6.6.1 CA 电子认证服务-主讲教师陈雪松-1765263487918.pptxVIP

6.6.1CA电子认证服务主讲教师：陈雪松

目录1CA电子认证服务原理2数字证书3数字签名

1CA电子认证服务原理1.CA电子认证服务的概念：指为电子签名相关各方提供真实性、可靠性验证的活动。2.CA电子认证服务的设计思路：以PKI公钥基础设施为基础，以数字证书为媒介，通过CA安全组件为桥梁将PKI公钥基础设施安全体系与业务应用系统进行有效结合，以满足系统的应用安全需求。

1CA电子认证服务原理1.CA电子认证服务的概念：指为电子签名相关各方提供真实性、可靠性验证的活动。2.CA电子认证服务的设计思路：以PKI公钥基础设施为基础，以数字证书为媒介，通过CA安全组件为桥梁将PKI公钥基础设施安全体系与业务应用系统进行有效结合，以满足系统的应用安全需求。第三方的权威认证机构是整个认证体系的基础，拥有完整的PKI基础设施证书认证服务系统，为用户和应用系统之间搭建了双方互信的平台。01CA安全组件则是以PKI/CA技术为基础，全面支持基于数字证书应用技术，为应用系统提供丰富的PKI公钥基础设施技术服务。02

1CA电子认证服务原理图1.CA电子认证原理示意图

1CA电子认证服务原理首先基于CA合法的第三方电子认证机构对平台上的用户、机构和设备的身份进行可靠认证，为平台应用安全奠定基础。01其次利用PKI公钥基础设施技术基于数字证书的应用，在跟业务系统紧密结合后确保用户的身份认证，统一授权等问题，替代以往用户名+密码等形式的不安全身份认证模式，打造一个高强度的身份认证平台。02第三利用CA安全组件实现对关键步骤的关键数据进行数字签名和数据加密，实现数据交换过程中的安全传输、存储以及责任认定。03第四利用电子签章技术，保证公文信息的完整性和不可抵赖性，确保公文流转的安全性，从而实现真正的无纸化办公，不再需要收发纸质公文，归档所需要的纸质公文可以通过收文方直接打印电子公文获取。?04最后利用符合电子签名法规定的数字签名、电子签章技术，确保了网上行为的法律效力，有效建立了网上行为的责任认定机制。05

方案设计充分考虑了监所信息系统的业务特点，在数字证书服务体系的基础上，利用应用安全支撑平台为监所信息系统提供基于数字证书的认证、加密、签名、签名验证等安全功能，形成电子认证服务和安全应用支撑体系。认证签名签名验证加密1CA电子认证服务原理

2数字证书1.数字证书的概念：即标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在网络上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格，相当于网上的身份证。2.数字证书是由一个由权威机构——CA机构，又称为证书授权(CertificateAuthority)中心发行的，人们可以在网上用它来识别对方的身份。

2数字证书数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称、证书的序列号等信息，证书的格式遵循X.509国际标准。

2数字证书数字证书为一种软件实体，需要特殊的存储介质进行保存，CA提供证书存储介质（简称“USBKey”）用于装载数字证书及其私钥，USBKey是目前广泛使用的数字证书存储介质，CA在制作双证书的过程中结合了USBKey的功能特点，实现了私钥的安全保护，不泄露，防篡改,保证数字证书及其私钥的安全，并方便用户随身携带。为了保护数字证书及其私钥的安全，每一个USBKey都有一个保护密码（PIN码），只有输入正确的PIN码，才能正常使用数字证书及其私钥。每个USBKey出厂时都有一个默认的密码，用户可自行修改。为防止暴力破解，在连续输入几次错误口令后，USBKey会自动锁死，无法使用，如需继续使用，需持有效证件到发证机构进行解锁操作。0102

3数字签名1.数字签名的概念：指证书用户（甲）用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者（乙）使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要，并对收到的原始数据采用相同的杂凑算法计算其消息摘要，将二者进行对比，即可校验原始信息是否被篡改。

3数字签名01数字签名可以完成对数据完整性的保护，和传送数据行为不可抵赖性的保护。其特性是可以确保数据的完整性、不可抵赖性，等同于现实生活中的签名一样，因此叫数字签名。02由于数字签名的完整性和不可抵赖性，可以确保系统信息数据完整性和操作的不可抵赖性。对于监所信息系统中，用户需要承担法律责任的所有信息都需要采用数字签名来保护。03当出现业务纠纷的情况下，取出数字签名记录进行验证。C