和使用2)個人數(shù)字憑證的獲得當個人申請數(shù)字憑證后,認證中心對申請者的電子郵件地址、個人身份及信用卡號等信息進行核實,在3~5天內即可頒發(fā)數(shù)字憑證。數(shù)字憑證的頒發(fā)是由認證中心發(fā)回給用戶一個確認的郵件,在郵件中通知用戶有關證書的信息,同時將該證書安裝在用戶所用的瀏覽器或電子郵件的應用系統(tǒng)中。3)個人數(shù)字憑證的使用及簽發(fā)當個人獲得數(shù)字憑證后,亦即在他所用的瀏覽器上安裝了數(shù)字憑證后,當要發(fā)送一個信件的時候,在瀏覽器中可設置3種狀態(tài)。2/5/202345計算機網絡安全4.3.2個人數(shù)字憑證的申請、頒發(fā)和使用(1)普通發(fā)送,即不使用數(shù)字憑證。

(2)簽發(fā)(Sign)文件,如設置了Sign,則在發(fā)送信息時系統(tǒng)會自動將文件和發(fā)送者的數(shù)字憑證一起發(fā)送給對方。而收方會發(fā)現(xiàn)該文件是附有憑證的,但被簽發(fā)的文件仍是明文。

(3)加密(Encrypt)文件,如設置了Encrypt,則發(fā)送信件時會自動用收方的公共密鑰加密,并注明是密文。

2/5/202346計算機網絡安全4.4通用認證中心4.4.1通用認證中心UniversalCA1.高強度加密和認證2.多種生成證書的方法3.支持國際互聯(lián)網4.具有同其他系統(tǒng)交換數(shù)據(jù)的能力5.易使用,功能強2/5/202347計算機網絡安全4.4.2eCertCA/PKI1.eCertCA/PKI產品規(guī)格說明2.信任鏈與黑名單發(fā)行

4.4通用認證中心2/5/202348計算機網絡安全4.4.3Kerberos認證Kerberos協(xié)議簡介2.Kerberos協(xié)議術語解釋3.Kerberos認證過程4.4通用認證中心2/5/202349計算機網絡安全4.5數(shù)字簽名與CA認證實驗1.ChinaTCP個人控件數(shù)字簽名系統(tǒng)1.00軟

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論