用智能卡存储数字证书和私有密钥.docxVIP

用智能卡存储数字证书和私有密钥广东省电子商务认证有限公司郝云生----?本文以Microsoft IE浏览器为例，介绍使用智能卡申请个人证书的过程。不同的证书发行机构（CA），签发证书的程序会有所不同，这里只介绍基本步骤。一、使用智能卡申请证书----1）在计算机上安装读卡器和驱动程序。读卡器通过一根串行电缆与计算机的串行通信口连接，另一根电源线接到键盘插座上为读卡器提供电源。在安装驱动程序时，智能卡设备的加密驱动程序将被安装到机器上，这个核心程序称为加密服务模块（CSP）。在Windows操作系统的加密体系中，IE浏览器、Outlook Express邮件程序等应用程序，不能直接与加密设备（如智能卡）直接通信，必须通过CryptoAPI进行。----2）使用IE浏览器访问CA的Internet站点，填写注册信息，选定加密服务模块。在Web页面上，除了填写名字、E-MAIL地址等注册资料外，用户还要选择加密服务模块（CSP），默认的选项是“Microsoft Base Provider CSP”，属于软件加密模块。这里选择智能卡加密服务模块。----3）确认注册信息，提交证书请求。这时候，系统将弹出一个对话框，提示用户输入智能卡的PIN。输入正确的PIN之后，智能卡将产生一对密钥，其中私有密钥存储在智能卡内，而公开密钥同注册信息一起提交给CA。----4）下载数字证书。如果CA经过审核批准了证书请求，将签发一张证书，并通知申请者。申请者可以从CA的站点将证书下载到智能卡中。二、使用智能卡访问安全站点----许多电子交易的站点或发布特定信息的站点需要经过授权才能访问，并且发送到该站点或由该站点发出的信息都是经过加密处理的。在Microsoft 的IIS Web Server 中，将需要安全访问的文件或目录的访问控制设置为“request client certificates”（需要客户端证书）就可以了。当用户使用浏览器访问这个安全站点时，该站点会要求浏览器出示证书。----智能卡中安装了数字证书，就可以访问安全的Internet 站点，过程如下：----1）用户访问安全站点时，Web Server提示浏览器访问该页面需要客户端证书。浏览器通过CryptoAPI调用CSP，检查是否安装了站点所要求的证书。系统将在对话框中列出所有满足条件的证书，由用户选择使用其中一张证书作为访问站点的身份证明。用户选择智能卡中的证书并确定，证书被提交给Web Server。----2）Web Server 首先对客户端证书的有效性进行验证。确认证书有效后，Web Server发送一串随机数给客户端浏览器。浏览器收到这串数字后，将其发送给智能卡，智能卡使用私有密钥对其进行数字签名。签名后的随机数串被回送给 Web Server，Web Server将验证签名（用证书对应的公钥进行解密），如果签名验证通过（解密后得到的随机数与其发送的随机数相同），则授权访问页面。如果不能完成签名或签名验证失败，Web Server将认为访问者不具备该证书的使用权，访问请求被拒绝。----3）验证成功后，Web Server和浏览器之间使用SSL协议规程，建立安全会话通道进行通信，两者之间发送和接收的信息都是经过加密的。三、使用智能卡签名/加密电子邮件----以下介绍使用存储在智能卡中的数字证书和私有密钥对邮件进行签名和加密/解密的过程。----1．签名邮件----1）对邮件进行签名时，Outlook Express首先对邮件消息进行“哈希”（Hash）运算，得到消息的“哈希值”。 “哈希值”是一串固定长度的数字，不同的消息（即使只存在1个bit的差异）的“哈希值”是完全不同的，所以“哈希值” 也被称为“数字指纹”。----2）Outlook Express通过CryptoAPI 和CSP与智能卡进行通信，将“哈希值”发送给智能卡。----3）智能卡对“哈希值”使用私有密钥进行加密运算，加密后的“哈希值”就是数字签名。智能卡将数字签名返回给Outlook Express。----4）Outlook Express将消息、签名、数字证书一起发送给接收者。----5）接收签名的邮件时，Outlook Express从发送者的数字证书中取得发送者的公开密钥，对数字签名进行解密运算，得出原始的“哈希值”。同时， Outlook Express会对收到的消息按照同样的“哈希算法”进行运算，得出一个新的“哈希值”。如果原始的“哈希值”和新的“哈希值”相同，则数字签名是有效的，接收者可以认为消息确实是来自证书持有者，在传输过程中没有被篡改。----２．加密/解密邮件----1）发送加密邮件，需要获得对方的数字证书。有多种途径可以获得他人的数字证书：从收到的带数字签名的邮件中获得；搜