网上招投标系统字证书应用.docVIP

福建省数字安全证书管理有限公司 福建省数字安全证书管理有限公司 PAGE PAGE 10 网上招投标系统数字证书应用 福建CA中心概述 福建省数字安全证书管理有限公司（简称福建CA中心），是由福建省经济贸易委员会承建，福建金贸、福建凯特联合出资组建，是国家密码管理委员会办公室及福建省政府批准的福建省内唯一的数字证书发证机构，福建CA中心是“数字福建”的骨干工程，在经过一年的建设后，现已成为我国首家通过国家密码管理委员会技术鉴定的区域性CA中心。 福建CA是一个具有权威性、公正性、唯一性的机构，负责向福建省内从事电子政务、电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的数字安全证书，现经福建省政府办公厅（闽政办（2002）函6号）批准，在全省范围内使用福建省数字安全证书，使用范围为：工商、税务、证券、技术监督、公安、卫生、农业、林业、乡镇企业行业。 福建CA中心的宗旨是为互联网络交易和作业的主体提供信任和安全的服务，保证交易和作业主体身份的真实性、信息保密性和完整性，以及交易的不可抵赖性，实现跨地区跨行业的互认互通，成为资源共享、公正信任的第三方。 福建CA中心主要是为福建省的电子商务、电子政务、网上金融、网上证券、网上办公等提供安全可靠的认证和信任服务，并提供证书管理器、CA安全引擎等各种相关产品和软件。福建CA中心同时还提供电子认证、证书目录查询、数据库安全托管、密钥托管、企事业单位安全办公、政府安全上网及各类安全架构建设、培训等一系列服务和解决方案。 主要技术支持 一、 PKI技术　PKI（public key infrastructure）即公开密钥体系，是一种遵循既定标准的密钥管理平台。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，它是利用公钥理论和技术的建立来提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。　PKI的基本组成：　由福建CA、数字证书库、密钥备份、恢复系统、证书作废系统、应用接口（API）等五大系统组成。　PKI的基础技术包括：　加密、数字签名、数据完整性机制、数字信封、双重数字签名等。二、VPN产品套件　VPN技术为目前较为通用的一种网络安全技术。VPN技术主要是利用密码技术，在公网上为互通信息的结点建立一个相对封闭的虚拟专用网，用于防止来自公网的非法攻击，保证信息传输的安全性。以Internet公网作为传输媒介，通过添加辅助协议后组建的VPN就称之为Internet-VPN，或IP-VPN。IP-VPN具有其它VPN所不能相比的优势，它具有很强的扩展能力和灵活性，支持多种接入方式，包括拨号接入、Cable modem，xDSL以及ISDN等。　IP-VPN技术特点主要如下：　基于IP协议。　采用密码技术、隧道技术和网络访问控制技术。　在公网上为相互通信的局域网或节点间构成一个封闭的、安全的虚网。　保证信息传输的可靠性、机密性、完整性、顺序性。　具有完善的密钥管理功能和审计功能。　　　　　　　　　　　　　　　　　　 安全传输通道的建立与数据加密 SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，主要适用于点对点之间的信息传输，常用Web Server方式。 安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于福建烟草电子商务和资金管理中心系统来说，使用SSL可保证信息的真实性、完整性和保密性。 SSL安全连接建立的过程如下图所示： 福建CA服务器身份证书中包含服务器信息、公钥及CA的签名，在网络通讯中标识证书持有服务器的身份。用于电子商务应用系统中的服务器软件向其他企业和个人提供电子商务应用时使用，服务器软件作为电子商务服务提供者，利用证书机制保证与其他服务器或用户通信的安全性。主要用于网站交易服务器，目的是保证客户和服务器产生与交易支付等信息相关时确保双方身份的真实性、安全性、可信任度等。 根据SSL本身的特性，服务器安装了服务器证书之后，就可以将所提供的服务在服务器端与客户端之间通过SSL进行传输。用户可以自由选择哪些信息需要或不需要使用SSL进行传输。如果使用了客户认证（申请客户证书），还可以获取服务使用者的一些基本信息，并对使用者进行分类和进一步管理。 使用PKI双证书体制、对称密钥与非对称密钥相结合，对文件进行加密、解密的过程如下图所示： 用户身份认证的实现 　　随着互联网上各种应用的开展，如何安全地进行用户身份认证