福建省粮油备管理系统安全认证解决方案.doc

福建省粮油储备管理系统安全认证解决方案 一、数字证书 1、什么是数字证书 数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。 数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： (1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认； (2)保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。数字证书的格式一般采用X.509国际标准。中心主要签发个人和企业身份证书、服务器证书等几种类型证书。 2 由于Internet电子商务系统技术使在网上交易各方能够极其方便轻松地获得政府、机构、商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。交易各方在网上的一切行为都必须是真实可靠的，并且要使顾客、商家、企业和机构等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须依靠数字证书保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。 验证签名者身份 表明签名者确认被签名文件的内容 确保己签名文件的内容不被篡改 防止签名者的抵赖行为 若要在电子文档上实现签名，可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作，以保证发信人无法抵赖曾发过该信息(即不可抵赖性)，同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验收。 在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些函数的特殊要求是：接受的输入报文数据没有长度限制；对任何输入报文数据生成固定长度的摘要(数字指纹)输出；从报文能方便地算出摘要；难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；难以生成两个不同的报文具有相同的摘要。 收方在收到信息后按如下步骤验证签名：使用自己的密钥将信息转为明文；使用发信方的公钥从数字签名部分得到原摘要；收方对所发送的源信息进行hash运算也产生一个摘要；收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份，如果两摘要内容不符，则可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信，也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中己经遭到被坏或篡改。 4、数字证书的种类 ●企业证书 企业证书中包含企业身份信息、公钥及CA的签名，在网络通讯中标识证书持有企业的身份，可用于网上税务申报、网上办公系统、网上招标投标、拍卖、网上签约等多种应用系统。服务器身份证书 服务器身份证书中包含服务器信息、公钥及CA的签名，在网络通讯中标识证书持有服务器的身份。用于电子商务应用系统中的服务器软件向其他企业和个人提供电子商务应用时使用，服务器软件作为电子商务服务提供者，利用证书机制保证与其他服务器或用户通信的安全性。 目前，证书的存储介质主要有软盘、硬盘IC卡等形式。、 二、证书的结构及相关原理 1、证书的格式 目前与SSL协议配合并且得广泛使用的证书标准是X.509 V3。X.509 V3版，其内容包括： 1）版本号—标示证书的版本（版本1、版本2或是版本3） 2）序列号—由证书颁发者分配的本证书的唯一标识符。 3）签名—签名算法标识符（由对象标识符加相关参数组成），用于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1