数字证书产品介绍和应用举例广东省数字证书认证中心二○○三年五月目录1信息安全需求 (2)2实现手段 (2)3信息的机密性 (3)3.1加密 (4)3.2解密 (5)4信息的完整性 (6)4.1签名 (6)4.2验证签名 (7)5身份认证 (8)5.1单向认证 (8)5.2双向认证 (9)6不可否认 (11)7主要安全应用流程举例 (14)7.1证书申请 (14)7.2安全登录 (16)7.3发送公文 (17)1 信息安全需求n 信息的机密性；n 信息的完整性；n 身份认证；n 不可否认。

2 实现手段n 加密/解密；n 杂凑算法；n 数字签名。

3 数字证书和数字证书认证中心数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Ｉｎｔｅｒｎｅｔ上解决＂我是谁＂的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或具有的某种资格。

　数字证书是由权威公正的第三方机构即ＣＡ中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

　数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。

每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。

当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。

通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。

在公开密钥密码体制中，常用的一种是ＲＳＡ体制。

　数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。

数字证书的格式一般采用Ｘ．５０９国际标准。

　广东省数字证书认证中心和广东省电子密钥管理中心是经粤信厅［２００２］６８号文和粤国密办字［２００２］１９号文批准，于２００３年２月２１日正式挂牌成立，为广东省的电子政务建设和电子商务活动提供统一的安全认证基础设施，共享统一的安全认证平台和统一的标准体系的管理机构和服务机构。

　广东省数字证书认证中心作为目前广东省唯一一家经广东省信息产业厅批准成立的数字证书的管理与服务机构，主要从事电子政务、电子商务安全证书制作、颁发和管理工作，为全省的政府机构和公务人员、企业、公众和商业用户提供统一的数字证书制作、颁发和管理等服务；同时受广东省国密办的委托，代管广东省电子密钥管理中心的业务和服务系统。

　4 信息的机密性信息的机密性主要通过对信息的加密和解密来实现，其中实现的手段包括对称和非对称体系。

对于通常使用的大数据量加密通常是采用对称加密和数字信封相结合的方式，充分发挥对称加、解密速度快的优点。

加密流程说明：1、Alice创建待发送的数据；2、将待加密的数据提交给密码服务系统进行加密（使用SHAREKEY加密）；3、密码服务系统生成密文，使用共享密钥；4、将密文发送给Bob;5、Alice通过LDAP服务器查找Bob的证书；6、找到Bob证书；7、通过密码服务系统使用Bob证书对SHAREKEY加密；8、生成数字信封；9、将数字信封发送Bob。

解密流程说明：1、Bob收到共享密钥加密的密文；2、Bob收到数字信封；3、Bob的KEYNET；4、Bob的私钥；5、通过密码服务系统使用Bob的私钥解密数字信封；6、得到共享密钥；7、通过密码服务系统使用共享密钥解密密文；8、得到明文。

5 信息的完整性5.1 签名签名流程：1、Alice生成明文数据；2、应用密码服务系统对明文进行摘要运算；3、生成明文的数据摘要；4、Alice的KEYNET；5、Alice的私钥；6、应用Alice的私钥对数据摘要进行加密；7、生成数字签名；8、数字签名发送给Bob；9、明文发送给Bob。

5.2 验证签名签名验证流程：1、Bob收到明文数据；2、Bob收到数字签名；3、Bob通过LDAP服务器查找Alice的证书；4、Alice的数字证书；5、通过Alice的数字证书对数字签名进行解密；6、得到明文摘要；7、应用密码服务系统对明文进行摘要运算；8、得到明文摘要；9、比较摘要是否相等。

6 身份认证6.1 单向认证身份认证流程（单向）：1、Alice向Bob发起连接请求；2、Bob返回请求确认；3、Bob发送随机数R1；4、Alice的KEYNET；5、Alice对R1进行数字签名；6、生成数字签名SR1；7、Alice发送数字签名给Bob；8、Bob通过LDAP查找Alice的数字证书；9、找到Alice的证书；10、Bob收到的R1的签名SR1；11、Bob使用KEYNET对数字签名SR1进行验证；12、得到R1，认证通过。

6.2 双向认证身份认证流程（双向）：1、Alice向Bob发起连接请求；2、Bob返回请求确认；3、Alice发送随机数R1；4、Bob发送随机数R2；5、Alice的KEYNET；6、Alice对R2进行数字签名；7、生成数字签名SR2；8、Alice发送数字签名SR2给Bob；9、Bob的KEYNET；10、Bob对R1进行数字签名；11、生成数字签名SR1；12、Bob发送数字签名SR1给Alice；13、Bob通过LDAP查找Alice的数字证书；14、找到Alice的证书；15、Bob收到的R2的签名SR2；16、Bob使用KEYNET对数字签名SR2进行验证；17、得到R2，认证通过；18、Alice通过LDAP查找Bob的数字证书；19、找到Bob的证书；20、Alice收到的R1的签名SR1；21、Alice使用KEYNET对数字签名SR1进行验证；22、得到R1，认证通过；23、双向认证完成。

7 不可否认不可否认说明：Alice执行的任何操作，服务器都要求Alice提供数字签名，并通过时间戳服务器加盖时间戳后，存储到安全审计数据库中。

8 安全产品密码服务系统密码服务系统是安全平台的加密处理支撑基础，负责保存安全平台加密私钥和加密证书，主要为安全平台提供包括加解密、数字信封等数据安全服务，以支持信息的机密性、完整性。

密码服务单元是安全平台的的签名处理支撑基础，负责保存安全平台的签名私钥和签名证书，主要提供包括签名及签名验证等安全服务，以支持信息完整性和不可抵赖性。

密码服务系统及其所使用的加密算法和签名算法都是经国家密码主管部门审批通过的，既支持国际通用的1024 bit的RSA 算法，又支持国内自主研发的ECC算法。

智能密码钥匙（简称Keynet）为了满足安全支撑平台在实体可鉴别、可管理方面的需求，信任服务（签名/签名验证）方面的需求，以及证书的存储管理方面的要求，智能密码钥匙是对使用电子政务安全平台的终端实体（包括用户和终端设备）进行身份识别的便携式硬件设备，同时也是证书保存和使用的载体。

电子印章电子印章（文档签名）是一种安全性高于传统方式的盖章软件。

对于传统的公文往来，我们日常生活中所见的红色印章是必不可少的，这些印章是权利和权威的代表。

而文档签名则可以在Word 文档上实现电子盖章（数字签名），以及文档身份验证、文档加密、文档解密等多项功能，满足电子办公的需求。

文档签名使用数字证书对Word文档进行数字签名，以保证签名后的文档不被非法篡改。

签名者还可以在签名时对文档进行批注，数字签名可以保证此批注不被篡改。

还可对Word文档利用数字证书进行加解密，可保证文档内容不被他人窃看。

文档签名能与MS Office操作环境进行集成，使用简便，就像在使用word等Office产品的一样的简单。

产生的数字签名和批注可以以对象的方式嵌入到Word文档中，直观明了。

能支持多人的签名，每个人的签名都可以在文档中的任意地方随意地产生，完全由签名者控制；数字签名的强度是可选的，以满足不同的应用需要；此外，数字签名可以用智能密码钥匙等所存储的证书产生，这些存储介质自身有安全便携的特性，进一步提高了系统安全性。

安全电子邮件由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息，因此保证邮件的真实性（即不被他人伪造）和不被其他人截取和偷阅也变得日趋重要。

安全电子邮件通过使用数字数字证书（即安全电子邮件证书），对邮件进行数字签名和加密，以确保电子邮件的真实性和保密性。

可应用于各种重要商务活动处理机密信息时接收和发送数字签名、加密邮件。

支持目前流行的邮件客户端程序：FOXMail，Outlook Express或OutLook。

可信站点认证和SSL服务SSL安全服务：SSL（加密套接字协议层）是由Netscape首先发表的网络数据安全传输协议。

SSL是利用公开金钥的加密技术(RSA)来做为客户端与主机端在传送机密数据时的加密通讯协议。

SSL位于HTTP 层和TCP 层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。

SSL 是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。

目前，SSL技术已被大部份的Web Server及Browser广泛使用。

同时通过在WEB服务器的证书中绑定站点的域名和IP地址，可以使用户对访问站点的可信度实现认证，防止网站伪造和访问欺骗。

实时文件加密解密系统实时文件加密解密系统，可以实时加密解密特定FILE SYSTEM上的文件，包括本地硬盘分区文件和移动介质的分区文件系统（例如移动硬盘和U盘等），加密解密算法强度至少是128位，对于用户完全透明；具有对PNP磁盘的支持，例如动态拔插USB硬盘/FLASH DISK。

支持对特定卷标的盘进行文件实时加解密。

文件保护系统一、主动防护　l 系统从解决数据安全的根本因素入手，对用户数据采取主动防护的方式，用户不再为各种新出现的窃取、破坏方法或手段而担心，数据安全问题从根本上得到解决。

　二、动态保护　l 当授权用户对受保护的文件、目录进行打开、复制、修改、重命名等操作时，需要通过身份和权限认证后方可操作，并且在授权用户操作文件时，非授权者不能对该受保护目标进行越权操作。

　三、高度安全　l 不对保护对象进行任何加密或修改：确保被保护的文件不会出现无法还原恢复的现象。

　l 病毒防范：从防止对数据文件的篡改入手，防止已知和未知病毒的感染和破坏，保护数据文件的完整与安全。

　l 网络保护：对数据文件实施安全防范后，能防止来自网络上的破坏和窃取（复制），确保被保护的文件更加安全。