CA系统中安全服务器与用户的安全通信过程 ca认证服务器部署方式
1.简述CA认证的过程。 2.简述数字签名在检测信息完整性方面的原理。 3.简述电子商务流程。 4.简述反弹
电子签名在电子政务、商务中起重要作用
建网站原本是网站策划师、网络程序员、网页设计师等,应用各种网络程序开发技术和网页设计技术配合操作的协同工作。成都创新互联公司专业提供成都网站制作、成都做网站,网页设计,网站制作(企业站、自适应网站建设、电商门户网站)等服务,从网站深度策划、搜索引擎友好度优化到用户体验的提升,我们力求做到极致!
互联网(Internet)技术的飞速发展不断地影响着人们的思维,改进了我们的工作、生活方式,给我们带来无限的快乐和方便,如它代替了电话、信件、报纸等,普通网站和电子邮件带来的影响本文不再重复,随着《中华人民共和国电子签名法》的颁布和实施,电子政务和电子商务将给我们的工作和生活带来巨大的影响。
电子政务(e-government),指政府机构在其管理和服务职能中运用现代信息技术,实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,建成一个精简、高效、廉洁、公平的政府运作模式。
电子商务(e-business) ,指使用Web技术帮助企业精简流程、增进生产力、提高效率。使公司易与合作伙伴、供货商和客户进行沟通,连接后端数据系统,并以安全的方式进行商业事项处理。Internet技术的出现,使人们借助互联网络广泛地从事商品与服务的电子化交易,这不仅大大扩展了交易范围,而且可以有效地缩短交易时间,降低交易成本。
一、 电子政务、电子商务系统呼唤安全
电子政务和电子商务承载着政府机关、企业和个人的重要信息,这些信息在操作、传输、处理等各个环节都必须保证其完整性、保密性、不可抵赖性。概括起来,通过网络实现电子政务、电子商务系统所面临的安全问题有:
1、 身份认证:如何准确判断用户是否为系统的合法用户;
2、 用户授权:合法用户进入系统后,他具有什么样的权限,能访问哪些信息,是否具有修改或删除权限;
3、 保密性:如何保证系统中涉及的大量需保密的信息通过网络传输过程中不被窃取;
4、 完整性:如何保证系统中所传输的信息不被中途篡改及通过重复发送进行虚假交易;
5、 抗抵赖性:如何保证系统中的用户签发后又不承认自己曾认可的内容。
由于传统的“用户名+口令”的认证方式存在较多安全隐患,如口令有可能被破解;并且通过登录的用户名无法有效判断登录系统用户的真实身份,从而导致非法用户可以伪造、假冒系统用户的身份;登录到系统可以借机进行篡改、破坏等。
在电子政务、电子商务系统运行过程中,系统安全和信息安全是非常重要和必需的,万一出现不安全的意外情况,应能及时发现、立即补救。
二、 保证系统和信息安全的措施
保证系统和信息安全的关键在于管理和技术两个方面,应从技术保障体系、运行管理体系、社会服务体系和基础设施建设等四个方面构建系统的安全管理体系。下面将从技术角度来分析如何实施系统的信息安全:
1、 数字证书认证中心(Certificate Authority,简称为CA),通过数字证书解决身份认证中必须解决的保密性、完整性和不可抵赖性问题,由数字证书认证中心产生、分配并管理所有涉及网络资源的实体所需的身份认证数字证书。这部分内容可参见《通过数字证书确认用户合法身份》,本文不作重点论述。
2、 特权管理基础设施(Privilege Management Infrastructure,简称为PMI),是一种支持很多应用系统的基础设施,它通过定义角色、用户、安全策略等,经过对用户的认证和授权,实现了对资源的管理以及对用户的访问控制,从而解决了信息安全中重要的权限管理的问题。这部分内容可参见《通过PMI实现权限管理》,本文不作重点论述。
3、 电子签名,《中华人民共和国电子签名法》第十四条指出“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,这就从法律的高度规定了“当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力”。可靠的电子签名应同时满足以下四个条件:
(1)电子签名制作数据用于电子签名时,属于电子签名人专有: 通常情况下,可由签名数据的审计部门人员和系统管理员在相互监督的情况下共同完成签名数据的制作过程。待制作过程结束后,可将制作时的原始图像文件共同锁起来或彻底销毁。
(2)签署时电子签名制作数据仅由电子签名人控制:电子签名数据通常与数字证书捆绑使用,通过数字证书的认证,系统密码和电子签名口令的验证来确保仅由电子签名人控制其对应数据。
(3)签署后对电子签名的任何改动能够被发现:对电子签名的改动,从技术角度来说,是比较容易被发现的。
(4)签署后对数据电文内容和形式的任何改动能够被发现:这点非常重要,它关系到电子签名能否起到与手写签名或盖章同等法律效力的关键,无论对数据电文内容的修改,还是对其形式的修改,都应能检验出来,并明显地标识。
三、 电子签名系统的功能
电子签名,泛指所有以电子形式存在,依附在电子文件并与其逻辑关联,可用以辨识电子文件签署者的身份,以保证文件的完整性,并表示签署者同意电子文件所陈述的内容。一般来说,对电子签名的认定,都是从技术角度而言的,主要是指通过特定的技术方案来鉴别当事人的身份及确保其内容和开式不被篡改的安全保障措施;从广义上讲,电子签名不仅包括我们通常意义上讲的“非对称性密钥加密”,也包括计算机口令、生物笔迹辨别、指纹识别,以及新近出现的眼虹膜透视辨别法、面纹识别等。目前,最成熟且普遍使用的电子签名技术是以公钥及密钥的“非对称型”密码技术制作的。
有人把电子签名分成数字签名和电子签章,分别对应手写签名和盖章;有些软件开发商也分成数字签名系统和电子签章系统,这是从报价策略、满足用户不同需求和应用规模来划分的,其关键技术的原理和实现方法是一致的。一个电子签名系统应包括以下功能:
1、电子制章:将手写签名、图章或图片等通过扫描或数码照相等方式,制成签名的数据文件,由电子制章子系统将它与数字证书捆绑,既可存放在印章管理中心,又可倒入IC卡或cKEY等(但不能倒出),只允许电子签名本人使用。
2、电子签名:能在Word、Excel、WPS等格式的电子文档上任意地方签署单位公章或个人签名,图章上浮透明显示,效果如同纸质盖章或签名;支持多个单位或个人会签,签名前图章可移动。
3、文档验证:任何人都可以对文档的完整性进行验证,即如果签署后的签名、文档的内容或形式发生了变更,验证时则会提示文档验证不通过;验证不通过的图章通过增加横杠等形式来表示。
4、签名认证:认证所用图章的真实性和可靠性。
5、撤消签名:签署用户本人可撤消其曾经盖过的章,例如对图章位置不满意,可用此功能撤消图章后,移动到合适位置再签。但此功能只对原签署者有效;撤消签章只能从最后一位用户开始。
6、查看证书:查看签署者的相关资料。
7、查看签名时间:查看签署者签署文档的时间。
8、删除样章:无法用Del键删除样章,只能通过此功能删除样章。
9、文档锁定:文档锁定功能主要用于保护文档不被篡改。一旦文档被锁定,则文档将不可再更改;解锁时,首先认证操作人的身份,身份认证通过后再进行口令校验,两者都通过的情况下方可解锁。
10、打印份数设置:为了适用各种应用的要求,确保签名后的文档的打印可控性,最好能实现相对复杂的打印控制功能。
随着应用的不断深入和技术的飞速发展,电子签名系统的功能将得到进一步完善和增加,为人们的工作和生活带来更多的便利;但同时也给安全保密提出了更高的要求。
四、 电子签名的应用情况
电子文件(包括公文、公告、合同、订单、票据、设计图纸等)是通过电脑进行操作、传输、存储和处理的数字化产物,与纸质文件相比,电子文件具有存储体积小、检索速度快、远距离快速传递及同时满足多用户共享等优点。随着计算机和网络信息技术的发展和应用普及,越来越多的文件直接在计算机上产生和传输;但随着电子政务发展的同时,一些重要文件、公告的传送依然是白纸黑字盖上大红公章,信邮人送,没有充分发挥电子文件的高效率,其主要原因在于操作者担心电子文件在网上可能被人下载、复制、偷窥、篡改等,因此使文件发送者望而却步。各电子认证服务提供者针对这一问题开发了电子签名系统,采用基于公钥的安全体制,保证电子文件的安全管理;配合其它电子政务平台,使正式公文的网络传送成为现实,解决了电子文件保密、完整、不可否认等方面的要求。
随着网上办公和交易活动的增多,在有纸化办公向无纸化办公转变的历程中,传统印章已逐渐不适应信息社会的新形势。在这样的情况下,电子印章的出现使权力与权利人更好地结合在一起,就像不可能放弃电话、电子邮件,固守着传统的邮局一样,人们也不可能回避电子签名带来的影响。
今年4月1日,《中华人民共和国电子签名法》正式生效,它将对各种商业行为和公众带来法律保障。电子签名有可能引发一场类似电子邮件逐步替代大部分传统邮件一样的变革。有信息专家认为,电子印章的出现和普及,是实现信息传递流程全程电子化的最后一环,是彻底实现“无纸化办公”的前提条件之一。随着“无纸化运动”的推进,以及电子政务、电子商务的发展,电子文件越来越多地替代了纸质文件,这也使电子签名部分取代实物印章、手写签名成为必然的潮流和趋势,如同电报取代驿站、电话取代电报、电子邮件取代寄信一样,电子签名将成为信息技术发展史上的一个新的里程碑。
如何保障根CA和各CA服务器的安全性?
采用通信 安全信道。CA服务器是整个结构中最为重要的部分,存有CA的私钥以及发行证书的脚本文件,出于安全的考虑,应将CA服务器与其他服务器隔离,任何通信采用人工预的方式,确保认证中心的安全。
什么是CA安全体系,CA认证体系,C A 分别代表什么
什么是ca
ca(certification authority)是以构建在公钥基础设施pki(public key infrastructure)基础之上的产生和确定数字证书的第三方可信机构(trusted third party),其主要进行身份证书的发放,并按设计者制定的策略,管理电子证书的正常使用。ca具有权威性、可信赖性及公正性,承担着公钥体系中公钥的合法性检验的责任。ca为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca的数字签名使得攻击者不能伪造和篡改证书,ca还负责吊销证书并发布证书吊销列表(crl),并负责产生、分配和管理所有网上实体所需的数字证书,因此,它是安全电子政务的核心环节。
ca认证体系的组成
ca认证体系由以下几个部门组成:一是ca,负责产生和确定用户实体的数字证书。二是审核授权部门,简称ra(registry authority),它负责对证书的申请者进行资格审查,并决定是否同意给申请者发放证书。同时,承担因审核错误而引起的、为不满足资格的人发放了证书而引起的一切后果,它应由能够承担这些责任的机构担任。三是证书操作部门,证书操作部门cp(certification processor)为已被授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权的人发放了证书等,它可由ra自己担任,也可委托给第三方担任。四是密钥管理部门(km),负责产生实体的加密钥对,并对其解密私钥提供托管服务。五是证书存储地(dir),包括网上所有的证书目录。
在ca认证体系中,各组成部分彼此之间的认证关系一般如下:
(1)用户与ra之间:用户请求ra进行审核,用户应该将自己的身份信息提交给ra,ra对用户的身份进行审核后,要安全地将该信息转发给ca。
(2)ra与ca之间:ra应该以一种安全可靠的方式把用户的身份识别信息传送给ca。ca通过安全可行的方式将用户的数字证书传送给ra或直接送给用户。
(3)用户与dir之间:用户可以在dir中查询、撤销证书列表和数字证书。
(4)dir与ca之间:ca将自己产生的数字证书直接传送给目录dir,并把它们登记在目录中,在目录中登记数字证书要求用户鉴别和访问控制。
(5)用户与km之间:km接受用户委托,代表用户生成加密密钥对;用户所持证书的加密密钥必须委托密钥管理中心生成;用户可以申请解密私钥恢复服务;km应该为用户提供解密私钥的恢复服务。用户的解密私钥必须统一在密钥管理中心托管。
(6)ca与km之间:这二者之间的通讯必须是保密、安全的。要求它们之间用通讯证书来保证安全性。通讯证书是认证机关与密钥管理中心、上级或下级认证机关进行通讯时使用的计算机设备证书。这些专用的计算机设备必须申请并安装认证机构所发布的专用通讯证书,同时,还必须安装密钥管理中心、上级或下级认证机构专用通讯计算机设备所持有的通讯密钥证书和认证机构的根证书。
认证体系的职责
从上述论述中,可以总结出,ca至少担负着以下几项具体的职责:
(1)验证并标识公开密钥信息提交认证的实体的身份;
(2)确保用于产生数字证书的非对称密钥对的质量;
(3)保证认证过程和用于签名公开密钥信息的私有密钥的安全;
(4)确保两个不同的实体未被赋予相同的身份,以便把它们区别开来;
(5)管理包含于公开密钥信息中的证书材料信息,例如数字证书序列号、认证机构标识等;
(6)维护并发布撤销证书列表;
(7)指定并检查证书的有效期;
(8)通知在公开密钥信息中标识的实体,数字证书已经发布;
(9)记录数字证书产生过程的所有步骤。
ca安全认证体系的功能
ca安全认证体系的主要功能包括:签发数字证书、管理下级审核注册机构、接受下级审核注册机构的业务申请、维护和管理所有证书目录服务、向密钥管理中心申请密钥、实体鉴别密钥器的管理,等等。
CA金融体系就是金融系统的CA认证.
希望对你有用!
CA系统是什么?
条件接收技术最初的起源是为了使在单向网路环境下开展付费电视运营成为可能而设计的一套技术体系,前提是能够在不具备回传路径的情况下怎样保证付费节目内容的安全,简单的说就是通过一定的技术手段允许数位电视的授权用户进行合法收看并限制非法用户的访问,它是公认的开展付费电视的核心技术,一个安全稳定、功能齐全的CAS是数位电视平台运营的前提条件, 它为数位电视运营商提供安全的节目内容保护,由此也就决定了条件接收系统在整个数位系统中的核心地位。
条件接收系统本身是一个综合性系统,系统涉及到多种技术,包括加解密技术、加解扰技术、网路技术、智慧卡技术和资料库技术等,通过有机的融合上述技术,使其能够适应数位电视加密运营的技术架构。安全性的优劣是评价一个CA产品的重要指标之一,一般而言条件接收的安全技术主要分为加扰和加密两个部分,加扰就是CAS控制加扰机利用CW控制字扰乱正常的视音频流,加密主要指的是CAS对授权、控制资讯的加密传输,保证核心资料的安全性,防止黑客攻击。
系统主要组成:
EIS(Event Information Scheduler):
控制系统内部所有的调度资讯
控制系统需要的所有配置资讯和CA特定资讯
所有的头端系统资讯均以资料库的形式保存
SCS(Simulcrypt Synchronizer):
同ECMG建立TCP的连接,并给每一个连接建立一个通道
在通道内建立需要的流并分配ECM_Stream_ID的值
从CWG获得控制字
将控制字提交给相关的ECMG
向ECMG获取ECM资讯
依照通道参数同步ECM的CP周期
按照通道参数将ECM资讯提交给复用器
按照CP周期将控制字提交给加扰机
ECMG(ECM Generator):
ECMG接收SCS提交的控制字和AC资讯,返回一个ECM或错误资讯
控制加密机对ECM资讯进行加密
当前标题:CA系统中安全服务器与用户的安全通信过程 ca认证服务器部署方式
URL分享:http://ybzwz.com/article/dojigij.html