首页资料文库正文

数字证书范文10篇

时间：2023-03-27 13:17:50

数字证书

数字证书范文篇1

为贯彻执行《中华人民共和国电子签名法》、《国务院办公厅转发国家网络与信息安全协调小组关于网络信任体系建设若干意见的通知》（国办发〔2006〕11号）精神，加快我市数字证书的推广应用，建立可靠、公正、规范的网络信任体系，适应电子政务、电子商务对电子认证的需求，促进我市国民经济和社会信息化，特提出如下意见：

一、充分认识推广应用数字证书的重要性

近年来，随着我市电子政务、电子商务的迅速发展，特别是互联网的广泛应用，一些重要数据、文件在网上被窃取、篡改等事件时有发生，网络欺诈、网络攻击等网络犯罪呈快速上升趋势，给社会稳定和经济发展带来了极大的危害。因此，做好信息和网络安全保障工作，创建安全可靠的网络环境，是促进经济发展、维护社会稳定、保障国家安全、保护公众利益的一项重要工作。在信息安全保障工作中，使用数字证书、实施电子认证，是在电子政务、电子商务等业务信息交换中确定身份、控制权限、认定责任，保证信息真实性、完整性和信息发送不可抵赖性的重要技术手段，是建立网络信任体系的重要基础，对网络防泄密、抗侵入、拒黑客、识真伪、保安全有着不可替代的重要作用。各区县（自治县、市）、各部门要从确保信息和网络安全、健全规范市场经济秩序和营造安全投资环境、维护政治和社会稳定的高度，充分认识推广使用数字证书、建立网络信任体系的重要性，加强领导，积极推动，切实做好数字证书的推广使用工作。

二、规范数字证书认证体系的建设和管理

市信息化领导小组负责研究决定和规范协调全市数字证书认证系统建设、管理和应用中的重大事宜。市信息产业局依法对电子认证服务机构和电子认证服务实施监督管理；会同有关部门加强对电子商务中电子认证活动的指导和管理，提高电子认证服务质量和可信度，推广电子签名应用，鼓励资源和服务共享，防止盲目重复建设。市国家密码管理委员会办公室依法对电子认证服务提供者使用密码的行为实施监督管理；会同有关部门做好电子政务中电子认证工作的规划和管理，制定电子政务活动中使用电子签名、数据电文的具体办法，研究制订电子政务认证的规范性技术文件，明确协议标准，统一应用接口，规范服务模式，实现电子政务电子认证的安全可控、互通互认。

为加强管理，规范和方便使用，减少不同数字证书认证中心之间的交叉认证，按照《重庆市加强信息安全保障工作意见》，建立全市统一的数字证书认证体系，提高数字证书使用效率，最大程度地维护用户利益。目前，我市已经依法设立的市数字证书认证中心是独立于监督管理部门的第三方认证机构，已获得国家密码管理局《电子认证服务使用密码许可证》和信息产业部《电子认证服务许可证》，已具备了从事电子认证活动的条件，能够提供电子政务活动中的认证应用和电子商务活动中的电子认证服务。各区县（自治县、市）、各部门和企事业单位及公民个人在数字证书应用中，必须使用已经依法设立的认证机构提供的数字证书。外地电子认证服务机构在本市行政区域内发放数字证书，必须到市信息产业局、市国家密码管理委员会办公室进行备案。

电子政务认证不得采用境外机构提供的认证服务。

三、加快数字证书的发放和推广应用工作

要从电子政务入手，向电子商务拓展，加快数字证书的应用和推广步伐。各区县（自治县、市）、各部门的信息化建设，要把使用数字证书，建立有效的身份认证、授权管理、责任认定等安全保障体系作为重要内容。税务、工商、国土房管、劳动保障等信息化建设基础较好的部门，应积极创造条件，带头在电子政务特别是面向社会开展的网上年检、网上纳税、网上审批、网上监管、网上交易等公共服务业务中应用数字证书，实现一证多用，引导社会各界用户积极使用数字证书，共同促进电子政务和电子商务的发展。信息服务业要应用数字证书，落实“实名制”上网等安全措施，努力营造健康、诚信、稳定的网络环境和社会环境。各级信息化、保密、密码、安全和公安等部门，要把规范、安全、合法使用数字证书作为网络信息安全检查工作的一项重要内容，以推动我市数字证书应用工作和网络信任体系建设的健康发展。

四、进一步提高电子认证服务质量

数字证书范文篇2

一,背景

广州市工商行政管理局(以下简称市工商局)是负责全市工商行政管理的行政部门,其

业务是监管市场主体从准入到退出整个过程的行为,以及保护消费者合法权益,维护市场经

济稳定健康地发展,涉及部门众多,地域分布广泛,计算机业务系统的安全保障体系要求较

高.

为满足身份识别,安全认证的实际需要,广州市工商局于2002年就率先引入PKI/CA

技术应用,依据CNCA数字证书体系技术在广州市工商局内为市工商局单位员工发放了用于

工商内网业务应用系统的内网数字证书,至2006年7月在线有效应用的内部数字证书1967

份.原证书的服务合同将于2006年12月31日到期.根据国家密码管理办公室对双证书双

广州信息协会会员浏览文件

广州市信息工程招投标中心,广州信息协会

密钥体系及标准的有关规定,在原服务合同到期后,需要逐批对内部证书进行双证双密的改

造,同时需要延续已改造及未改造的内部证书的驻场服务,并确保工商相关业务系统的有效

应用.

广州工商企业注册登记网上并联审批系统是广州市工商局所建设的覆盖全市,实现多个

协同部门并行开展网上审批业务的工作平台,2003年1月1日开始在全市推广应用.为解

决市工商局业务人员在内外网和广州市企业注册登记网上并联审批系统成员单位员工在外

网的身份验证,电子签名等问题,广州市工商局将PKI/CA技术应用在广州市企业注册登记

网上并联审批系统,原并联审批系统采用的是单证书的体系,根据国家密码管理办公室对双

证书双密钥体系及标准的有关规定,广州市工商局于2005年组织实施了并联审批数字证书

单证改双证的改造项目,并对与之相关的业务系统同步进行了改造.至2006年7月在线使

用的由CNCA签发的并联审批双证双密型单位员工证书共1465个,服务器证书6份,(证书

签发有效期至2007年1月),证书服务合同有效期至2006年7月31日,现需延续其服务.

为满足广州市工商行政管理局在数字证书使用方面的延续,更好的推广数字证书的应

用,同时满足日后数字证书用户的需要及日常应用的实际需要,拟制本采购需求.

目前工商采用PKI技术已实现单点登录功能的系统有:金信工程配套软件,企业注册登

记系统(内资),企业注册登记系统(外资),个体注册登记系统(二版),综合查询系统,

网上年检系统,经济户口系统,12315系统,广告管理系统,合同管理系统,工商企业信用

监管,商标管理系统,登记口统计软件,市场登记管理系统,教育培训管理系统,数字证书

用户安全管理系统,经济案件管理系统,工商食品安全管理系统,网上广告监管系统;未实

现单点登录功能的系统有:工商所网页管理,纪检监察网站,OA办公自动化系统,电子邮

件系统(内网),机房监控平台,电子扫描档案查询系统(市局),财务物业招投标管理系统

等;此外还有外网业务系统使用到数字证书,如并联审批系统,广州市食品安全网等.

二,技术要求:

1,对现有的并联审批成员单位(双证双密证书)数字证书1465份延续其服务一年;服

务期从中标商签订合同之日至2007年7月31日,延续证书有效期至2007年8月31日(原

证书签发有效期至2007年1月).数字证书服务包括证书申领,变更,解锁,补领,暂停,

注销,应用支持,驻场服务,更换证书载体和证书管理等功能服务,实现用户的安全认证,

数据安全传输,保证信息的真实性,完整性,机密性,不可否认性和访问控制,防止非法或

盗用数字证书的使用.

2,提供对广州市工商行政管理局2006年12月31日服务期满的约1467个内部数字证

广州信息协会会员浏览文件

广州市信息工程招投标中心,广州信息协会

书的续期服务,驻场服务期至2007年7月31日.数字证书服务包括证书续期,变更,解锁,

补领,暂停,注销,应用支持和证书管理等功能驻场服务,实现用户的安全认证,保证信息

的完整性,机密性,不可否认性和访问控制,防止非法数字证书或过期数字证书的使用.

3,延续现有服务器证书(目前使用6份)有效期2007年8月31日,服务期至2007

年7月31日.

4,提供对广州市工商行政管理局2006年12月31日服务期满的500份现有内部数字证

书更换为双密钥双证书体系数字证书,能为市工商局系统应用提供统一的证书管理和安全认

证产品,能够提供PKI安全应用解决方案以及技术支持驻场服务,包括数据传输的安全,WEB

表单的安全,安全电子邮件系统,数据交换安全,访问控制安全等.提供新的支持双密钥双

证书体系的数字证书介质(电子密钥),更换原有单证书介质,要求供应商在投标文件中就

介质更换做出承诺并就原介质的回收处理,新旧更换等提出具体方案(要求生产厂商具备符

合国密办要求的数字证书相关介质生产资质,产品符合双证双密相应国家标准).

5,提供与改造证书相关的工商业务应用系统对双证双密体系支持的优化完善改造;采

用通过国密办安审的密钥管理系统和数字证书管理系统,提供数字证书用户密钥的生成和管

理,解决系统密钥和数字证书用户密钥自产生到最终销毁的整个生命周期中的相关问题,实

现用户密钥的生成,存储,保护,备份,恢复,分配,注册,注销和归档,以及对密钥申请

的授权和证实,归档密钥的恢复,密钥管理的审计和跟踪,密钥管理系统的访问控制等功能.

三,服务要求

1,数字证书业务

(1)受理所有数字证书的变更,续期,注销,解锁,补领,发放和证书载体损坏更换等业

务.协助广州市工商行政管理局经济信息中心优化数字证书的业务流程,并协助建立一套合

理,规范的数字证书管理规范.

(2)服务商应能够按照广州市工商局的现有流程进行管理服务,并在《基于数字证书的用

户安全管理系统》进行证书管理.

(3)根据具体用户的实际需要,执行数字证书签发后各可直接通过现有工具软件分配的系

统权限的绑定,进行日常数字证书应用故障的检修和测试.

(4)每月向广州市工商局信息中心上报数字证书业务详细情况以及数字证书的库存使用情

况.制定证书维护服务操作手册,并协助信息中心拟制数字证书管理系统完善需求等证书管

理系统相关完善维护工作.

(5)为信息中心培训2名数字证书业务人员,使他们熟练掌握数字证书业务的操作技能,

广州信息协会会员浏览文件

广州市信息工程招投标中心,广州信息协会

并提供由CA或体系设备厂商等机构权威,正规的安全证书体系培训.

(6)为信息中心培训2名数字证书技术人员,使他们熟练掌握数字证书使用机制及相关技

术.培训次数不少于两次,参加培训人员不少于二人.

2,PKI/CA技术支持服务

(1)接受工商用户对数字证书办理流程及使用的咨询.

(2)指导用户安装数字证书.

(3)受理工商数字证书用户的证书服务相关投诉.

(4)排除数字证书在各业务系统中的使用故障.

(5)提供对证书硬件载体客户端工具以及驱动程序的维护.

(6)提供对广州市工商行政管理局内部数字证书签发平台的维护服务,包括对于微软平台

产品的日常维护,日志日常维护,安全检查以及系统备份和恢复.

(7)提供对使用数字证书的各业务系统的技术指导及支持,保证工商内网所有使用到数字

证书系统的用户可以正常通过证书登录.

(8)归档资料的规范.针对广州市工商行政管理局的实际情况,结合用户的意见,规范归

档资料.

(9)总体情况的汇报.汇报的内容应该是比较全面的书面文档及电子文档,月报的形式对

当前证书的使用情况的说明,并对接下来的工作计划,主要问题,库存情况等进行详细说明.

3,服务方式要求

投标人必须严格按要求执行工商局数字证书有关规定,提供驻场的技术和客服人员不得

少于每周8小时*5天*2人的驻场服务,并且熟悉CA系统及工商各个相关业务系统的业务流

程.

设立专业的技术服务支持队伍,提供现场技术支持服务,电话技术支持服务,电子邮件技术

支持服务等多种方式,务求在最短时间内解决问题.

(1)驻场客服服务

驻场人员须每天统计各项业务办理数量,以便采购方可及时掌握和查询业务数据,同时驻场

人员负责分配或协调相关系统的管理人员做好对用户权限的管理.

(2)现场服务

提供现场软件技术支持服务.当出现影响重大的系统功能故障,严重的系统故障,数据出错

或丢失等严重故障时,必须提供现场技术支持,并保证2小时响应,4小时到位,积极修复.

当出现非严重故障但无法通过电话解决的问题,同样提供上述现场技术支持服务.

广州信息协会会员浏览文件

广州市信息工程招投标中心,广州信息协会

(3)电话服务

提供7*24小时热线服务,技术服务支持人员将根据故障现象诊断原因,确保在最短的时间

内排除故障.

(4)电子邮件服务

提供一个数字证书服务的专用邮箱,用于日常工作的沟通,证书用户的投诉等.

四,技术支持要求

采用国家密码管理委员会办公室认可的客户端电子密钥,CA机构签发的证书能同时支

持三种以上不同品牌厂商的介质,且均能实现数字证书,私钥,算法的存储及使用,并能完

成密码运算.CA机构的服务器端采用国家密码管理委员会办公室认可的硬件密码设备,为

系统提供数字证书相关的密码运算功能,存储服务器端数字证书,私钥,并支持国密办认可

的算法.

投标人所采用的证书体系(数字证书认证系统)需经过国密办安审通过符合广州市信息

化建设统一部署规划,如果与采购人现有的证书体系不一致,必须提出具体的解决方案,并

要求达到对业务应用无缝集成和对应用透明.

对广州市工商局现有的数字证书延续服务中,数字证书符合X.509格式,并采用国家密

码管理委员会办公室规定的双证书双密钥体系,符合国家密码管理委员会办公室颁布的《证

书认证系统密码及其相关安全技术规范》.采用数字证书实现用户的安全登录,数据安全传

输,保证信息的真实性,完整性,保密性及不可否认性.以PKI技术实现系统应用安全,提

供身份认证,数据加解密,数字签名/验签等功能.

证书体系应能保证在市工商局的一些重要应用系统中能在线保证用户证书的有效性,能

为用户提供在线证书状态查询服务(OCSP),让用户能实时查询要验证的证书的状态.

协助提供对证书硬件载体客户端工具以及驱动程序的维护;

提供对使用数字证书的工商各业务系统的技术指导及支持,保证工商内网所有使用到数

字证书系统的用户可以正常通过证书登录.

对执行业务过程中知悉的企业商业秘密严加保密,不得将其知悉的商业秘密和用户提供

的资料对外泄漏.

广州信息协会会员浏览文件

广州市信息工程招投标中心,广州信息协会

第二章付款方式说明

本次采购为政府采购项目,签署项目合同后的20个工作日内,支付合同总金额的40%;

项目验收并通过后的20个工作日内,支付合同总金额的50%;在合同期满一年后的20个工

作日内,支付全部剩余款项,即合同总金额的10%.

广州信息协会会员浏览文件

广州市信息工程招投标中心,广州信息协会

第三部份附件

第一章合同要求说明

投标人必须响应并承诺以下所附合同主要条款.一旦中标,除非供需双方同意,否则均

不得对此合同的条款进行实质性的修改.

附:广州市政府采购合同

广州市工商行政管理局

2006年数字证书续期服务项目

合同书

合同编号:穗工商信合2006-XX

广州市工商行政管理局

XXXXXXXXXXX有限公司

广州信息协会会员浏览文件

广州市信息工程招投标中心,广州信息协会

广州市工商局行政管理局2006年数字证书续期服务项目合同书

甲方:广州市工商行政管理局

乙方:

根据《中华人民共和国合同法》有关规定经双方友好协商,签订下列条款:

一,业务范围和目的

甲方委托乙方对所中标范围内的广州市工商局行政管理局2006年数字证书续期服务

及内网业务系统数字证书应用安全改造项目,进行技术支持与服务,并完成相关广州市工商

局行政管理局2006年数字证书续期服务项目报告.

二,下列文件均为本合同书的组成部分

1,供方成交的响应文件和谈判纪要.

2,在实施过程中双方共同签署的补充文件.

三,服务质量要求和技术标准:

四,提供服务的时间,地点和方式

1,提供服务的时间:

数字证书范文篇3

安全性是影响移动电子商务发展的关键问题:相对于传统的电子商务模式，移动电子商务的安全性更加薄弱。如何保护用户的合法信息（账户、密码等）不受侵犯，是一项迫切需要解决的问题。

在有线通信中，电子商务交易的一个重要安全保障是PKI,即公开密钥体系，PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题，但考虑PKI算法的复杂性和移动环境的特殊性，在应用PKI的同时必须要加以改进。WPKI技术，即无线公开密钥体系正是在这样的背景下发展起来，并逐渐在无线数据业务中得到应用。

一、WPKI的技术原理

WPKI并不是一个全新的PKI标准，它是传统的PKI技术应用于无线环境的优化扩展。它同样采用证书管理公钥，通过第三方的可信任机构—认证中心(CA)验证用户的身份，从而实现信息的安全传输。PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施，它是国际公认的互联网电子商务的安全认证机制，它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。公钥是目前应用最广泛的一种加密体制，在这一体系中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体系广泛地用于CA认证、数字签名和密钥交换等领域。

与PKI系统相似，一个完整的WPKI系统必须具有以下部分：PKI客户端、注册机构(RA)、认证机构(CA)和证书库以及应用接口等基本构成部分，其构建也将围绕着这五大系统进行。

认证机构(CA)CA系统是PKI的信任基础，负责分发和验证数字证书，规定证书的有效期，证书废除列表。

注册机构(RA)RA提供用户和CA之间的一个接口。作为认证机构的校验者，在数字证书分发给请求者之前对证书进行验证。

数字证书库:用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。

应用接口：一个完整的WPKI必须提供良好的应用接口系统，使各种各样的应用能够以安全、一致、可信的方式与WPKI交互，确保安全网络环境的完整性和易用性。

PKI和WPKI最主要的区别在于证书的验证和加密算法。WPKI采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。比如说一个1024位加密算法，手机需要半分钟才能完成，所以传统的PKIX.509就不适合移动计算。WPKI采用的椭圆曲线密码体制，密码长度可以为165位，实际应用和传统PKI的1024位或2048位安全强度一样，但运算量要小，复杂度也随之降低。加密算法越复杂，密钥越长则安全性越高，但执行运算所需的时间也越长（或需要计算能力更强的芯片）。所以，支持RSA算法的智能卡通常需要高性能的具有协处理器的芯片。而ECC使用较短的密钥就可以达到和RSA算法相同的加密强度。由于智能卡受CPU处理能力和RAM大小的限制，因而采用一种运算量小同时能提供高加密强度的公钥密码体制对在智能卡上实现数字签名应用是至关重要的，ECC在这方面具有很大的优势。

二、WPKI的工作流程

在移动商务中，如何实现在线、实时、安全的支付是技术实施的核心，尤其在移动环境下，需要准确地识别人员身份、判别账号真伪，并迅速、安全地实现资金转账处理。使用WPKI进行移动电子商务交易的流程如图所示。

移动终端通过注册机构向证书中心申请数字证书，证书中心经过审核用户身份后签发数字证书给用户，用户将证书、私钥存放在智能卡中，移动终端在无线网络上进行电子商务操作时利用数字证书保证端对端的安全。服务提供商则通过验证用户证书确定用户身份，并提供给用户相应的服务，从而实现电子商务在无线网络上的安全运行。

可见，在WPKI机制下，数字证书非常重要，但是由于无线信道和移动终端的限制，如何安全、便捷地交换用户的数字证书是WPKI所必须解决的问题。可以将标准的一个X.509证书与移动证书标识惟一对应，并且在移动终端中嵌入移动证书标识，用户每次只需要将自己的移动证书标识与签名数据一起提交给对方，对方再根据移动证书标识检索相应的数字证书即可。

数字证书范文篇4

关键词：PKI；CA；数字证书；数字签名

1PKI体系概述

PKI即公钥基础设施，是一个基于非对称算法中的公钥概念及技术而实施并提供安全服务的安全基础设施，网络通讯、网上交易可以利用它来保证信息安全。PKI应用系统至少应具有五个部分：CA、X.500目录服务器、安全WWW服务器、Web安全通信平台、安全应用系统；而CA则是整个PKI的核心，所有的安全应用全围绕CA展开。PKI提供的安全服务包括：身份认证、数据完整性、数据机密性等。

1.1CACA的功能包括

处理数字证书申请、颁发数字证书、证书更新及撤销、管理数字证书撤销表、数字证书的归类及存档。

1.2数字证书

数字证书是由CA发行的一种数字信息文件，用来标志和证明网络通信双方的身份，内容包括：主体身份及公钥信息、CA及签名信息、签名算法等。证书大多采用X.509标准。

1.3数字签名

数字签名是由信息发送者通过HASH函数对信息进行处理，产生别人无法伪造的一段数字串，用以认证信息的来源并核实信息是否发生了变化。发送者用私钥加密数据传给接收者，接收者用发送者的公钥解开数据后，就可以确定消息的来源，同时也是对发送者发送信息真实性的一个证明，发送者不能抵赖。

2企业电子商务活动面临的安全问题

企业电子商务活动主要包括售前咨询、在线下单、订单处理、网络支付、物流配送、售后服务等环节。这些环节除在线支付,其它部分没有采用安全加密技术，存在着严重的安全问题。

2.1数据传输过程中的泄露问题

企业使用的通信软件依赖TCP/IP协议，该协议并没有解决身份认证、信息泄密、数据篡改等安全问题，这导致了企业传输数据时面临着严重的安全威胁。例如，企业员工传输的电子邮件明文完全可能被攻击者截获，从而泄露了邮件的内容。

2.2数据存储时的篡改问题

企业存放在云数据库、内部数据库中的数据以明文存储，系统管理员固然可以设置数据文件的访问控制权限，然而却不能防范数据被篡改。一旦入侵者或内部非授权人员得到了数据的读写权限，就可以非法修改数据。系统无法检测数据是否被篡改、被谁篡改这样的安全问题。

2.3用户的身份识别问题

企业电子商务系统普遍采用账户加口令的方式进行认证，这种识别方法安全性较低，攻击者通过穷举尝试等方法就能得到合法用户的账户和口令。身份识别问题同样出现在电子邮件的收发上。员工贸然相信发信方的身份或将机密信件错发到其他人员信箱，都会给个人和企业带来巨大的损失。

3基于PKI的企业电子商务安全解决方案

3.1建立企业内部的CA

企业自建CA有两种技术路线。一是利用开源的OpenSSL软件包。优点是二次开发灵活，可以将安全措施应用于企业自行开发的系统中；缺点是技术性强，需要较为专业的计算机人员来部署。二是利用微软公司Windows服务器产品中提供的证书服务功能。虽然二次开发受限，但是建设简单快捷，且和Windows系列服务器、OutLook邮件客户端无缝结合，所以是首选。具体部署上，通过Windowsserver2008等服务器上的“证书服务”组件来实现，该CA服务器可满足证书申请、颁发等基本需求。

3.2信息传输采用安全的SSL通道

SSL协议由网景公司提出，用于保证浏览器和服务器之间的身份真实及数据秘密传输，其提供的服务包括：身份认证、数据加密、数据完整性校验。电商活动中，利用SSL协议能在客户端和服务器之间提供安全通道。企业可以利用自建CA生成网站服务器的数字证书，安装到WEB服务器上开通SSL，来实现数据加密传输。

3.3利用数字证书对存储的数据进行加密和签名

利用数字证书对机密数据加密并签名，将密文和签名一同存放在数据库，企业可通过签名来检验数据完整性。以企业采购单的存储为例，可将商品采购价格、数量等敏感信息加密、签名，然后存储。即使攻击者获得了企业数据的读写权，也因加密无法得到明文；同样也无法篡改，因为这会被企业通过对签名验证而识破。具体实施时，可以利用微软的CryptoAPI组件、JavaScript脚本来实现。

3.4利用数字证书进行身份识别和信息加密

客户机和服务器的身份识别通过WEB服务器端配置SSL通道选项就可以实现。在SSL协议中，WEB服务器端身份验证是必须的，客户端浏览器的身份验证为可选项。若要强制验证客户浏览器身份，可以在服务器端SSL安全通道选项里选择验证客户端数字证书。通过给邮件客户端程序安装数字证书，能实现邮件的数字签名和加密。安装电子邮件数字证书比较简单，以OutLook为例，在安全选项卡里选择并安装数字证书即可。发邮件时，单击相应按钮就能加密、签名信件。加密后的信件以附件方式传输和存储，只有该用户才能解密。第三方的免费邮箱大多实现了邮件的传输安全，但是邮件的存储并没有加密，上述方法很好地解决了这个问题。

4结语

基于PKI的安全方案为电子商务活动提供了身份认证、数据完整性、数据机密性等服务，使参与者都能在一个受信任的、安全的环境下开展交易活动，保证了电子商务的正常、稳定发展。

作者:丁士杰谢军木薇单位:安徽省宿州学院

参考文献

[1]R.Penman.AnoverviewofPKItrustmodels.IEEENetwork,1999,13(6):38-43

数字证书范文篇5

关键词：PKI；CA；数字证书；数字签名

1PKI体系概述

1.1CA

CA的功能包括：处理数字证书申请、颁发数字证书、证书更新及撤销、管理数字证书撤销表、数字证书的归类及存档。

1.2数字证书

1.3数字签名

2企业电子商务活动面临的安全问题

2.1数据传输过程中的泄露问题

2.2数据存储时的篡改问题

2.3用户的身份识别问题

3基于PKI的企业电子商务安全解决方案

3.1建立企业内部的CA

3.2信息传输采用安全的SSL通道

3.3利用数字证书对存储的数据进行加密和签名

3.4利用数字证书进行身份识别和信息加密

4结语

作者:丁士杰谢军木薇单位:安徽省宿州学院

参考文献:

数字证书范文篇6

[关键词]移动电子商务WPKI安全

移动电子商务是指利用手机、掌上电脑等移动通信设备与因特网有机结合，进行电子商务活动。移动电子商务包括移动支付、无线CRM、移动股市、移动银行与移动办公等。

一、WPKI的技术原理

认证机构(CA)CA系统是PKI的信任基础，负责分发和验证数字证书，规定证书的有效期，证书废除列表。

注册机构(RA)RA提供用户和CA之间的一个接口。作为认证机构的校验者，在数字证书分发给请求者之前对证书进行验证。

数字证书库:用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。

二、WPKI的工作流程

数字证书范文篇7

目前，获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。它们的主要区别在于所使用的加密和解密的密码是否相同。

1．对称密钥加密体制

对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。

使用对称加密技术将简化加密的处理，每个参与方都不必彼此研究和交换专用设备的加密算法，而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。

2．非对称密钥加密体制

非对称密钥加密系统，又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作，一个公开，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。

在非对称加密体系中，密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把则作为私用密钥（解密密钥）加以保存。私用密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛。

该方案实现信息交换的过程是：贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开；得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲；贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。

认证技术

安全认证的主要作用是进行信息认证。信息认证的目的为：（1）确认信息发送者的身份；2）验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认证机构两个方面来做介绍。

1．常用的安全认证技

安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。

（1）数字摘要

数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。

（2）数字信封

数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性相当高。

（3）数字签名

日常生活中，通常用对某一文档进行签名来保证文档的真实有效性，防止其抵赖。在网络环境中，可以用电子数字签名作为模拟。

把Hash函数和公钥算法结合起来，可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的Hash，而不是由其他人假冒。而把这两种机制结合起来就可以产生数字签名。

（4）数字时间戳

在书面合同中，文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。

（5）数字证书

在交易支付过程中，参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书，就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。

数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名，因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书，才能参加安全电子商务的网上交易。数字证书一般有四种类型：客户证书、商家证书、网关证书及CA系统证书。

2．安全认证机构

电子商务授权机构（CA）也称为电子商务认证中心（CertificateAuthority）。在电子交易中，无论是数字时间戳服务还是数字证书的发放，都不是靠交易双方自己能完成的，而需要有一个具有权威性和公正性的第三方来完成。

认证中心（CA）就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。

安全认证协议

目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL（SecureSocketsLayer）协议和安全电子交易SET（SecureElectronicTransaction）协议。

1．安全套接层（SSL）协议

安全套接层协议是由Netscape公司1994年设计开发的安全协议，主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为：它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。

SSL采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。

2．安全电子交易（SET）协议

数字证书范文篇8

2非对称密钥体制

有对称和非对称两种密钥体制。在对称密钥系统中，加密和解密采用相同的密钥。因为加解密钥相同，需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，这样就可以实现数据的机密性和完整性。对于具有n个用户的网络，需要n(n-1)/2个密钥，在用户群不是很大的情况下，对称密钥系统是有效的。但是对于大型网络，当用户群很大，分布很广时，密钥的分配和保存就成了问题。因此在移动通信中不可以采取对称密钥体制。

非对称密钥体制的基本思想是加密密钥和解密密钥不相同，由其中一个密钥推导另一个密钥在计算上是不可行的。一对彼此独立、但又在数学上彼此相关的密钥KP、KS总是一起生成，其中KP公开，称为公钥，KS保密，称为私钥。加密算法E和解密算法D是分开的。非对称密码体制的特点如下：

(1)用公钥加密的数据，只能由与其对应的私钥解密，而不能用原公钥解密；反之，用私钥加密的数据，只能由与其对应的公钥解密，而不能由原私钥解密。即，设加密算法为E，解密算法为D，KP是公钥，KS是KP对应的与私钥，明文为X，则有：Dkp[Eks(X)]可以得出明文X，而Dks[Eks(X)]则无法得出明文X。

(2)非对称钥体制不存在对称秘钥体制中的密钥分配问题和保存问题。M个用户之间相互通信只需要2M个密钥即可完成。

(3)非对称秘钥体制支持以下功能：

(4)机密性（Confidentiality）：保证非授权人员不能非法获取信息；

(5)确认（Authentication）：保证对方属于所声称的实体；

(6)数据完整性（Dataintegrity）：保证信息内容不被篡改；

(7)不可抵赖性（Non-repudiation）：发送者不能事后否认他发送过消息。

3一种双向认证的方案：

首先需要在移动运营商架设一台证书服务器。证书服务器有自己的公钥KCP和私钥KCS，同时证书服务器也有一张自签名的顶级证书，以防止它的公钥被黑客替换。在用户申请开通服务时，证书服务器为用户颁发一张数字证书，并对证书进行数字签名，以防止证书内容被篡改。颁发证书的时候为用户创建了公钥KUP、私钥KUS，其中KUS由用户保存且保密，KUP公开。

移动运营商架设一台或多台AAAServer（Authentication,Authorization,Accounting,认证、授权、计费服务器），它负责认证、授权和计费。AAAServer有自己的私钥KSS、公钥KSP和加密算法D、解密算法E。同时，它也拥有一张证书服务器颁发的数字证书。

用户开机或者请求某种业务时，发起相应的认证过程，即向AAAServer发送认证开始请求。AAAServer收到请求后，向用户发送证书请求，要求用户出示数字证书。然后用户将自己的数字证书发送给AAAServer。

AAAServer收到证书后，有三件事情需要证明：

(1)该数字证书是移动运营商数字证书服务器所颁发；

(2)该数字证书未被篡改过；

(3)该证书确实为出示证书者所有。

对于前面两项，AAAServer只需验证数字证书上证书服务器的数字签名即可得到证明。具体方法是用证书服务器的公钥KCP解密数字签名，然后再用公开的单向散列函数求证书的散列值，并比较二者，如果相同，验证通过，不相同，验证失败。

为了证明该证书确实为证书出示者所有，AAAServer生成一个大的随机数R，并使用用户的公钥KUP（数字证书中包含KUP，因此服务器无需预先存储用户公钥，也无需查找数据库，这有利于加快处理速度）将R加密，得到EKup(R)。为了防止R在传输过程中被黑客截获并修改，使得合法用户得不到正确的认证。AAAServer先使用一个公开的单向散列函数H作用于R，得到H（R），然后用服务器的私钥KSS对H（R）进行加密（数字签名）。最后将Ekup(R)+Ekss[H(R)]发送给用户。客户收到Ekup(R)+Ekss[H(r)]后，首先应该验证R在传输过程中是否被篡改过。方法如下：首先，客户端使用AAAServer的公钥KSP解开Ekss[H(R)]，即：DKsp(Ekss[H(r)])=H(R)

再用客户端私钥KUS解密Ekup(R)，即：

Dkus[Ekup(R)]=R’，

然后再用公开的单向散列函数H（必须与AAAServer使用的H相同），求R′的散列值H（R′）。如果在传输过程中R被篡改过，即R′≠R，那么根据散列函数的性质，必然有：H（R′）≠H（R），从而发现R被修改过这一事实。

如果上面的操作证明R未被修改，那么客户端接下来的工作是设法将解密得到的R′不被篡改地传回AAAServer，以便AAAServer进行鉴别。为了防止在将R′传回给AAAServer的过程中，被黑客捕获并篡改，使得合法用户不能通过认证。在回传R′时，先对R′施以单向散列函数H，得到R′的一个散列值H（R′）。然后使用用户的私钥KUS对H（R′）进行加密（数字签名），最后将R′和加密后的H（R′）一起，即R’+Ekus[H(R’)]回传给AAAServer。这里R′可以明文传输，无需加密，因为R是随机数，每次都不一样，黑客即使获得R′也不能对认证过程构成威胁。

AAAServer收到R’+Ekus[H(R’)]后，验证过程如下：

首先验证R′是否等于R。如果R′＝R，说明该证书确实为其出示者所有，对用户的认证获得通过。

如果R′≠R，有两种可能，即要么用户提供的证书是假的，要么R′在传输过程被人篡改过。要检查R′是否被修改过，AAAServer只需验证用户的数字签名即可：

如果R′被篡改为R″（R″≠R′），则必然有H（R″）≠H（R′），从而可以发现R′在传输过程中被修改过。

如果经过前面验证，R′在传输过程中没有被修改，且R′≠R，这说明用户所出示的数字证书非法，用户认证失败。

至此，AAAServer对客户端认证完成。反方向的客户端对AAAServer的认证类似，不再详述。

当双向认证完成后（事实上，可以是客户端被认证合法之后），AAAServer向SMS（SubscriberManagementSystem，用户管理系统）发送用户通过认证，并请求该用户的业务信息。SMS收到请求后，查找该用户的业务信息，并发送给AAAServer。AAAServer据此对该用户授权、计费。

4方案性能分析

本认证方案采用了单向散列函数、非对称密码体制、数字证书、数字签名等信息安全技术。认证服务器无需存储用户公钥，也不需要查找相应数据库，处理速度快。

(1)有效性（Validity）：在本认证方案过程中，要求用户出示了由移动运营商证书服务器颁发的数字证书，并对证书进行了三项验证，确保证书的有效性（为移动运营商证书服务器所颁发）、完整性（未被修改过）和真实性（确实为该用户所有）得到验证。在AAAServer方，我们认为没有必要向客户端出示其证书。客户端知道合法的AAAServer的公钥，只需验证自称是AAAServer的一方拥有该公钥对应的私钥即可，因为世界上有且仅有合法的AAAServer知道该私钥。

(2)完整性（Integrity）：在认证消息传输过程中，我们始终坚持了消息可靠传输这一原则，对认证消息采取了保护措施。一旦认证消息在传输过程中被修改，消息到达对方时将被发现。

不可否认性（Non-repudiation）：本方案中所有认证消息都采用了发送方数字签名，使得发送方对自己发送的消息不可否认。

可行性（Feasibility）：本认证方案采用的单向散列函数、非对称密码体制、数字证书等信息安全技术经过多年发展，已经比较成熟。单向散列函数有MD2、MD4、MD5、SHA系列、HAVAL-128以及RIPEMD等，其中MD4目前被认为不安全。非对称密码体制中最成功的是RSA。值得一提的是与RSA算法相关的基本专利已于2000年9月到期，这直接关系到系统成本。另外，本方案采用的数字证书是自己颁发的，移动运营商的证书服务器具有自签名的顶级证书，无需借助第三方证书机构。

数字证书范文篇9

一、WPKI的技术原理

认证机构(CA)CA系统是PKI的信任基础，负责分发和验证数字证书，规定证书的有效期，证书废除列表。

注册机构(RA)RA提供用户和CA之间的一个接口。作为认证机构的校验者，在数字证书分发给请求者之前对证书进行验证。

数字证书库:用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。

数字证书范文篇10

摘要：介绍电子商务可能会遇到的安全问题,分析电子商务安全的几种解决措施，包括加密技术、数字签名、数字时间戳、数字证书、安全协议这五种主要的方法。同时,电子商务又是一个复杂的系统工程,它的安全还要依赖许多社会问题的解决。

关键词:电子商务加密算法安全协议数字签名

随着计算机网络技术与通信技术迅猛发展,使得电子商务发展空前繁荣,极大地改变了商务模式,使其成为商务活动的一种新模式。随着电子商务的发展,网络上交易及其信息的安全性已经对人们的经济活动及日常生活产生了重要的影响,同时，由于电子交易的手段更加多样化,安全问题也日益变得重要和突出。

1.电子商务中存在的安全问题

电子商务安全中存在的安全问题主要有以下四种类型：

（1）冒充用户合法的身份。非法用户盗用合法用户的信息,冒充其身份与他人进行交易,损坏了被冒充的合法用户权益,使得交易失去可靠性。

（2）破坏网络传输数据的保密性。非法用户通过不正当手段，利用数据在网络传输的过程,,非法拦截数据并使用,导致合法用户的数据丢失。

（3）损害网络传输数据的完整性。非法用户对截获的网络数据进行恶意篡改,如添加、减少、删除及修改。

（4）恶意攻击网络硬件和软件，导致商务信息传递的丢失、破坏。例如，非法用户利用截获的网络数据包再次发送,攻击对方的计算机。

2.电子商务安全问题的解决措施

2.1加密技术

加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的保密性。基于加、解密的密钥是否相同来分类有两种算法:（1)对称加密算法,又称专用密钥加密算法或单密钥加密算法，从一个密钥推导出另一个密钥，而且通信双方都要获得密钥并保持密钥的秘密。1（2)非对称加密算法,又称公开密钥加密算法。在非对称加密算法中,密钥被分解为一对,即一个公开密钥和一个专用密钥。该对密钥中的任何一个都可作为公开密钥公开,而另一把则作为专用密钥保存。这两种方法各有优缺点，在实际的电子商务系统中，通常采用这两种方法的结合的混合加密体制，即加解密采用对称加密，密钥传送采用非对称加密。这样既可以保证数据的安全，又可以提高加密和解密的速度。

2.2数字签名

数字签名如同手写签名,在电子商务中有如下优点:（1)发送者事后不能否认自己发送的报文签名。（2)接受者能够核实发送者发送的报文签名。（3)接受者不能伪造发送者的报文签名。（4)接受者不能对发送者的报文进行篡改。（5)交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。

2.3数字时间戳

数字时间戳(DTS,Digitaltime-stamp),如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS的数字签名。2

2.4数字证书

数字证书又称数字凭证,是由CA发放的,利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥的有效期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。任何信用卡持有人只有申请到相应的数字证书,才能参加网上的电子商务交易。数字证书一般有5种类型:个人数字证书、机构数字证书、网关数字证书、CA系统数字证书及交叉证书。3

2.5安全协议技术

目前常用的安全协议主要有两种：SSL协议（安全套接层协议）和SET协议（安全电子交易协议）。SSL协议是由Netscape公司提出的安全交易协议，该协议主要目的是解决TCP/IP协议不能确认用户身份的问题，在Socket上使用非对称的加密技术，以保证网络通信服务的安全性。4SET是由Visa和MasterCard两大信用卡公司联合IBM,Microsoft,GTE,Verisign,SAIC等公司与1996年6月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。5

3.结语

总之，电子商务是国民经济和社会信息化的重要组成部分，对我国实现全面建设小康社会的宏伟目标具有十分重要的意义。我国电子商务仍处在起步阶段，还存在着应用范围不广、水平不高和安全威胁等问题，我们面前的道路只能是制定并不断完善加快电子商务发展的具体政策措施，持续推进我国电子商务健康发展。虽然保护电子商务安全的新技术也越来越多,但现有的新技术还不能形成一个有效的、安全的、系统的电子商务安全系统。因此,为防范电子交易的风险和保护交易双方的利益,笔者有如下观点:（1)学习借鉴国内外先进的科学技术,尽可能地建立一套完整的PKI。（2)综合不同算法的优势,努力提高目前电子商务交易的安全性。（3)加强个人互联网络的安全性教育,防止个人信息的泄密。（4）加强电子商务的安全管理，特别是人事管理。（5）进一步加强电子商务安全的相关法律建设。只有各个方面的共同努力才能更好的解决电子商务安全问题，才能更好的促进电子商务健康快速的发展。

参考文献：

1.吴向东.电子商务安全中的数据加密技术.国防科技，2001（1）：24-25

2.张元国.电子商务安全技术.电子商务，2006（3）：126-127