信息技术基础电子签名.pptVIP

卫生系统数字证书扩展域网络技术教研室实体唯一标识扩展域1@1001SF012CA对基本证书域签名网络技术教研室表明CA对其所签发证书内容的完整性、准确性负责，并证明该证书的合法性和有效性，将网上身份与证书绑定。”数字证书介质网络技术教研室证书介质是指能够执行密码运算，能够生成公钥和私钥密钥对、存储密钥、证书和其它安全敏感信息的设备，如智能IC卡及智能密码钥匙(即UsbKey)。现行PKI一般为双证书机制，一个是加密证书，另一个是签名证书。12电子签名技术网络技术教研室HospitalInformationSystem基本概念数字签名的技术实现卫生系统数字证书应用集成规范数字证书服务管理平台接入规范数字签名技术实现过程网络技术教研室首先要在网上进行身份认证01然后再进行签名02最后是对签名的验证。03认证网络技术教研室PKI提供的服务首先是认证，即身份识别与鉴别。认证的前提是甲乙双方都具有第三方CA所签发的证书.数字证书登录认证示意图网络技术教研室数字签名与验证过程网络技术教研室网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。数字签名的全过程分两大部分，即签名与验证。数字签名的操作过程网络技术教研室本项代表一个证书持有者身份的唯一编码，在业务系统中，本标识可与应用系统内用户账号一一关联，从而用于实现证书用户与系统用户的绑定。实体唯一标识的OID由各电子认证服务机构自行申请和定义。“实体唯一标识”的编码规范如下：用户编号（变长）+“@”+CA编号（4位）+证件类型代码（2位）+安全标识（1位）+证件号码（变长）其中，用户编号是一个证书实体的证书序号，建议用户编号采用阿拉伯数字，例如一个企业申请2个证书，则第一张证书的用户编码为1，第2张证书的用户编号为2，依次类推。CA编号应为CA机构的《电子认证服务许可证》上的“许可证编号”的后四位数字。证件类型代码是证书用户申请数字证书使用的关键证件的编码一个网上用户怎样才能得到一张数字证书呢？①他先要向RA提出注册申请。②用户的申请经RA审批通过后，RA向CA提交注册建立请求。③CA建立对于该用户的注册，并将注册建立结果返回给RA。④RA将注册结果通知用户。注册结果中包含了两组数字，分别称为“参考号”和“授权码”。⑤用户方的软件生成一对公钥和私钥。⑥用户向CA提出证书请求。这个请求信息中还包含了用户的公钥和用户的可甄别名等信息，这些信息在CA创建证书时要用到。⑦CA创建该用户的数字证书。⑧通过适当方式将证书分发给用户。使用智能卡（含CPU的IC卡）储存数字证书和私钥是更为安全的方式。因为产生公私密钥对的程序（指令集）是智能卡生产者烧制在芯片中的ROM中的，密码算法程序也是烧制在ROM中。公私密钥对在智能卡中生成后，公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不允许外部访问。在加密和签名的运算过程中，外部计算机中的应用软件使用智能卡API调用的方式，输入参数、数据和命令，启动智能卡内部的数字签名运算、密码运算等，并获得返回结果。由于智能卡内部的CPU可以完成这些操作，全过程中私钥可以不出智能卡介质，黑客的攻击程序没有机会去截获私钥，因此这就比证书和私钥放在软盘或硬盘上要安全得多。发方将原文用哈希算法求得数字摘要，用签名私钥对数字摘要加密得数字签名，发方将原文与数字签名一起发送给接受方；收方验证签名，即用发方公钥解密数字签名，得出数字摘要；收方将原文采用同样哈希算法又得一新的数字摘要，将两个数字摘要进行比较，如果二者匹配，说明经数字签名的电子文件传输成功。数字签名过程:首先是生成被签名的电子文件（《电子签名法》中称数据电文），然后对电子文件用哈希算法做数字摘要，再对数字摘要用签名私钥做非对称加密，即做数字签名；之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装，形成签名结果发送给收方，待收方验证。验证过程是：接收方首先用发方公钥解密数字签名，导出数字摘要，并对电子文件原文做同样哈希算法得出一个新的数字摘要，将两个摘要的哈希值进行结果比较，相同签名得到验证，否则无效。这就做到了《电子签名法》中所要求的对签名不能改动，对签署的内容和形式也不能改动的要求。（1）发方A将原文信息进行哈希运算，得一哈希值即数字摘要MD；（2）发方A用自己的私钥PVA，采用非对称RSA算法，对数字摘要MD进行加密，即得数字签名DS；（3）发方A用对称算法DES的对称密钥SK对原文信息、数字签名SD及发方A证书的公钥PBA采用对称算法加密，得加密信息E；`（4）发方用收方B的公钥PBB，采用RSA算法对对称密钥SK加密，形成数字信封