数字证书福建数字安全证书管理有限公司.doc

目 录 一、 福建CA中心 3 1、福建CA中心简介 3 2、福建CA中心业务范围 3 二、数字证书 4 1、什么是数字证书 4 2、为什么要使用数字证书 5 3、数字签名的目的和验证 6 4、数字证书的种类 8 5、数字证书存储设备的选用 10 三、证书的结构及相关原理 10 1、证书的格式 10 2、证书的工作原理 11 3、用户如何获得密钥对 13 4、如何发现别人的公共密钥 13 5、认证中心的公共密钥的安全防范 13 四、数字证书的应用 14 1、数字证书在电子政务中的应用 14 2、数字证书在电子商务中的应用 14 3、数字证书在应用系统中的使用 14 4、服务器数字证书的使用 15 五、建设CA中心的必要性 15 六、办公自动化解决方案 16 1、系统特点以及可实现的目标 18 2、系统结构 20 3、功能模块 22 4、安全机制 26 福建CA中心 1、福建CA中心简介 福建省数字安全证书管理有限公司（简称福建CA）国家密码管理委员会办公室批准的福建省管理委员会福建CA宗旨是为互联网络交易和作业的主体提供信任和安全的服务，保证交易和作业主体身份的真实性、信息必威体育官网网址性和完整性，以及交易的不可抵赖性，实现跨地区跨行业的互认互通，成为资源共享、公正信任的第三方。数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。 数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份必威体育官网网址文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： (1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认； (2)保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。数字证书的格式一般采用X.509国际标准。中心主要签发个人和企业身份证书、服务器证书等几种类型证书。 2 由于Internet电子商务系统技术使在网上交易各方能够极其方便轻松地获得政府、机构、商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。交易各方在网上的一切行为都必须是真实可靠的，并且要使顾客、商家、企业和机构等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统必须保证具有十分可靠的安全必威体育官网网址技术，也就是说，必须依靠数字证书保证网络安全的四大要素，即信息传输的必威体育官网网址性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。 验证签名者身份 表明签名者确认被签名文件的内容 确保己签名文件的内容不被篡改 防止签名者的抵赖行为 若要在电子文档上实现签名，可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作，以保证发信人无法抵赖曾发过该信息(即不可抵赖性)，同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验收。 在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些函数的特殊要求是：接受的输入报文数据没有长度限制；对任何输入报文数据生成固定长度的摘要(数字指纹)输出；从报文能方便地算出摘要；难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；难以生成两个不同的报文具有相同的摘要。 收方在收到信息后按如下步骤验证签名：使用自己的密钥将信息转为明文；使用发信方的公钥从数字签名部分得到原摘要；收方对所发送的源信息进行hash运算也产生一个摘要；收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份，如果两摘要内容不符，则可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信