CA数字签名认证系统技术方案

CA数字签名认证系统技术方案

1. 系统需求

1.1 背景概述

随着计算机网络技术的迅速发展和信息化建设的大力推广，越来越多的传统办公和业务处理模式开始走向电子化和网络化，从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比，基于网络的电子化业务处理系统必须解决以下问题：

（1）如何在网络上识别用户的真实身份；

（2）如何保证网络上传送的业务数据不被篡改；

（3）如何保证网络上传送的业务数据的机密性；

（4）如何使网络上的用户行为不可否认；

基于公开密钥算法的数字签名技术和加密技术，为解决上述问题提供了理论依据和技术可行性；同时，《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据，使得数字签名与传统的手工签字和盖章具有了同等的法律效力。

PKI（Public Key Infrastructure）是使用公开密钥密码技术来提供和实施安全服务的基础设施，其中CA（Certificate Authority）系统是PKI体系的核心，主要实现数字证书的发放和密钥管理等功能。

数字证书由权威公正的CA中心签发，是网络用户的身份证明。使用数字证书，结合数字签名、数字信封等密码技术，可以实现对网上用户的身份认证，保障网上信息传送的真实性、完整性、保密性和不可否认性。

数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。

1.2 现状与需求概述

现状描述。。。。。。

基于上述现状，******系统需要解决数据的签名问题和法律效力问题，从而提高*****的便捷性和管理效率。鉴于数字证书、数字签名的广泛应用和相关法律的保障，****单位规划建设CA及数字签名认证系统，主要需求如下：

（1）建设CA系统或采用第三方CA，为****用户申请数字证书；

（2）在现有*****系统中加入对数据的签名功能，存储数据签名并提供对签名的认证功能；

1.3 需求分析

为了解决网上用户的身份证明问题，需要为用户颁发数字证书。数字证书由CA中心签发，目前在实际应用中主要存在两种类型的CA：

（1）独立的第三方CA

跨区域的CA，如：中国电信的CTCA、中国人民银行的CFCA；

地域性的CA，如：广东电子商务认证中心CNCA、上海电子商务认证中心SHECA，以及其他各省电子商务认证中心；

（2）各类应用系统自己建设的CA

如：招商银行、建设银行等建设的用于服务各自网上银行的CA；海关、税务等建设的服务各自网上报税系统的CA；

这两种类型的CA在实际使用过程中各有优劣，以下将进行分析和比较：

1.3.1 CA建设与使用的分析

采用独立权威的第三方CA与自建CA的比较

备注：成本比较

权威的第三方CA的使用成本：10元/年/用户× 10万用户 = 100万元/年

自建CA的系统建设成本

1.3.2 证书存储方式的分析

使用普通文件存储方式与USB智能卡存储方式的比较

USB智能卡自带CPU，内置芯片操作系统（COS）；采用USB接口，易于使用和携带；支持RSA非对称算法和DES、3DES等对称算法；支持RSA公司的PKCS#11标准和微软的CSP标准；支持Windows98/NT/2000/XP/2003等操作系统。USB智能卡可支持国密算法SSF33，并通过国家密码管理委员会的检测。

1.3.3 签名数据类型的分析

*****系统需要进行电子签名并存储的数据主要有以下三类：

上报表单的数据签名

用户在网上填写的各类表单需要由用户的私钥进行电子签名；

上报数据文件的数据签名

用户上传的数据文件，其内容需要由用户的私钥进行电子签名；

下载数据文件的数据签名

用户通过****系统生成并下载的确认数据文件（如：PDF格式），其内容需要由用户的私钥进行电子签名并回传至系统存储。

2. 技术方案

2.1 系统总体架构

系统的总体架构如下图所示，主要由：****业务系统、CA数字证书受理系统、数字签名认证系统三大部分组成。

2.2 系统数据库

系统中包含两个数据库（Sybase）：业务数据库和证书数据库，其中证书数据库需要新建，业务数据库需要更新，以满足数字签名认证的需求。

（1）证书数据库主要包括以下数据：

用户数据：用于用户数字证书的申请，可以由业务数据库批量导入；

证书数据：用户证书及证书信息、证书状态；

用户与证书的关联数据：用户信息与用户证书的对应关系；

（2）业务数据库主要包括以下数据：

用户数据：用户的用户信息；

业务数据及签名数据：业务的各项数据，需要增加相应的签名字段和签名证书的序列号字段；

2.3 CA数字证书受理系统

2.3.1 数字证书及其格式

数字证书是一种数字标识，如同我们的身份证一样，是网络上的身份证明，它是由证书授权机构（CA）签名颁发的数字文件，该签名使得第三者不能伪造和篡改证书。

ITU-T的X..509国际标准定义了数字证书的格式，目前X .509v3数字证书的主要内容，如图2所示，主要包括证书的版本号、证书的序列号、证书的有效起止日期、证书颁发者的名字和唯一标识符、证书持有者的名字和唯一标识符、证书持有者的公钥、证书扩展项以及证书颁发者的签名。其中，证书扩展项可以根据证书的不同应用而由证书的颁发者具体定义，因而具有较强的通用性和灵活性。

由于数字证书是由相对权威的授权机构审核颁发的，因此，一方面可以用来向系统或者系统的其他实体证明自己的身份；另一方面，由于证书携带着其持有者的公钥，也起着公钥分发的作用。

X .509v3数字证书的主要格式

基于****单位的现状与需求分析，建议建设自己的业务系统CA，节约总体成本投入，满足业务系统对CA认证的可靠性、灵活性、快捷性以及用户使用的方便性等方面的需求。另外，也可以采用基于权威第三方的CA数字证书受理系统。

2.3.2 自建CA数字证书受理系统

独立建设的CA数字证书受理系统

自建CA数字证书受理系统主要由WEB应用服务器、数据库、RA服务器、CA服务器组成，采用B/S（浏览器/服务器）架构实现基于WEB的数字证书申请、审核、下载制作、更新和作废等功能。

2.3.2.1 自建CA各组成部分及其功能

基于WEB的证书管理系统

为用户和管理员提供WEB管理界面，完成用户证书申请信息的提交、查询、审核；已生成的

数字证书的下载和制作（存储到指定介质）；证书状态的查询和管理（证书更新、证书作废）；私钥密码的修改等功能。

证书数据库

存储用户信息、证书信息以及二者的关联信息，保存用户的所有历史证书数据，以备校验历史签名数据。

注册授权服务器（RA）

负责定期从数据库中提取已审核通过的证书申请/更新/作废信息，按既定格式打包提交到CA服务器，并接收和记录返回的结果。

证书签发服务器（CA）

负责密钥对（公私钥对）的产生，可采用软件方式或硬件方式（加密机）；接收RA服务器的请求，签发/更新/作废用户证书；定期签发CRL（证书撤销列表）。

备注：

（1）CA服务器采用软件方式产生密钥对可节约系统成本；采用硬件方式产生密钥对，则需要购置加密机（国密局认证的密码设备，得安SJY05型加密机），产生的密钥对质量高，也有利于自建的CA完成相关认证和获取资质。

（2）RA服务器和CA服务器均为软件方式的应用程序，可共用一台主机。

2.3.2.2 自建CA的主要功能和技术特点

自建CA总体上具有建设成本低、易于部署；流程简捷高效、易于管理；系统可定制，易于与具体业务系统相结合等特点。

系统的主要功能如下：

自定义根CA：系统初始化时，自定义根CA证书。

CA策略管理：支持对密钥长度、证书有效期、私钥备份等策略的管理。

证书申请信息注册：通过WEB方式提交证书申请信息，支持个人证书、企业证书、服务器证书等，支持批量证书申请。

证书申请信息审核：管理员通过WEB方式查询并审核用户的证书申请信息，可设置自动审核。

密钥产生和证书签发：CA服务器支持软件方式和硬件方式（加密机或加密卡）产生密钥对，并签发证书请求，生成证书。

证书查询和下载制作：通过WEB方式查询证书申请状态、证书状态，下载已经生成的证书，并通过WEB方式灌制到指定的存储介质。

证书作废和CRL签发：通过WEB方式提交证书作废请求，定时签发CRL。

证书更新：即将到期的用户证书可以通过WEB方式进行在线更新。

证书导出：可以通过WEB方式将指定范围的用户证书按标准格式（BASE64编码）导出到文件中。

系统审计：对证书相关的各项操作，提供详尽的系统审计功能。

系统的主要技术和功能特点：

数字证书格式遵循X.509v3国际标准

密钥长度可支持512、1024、2048位

密钥生成方式支持软件产生和硬件（加密机或加密卡）产生

支持CA策略定制（密钥长度、证书有效期、私钥备份等策略）

支持多种证书类型：个人、企业、服务器证书等

支持多种存储介质：磁盘、U盘、IC卡、USB智能卡（eKey）

支持证书的批量申请，支持证书申请的手工审核和自动审核

支持证书作废和证书撤销列表（CRL），支持证书更新

2.3.2.3 自建CA的证书受理业务流程

自建CA的证书受理业务流程

上述流程中的相关步骤说明如下：

（1）步骤1至3，可以根据实际情况由管理员一次录入资料并自动审核；对于*****系统而言，可以从系统的数据库中按要求格式导出用户数据文件，再批量导入证书申请数据库中，同时自动审核；

（2）步骤8至9，可根据实际情况由用户或管理员完成下载操作。

自建CA系统在对外提供电子认证服务时，需要通过国家密码管理局、国务院信息产业主管部门的审查并获取电子认证许可证。

2.3.3 自建CA切换到第三方CA的可行性分析

自建CA在结构上具有良好的兼容性，通过RA服务器可以屏蔽不同CA中心所带来的接口问题。当整个CA系统需要切换到第三方CA时，只需更改RA服务器，按第三方CA系统的接口格式，将证书申请数据打包提交到第三方CA系统即可实现证书的申请，原有的基于WEB的证书管理系统将仍然有效。

2.3.4 基于第三方（CTCA）的数字证书受理系统

目前，国内拥有CTCA、CFCA等大型CA运营系统，它们通过了相关部门的审批，具有相关资质，是对外提供电子认证服务的权威、公正的第三方CA系统。

如果采用第三方CA系统，则需要完成以下工作：

（1）与第三方CA签署合作协议；

（2）从第三方CA系统申请数字证书；

（3）为申请的数字证书按年交纳使用费用；

在申请和使用数字证书的过程中，需要遵循第三方CA限定的证书申请模式，受第三方CA

系统性能制约。从第三方CA系统申请数字证书的方式可以是用户分散申请方式或者批量申

请方式，前者对用户要求较高且过程繁琐，后者需要将批量申请下来的数字证书手工导入业务系统中。

建立基于第三方CA的数字证书网上受理系统，是解决第三方CA数字证书申请的有效途径之一，通过该系统连接业务系统和第三方CA，从而实现数字证书申请过程以及数字证书与业务系统结合过程的自动化。

2.4 数字签名认证系统

数字签名认证系统由客户端浏览器签名控件、签名认证服务器、基于WEB的签名验证管理系统组成。

2.4.1 数字签名认证的原理及流程

数字签名认证的原理

数字签名基于非对称加密算法和单向散列算法（Hash函数），其原理如下：

用户A对要发送的信息用Hash函数进行摘要，并用自己的私钥加密该摘要；

用户A把原始信息和私钥加密后的摘要绑定，发送给用户B；

用户B用A的公钥解密接收到的加密摘要，并得到摘要；

用户B对接收的原始信息用同一Hash函数进行摘要；

将前两步所得的摘要进行对比，如果相同，即可通过验证。

利用证书验证签名数据时，都遵循相同的验证流程，一个完整的验证过程由以下几步：（1）将接收的数据分为原始数据流、签名数据和用户证书三部分；

（2）用CA根证书验证用户证书的签名完整性；

（3）检查用户证书是否有效（当前时间在证书的有效期内为有效）；

（4）检查用户证书是否作废 (OCSP方式或证书撤销列表CRL方式)；

（5）验证用户证书结构中的证书用途；

（6）用用户证书验证原始数据的签名完整性。

如果上述各项均验证通过，则接受该数据；只要有一项未通过，则验证失败。

2.4.2 客户端浏览器签名控件

客户端浏览器签名控件采用ActiveX控件形式（如下图所示），在第一次使用系统时自动下载安装。

图9 客户端浏览器签名控件的自动下载安装示例

客户端签名控件可以以浏览器插件形式自动调用，也可以以脚本方式调用，主要完成以下功能：

（1）对网页中的表单（Form）数据项进行签名

表单中的各数据项按约定方式命名，签名控件自动检测表单数据项并按如下格式对表单进行签名：

签名数据 = 私钥签名（ Hash（Key1=Value1&Key2=Value2&…&KeyN=ValueN））

提交到服务器的数据 = 原始表单数据 + 签名数据 + 用户数字证书

（2）对网页中上传的数据文件内容进行签名

上传文件的控件名按约定方式命名，签名控件自动检测准备上传的数据文件，读取文件内容并按如下格式对文件进行签名：

签名数据 = 私钥签名（Hash（上传文件的内容））

提交到服务器的数据 = 原始文件数据 + 签名数据 + 用户数字证书

2.4.3 签名认证服务器及认证的业务流程

如图2所示，签名认证服务器位于防火墙之后，与EJB服务器配合使用，并与证书数据库相连接，其认证的业务流程如下图所示：

签名认证服务器的认证业务流程

签名认证服务器主要完成以下功能：

（1）接收EJB服务器提交的认证请求数据；

（2）从认证请求数据中获取数据、数据签名和用户数字证书，根据配置的CA根证书，校验用户证书是否由本CA签发，是否在有效期范围之内；

（3）查询证书数据库中相应证书的状态，检查用户证书是否被作废；

（4）用用户证书校验数据签名；

（5）验证通过的数据、数据签名及相应的签名证书序列号交由EJB服务器入*****系统业务数据库存储；

系统业务数据库的每一条记录应当增加数字签名和签名证书序列号两个字段。

各个数据项数据签名签名证书的序列号

2.4.4 基于WEB的签名验证管理系统

基于WEB的签名验证管理系统提供WEB方式的历史数据查询和签名校验功能，其业务流程如下：

（1）查询历史数据和签名；

（2）根据签名证书序列号在证书数据库中查找用户证书；

（3）使用用户证书校验签名；

证书数据库中必须保存用户的所有历史证书数据，以便对历史签名数据进行校验。

2.5 数据加密传输通道（SSL）

目前，*****系统采用的是普通的HTTP传输通道和明文数据传送。通过在WEB应用服务器（WebLogic）上配置服务器证书和私钥，可以实现基于SSL的HTTPS传输通道，保证其中传送的数据的安全性。

以下几点说明：

（1）与HTTP方式相比HTTPS速度相对较慢；

（2）服务器证书的CN（Common Name）必须与站点名称一致；

（3）单向SSL，只对服务器证书进行验证，可配置双向SSL，要求对服务端证书和客户端

的用户证书都进行验证。

在WebLogic控制台中配置SSL服务

3. 成功案例

中科院数字图书馆（https://https://www.docsj.com/doc/6d17344639.html,）CA数字证书受理与认证系统

中国银行江苏分行网上外汇交易认证（http://202.102.32.19）

赛迪网安全电子邮局（https://www.docsj.com/doc/6d17344639.html,）CA数字证书受理与认证系统 武警部队哨位监控系统CA数字证书受理与认证

武警森林部队OA系统CA数字证书受理与认证

基于中国电信CTCA的数字证书受理系统和认证系统：

中国电信安全公务平台（https://www.docsj.com/doc/6d17344639.html,）

江苏电信RA数字证书受理系统（http://202.102.32.3）

陕西省电信RA数字证书受理系统（http://202.100.43.106）

贵州省电信OA系统认证

安徽省电信OA系统认证

新疆电信协同办公系统认证

湖北省电信VPN移动办公认证

中国电信集团公司市场部服务监督系统认证

中国电信集团公司综合部电信信息系统认证

中国电信集团公司财务部信息系统认证

中国电信集团公司法律部信息系统认证

中国电信集团公司监管事务部信息系统认证

4. 设备软件汇总及报价

4.1 基本设备及软件

4.2 CA系统设备及软件

根据所选CA类型（自建或第三方）不同，系统略有差别，以下为二选一。

4.2.1 自建CA系统设备及软件

4.2.2 基于第三方CA的数字证书受理系统设备及软件

4.3 数字签名认证系统设备及软件

4.4 USB智能卡类型

备注：上述均为eKey-PK（公钥版）系列USB智能卡。

企业财务系统的身份认证和电子签名解决方案

企业财务系统的CA身份认证和电子签名解决方案 1、用户需求： 总结用户需求如下： ●财务系统需要提升安全级别。财务系统的基本情况如下： ?财务系统的系统结构、操作系统、开发语言等（略） ?三种主要应用功能：预算申请、审批、修正；费用的申报；对财务系统查阅。 ●需要解决单纯的用户名/密码登录的脆弱性问题，确保登录财务系统的身 份的真实性。 ●需要对财务系统的操作、交易实现签名，满足不可抵赖性、事后溯性的 应用需求。 2、解决方案 具体设计方案如下： ●建设数字证书认证服务器，解决服务器和个人用户身份真实性的问题。 具体建设方案如下： ?证书服务器负责证书的日常管理。 ?管理终端完成证书的申请和发放工作。 ?为应用服务器颁发服务器证书，为个人用户颁发个人证书。登录时，实现双向验证，确保应用服务器身份和个人身份的真实性。 ?用户手持USB KEY，带有密码芯片算法的KEY，存储量大于等于32K。 用于私钥存储，确保私钥的安全。 ?采用SQL数据库，用于证书服务器生成证书和CRL的存储 ●建设数字签名中间件，对用户在财务系统中的操作实现数字签名，实现 抗抵赖的功能。具体建设方案如下： ?将数字签名服务器与应用服务器共同部署； ?在IE中部署签名插件； ?用户的操作需要用私钥进行签名； ?服务器端对用户的签名数据进行验签；

?应用数据和签名数据进行分别的存储。 具体部署的拓扑图如下（略） 3、用户收益 采用本方案后用户收益如下： ●通过强身份认证手段的采用，确保所有登录财务系统用户的身份的真实 性 对财务系统的操作、交易实现签名，满足不可抵赖性、事后溯性的应用需求。 ---------------------------------------------------------------------------------------------------------------------- 北京安软天地科技有限公司 专业的应用安全服务提供商，主要提供CA系统、SSL VPN设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。

第2章电子签名法与电子认证服务法律制度

授课班级 授课日期 授课题目：第2章电子签名法与电子认证服务法律制度 目的要求：能够分析电子证据的法律效力；能够分析电子证据的多样性。 教学重难点：把握数据电文与电子签名的基本知识；了解电子签名与电子认证服务法律法规；理解数据电文与电子签名的法律效力。 组织教学：点名考勤；复习；引入新课；讲解理论知识；实例演示；指导学生练习；总结 总结复习导入新课：电子商务法的调整对象和范围有哪些？ 提问： 1、电子商务与传统交易方式的区别，以及其中可能存在的法律风险？ 2、电子商务可能存在的法律风险？ 3、电子商务法的重要意义？ 教学方式、手段、媒介：教学手段：讲授、多媒体；媒介：教材 授课内容： 案例A： 原告：史文权——互联网用户，下载安装了百度搜索伴侣软件，并正常使用，其直接与 百度网站结合使用，并在IE工具栏内有明确的图标和菜单指示。过了几日，原告在浏览部 分网站时，被提示安装了“网络实名软件”。但是安装后，发现电脑中缘由的百度搜索伴侣 软件、IE工具栏中的百度搜索伴侣图标和菜单被非法删除。在重新中，又发现下载和安装 受到了网络实名软件的屏蔽，最后安装失败。原告申请北京市公证处对此进行网络证据保全。 网络实名软件来源于“3721”网站，属于国风因特公司和三七二一公司。该软件得到了该公司的技术支持。根据消费者权益保护法规定，此行为侵犯了原告对相关软件的合法使用权； 该软件并未对侵权功能作出详尽的说明，侵犯了消费者的知情权；屏蔽行为侵犯了消费者的自主选择权，构成强制交易行为；非法监视用户上网行为，侵犯了用户的隐私权。 最后，法院判决如下： 1.该公司停止侵权行为； 2.该公司对原告作书面赔礼道歉； 3.该公司对原告赔偿经济损失1000元； 4.该公司必须承担原告的全部诉讼费用。 案例引入： 教师：我经常会在网上看到这样的贴子：“网络购物维权让我疲惫不堪”、“网络维权如

关于电子签名和认证的法律问题研究-谢波

关于电子签名和认证的法律问题研究/谢波 关于电子签名和认证的法律问题研究 谢波 摘要：在传统交易活动中，“签字盖章”是许多法律的基本要求。但随着络技术的日新月异，电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分，其中的法律问题阻碍了电子交易的进行，也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。 关键词：电子签名，认证，电子商务，电子合同，法律问题 在传统交易中，人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时，亲笔签名也是许多法律的要求。例如，我国《合同法》第32条规定：“当事人采用合同书形式订立合同的，自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定：“票据出票人制作票据，应当按照法定条件在票据上签章，并按照所记载的事项承担票据责任。持票人行使票据权利，应当按照法定程序在票据上签章，并出示票据。”然而，在电子商务环境下，由于合同当事人可能相隔千里，甚至在整个交易过程中并不谋面，这就使传统的亲笔签名方式就很难运用于电子交易。但是，传统的亲笔签名方式所具有的功能，特别是它所具有的证明合同的真实性和完整性的功能，对一直为络安全问题所困扰的电子商务仍然具有重要的价值。所以，签名的要求在电子商务环境下不仅不应被放弃，反而应该得到强化和更有力的保障。当然，这里所说的签名已经不再是传统的亲笔签名，而是电子签名（Electronic Signature）。 新加坡1998年颁布的《电子交易法》（Singapore Electronic Transactions Act 1998，SETA）对电子签名和数字签名作了相关规定。它将电子签名定义为：“以数字形式所附或在逻辑上与电子记录有的任何字母，文字数字或其他符号，并且执行或采纳电子签名是为了证明或批准电子记录”；将数字签名（Digital Signature）定义为：“通过使用非对称加密系统和哈希函数（Hushing Function）来变换电子记录的一种电子签名”。可见，数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则（草案）》（Draft Uniform Rule On Electronic Signature）第1条的规定：“‘电子签名’，是指以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有的数据，并且它（可以）用于辨别数据签署人的身份，并表明签署人对数据

2010-《数字签名与认证技术》讲义-4-7 章

第四章 短签名和基于身份的签名 （ 2 学时） 【讲授内容】 1． 双线性对 2． 短签名 3． 基于身份的签名 4．1 双线性对（pairing ） 为什么能够签名长度短？就是利用了双线性对的原因。（现在是一种趋势。） 假设21,G G 是两个群，阶数都是素数q 。1G 为加法群，2G 为乘法群。P 是1G 的任一生成元，aP 就是a 个P 相加。假设离散对数问题在21,G G 都是困难的。满足以下条件的映射211:G G G e →?叫做双线性映射（bilinear map ） （1） 双线性性：*∈∈=q ab Z b a and G Q P all for Q P e bQ aP e ,,,),(),(1 （2） 非退化性：如果P 是1G 的生成元，则),(P P e 是2G 的生成元，也即1),(≠P P e （3） 可计算性：容易计算1,), ,(G Q P all for Q P e ∈。 Bilinear map 也叫做Pairing 。椭圆曲线上或超椭圆曲线上的Weil 对和Tate 对可作为pairing 使用。（椭圆曲线上加群的离散对数问题，可构造数字签名。） 而基于椭圆曲线上的加法群的离散对数问题建立的方案，具有长度短，安全性高的优点。现在再结合双线性对的特性，可使方案具有长度短和证明简便的结合的优点。 计算DH （CDH ）问题：给出一个随机生成元g 和随机元素G h h ∈21,，计算))(log (log 21h h g g g ， 也即如果y x g h g h ==21,，计算输出xy g 。如果这是困难的，就说CDH 假设在G 成立。 对应于加法群： 1G 上的DDH （Decisional Diffie-Hellman ）问题：给出*∈q Z c b a cP bP aP P ,,),,,,(，判断ab c =。这一问题可以在多项式时间解决（验证),(),(cP P e bP aP e =）。 习惯写法：),(),(),,,(B A e Q P e B Q P A V DDH =→ 1G 上CDH （Computational Diffie-Hellman ）问题：给出*∈q Z b a bP aP P ,),,,(，计算 abP 。 Gap Diffie-Hellman group （GDH ）：计算DDH 容易，计算CDH 困难。Pairing 的原象域domain 就是GDH 群的例子。

数字证书和数字签名的关系

数字证书和数字签名的关系 什么是数字证书？ 由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。 数字证书也必须具有唯一性和可靠性。为了达到这一目的，需要采用很多技术来实现。通常，数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，用户可以公开其公开密钥，而保留其私有密钥。 数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。 目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、W AP证书、代码签名证书和表单签名证书。 随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展，数字证书开始广泛地应用到各个领域之中，目前主要包括：发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。 什么是数字签名？数字签名与电子签名是不是一回事？ 电子签名和数字签名的内涵并不一样，数字签名是电子签名技术中的一种，不过两者的关系也很密切，目前电子签名法中提到的签名，一般指的就是"数字签名"。

数字签名技术的认证和分类

数字签名技术的认证和分类 摘要随着计算机网络的迅速发展，人们经常利用网络进行信息的传递和文件的传输，这种传递的方式非常方便，因此很多商家开始在Internet中进行电子交易，为了保证交易的安全性数字签名因此诞生。 关键词数字签名；密码学；认证技术 现代密码学有很多组成部分，数字签名就是其中非常重要的一部分。数字签名也是公钥密码学的重要应用之一，其研究的方向有信息论、概率论、数论等多方面的内容。数字签名与手写签名相类似，它能够帮助验证签名者是否是消息的发出者；另一方面，数字签名被接收者保存下来，一旦出现争执的情况时，数字签名可以作为证据交给第三方（例如法院），由第三方验证此签名的合法性。 因此，使用数字签名可以避免产生以下四类问题： 1）否认。发送方或接收方在事后否认已经发送或接收过此份文件； 2）伪造。接收方自己或让他人帮助伪造出一份来自发送方的文件； 3）篡改。接收方对从发送方接到的文件内容进行全部或部分篡改； 4）冒充。在计算机网络中，某一用户冒充他人成为接收方或发送方。 数字签名是一种认证技术，它可以认证下面的内容： 1）实体认证。采取一定的鉴别协议来验证是否在正确的接收方和发送方之间进行信息通信； 2）身份认证。用户身份认证的目的是防止非法的用户访问该数据，采用数字签名技术进行身份认证在很大程序上提高了控制的力度； 3）报文认证。确认用户双方无误之后，就可以开始报文通信了。为了验证传送数据是否真实，可以采用数字签名对对数据进行验证。例如验证传送数据的时间、来源地、目的地等的真实性。 我们在日常生活中经常需要签名，例如在银行进行存款和取款时需要签名；在商业活动中需要在契约和合同上签名。在互联网上进行网上交易时需要进行数字签名。这种手写签名和数字签名的主要区别在于：手写签名因人而异，每个人都会因为书写习惯不同或常用字体不同而拥有不同的签名；数字签名是由0 和1 组成的字符串，消息内容不同则数字签名结果也不同。它们之间的主要区别在于：

数字签名技术的基本原理以及现实功能

数字签名技术的基本原理以及现实功能 在计算机迅速普及的同时，网上信息安全越来越受到人们的重视，为了保障使用者信息的安全，多种多样的加密技术、访问控制技术以及身份认证技术不断更新。在实践中发展出来的具有强大优越性的数字签名技术，成为了解决网络资源信息安全问题的有效手段。 数字签名技术的基本原理是改变过去通过书写签名或者印章的形式，提高身份验证的准确性以及保证对象的安全性。数字签名技术主要是通过一系列复杂、特殊的加密算法，产生一系列由数字、字母及符号组成的电子密码。这种复杂多样化的电子密码具有过去传统加密方法无法比拟的优越性，并且在此基础上进行的技术验证更加能够全方位地确保网络信息以及数据的安全性。 数字签名技术以规范化、科学化的计算机技术为基础,能够准确地识别签名人的身份，并且对于其应有的权限进行自动认可。除此之外,数字签名技术还能够对文件进行检验，对文件在传输过程中可能出现的变动都会进行自动扫描，保证文件的安全性、真实性与准确性。数字签名在保护计算机网络数据以及资源方面发挥了重大的作用，能够有效地防止受到保护的资源被修改、泄漏以及窃取，还可以对收到的信息进行身份确认，最大限度地保障使用者的信息安全性。

数字签名技术与信息加密技术存在一定的相似性，是在以公匙法体系的基础之上建立的，但是创建数字签名还需要用户运用私匙进行加密，增强其安全性。用户在发送、传输信息的时候，需要附带经过加密技术处理的特殊信息，也就是为将要传输的信息署名。在计算机网络开放性不断增强的当今时代，网络资源以及信息的安全很容易受到来自外界各种因素的影响，因此数字签名技术的发展呈现出了强劲的势头。数字签名技术被广泛地应用于电子商务、网络通信等社会生活的各个方面，Hash签名算法、DSS/DSA签名算法以及PSA签名算法得到了广泛的应用。 数字签名完成对信息识别辨认的过程，是解决网络通信特有的安全问题的方法，特别是对于保障军事网络通信的安全，在保证数据真实完整方面发挥着重大的作用。当然，数字签名在军事网络通信中的应用也需要遵循一定的条件以及运行原则。军事网络通信中的数字签名技术应用要求，经过数字签名已经发送或者传输的资料、信息以及数据,签名者不可以否认，这是数字签名技术实际应用中最基本的原则，这是对文件以及信息接收者基本权利的保障，保障其收到的资料以及信息的准确性，一旦出现问题，接收方可以按照数字签名和发出方协商。另外一方面，对于接收者来说，对于接收到的文件或者数据信息，只能单方面地确认或者证实,但是没有否认该资料的权利。对于信息传递过程中的第三方来说，只能够作为数据信息传输的渠道或者方式，而不能够对信息本身产生影响，更不能伪造这一过程。当信

电子签名和电子认证的法律要求有哪些

电子签名与电子认证政策法律用以调整认证中心、证书用户、国家行政机关与不特定的社会公众之间在认证电子交易过程中所发生的法律关系，调整对象主要包括平等主体之间民商事法律关系和非平等主体之间的行政法律关系。 数据电讯的商业化应用，除了需要电子签名作为认证手段之外，在因特网等开放性网络环境下，认证中心的服务也是必不可少的。与此同时，调整认证法律关系的规范，将成为电子商务法律制度，乃至普通商事法律中的基本内容之一。认证中心并不向在线当事人出售任何有形的商品，也不提供资金或劳动力资源。它所提供的服务成果，只是一种无形的信息，包括交易相对人的身份、公开密钥、信用状况等情报。虽然，这些信息无法以具体的价格来衡量，它却是在开放型电子商务环境下，进行交易所必须的前提性条件，并且是交易当事人所很难亲自得知的。与一般信息服务不同的是，认证中心所提供的是经过核实的，有关电子商务交易人所关心的基本信息。实际上它是关于交易当事人的事实状况的信息，通常包括交易人是谁、在何处、以何种电子签名方式与之交易，其信用状况如何等。 因此，认证是一种专业化的信用服务，并非一般的实现某种商品使用价值的服务。如同医生对于病人，认证中心都对其客户，即利用数字证书进行交易的各方当事人，负有职业上的特殊义务。该种义务，实际上是一种社会责任。认证中心对于信赖证书的交易人，应承担公正信息发布义务，决不因未接收其服务报酬，而偏袒与之建立了服务合同关系的证书用户一方。任何一个认证中心都应当知道，证书信息的公正性，是其业务存在的根本条件，舍弃此点，该认证中心就没有必要存在。另外从其营业目的上看，认证中心属于公用企业，以向全社会提供电子商务交易信用为己任，并非单纯追求盈利的企业。其服务费用的收取，也只是以微利为原则，而不能受高额利润的引诱。作为一种特许的营业，认证中心的成功，来自于规模化的经营业绩，而决不能依靠向单个用户收取高额服务费，来维持其经营。 电子签名只是从技术手段上对签名人身份做出辩认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题，则是电子签名技术本身无法解决的问题。换言之，这里面有一个解决私人密钥持有人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意，即有意识否认自己做出的行为；二是客观原因，即发生密钥丢失、被窃或被解密情况，使发件人或收件人很难解释归责问题。

CA数字签名认证系统 技术方案

CA数字签名认证系统技术方案 1. 系统需求 1.1 背景概述 随着计算机网络技术的迅速发展和信息化建设的大力推广，越来越多的传统办公和业务处理模式开始走向电子化和网络化，从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比，基于网络的电子化业务处理系统必须解决以下问题： （1）如何在网络上识别用户的真实身份； （2）如何保证网络上传送的业务数据不被篡改； （3）如何保证网络上传送的业务数据的机密性； （4）如何使网络上的用户行为不可否认； 基于公开密钥算法的数字签名技术和加密技术，为解决上述问题提供了理论依据和技术可行性；同时，《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据，使得数字签名与传统的手工签字和盖章具有了同等的法律效力。 PKI（Public Key Infrastructure）是使用公开密钥密码技术来提供和实施安全服务的基础设施，其中CA（Certificate Authority）系统是PKI体系的核心，主要实现数字证书的发放和密钥管理等功能。 数字证书由权威公正的CA中心签发，是网络用户的身份证明。使用数字证书，结合数字签名、数字信封等密码技术，可以实现对网上用户的身份认证，保障网上信息传送的真实性、完整性、保密性和不可否认性。

数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。 1.2 现状与需求概述 现状描述。。。。。。 基于上述现状，******系统需要解决数据的签名问题和法律效力问题，从而提高*****的便捷性和管理效率。鉴于数字证书、数字签名的广泛应用和相关法律的保障，****单位规划建设CA及数字签名认证系统，主要需求如下： （1）建设CA系统或采用第三方CA，为****用户申请数字证书； （2）在现有*****系统中加入对数据的签名功能，存储数据签名并提供对签名的认证功能； 1.3 需求分析 为了解决网上用户的身份证明问题，需要为用户颁发数字证书。数字证书由CA中心签发，目前在实际应用中主要存在两种类型的CA： （1）独立的第三方CA 跨区域的CA，如：中国电信的CTCA、中国人民银行的CFCA； 地域性的CA，如：广东电子商务认证中心CNCA、上海电子商务认证中心SHECA，以及其他各省电子商务认证中心； （2）各类应用系统自己建设的CA 如：招商银行、建设银行等建设的用于服务各自网上银行的CA；海关、税务等建设的服务各自网上报税系统的CA； 这两种类型的CA在实际使用过程中各有优劣，以下将进行分析和比较：

关于电子签名和认证的法律问题研究

关于电子签名和认证的法律问题研究 摘要：在传统交易活动中，“签字盖章”是许多法律的基本要求。但随着网络技术的日新月异，电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分，其中的法律问题阻碍了电子交易的进行，也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。 关键词：电子签名，认证，电子商务，电子合同，法律问题 在传统交易中，人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时，亲笔签名也是许多法律的要求。例如，我国《合同法》第32条规定：“当事人采用合同书形式订立合同的，自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定：“票据出票人制作票据，应当按照法定条件在票据上签章，并按照所记载的事项承担票据责任。持票人行使票据权利，应当按照法定程序在票据上签章，并出示票据。”然而，在电子商务环境下，由于合同当事人可能相隔千里，甚至在整个交易过程中并不谋面，这就使传统的亲笔签名方式就很难运用于电子交易。但是，传统的亲笔签名方式所具有的功能，特别是它所具有的证明合同的真实性和完整性的功能，对一直为网络安全问题所困扰的电子商务仍然具有重要的价值。所以，签名的要求在电子商务环境下不仅不应被放弃，反而应该得到强化和更有力的保障。当然，这里所说的签名已经不再是传统的亲笔签名，而是电子签名（Electronic Signature）。 新加坡1998年颁布的《电子交易法》（Singapore Electronic Transactions

Act 1998，SETA）对电子签名和数字签名作了相关规定。它将电子签名定义为：“以数字形式所附或在逻辑上与电子记录有联系的任何字母，文字数字或其他符号，并且执行或采纳电子签名是为了证明或批准电子记录”；将数字签名（Digital Signature）定义为：“通过使用非对称加密系统和哈希函数（Hushing Function）来变换电子记录的一种电子签名”。可见，数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则（草案）》（Draft Uniform Rule On Electronic Signature）第1条的规定：“‘电子签名’，是指以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，并且它（可以）用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可”。笔者认为这一定义颇值得我国立法的借鉴。 电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改，以及解决事后发件人否认已经发送或者是收到资料等问题。[1]电子签名是法律上一个重要的创新概念，它作为电子认证技术在法律上的总括，得到了许多国家的认可。目前，国际上通用的电子签名主要有以下三种模式： 一、智能卡模式。智能卡是安装了嵌入式微型控制器芯片的IC卡，内储有关自己的数字信息。使用者在使用智能卡时只要在计算机的扫描器上一扫，然后键入自己设定的密码即成。 二、密码模式。使用者可以自己设定一个密码，该密码由数字或字符组合而成。有的单位还提供硬件，让使用者用电子笔在电子板上签名

认证和数字签名技术

认证和数字签名技术 前言 Internet的迅猛发展使电子商务成为商务活动的新模式。电子商务包括管理信息MIS、电子数据交换EDI、电子订货系统EOS、商业增值网VAN等，其中EDI 成为电子商务的核心部分，是一项涉及多个环节的复杂的人机工程，网络的开放性与共享性也导致了网络的安全性受到严重影响。如何保证网上传输的数据的安全和交易对方的身份确认是电子商务是否得到推广的关键，可以说电子商务最关键的问题是安全问题，而数字签名(Digital Signatures)又是电子商务安全性的重要部分。 一、数字签名技术 1、数字签名的概念 数字签名是利用数字技术实现在网络传送文件时，附加个人标记，完成系统上手书签名盖章的作用，以表示确认，负责，经手等。 数字签名(也称数字签字）是实现认证的重要工具，在电子商务系统中是不可缺少的。 保证传递文件的机密性应使用加密技术，保证其完整性应使用信 息摘要技术，而保证认证性和不可否认性应使用数字签名技术。

2、数字签名的原理 其详细过程如下： （1）发方A将原文消息M进行哈希（hash）运算，得一哈希值即消息摘要h（M）；（2）发方A用自己的私钥K1，采用非对称RSA算法，对消息摘要h（M）进行加密［E h（M）］，即得数字签名DS； （3）发方A把数字签名作为消息M的附件和消息M 一起发给收方B； （4）收方B把接收到的原始消息分成M’和［E h（M）］； （5）收方B从Ｍ中计算出散列值h（M’）； （6）收方B再用发方A的双钥密码体制的公钥K2解密数字签名DS得消息摘要 h（M）； （7）将两个消息摘要h（M’）=h（M）进行比较，验证原文是否被修改。如果 二者相等，说明数据没有被篡改，是保密传输的，签名是真实的；否则拒绝该签名。 这样就作到了敏感信息在数字签名的传输中不被篡改，未经认证和授权的人，看不见原数据，起到了在数字签名传输中对敏感数据的保密作用。 3、数字签名的要求 数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同，

数字签名与认证技术选择题

注：答案为网上查的 选择题 1、如果发送方用私钥加密消息，则可以实现（D ） A、保密性 B、保密与鉴别 C、保密而非鉴别 D、鉴别 2、在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（B ） A、非对称算法的公钥 B、对称算法的密钥 C、非对称算法的私钥 D、CA中心的公钥 3、以下关于加密说法，不正确的是（ABC ） A、加密包括对称加密和非对称加密两种 B、信息隐蔽是加密的一种方法 C、如果没有信息加密的密钥，只要知道加密程序的细节就可以对信息进行解密 D、密钥的位数越多，信息的安全性就越高 4、以下关于混合加密方式说法不正确的是：（ACD） A、采用公开密钥体制进行通信过程中的加解密处理

B、采用公开密钥体制对对称密钥体制的密钥进行加密后的通信 C、采用对称密钥体制对对称密钥体制的密钥进行加密后的通信 D、采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点 5、两个不同的消息摘要具有相同的值时，称为（B ） A、攻击 B、冲突 C、散列 D、都不是 6、（A）用于验证消息完整性。 A、消息摘要 B、加密算法 C、数字信封 D、都不是 7、HASH函数可应用于（A ）。 A、数字签名 B、生成程序或文档的“数字指纹” C、安全存储口令 D、数据的抗抵赖性 8、数字证书采用公钥体制，每个用户设定一把公钥，由本人公开，用它进行：A*

A、加密和验证签名 B、解密和签名 C、加密 D、解密 9、数字签名为保证其不可更改性，双方约定使用（A） A、HASH算法 B、RSA算法 C、CAP算法 D、ACR算法 10、1是网络通信中标志通信各方身份信息的一系列数据，提供一种在Inte rnet上验证身份的方式B A、数字认证 B、数字证书 C、电子证书 D、电子认证 11、以下关于CA认证中心说法正确的是C A、CA认证是使用对称密钥机制的认证方法 B、CA认证中心只负责签名，不负责证书的产生 C、CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D、CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心

信息安全认证习题参考答案

第2章习题 1.对于整数39 和63，回答下面问题 (1) 它们是否互素； (2) 用欧几里德算法求它们的最大公因子； 2．用费马定理求3201(mod 11) 3．计算下面欧拉函数； φ(41) 、φ(27)、φ(231) 4．求7803的后三位数字。（用欧拉定理） 5．已知a =97, r = 1001, 如果a ? b ≡ 1 mod r 求a的乘法逆元b，写出计算过程。 第三章习题 当S2 盒的输入分别为101011和110100时，写出S2盒的输出（要求写出具体过程） 第四章习题 1．利用RSA 算法运算，如果p=11，q=13, 公钥e=11, 对明文2进行加密.求私钥d 及密文。2．在使用RSA 的公钥体制中，已截获发给某用户的密文为c=10，该用户的公钥e = 5，n =35，那么明文m 等于多少？为什么能根据公钥可以破解密文？ 第五章习题 3．为什么需要消息认证？ 4．散列函数和消息认证码有什么区别？各自可以提供什么功能？ 5．简述HMAC算法的过程； 6．数字签名需要满足哪些条件？写出数字签名的典型使用方案； 第7章习题 7．简述Kerberos的基本工作过程。 8．简述SSL握手的过程。 第8章习题 9．PKI 的主要组成是什么？它们各自的功能各是什么？ 10．请给出案例，说明基于PKI 的SSL 是如何工作的？

考试说明 考试重点：第二章、第四章、第5章、第七章、第八章； （公钥技术、网络安全协议） 考试类型：开卷。 参考资料：课件+教材+作业 教材：（信息安全原理与技术郭亚军编著清华大学出版社） 总评成绩=成绩期末试卷*70%+平时成绩（点名+作业5次+实习报告3次）30分 注：要参加考试的学生必须交作业（5次）+实习报告（3次） 考试题型（判断题、选择题、计算题、简答题，综合应用题） 判断题示例 1．在对称密码体制中有n个成员的话，就需要n(n-1)/2 个密钥。而在公开密钥体制中只需要2n个密钥。（） 2．利用欧几里德算法，求乘法逆元算法时，即重复使用带余数除法：每次的余数为除数除上一次的除数，直到余数为0时为止。（） 选择题示例 1．在开始进入一轮DES时先要对密钥进行分组、移位。 56位密钥被分成左右两个部分，每部分为28位。根据轮数，这两部分分别循环左移。 A．1位或2位 B．2位或3位 C．3位或4位 D．4位或5位 2．PGP加密算法是混合使用算法和IDEA算法，它能够提供数据加密和数字签名服务，主要用于邮件加密软件。 A．DES B．RSA C．IDEA D．AES

第2章-电子签名法与电子认证服务法律制度教案资料

目的要求：能够分析电子证据的法律效力；能够分析电子证据的多样性。 教学重难点：把握数据电文与电子签名的基本知识；了解电子签名与电子认证服务法律法规；理解数据电文与电子签名的法律效力。 组织教学：点名考勤；复习；引入新课；讲解理论知识；实例演示；指导学生练习；总结总结复习导入新课：电子商务法的调整对象和范围有哪些？ 提问： 1、电子商务与传统交易方式的区别，以及其中可能存在的法律风险？ 2、电子商务可能存在的法律风险？ 3、电子商务法的重要意义？ 教学方式、手段、媒介：教学手段：讲授、多媒体；媒介：教材 授课内容： 案例A： 原告：史文权——互联网用户，下载安装了百度搜索伴侣软件，并正常使用，其直接与百度网站结合使用，并在IE工具栏内有明确的图标和菜单指示。过了几日，原告在浏览部分网站时，被提示安装了“网络实名软件”。但是安装后，发现电脑中缘由的百度搜索伴侣软件、IE工具栏中的百度搜索伴侣图标和菜单被非法删除。在重新中，又发现下载和安装受到了网络实名软件的屏蔽，最后安装失败。原告申请北京市公证处对此进行网络证据保全。网络实名软件来源于“3721”网站，属于国风因特公司和三七二一公司。该软件得到了该公司的技术支持。根据消费者权益保护法规定，此行为侵犯了原告对相关软件的合法使用权；该软件并未对侵权功能作出详尽的说明，侵犯了消费者的知情权；屏蔽行为侵犯了消费者的自主选择权，构成强制交易行为；非法监视用户上网行为，侵犯了用户的隐私权。 最后，法院判决如下：1.该公司停止侵权行为； 2.该公司对原告作书面赔礼道歉； 3.该公司对原告赔偿经济损失1000元； 4.该公司必须承担原告的全部诉讼费用。 案例引入： 教师：我经常会在网上看到这样的贴子：“网络购物维权让我疲惫不堪”、“网络维权如

电子签名与电子认证

★电子签名与电子认证 1.电子签名的概念？分类？ 电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。电子签名具有技术性、排它性、确定性和虚拟性等特征。 {电子签名是以电子形式出现的数据。 电子签名必须能够识别签名人身份并表明签名人认可与电子签名相联系的数据电文的内容。 数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。}从广义上讲，凡是能在电子计算机通信中起到证明当事人身份及当事人对文件内容的认可的电子技术手段，都可称为电子签名。 2.电子签名的具体形式 就现阶段的技术发展水平来看，有口令、密码、数字加密、生物特征认证等等，随着计算机技术的不断发展，电子签名的具体形式无疑将会推陈出新。 3.可靠电子签名 我国《电子签名法》本着技术中立的原则，并没有指出哪种技术更为先进或哪种技术是安全的，只是要求该技术满足电子签名法的规定或当事人的自行选择。 具体来说，我国《电子签名法》第13条规定，只要能够同时满足以下四个条件的电子签名就被视为可靠的电子签名： （1）电子签名生成数据用于电子签名时，属于电子签名人专有； （2）签署时电子签名生成数据由电子签名人控制； （3）签署后对电子签名的改动能够被发现； （4）签署后对数据电文内容和形式的改动能够被发现。 可靠的电子签名与手写签名或者盖章具有同等的法律效力，满足识别签名人身份和保证签名人认可文件中的内容两个条件。 4. 电子认证法律关系中的主体、主体之间的关系 一般情况下，电子认证服务活动涉及三方主体：证书持有人、认证服务机构、证书信赖人。认证服务机构与当事人之间的法律关系： （1）认证服务机构与数字证书持有人之间的法律关系 认证服务机构与其数字证书持有人之间是合同关系。

OA系统CA数字证书认证和电子签名解决方案

OA 系统CA 数字证书认证和电子签名解 决方案1 某市OA 系统（内外网）基于CA 的身份认证和电子签名解决方案 1、用户背景 内蒙古某市下属2 区、5县、4旗，人口300 余万，该市交通发达，是内蒙连接东北的交通枢纽。 2、用户需求 通过与沟通，总结最终用户需求如下： ?BS 架构的OA 系统，采用Domino Notes 开发的，用到金格的word 控件， 主要是做痕迹保留用的，和系统登录无关。需要保证登录者身份的真实 性。 ?对流程文件的表单进行电子签名，需要保证公文审批的完整性和不可抵 赖性，同时要考虑一个表单，多个领导会签的情况。 ?通过运营商组的专网，在网络出口已经部署防火墙。 3、解决方案

据既有的安全项目经验，根据信息安全等级保护条例，厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计，如果确实不需要部署外网，则不必考虑外网设计。 具体设计方案如下： ?在内网建设CA 服务器。 ?密钥生成和管理由证书服务器密码机负责。 ?采用一主两从LDAP ，内网部署一主一从，外网部署一从。内网的主LDAP 数据自动推送到内网从LDAP ，手工导入到外网从LDAP 。CA 服务器的证 书和CRL 列表定期发布到内网主LDAP 。 ?在内网部署电子签名中间件，进行双向的签名和验签。 ?手持USB KEY ，带有密码芯片算法的KEY ，存储量大于等于32K ，用于私 钥存储。 ?为应用系统的WEB 服务器发放服务器证书，实现用户登录时，用户和服 务器的双向验证，确保应用服务器身份和用户身份的真实性。 ?在公网入口部署SSL VPN 设备，确保应用服务器是在收