（设 要责解3你）求，对决当的这银你银一之行在行点发处道要至出理有关一电就能重个子是要力要交求易让。数说的你如将时字对果1候你 你0证。0的要美例书要求元如在求转，。两负帐假
个 10帐0美户之元间，转你移不。能银事行后必否须能认够你确发信出他过们这收 到 个的要正求是。你这所称发之出为的。“这不称可之抵为赖“性完”整。性”。
（1）张三将他的公钥发给李四 （3）张三将加密后的签名文件发给李四
（4）李四用张三的公 钥对张三加密后的签 名文件进行解密
B公司：李四
C公司：王五
公钥的获取与验证
• 实际上，在张三和李四交换密钥的 过程中，王五也可以获得他们的公 钥。
• 那么李四怎样区别哪一个公钥是真 正的张三的公钥呢？
• 李四可以到第三方发证机关证书目 录服务器上进行查询来辨别，就这 样王五的阴谋也就不能得逞。
• 服务器数字证书支持目前主流的Web Server，包括但不限于：IIS、Lotus Domino、Apache、iPlant等Web服务器。 可存放于服务器硬盘或加密硬件设备上。
数字证书生命周期
证书废止
证书公布
CA 证书过期
目录 服务
证书生成
RA
证书
证书存档
用户
证书申请
用户证书： 1、申请
.获取 2、更新
国家PKI互联工程
吉大正元体系 福建 CA
吉林 CA
BCA
中国电信 CA
天津CA
北京CA
上海CA
与各PKI体系广泛合作，实现
一证在手，走遍天下
证书应用 体系
WEB
证书软件产品一览图
统
电
安
安 全
签
电
全
书
证 管
章 管
子 邮
站
应
点
用
理
理
件
系
引
系
系
系
统
擎
统
统
统
证书发放 体系
地税RA
认证中心CA系统/KM系统
中心RA
银行RA
数字北京安全工程
遍布各地的受理点
小结
• PKI是构建安全信任体系的基础 • CA中心只是一个证书发放体系 • 基于应用驱动的证书应用体系
第二部分 数字证书的应用领域
（一）、数字证书解决的安全问题 （二）、数字证书的应用领域 （三）、电子签名法对数字证书应用的推动
•（（（（为 可 “ 够性把和具1245以一访））证”））有机不访个问我我实。跟用很密可问秘控们们是完这高性抵那密制必需你整个程，赖些”的须要要性相度性访私格。确一求一同的问结有式保 种转的。样的数 授网控合或我帐据 权重例络制起秘们能 方。要子安来、密称够 式这的，全，完的之保 ，称是这。就整数为持 使之，个组性据“私 需为银处成、。机有要“行理了真这密或它真叫性要你保的一实”实存人能的个性。
• 基于公钥理论
– 相对于传统的秘密密钥（对称密钥）
• 基础设施
– 如同电力基础设施为家用电器提供电 力一样
– PKI为各种互联网应用提供安全保障
加密的工具
• 是通过用户的公钥（Public Key）和私钥 (Private Key）来实现的，加密、解密必 须用同一个用户的一对公钥和私钥来配 对使用。
(一)、产生背景及PKI/CA简介
机遇
• 当今的时代是信息时代，政务工作 也必须要适应时代的要求。在有关 部门的重视下，各级政府贯彻落实 加强计算机信息化建设工作，利用 计算机在文档传递管理、网上报税、 网上银行、项目直报、远程通信等 工作中都应用了计算机辅助办公， 并进入了网络信息共享的阶段。
• 公钥可以告诉别人，但私钥却一般不能 告诉别人，除非授权。就象我们的大楼 一样，大门钥匙我们可以给各住户，但 各家自己门的钥匙却只能给住户本人， 不能随便给。
文件加密与数字签名
• “文件加密”与“数字签名”虽 然其过程不一样，但原理是一样 的，大家注意理解。
文件加密原理
• 现假设有A公司的老板名叫张三，B公司的老 板名叫李四，现张三想传输一个文件file bs给 李四，这个文件是有关于一个合作项目标书 议案，属公司机密，不能给其它人知道，而 恰好有一个C公司的老板王五对A和B公司有 关那项合作标书非常关注，总想取得A公司的 标书议案，于是他时刻监视他们的网络通信， 想如果张三通过网络传输这份标书议案时从 网络上截取它。为了防止王五截取标书议案， 实现安全传输，我们可以采用以下步骤：
面向用户办理证书申请
（二）、网络安全性及数字证书 知识简介
安全保障体系
安全 保障 体系
统 一安 全信任 体系
基 基基 加密
于 于于 密钥
桥 PKI PM I 服 管
CA 的 互 联 互 通
电 子 证 书 系 统
的 访 问 控 制 体 系
务理 管服 理务 体体 系系
统一 安全 防护体 系
物网 理络 层层 安安 全全
文件签名原理
• 和文件加密所举的例子一样，张三要在所发的文件 File BS后面要加以签名，以证明这份标书的有效性， 同样是发给B公司的老板李四，公司C的老板王五如 果想要假冒张三的签名发另一份标书给李四，以达 到破坏A公司中标的目的。
（2）张三用自己的私钥 对文件进行签名并对签 名进行加密
A公司：张三
• 我国目前的140余家电子签名认证服务机构中， 仅17家拥有国家电子认证服务许可证，其余的 120余家尚未经认证。
发展方向
国家PKI 体系
P
K
政务专用CA
I
信
任 体 区县RA
委办局RA
系
通用CA
税务RA 教育RA 银行RA
受
受
受受
理
理
理理
点
点
点点
——作为信息化安全基础设施、为全省各行各业提供信 任与认证服务
安全是相对的
• 加密后的文件在解密之前会面目全非， 没有对应的密码是无法进行阅读的， 更别谈修改了，况且这种密码比一般 所使用的密码长许多倍（非对称密码 为1024位），而且是配对使用的。据 专家分析用任何程序解密的可能性几 乎为零，即使能解密，也起码要10000 年，这样的解密又有什么意义呢 ？
单位证书
• 颁发给独立的单位、组织，在互联网上 证明该单位、组织的身份。
• 单位数字证书根据各个单位的不同需要， 可以分为单位证书和单位员工证书。
• 单位证书对外代表整个单位，单位员工 证书对外代表单位中具体的某一位员工。
服务器证书
• 主要颁发给Web站点或其他需要安全鉴别 的服务器，证明服务器的身份信息。
Applications
EDI
Banking
E-Commerce
E-Government
CRM ERP SCM
CA的技术框架
CA的服务架构
CA中心：
证书管理中心 制订证书相关规定 生成证书 管理废止证书（黑名单） 更新证书目录 密钥管理
RA：
管理证书受理点 办理和审批证书申请
受理点：
证书存储介质: 磁盘、IC卡、USB KEY等
理想介质USB KEY： •私钥不可读:
–只能在满足条件时使用， 由KEY的软硬件设计保障 •KEY内签名、验证: –私钥的使用也在KEY内，不 存在传输中私钥泄露的可能 性 •KEY内生成RSA密钥对: –并能直接存于KEY内，从而 从源头上杜绝泄露的可能性 •使用方便: –可以在任何接有读写器 （或USB接口）的PC上使用
系 应管 统 用理 层 层层 安 安安 全 全全
标准 法规和 制度 体系
法技管 安
律 术 理 安 全
法 规
标 准
制 度
全 培 训 培 训
信息 安全 基础 设施
安全管 理体系
如何保障网络应用的安全性？
•• 首 这 综先些上，资所源一述包个，括安网全网络的络的网安数络全据保（护可不着以管该定是网通络义过的为网资：络源。 传输一的些数保据护还是重存要贮信在息媒介的中手的段数和据）措，施还， 包 使括之对免物受理蓄资源意的的访和问无权力意。的破坏。而
电子政务网络应用安全 －数字证书及电子签章介绍
问题的引出
主要内容
第一部分：数字证书相关知识介绍 第二部分：数字证书的应用领域 第三部分：电子签名相关知识介绍 第四部分：电子签名的主要作用 第五部分：证书及签章在投资网上的使用
第一部分 数字证书相关知识介绍
（一）、产生背景及PKI/CA简介 （二）、网络安全性及数字证书知识简介 （三）、数字证书认证中心介绍
网络特点 —— 开放性及匿名性
在因特网上， 谁也不知道你是一条狗！
网络中，我如何能相信你?
证书机构
大家共同信任 的权威机构。
通过数字证书把用户的公钥和用户的身份进行捆绑， 从而证明公钥持有者身份的真实性
CA（Certificate Authority）是颁发数字证书的 机构。证书是一个机构颁发给一个安全个体的证明，所 以证书的权威性取决于该机构的权威性。
什么是数字证书？
•• 数字数证字书证是书是是一由个公经证数字、证权书威认的证第中 心密的三为输(钥具方 核 的CA拥有C心 信认AX有息的.证中5者进密0中心9信格行码心签息式加技)以数发编密术及字的码和可公签，的解以开名以文密的密对件数钥包、网。字等含数络证信公字上书息开签传 •名通和俗签地名讲验，证数，字确证书保就网是上个传人递、信单息位 或的服机务密器性在、网完络整上性的，身以份证及，交又易称实为体 数身字份I的D，真在实网性上和事行务为的的各个不环可节否，认参性， 与从从各而而方解保都决障需相网验互络证间应对的用方信的证任安书问的题全有 。性效。性，
.有效期 3、撤销
.密钥泄漏
(三)、数字证书认证中心介绍