数字证书培训课件.ppt

1、问题的引出主要内容第一部分：数字证书相关知识介绍第一部分：数字证书相关知识介绍第二部分：数字证书的应用领域第二部分：数字证书的应用领域 第三部分：电子签名相关知识介绍第三部分：电子签名相关知识介绍第四部分：电子签名的主要作用第四部分：电子签名的主要作用第五部分：证书及签章在投资网上的使用第五部分：证书及签章在投资网上的使用第一部分第一部分 数字证书相关知识介绍数字证书相关知识介绍（一）、产生背景及（一）、产生背景及PKI/CA简介简介（二）、网络安全性及数字证书知识简介（二）、网络安全性及数字证书知识简介（三）、（三）、数字证书认证中心介绍数字证书认证中心介绍(一一)、产生背景及、产生背景及P

2、KI/CAPKI/CA简介简介 机遇 当今的时代是信息时代，政务工作也必须要适应时代的要求。在有关部门的重视下，各级政府贯彻落实加强计算机信息化建设工作，利用计算机在文档传递管理、网上报税、网上银行、项目直报、远程通信等工作中都应用了计算机辅助办公，并进入了网络信息共享的阶段。挑战 然而，人们在得益于信息革命所带来的新机遇，享受新技术带来的便利的同时，也不得不面对信息安全问题的严峻考验。通过网络传递的信息会不会被截获和篡改，网络另一方的人的身份是否真实，如何确保人们不能抵赖在网上所做的历史行为，等等这些信息安全问题已经引起了各部门、各企业以及每个互联网用户的重视。在因特网上，谁也不知道你是一条

3、狗！网络中，我如何能相信你?网络特点网络特点 开放性及匿名性开放性及匿名性大家共同信任的权威机构。证书机构证书机构通过数字证书把用户的公钥和用户的身份进行捆绑，从而证明公钥持有者身份的真实性用户用户A A用户用户B BCACA可以可以担保我的网上业务对方的担保我的网上业务对方的真实身份真实身份CACA可以可以担保我的网上业务对方担保我的网上业务对方的真实身份的真实身份?CACA中心中心我了解用户我了解用户A A我可以为他们的真实身份担保我可以为他们的真实身份担保我了解用户我了解用户B B我可以为他们的真实身份担保我可以为他们的真实身份担保 CA（Certificate Authority）是颁

4、发数字证书的机构。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。利用公开密钥理论和技术建立的提供安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。基于公钥理论相对于传统的秘密密钥（对称密钥）基础设施如同电力基础设施为家用电器提供电力一样PKI为各种互联网应用提供安全保障公钥基础设施（公钥基础设施（Public Key InfrastructurePublic Key Infrastructure）加密的工具加密的工具 是通过用户的公钥（Public Key）和私钥(Private Key）来实现的，加密、解密必须用同一个用户

5、的一对公钥和私钥来配对使用。公钥可以告诉别人，但私钥却一般不能告诉别人，除非授权。就象我们的大楼一样，大门钥匙我们可以给各住户，但各家自己门的钥匙却只能给住户本人，不能随便给。文件加密与数字签名文件加密与数字签名“文件加密”与“数字签名”虽然其过程不一样，但原理是一样的，大家注意理解。文件加密原理文件加密原理 现假设有A公司的老板名叫张三，B公司的老板名叫李四，现张三想传输一个文件file bs给李四，这个文件是有关于一个合作项目标书议案，属公司机密，不能给其它人知道，而恰好有一个C公司的老板王五对A和B公司有关那项合作标书非常关注，总想取得A公司的标书议案，于是他时刻监视他们的网络通信，想如

6、果张三通过网络传输这份标书议案时从网络上截取它。为了防止王五截取标书议案，实现安全传输，我们可以采用以下步骤：文件加密原理文件加密原理A公司：张三B公司：李四C公司：王五（4）李四用自己的私钥对文件进行解密（2）张三用李四的公钥对文件进行加密李四将他的公钥发给张三（1）（3）张三将加密后的文件发给李四文件签名原理文件签名原理 数字签名也主要是为了证明发件人身份，就象我们来看到的某文件签名一样，但现在要说的签名是采取数字的方式，它可以防止别人仿签，因为加密后的签名就变得面目全非，别人根本不可能看到真正的签名样子，它与前面所讲的文件加密机理是一样的，但方法不太一样，下面介绍如下。文件签名原理 和文

7、件加密所举的例子一样，张三要在所发的文件File BS后面要加以签名，以证明这份标书的有效性，同样是发给B公司的老板李四，公司C的老板王五如果想要假冒张三的签名发另一份标书给李四，以达到破坏A公司中标的目的。A公司：张三B公司：李四C公司：王五（2）张三用自己的私钥对文件进行签名并对签名进行加密（4）李四用张三的公钥对张三加密后的签名文件进行解密（3）张三将加密后的签名文件发给李四 （1）张三将他的公钥发给李四公钥的获取与验证公钥的获取与验证 实际上，在张三和李四交换密钥的过程中，王五也可以获得他们的公钥。那么李四怎样区别哪一个公钥是真正的张三的公钥呢？李四可以到第三方发证机关证书目录服务器上

8、进行查询来辨别，就这样王五的阴谋也就不能得逞。安全是相对的安全是相对的 加密后的文件在解密之前会面目全非，没有对应的密码是无法进行阅读的，更别谈修改了，况且这种密码比一般所使用的密码长许多倍（非对称密码为1024位），而且是配对使用的。据专家分析用任何程序解密的可能性几乎为零，即使能解密，也起码要10000年，这样的解密又有什么意义呢？PKIPKI的组成的组成PKI技术的应用范围PKIPKI已成为信息安全的核心已成为信息安全的核心SETSSL SPKMS/MIMEIPSecDatabasesDirectoriesHardware CryptoSmart CardsPaymentsMailWeb

9、VPNsEDICRM ERP SCMBankingE-CommerceE-GovernmentCACA的技术框架的技术框架CA中心：证书管理中心制订证书相关规定生成证书管理废止证书（黑名单）更新证书目录密钥管理RA：管理证书受理点办理和审批证书申请受理点：面向用户办理证书申请CACA的服务架构的服务架构（二）、网络安全性及数字证书（二）、网络安全性及数字证书知识简介知识简介安全保障体系安全保障体系 安 全 保 障 体 系信 息 安 全 基 础 设 施安全管理体系统一安全信任体系统一安全防护体系基于桥CA的互联互通基于PKI电子证书系统基于PMI的访问控制体系加密服务管理体系密钥管理服务体系物理

10、层安全网络层安全系统层安全应用层安全管理层安全安全培训标准法规和制度体系安全培训管理制度技术标准法律法规如何保障如何保障网络应用网络应用的安全性？的安全性？首先，一个安全的网络保护着该网络的资源。这些资源包括网络的数据（不管是通过网络传输的数据还是存贮在媒介中的数据），还包括对物理资源的访问权力。第二，这些资源应该不受有意或无意的破坏。一个安全的网络应该是黑客们所破坏不了的。最后，对网络资源的保护不能太强制和繁琐。不能为了安全性而把系统设计得很复杂，以至于被授权的人不能以一种简单的方式来访问这些资源。综上所述，网络安全可以定义为：一些保护重要信息的手段和措施，使之免受蓄意的和无意的破坏。而且这

11、些手段和措施的实现不应给已授权的用户在访问这些信息时造成任何影响。网络安全必须达到几条基本的要求网络安全必须达到几条基本的要求：（1）我们必须确保数据能够保持私有或保存为一个秘密的格式。我们称之为“机密性”。（2）我们需要一种授权方式，使需要它的人可以访问那些私有的或秘密的数据。这叫“访问控制”。（3）当你在处理电子交易的时候。例如，假设你对银行发出一个要求说将100美元在两个帐户之间转移。银行必须能够确信他们收到的正是你所发出的。这称之为“完整性”。（4）跟完整性一样重要的是，银行要能够证实是你要求转帐。这称之为“真实性”。（5）用这个相同的例子，这个处理你的要求的银行要有能力让你对你的要求

12、负责，这一点至关重要。如果你要求转帐100美元，你不能事后否认你发出过这个要求。这称之为“不可抵赖性”。把机密性，访问控制、完整性、真实性和不可抵赖性结合起来，就组成了一个具有很高程度的网络安全。解决之道就是数字证书。解决之道就是数字证书。什么是数字证书？什么是数字证书？数字证书是是一个经数字证书认证中心(CA认证中心)数字签名的包含公开密钥拥有者信息以及公开密钥等信息的具有X.509格式编码的文件。通俗地讲，数字证书就是个人、单位或服务器在网络上的身份证，又称为数字ID，在网上事务的各个环节，参与各方都需验证对方证书的有效性，从而解决相互间的信任问题。数字证书是由公证、权威的第三方CA中心签

13、发的，以数字证书为核心的密码技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性和行为的不可否认性，从而保障网络应用的安全性。版本（3）序列号签名算法标识（ID）颁发者名称操作周期主体名称（带有增强命名的OU=）主体公钥信息颁发者的数字签名颁发者唯一标识符标准扩展“资格”证书政策 -CPS URL -实践参考 -通知标识ID其他扩展应用定义的扩展X.509扩展X.509 v3 证书证书数字证书的组成数字证书的组成数字证书分类数字证书分类证书存储介质证书存储介质:磁盘、磁盘、IC卡、卡、USB KEY等等理想介质理想介质USB

14、KEY：私钥不可读私钥不可读:只能在满足条件时使用，由KEY的软硬件设计保障KEY内签名、验证内签名、验证:私钥的使用也在KEY内，不存在传输中私钥泄露的可能性KEY内生成内生成RSA密钥对密钥对:并能直接存于KEY内，从而从源头上杜绝泄露的可能性使用方便使用方便:可以在任何接有读写器（或USB接口）的PC上使用单位证书单位证书 颁发给独立的单位、组织，在互联网上证明该单位、组织的身份。单位数字证书根据各个单位的不同需要，可以分为单位证书和单位员工证书。单位证书对外代表整个单位，单位员工证书对外代表单位中具体的某一位员工。服务器证书服务器证书 主要颁发给Web站点或其他需要安全鉴别的服务器，证

15、明服务器的身份信息。服务器数字证书支持目前主流的Web Server，包括但不限于：IIS、Lotus Domino、Apache、iPlant等Web服务器。可存放于服务器硬盘或加密硬件设备上。CARA证书证书用户用户目录目录服务服务证书申请证书申请证书存档证书存档证书过期证书过期证书废止证书废止证书公布证书公布证书生成证书生成用户证书：1、申请 .获取2、更新 .有效期3、撤销 .密钥泄漏(三三)、数字证书认证中心介绍、数字证书认证中心介绍 数字证书的权威性取决于其颁发机构的权威性数字证书的权威性取决于其颁发机构的权威性基本情况基本情况 必须使用获得信息产业部批准的认证中心。自中华人民共和

16、国电子签名法实施一周年以来，获得国家电子认证服务许可证的17家认证机构已经发出了近260万张电子证书。依照电子签名法规定，只有拥有许可证的电子认证机构才能提供电子签名认证服务。我国目前的140余家电子签名认证服务机构中，仅17家拥有国家电子认证服务许可证，其余的120余家尚未经认证。发展方向发展方向作为信息化安全基础设施、为全省各行各业提供信作为信息化安全基础设施、为全省各行各业提供信任与认证服务任与认证服务国家国家PKIPKI互联工程互联工程北京CA中国电信 CA福建 CA上海CABCA吉大正元体系吉林 CA与各与各PKI体系广泛合作，实现体系广泛合作，实现 一证在手，走遍天下一证在手，走遍

17、天下天津CA证书软件产品一览图证书软件产品一览图小结小结 PKI是构建安全信任体系的基础 CA中心只是一个证书发放体系 基于应用驱动的证书应用体系第二部分第二部分 数字证书的应用领域数字证书的应用领域（一）、数字证书解决的安全问题（一）、数字证书解决的安全问题（二）、数字证书的应用领域（二）、数字证书的应用领域（三）、电子签名法对数字证书应用的推动（三）、电子签名法对数字证书应用的推动（一）、数字证书解决的安全问题（一）、数字证书解决的安全问题来自网络的风险窃听 单位秘密文件被窃取 个人安全信息被窃取伪装 假冒真正的服务器 假冒真正的用户篡改 信息被修改 抵赖否认其行为网络的安全风险网络的安全

18、风险行为抵赖行为抵赖业务系统业务系统最终用户最终用户AInternetA于于2005年年11月月25日下午日下午3点整转帐点整转帐100万到万到 B 账户账户A：我没有做过，是你们搞错了！说不定还可能是系统管理员干的呢。：我没有做过，是你们搞错了！说不定还可能是系统管理员干的呢。Web服务器服务器u 信息的私密性(Privacy)数据加密u 信息的完整性(Integrity)数字签名u 信息的源发鉴别(Authentication)身份认证数字签名+数据加密u 信息的防抵赖性(Non-Reputation)数字签名数字证书解决的安全要素各种安全技术比较身份鉴别身份鉴别机密性机密性完整性完整性抗

19、抵赖抗抵赖口令口令动态口令动态口令密码技术密码技术数字证书数字证书电子政务、电子商务的安全支柱安全设施安全设施安全策略安全策略保密性保密性身份身份鉴别鉴别授权授权数据数据完整性完整性抗抵赖抗抵赖可靠的可靠的电子政务、电子商务电子政务、电子商务技术技术管理管理数字证书数字证书（二）、数字证书的应用领域 X509/PKCS/PKIX/CAPI/LDAP.CA/RA/KMC/TSA.（1）身份管理认证授权访问控制/SSO.（2）访问安全SSL/TLSVPN/SSLVPNWTLS.PKIPKI底层技术底层技术PKIPKI基础部件基础部件PKIPKI应用领域应用领域PKIPKI的应用的应用企业门户电子交

20、易网络互联远程访问（3）内容安全安全邮件Form/File安全XML Security.消息传递安全存储身份管理身份认证身份管理授权与访问控制访问安全内容安全内容安全内容安全内容安全与应用更加紧密的结合四川省电子政务网络的四川省电子政务网络的设计问题设计问题 政务外网和政务内网 政务外网划分为三个逻辑隔离的网络完全可以使用证书来解决不同应用的访问安全问题几种典型的应用方案（1）Web应用安全解决方案 为Web服务器颁发证书，验证服务器端的身份 为用户颁发证书，验证最终用户的身份 服务器与用户之间通过认证协议，相互认证 采用数字证书对传输数据进行加密、签名处理CA认证中心认证中心Web服务器服务

21、器业务系统业务系统最终用户最终用户Internet 是发放给互联网站的数字证书。作用作用：实现了网站服务器的身份认证，解决了网站访问中网络钓鱼、窃听、篡改等安全问题。实现实现：通过在Web服务器中配置服务器证书，在浏览器和服务器之间建立了SSL安全通道。使用服务器证书后，实现数据传输的保密性和完整性，确保了网站身份的真实性，提高了网站的公信度。webweb服务器证书服务器证书加密套接字层协议（SSL）Web服务器服务器最终用户最终用户我是网银服务器，这是我的证书我是网银服务器，这是我的证书我是网银用户，这是我的证书（可选）我是网银用户，这是我的证书（可选）hello交换密钥建立交换密钥建立SS

22、L通道通道客户端证书验证客户端证书验证服务器端证书验证服务器端证书验证1011 0110001 10101 00110110101SSL所实现的安全：相互身份鉴别 信息加密 安全传输中的数据完整性加密的应用数据加密的应用数据应用系统1票据解析部分应用系统2票据解析部分应用系统n票据解析部分用户数据库用户单点登录系统TicketTicketTicket统一身份认证（2）统一认证、单点登录（3）电子签章电子签名的可视化表示电子签名的可视化表示保证文档完整性、不可否认性保证文档完整性、不可否认性又符合人们日常办公习惯又符合人们日常办公习惯（4）SSL VPN实现远程安全接入访问实现远程安全接入访问E

23、mail（5）邮件安全解决方案 为通信双方签发数字证书 通信双方使用证书进行加密和签名的电子邮件 防止被第三方截取、阅读 身份认证，防止被假冒 防止被篡改Internet发信人发信人收信人收信人CA认证中心认证中心（6）代码下载的安全问题网上直报、网上银行、网上证券等越来越多应用通过Web平台实现，许多代码通过网络，以ActiveX控件的形式发布。用户使用浏览器下载这些代码时，面临极大的风险。不明身份的代码的威胁是谁发布的这个代码？微软或黑客发布后这代码被修改过么？病毒或木马代码安全的解决方案是谁发布的这个代码？由可信第三方CA鉴证软件开发商身份，签发代码签名数字证书 完整可靠的鉴证机制使黑客

24、无法得到公信的证书发布后这代码被修改过么？由软件开发商为自己的代码进行数字签名，保证发布后第三方无法修改客户端下载代码时，会自动验证证书及数字签名 确认由代码由可信的厂商发布，并且发布后未被篡改小结小结 系统登录的身份认证：系统登录的身份认证：系统的首要安全需求。系统用户不仅仅是内部的工作人员，而且也包含分布全分支的机构的工作人员，因此为确保系统访问的安全性，必须要对用户身份的真实性进行有效鉴别。重要信息的数字签名：重要信息的数字签名：需要对用户信息进行针对性安全保护，通过数字签名机制确保其在传输过程中完整性，保证重要信息能完整一致的下达到相关工作人员。重要信息的机密保护：重要信息的机密保护：

25、鉴于网络的开放性，防止信息在传输过程中被窃听与盗用，使用数字信封技术对使用需保护的机密信息进行加密保护。(三三)、电子签名法对数字证书应用的推动、电子签名法对数字证书应用的推动立法必要性立法必要性1、我国电子政务和电子商务的发展，提出了建立有效的身份认证机制和责任认定机制的需求；2、一些实现电子签名的技术已能达到法律对传统签名的要求；3、电子签名在传统法律环境下，遇到法律问题：电子签名和数据电文是否具有法律效力在已有的法律中无明文规定，客观上阻碍了电子政务和电子商务的发展；电子签名的规则不明确，对电子签名人的行为缺乏规范，发生纠纷后责任难以认定；电子认证服务提供者的法律地位和法律责任不明确，行

26、为不规范，认证的合法性难以保证；电子签名的安全性、可靠性没有法律保障。加强以密码技术为基础的信息加强以密码技术为基础的信息保护和网络信任体系：规范和保护和网络信任体系：规范和加强以加强以身份认证、授权管理、身份认证、授权管理、责任认定责任认定等为主要内容的的网等为主要内容的的网络信任体系建设络信任体系建设信息安全保障体系建设的需要信息安全保障体系建设的需要立法过程立法过程千呼万唤始出来千呼万唤始出来 2002年4月国信办组织起草，同年底提交国务院法制办电子签章条例。2003年国务院法制办合同国信办、信产部再次起草，2004月3月国务院原则通过。2004年4月6日十届全国人大常委会第八次会议上一

27、读；6月21日第十次会议二读；8月28日第十一次会议三读通过，2005年4月1日实施。核心内容核心内容(一)确立了电子签名的法律效力；(二)规范了电子签名行为；(三)明确了认证机构的法律地位及认证程序；(四)规定了电子签名的安全保障措施；(五)明确了电子认证服务行政许可的实施机关。概念辨析概念辨析电子签名电子签名（electronic signature)是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。包括数字签名（digital signature)、电子化印章和生理特征签名等，区别数字签名和电子签章。电子签名有两种形式存在，其一是在数据电文中所含，包含在

28、数据电文中，可能见到也可能见不到。类似于我们在纸质文件中的某一段落签了个名字。其二是所附。即附在正文后面的，类似于我们通常在纸质文件末尾的签名。电子签名是一组数据，人人可为，电子邮件的签署名字。概念辨析 数据电文数据电文（date message)是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。用语与合同法对接，与电子文件（electronic document)没有本质区别。一般来说，数据电文即为常见的电子文件。如电子文档、表格、邮件、短信等。其他其他 包括电子签名人、电子签名依赖方、电子签名认证证书、电子签名制作数据、电子签名验证数据。电子签名法颁布意义电子签名法颁布意义

29、电子签名法通过确立电子签名的法律效力、规范电子签名行为、维护电子交易各方的合法权益、保障电子交易安全，为电子商务和电子政务的发展创造了良好的法律环境，同时也为电子认证服务业的发展提供了有力的法律保障，为我国电子政务和电子商务安全认证体系和网络信任体系的建立奠定了坚实的法律基础。对今后工作的影响对今后工作的影响 将有力地促进全社会信息责任意识的提高。将促进电子商务、电子政务的发展。网上审批、电子商务、网上保单、网上教育、网上证券和网上银行、网上通关、网上税务、网上统计等。将进一步推动网上身份标识的统一。将推动软件知识产权的保护，为软件业的发展提供了保障。可靠电子签名与手写签名或者盖章具有同等的法

30、可靠电子签名与手写签名或者盖章具有同等的法律效力。律效力。目前数字证书及其相关技术是唯一符合电子签名目前数字证书及其相关技术是唯一符合电子签名法相关规定的实用技术手段。法相关规定的实用技术手段。数字证书的应用必将进一步广泛深入到电子政务、数字证书的应用必将进一步广泛深入到电子政务、电子商务的方方面面。电子商务的方方面面。小结小结第三部分：电子签名第三部分：电子签名/签章签章知识介绍知识介绍中华人民共和国电子签名法中华人民共和国电子签名法确立电子签名的法律效力电子签名的作用：识别签名人的身份；保证签 名人认可文件的内容电子签名具有与手写签名同等的法律效力，并规定了相应条件对数据电文作了相关规定：

31、电子文件具有法律效力的条件、作为证据的条件等设立电子认证服务市场准入制度规定电子签名安全保障制度电子签名的需求电子签名的需求 签名文档的完整性、签名人的身份认证、事后对签名的不可否认性。使用政务数字证书进行数字签名，有多种解决方案：基于Web的签名（对网页提交内容进行签名）基于Email的签名（对电子邮件进行签名）基于文件的签名（对任意格式的文件整体进行电子签名）基于特定格式文件内容的签名（对 Word、Excel、PDF等文件中的内容进行签名）电子签章技术？电子签章技术？电子签章是电子签名一种重要表现形式，电子签章是电子签名一种重要表现形式，它结合成熟的组件技术、它结合成熟的组件技术、PKI

32、 PKI 技术、图技术、图像处理技术以及智能卡技术，按照一系像处理技术以及智能卡技术，按照一系列的标准体系，以电子形式对电子文档列的标准体系，以电子形式对电子文档签名并加盖签章。签名并加盖签章。电子签章是以电子形式存在，依附于电电子签章是以电子形式存在，依附于电子文件并与其相关联，可用于辨识电子子文件并与其相关联，可用于辨识电子文件签署者的身份，表示签署者同意电文件签署者的身份，表示签署者同意电子文件所陈述的内容，并保证文件的完子文件所陈述的内容，并保证文件的完整性。电子签名与手写签名和盖章具有整性。电子签名与手写签名和盖章具有同等的法律效力。同等的法律效力。电子签章如何实现电子签章是电子签名

33、的一种可视化表现形式，利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果，同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。电子签章的特点电子签章的特点 安全安全：签章不可仿造、复制，防止非法制作拷贝印章、仿造新的文件；通用通用：提供丰富灵活的开发接口，易于与应用结合。方便方便：符合传统的印章使用习惯，操作简单；高效高效：执行效率高且占用系统资源少；标准标准：严格遵循中华人民共和国电子签名法，支持国家指定密码算法，密码运算在硬件介质中完成，符合国家安全标准。电子签章的功能电子签章的功能 加盖签章加盖签章：文档加盖签章，证明签名人的身份；验证签章验证签章：

34、验证文档签章，证实文档有效性；抗抵赖抗抵赖：签名者认可所签文档内容，不能对签名行为抵赖；抗伪造抗伪造：签章不能通过复制或其他方式进行伪造或冒充；抗篡改抗篡改：文档一旦被篡改，签章即失效。电子签章分为三类 组织机构（单位）安全电子公章 下属部门内部业务专用电子印章 个人安全电子名章（私章）或业务便章作者签名验证签名撤销签名普通读者文件作者验证签名审批者审批签名带作者签名的文件审批者批注并签名后的文件电子签名的关键环节电子签名的关键环节CA认证中心认证中心客户端客户端服务端服务端原文原文数字签名数字签名原文原文数字签名数字签名时间:2006-1-1 18:01:01数字签名数字签名(时间戳回执时间

35、戳回执)数字签名数字签名(时间戳回执时间戳回执)双向抗抵赖流程（可选）双向抗抵赖流程（可选）第四部分：电子签名的责任认定如何利用电子签名进行责任认定 前提：电子签名人具有合法的数字证书前提：电子签名人具有合法的数字证书纠纷一：客户端抵赖纠纷一：客户端抵赖纠纷二：服务端抵赖纠纷二：服务端抵赖如何利用电子签名进行责任认定前提：电子签名人具有合法的数字证书前提：电子签名人具有合法的数字证书 签名人数字证书（通过签名人提供或签名中所保存）1、验证证书的签名CA是合法CA（如BJCA）2、验证证书中内容信息指向签名实体本人3、CA机构根据发证时的鉴证流程，提供该实体获得证书的证据（如加盖公章的申请表、所

36、提供鉴证材料复印件等）4、查验证书吊销记录证书无效：签名都无效证书被吊销：吊销时间后的签名无效如何利用电子签名进行责任认定纠纷一：客户端抵赖纠纷一：客户端抵赖原文数字签名（客户端）验证后的数字证书（客户端）1、数字证书的有效性2、根据原文和数字证书验证数字签名的有效性1、客户端签过名，抵赖2、客户端证书被盗用（客户端负责）1、原文被篡改如何利用电子签名进行责任认定如何利用电子签名进行责任认定纠纷二：服务器端抵赖纠纷二：服务器端抵赖原文数字签名（客户端）时间戳回执（服务端）验证后的数字证书（服务端）1、服务端数字证书的有效性（前提）2、根据回执信息和数字证书验证回执签名的有效性3、回执信息中时间

37、、数字签名等信息的有效性1、服务端保存信息丢失2、服务器端证书被盗用（服务端负责）1、服务器端所接收信息与此回执信息不符第五部分第五部分 数字证书安装及使用数字证书安装及使用（以投资网为例）使用证书登录 必须准备好装有证书的存储介质；插入证书介质；输入申请证书时获得的证书信封密码。密码验证正确后系统将自动调用数字证书进行相关操作。打开投资网站点击进入证书服务与登录页面进入证书服务与登录页面 将安装光盘放入光驱中，双击光盘根目录下的安装程序“BJCA证书管理工具”：(一一)、数字证书安装、数字证书安装 安装程序会自动运行：直至出现安装成功提示：安装完成后，桌面上会自动生成管理工具的图标：将数字证

38、书USBKey插入电脑的USB接口，双击桌面“BJCA证书管理工具”图标或在点击开始菜单中的该程序；点击“安装证书”按钮；选择即将安装的证书，点击其前面的方框，然后点击“安装证书”按钮 安装完成，点击“确定”按钮 在证书管理工具程序主界面的右侧显示出证书信息，证明数字证书已成功安装。卸载安装是指您的计算机内以前安装过数字证书或USBKey的驱动程序，选择“卸载管理工具及USBKey驱动”，点击“下一步”；(二二)、卸载安装、卸载安装此时出现驱动程序卸载界面点击“卸载”；如果出现电脑重启提示，请选择“现在重新启动”，点击“完成”，重启电脑；(三三)、修改密码、修改密码双击桌面“BJCA证书管理工

39、具”图标或点击开始菜单中的该程序，出现程序主界面，点击证书管理标签页的“修改密码”按钮,您可以修改证书密码:(四四)、数字证书的使用、数字证书的使用1.插入USBKey或刷新登录页面；2.选择正确的登录证书；3.输入数字证书密码；4.点击提交按钮；5.点击角色确认按钮，即可登录到投资管理系统中。使用证书登录过程使用证书登录过程插入USBKey证书读取完成以后输入证书密码确认角色证书登录完成 重要提示：请牢记您的数字证书密码，如果您的密码重试次数超过10次，智能key将被锁死，必须拿到数字认证受理点解锁。（数字证书的密码即智能key的保护口令，您可以在数字证书的包装中找到包含密码的保密信封,请您

40、拿到证书后尽快修改您的密码）数字证书的更新一年有效期，一年后更新证书具体更新注意事项可参考证书申请声明(五五)、电子签章的安装及使用、电子签章的安装及使用 如果已经申请了单位数字证书的用户，并且在业务中需要使用电子签章时，请先安装BJCA电子签章工具，将BJCA电子签章安装光盘放入光驱中，双击光盘根目录下的安装程序“电子签章安装.exe”，安装成功即可。电子签章在待办通知中的使用 Web页面签章图标 点击鼠标右键签章后的待办事宜电子签章在文件交换中的使用电电子子签签章章在在项项目目直直报报中中的的使使用用电子签章在项目办理中的使用电子签章在word文档中的使用 Office Word 签章图标

41、 点击鼠标右键电电子子签签章章后后的的word word 文文档档点击鼠标右键验证签章签章验证签章验证验证成功验证失败插入一个空格后再验证签章(六六)、常见问题、常见问题1、什么是数字证书、什么是数字证书：数字证书，也称为网络身份证，是一个在网络上标识某实体身份的文件。其作用类似于现实生活中的身份证。它可以存储在USBKey上，也可以存储在电脑或者其它介质中。某些软件会通过读取这个文件来验证实体的身份。数字证书是由一个值得信赖的权威机构（数字证书认证中心，简称CA）发行，人们可以在交往中用它来鉴别对方的身份和表明自身的身份。数字证书的格式一般采用X.509国际标准；数字证书通常包括以下信息：您

42、的公钥您的名字和e-mail地址证书有效期证书颁发机构的名称（例如北京数字证书认证中心）证书的序列号CA（证书颁发机构）的数字签名2、数字证书能做什么、数字证书能做什么：应用软件、网络和电脑可以在很多场合使用您的数字证书：加密 保护您在网络上传送的数据的安全性。例如，电子邮件软件可利用邮件接收者的数字证书来加密邮件内容。认证 表明和证实您的身份。例如，在现实生活中您到银行进行取款等操作时，银行会让您出示您的身份证等其它有效证件；而在网上银行业务中，银行的网上系统则需要验证您的数字证书。数字签名 根据中华人民共和国电子签名法，用数字证书合法实现的电子签名，其法律效力等同于手写的签名。例如，电子签

43、章软件将使用您的数字证书对您发布的文档或其它文件进行电子签名。3、如果登录时选择证书方式无法显示您的用户名：、如果登录时选择证书方式无法显示您的用户名：关闭所有浏览器，运行光盘下的“BJCA证书管理工具.exe”安装管理工具。按照首都政务通使用说明书中的步骤安装数字证书。重新登录即可。4、数字证书密码卡有什么作用：、数字证书密码卡有什么作用：数字证书密码卡上的密码是USBKey的初始密码，也是您的证书初始密码。如果以后证书使用的过程中，由于密码错误重试的次数太多而被锁住，需要凭此卡上的初始密码解锁。5、为什么要使用、为什么要使用USBKey存储数字证书？存储数字证书？数字证书可以存储在软盘、光

44、盘、IC卡中。但是软盘易于损坏，且软盘和光盘证书的备份会导致证书容易被他人盗用，而存于IC卡中的证书使用时需要读卡器，成本较高。使用USBKey存储数字证书，具有携带方便和安全性极高的优点。您可以将USBKey与钥匙挂在一起，随身携带；存储在USBKey中的信息不可复制，密钥信息不出Key，且密钥本身不可读，最大限度的保障了用户的认证信息的安全性；结合密码验证的认证方式，实现了双因素认证的高强度数字身份认证。6、怎样保管数字证书？怎样保管数字证书？请您务必妥善保管USBKey和数字证书密码卡，勿借他人使用，不要向他人泄漏证书密码。如有遗失和盗用等情况发生，请及时向数字证书受理点报备。欢迎垂询欢迎垂询.谢谢！