文件加密與數(shù)字簽名.ppt

《文件加密與數(shù)字簽名.ppt》由會員分享，可在線閱讀，更多相關(guān)《文件加密與數(shù)字簽名.ppt（24頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、文件加密與數(shù)字簽名,文件加密與數(shù)字簽名技術(shù)是目前應(yīng)用最廣泛的安全技術(shù)，分別是用來防止文件不被非法用戶所打開和確保用戶收到的是真正自己所需用戶發(fā)來的郵件。本章重點(diǎn)如下： 主要加密算法及各自加密原理 EFS加密文件系統(tǒng)的加密原理 EFS文件加密與解密方法 EFS文件恢復(fù)代理創(chuàng)建方法 動(dòng)態(tài)文件加密與數(shù)字簽名原理 PGP密鑰生成方法 PGP文件加密方法 PGP郵件加密與簽名策略配置方法 iSignature簽章系統(tǒng)的基本使用方法,8.1 文件加密概述,文件加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼（通常稱為“密文”），使其只能在輸入相應(yīng)的密鑰之后才能顯示出本

2、來內(nèi)容，通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。 8.1.1 加密的由來 加密作為保障數(shù)據(jù)安全的一種方式，它不是現(xiàn)在才有的，它產(chǎn)生的歷史相當(dāng)久遠(yuǎn)，它是起源于要追溯于公元前2000年（幾十個(gè)世紀(jì)了），雖然它不是現(xiàn)在我們所講的加密技術(shù)（甚至不叫加密），但作為一種加密的概念，確實(shí)早在幾個(gè)世紀(jì)前就誕生了。當(dāng)時(shí)埃及人是最先使用特別的象形文字作為信息編碼的，隨著時(shí)間推移，巴比倫、美索不達(dá)米亞和希臘文明都開始使用一些方法來保護(hù)他們的書面信息。,8.1.2 選擇加密的意義,加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取

3、。一個(gè)簡單的例子就是密碼的傳輸。通過網(wǎng)絡(luò)進(jìn)行登錄時(shí)，所鍵入的密碼以明文的形式被傳輸?shù)椒?wù)器，而網(wǎng)絡(luò)上的竊聽是一件極為容易的事情，所以很有可能黑客會竊取得用戶的密碼，如果用戶是Root用戶或Administrator用戶，那后果將是極為嚴(yán)重的。密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。 數(shù)字簽名就是基于加密技術(shù)的，它的作用就是用來確定用戶是否是真實(shí)的。應(yīng)用最多的還是電子郵件。如當(dāng)用戶收到一封電子郵件時(shí)，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址，很多人可能會簡單地認(rèn)為發(fā)信人就是信上說明的那個(gè)人，但實(shí)際上偽造一封電子郵件對于一個(gè)通常人來說是極為容易的事。在這種情況下，就要用到加密技術(shù)基礎(chǔ)上的

4、數(shù)字簽名，用它來確認(rèn)發(fā)信人身份的真實(shí)性。 本節(jié)節(jié)詳細(xì)內(nèi)容參見書本P276P277頁。,8.1.3 代表性的數(shù)據(jù)加密標(biāo)準(zhǔn),目前主要的加密標(biāo)準(zhǔn)有三種：DES、MD5（早先采用MD2、MD3、MD4）、SHA-1（早先采用SHA-0）。 1. DES算法 DES使用56位密鑰對64位的數(shù)據(jù)塊進(jìn)行加密，并對64位的數(shù)據(jù)塊進(jìn)行16輪編碼。在發(fā)明之初，DES被認(rèn)為是一種十分強(qiáng)大的加密方法。 2. MD5算法 MD5可生成128位的摘要信息串，出現(xiàn)之后迅速成為主流算法，并在1992年被收錄到RFC中。 3. SHA-1算法 SHA-1生成長度為160位的摘要信息串，雖然之后又出現(xiàn)了SHA-224、S

5、HA-256、SHA-384和SHA-512等被統(tǒng)稱為“SHA-2”的系列算法，但仍以SHA-1為主流。 本節(jié)詳細(xì)內(nèi)容參見書本P277P278頁。,8.1.4 電子簽名與數(shù)字簽名,電子簽名和數(shù)字簽名的內(nèi)涵并不一樣，數(shù)字簽名是電子簽名技術(shù)中的一種，不過兩者的關(guān)系也很密切，目前電子簽名法中提到的簽名，一般指的就是“數(shù)字簽名”。 1. 電子簽名 能夠在電子文件中識別雙方交易人的真實(shí)身份，保證交易的安全性和真實(shí)性以及不可抵懶性，起到與手寫簽名或者蓋章同等作用的簽名技術(shù)稱之為電子簽名。簽名有標(biāo)識簽名人和表示簽名人對文件內(nèi)容的認(rèn)可雙重功能。實(shí)現(xiàn)電子簽名的主要技術(shù)手段還是“數(shù)字簽名”技術(shù)。 2. 數(shù)字簽名

6、 所謂“數(shù)字簽名”就是通過某種密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章?！皵?shù)字簽名”是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。 本節(jié)詳細(xì)內(nèi)容參見書本P278279頁。,8.2 靜態(tài)文件加密EFS,在各種各樣的文件加密方式中，應(yīng)用最多的還是基于靜態(tài)文件的保護(hù)，防止非法用戶打開自己需要保護(hù)的文件。這時(shí)我們就可以選擇微軟在他的近期Windows版本中提供的EFS加密文件系統(tǒng)。它的功能非常強(qiáng)大，是一種最為理想的靜態(tài)文件加密保護(hù)措施。 8.2.1 EFS概述 加密文件系統(tǒng)（EFS）是Windows 2000、Windows XP

7、 Professional和Windows Server 2003的NTFS文件系統(tǒng)的一個(gè)組件（Windows XP Home版本不包含EFS功能） 。 加密文件系統(tǒng)（EFS）提供一種核心文件加密技術(shù)，該技術(shù)用于在NTFS文件系統(tǒng)卷上存儲已加密的文件。加密了文件或文件夾之后，您還可以像使用其他文件和文件夾一樣使用它們。加密對加密該文件的用戶自己是透明的（對其他用戶則不是），這表明不必在使用前手動(dòng)解密已加密的文件，您就可以正常打開和更改文件。,使用EFS類似于使用文件和文件夾上的權(quán)限。兩種方法都可用于限制數(shù)據(jù)的訪問，然而未經(jīng)許可對加密文件和文件夾進(jìn)行物理訪問的入侵者將無法閱讀這些文件和文件夾中

8、的內(nèi)容。如果入侵者試圖打開或復(fù)制已加密文件或文件夾，入侵者將收到拒絕訪問消息。文件和文件夾上的權(quán)限不能防止未授權(quán)的物理攻擊。 EFS采用高級的標(biāo)準(zhǔn)加密算法實(shí)現(xiàn)透明的文件加密和解密。任何不擁有合適密鑰的個(gè)人或者程序都不能讀取加密數(shù)據(jù)。即便是物理擁有駐留加密文件的計(jì)算機(jī)，加密文件仍然受到保護(hù)。甚至是有權(quán)訪問計(jì)算機(jī)及其文件系統(tǒng)的用戶，也無法讀取這些數(shù)據(jù)。還應(yīng)該采取其他防御策略，加密這種解決方法不是解決每種威脅的恰當(dāng)對策，加密只是其他防御策略之外的又一種有力措施。 然而，任何一種防御工具，如果不能正確使用，也會帶來潛在的危害。必須充分理解，妥善實(shí)施和有效管理EFS，確保用戶提供技術(shù)支持的經(jīng)驗(yàn)和希望保護(hù)

9、的數(shù)據(jù)不受到破壞。 本節(jié)詳細(xì)內(nèi)容參見書本P280頁。,8.2.2使用EFS加密文件時(shí)的注意事項(xiàng),在使用EFS加密文件和文件夾時(shí)，需注意以下事項(xiàng)： 只有NTFS卷上的文件或文件夾才能被加密。 EFS加密文件，如果在遠(yuǎn)程服務(wù)器的文件夾中保存或者打開過，則傳輸時(shí)就不再為加密狀態(tài)。 不能加密壓縮的文件或文件夾。如果用戶加密某個(gè)壓縮文件或文件夾，則該文件或文件夾將會被解壓。 如果將加密的文件復(fù)制或移動(dòng)到非NTFS格式的卷上，該文件將會被解密。 如果將非加密文件移動(dòng)到加密文件夾中，則這些文件將在新文件夾中自動(dòng)加密。然而，反向操作則不能自動(dòng)解密文件，文件必須明確解密。 無法加密標(biāo)記為“系統(tǒng)”屬性的文件，并

10、且位于systemroot目錄結(jié)構(gòu)中的文件也無法加密。 加密文件夾或文件不能防止刪除或列出文件或目錄。,在允許進(jìn)行遠(yuǎn)程加密的遠(yuǎn)程計(jì)算機(jī)上可以加密或解密文件及文件夾。然而，如果通過網(wǎng)絡(luò)打開已加密文件，通過此過程在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)并未加密。 EFS加密不是發(fā)生在應(yīng)用層，而是位于文件-系統(tǒng)層，因此對于用戶和應(yīng)用程序來說，加密和解密過程都是透明的。 文件加密使用對稱密鑰，該密鑰本身使用公鑰加密對的公鑰進(jìn)行加密。 EFS密鑰依靠用戶的密碼來保護(hù)。如果Windows XP或Windows Server 2003家族遠(yuǎn)程服務(wù)器上存儲加密文件，則請注意以下事項(xiàng)： Windows XP和Windows Serv

11、er 2003家族支持遠(yuǎn)程服務(wù)器上加密文件的存儲。 當(dāng)兩臺計(jì)算機(jī)都是同一Windows Server 2003家族林的成員時(shí)，用戶才能遠(yuǎn)程使用EFS。 加密的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)是不加密的，只有當(dāng)它存儲在磁盤上時(shí)才是加密的。 加密的文件不能從Macintosh客戶端訪問。 目前不支持在智能卡上存儲EFS證書和私鑰，也不支持對EFS私鑰進(jìn)行強(qiáng)私鑰保護(hù)。 管理員必須指定遠(yuǎn)程服務(wù)器為信任委派，用戶才能對遠(yuǎn)程服務(wù)器上的文件進(jìn)行加密。 本節(jié)詳細(xì)內(nèi)容參見書本P280P282頁。,8.2.3 EFS恢復(fù)的工作原理,您可以使用“加密文件系統(tǒng)（EFS）”安全地存儲數(shù)據(jù)。EFS通過在選定的NTFS文件系統(tǒng)文件和文件

12、夾中加密數(shù)據(jù)來達(dá)到這一目的。由于EFS與文件系統(tǒng)集成在一起，所以它易于管理、難以被攻擊而且對用戶完全透明。這對于保護(hù)易于盜竊的計(jì)算機(jī)（如便攜計(jì)算機(jī)）上的數(shù)據(jù)非常有用。 文件和文件夾不能在FAT卷上進(jìn)行加密和解密。同時(shí)，由于EFS是設(shè)計(jì)用來在本地計(jì)算機(jī)上安全地存儲數(shù)據(jù)。因此EFS不支持通過網(wǎng)絡(luò)安全傳輸文件。 如果用戶指定某文件進(jìn)行加密，那么對用戶來講實(shí)際的數(shù)據(jù)加密和解密過程是完全透明的。用戶并不需要理解這個(gè)過程。 文件的EFS具體加密過程參見書本P282P283頁。,8.3 使用EFS,本節(jié)要具體介紹利用EFS系統(tǒng)進(jìn)行文件加密，加密文件的解密，以及啟用用于文件加密的遠(yuǎn)程服務(wù)器的方法。本節(jié)及以下

13、各節(jié)配置均是在系統(tǒng)管理員帳戶中執(zhí)行的。如果是企業(yè)域網(wǎng)絡(luò)，除了系統(tǒng)管理員組（Administrators）外，還可以是Domain Admins組或Enterprise Admins成員。 【說明】8.3.1的“加密文件或文件夾”、8.3.2節(jié)的“解密文件或文件夾“和8.3.3節(jié)的“在資源管理器菜單中添加“加密”和“解密”選項(xiàng)”具體步驟參見書本P284P286頁。,8.3.4 復(fù)制加密的文件夾或文件,因?yàn)橹挥蠳TFS文件格式的磁盤分區(qū)文件和文件夾才可以加密，那么加密后的文件或文件夾在同卷，或不同卷；同格式，或者不同格式磁盤分區(qū)中移動(dòng)、復(fù)制、刪除、備份和還原操作對它的加密屬性又有什么影響呢？是否

14、會與NTFS文件的訪問權(quán)限一樣改變呢？本節(jié)就是答案，具體內(nèi)容參見書本P286P288頁。,8.4 數(shù)據(jù)恢復(fù)策略,當(dāng)雇員離開后需要恢復(fù)雇員加密的數(shù)據(jù)時(shí)或者當(dāng)用戶丟失私鑰時(shí)，數(shù)據(jù)恢復(fù)非常重要。作為系統(tǒng)整個(gè)安全策略的部分，通過加密文件系統(tǒng)（EFS）可使用數(shù)據(jù)恢復(fù)。例如，如果由于磁盤故障、火災(zāi)或任何其他原因永久丟失文件加密證書和相關(guān)私匙，指定為故障恢復(fù)代理的人員可以恢復(fù)數(shù)據(jù)。在商務(wù)環(huán)境中，當(dāng)雇員離開公司之后，公司可以恢復(fù)雇員加密的數(shù)據(jù)。 8.4.1 數(shù)據(jù)恢復(fù)策略概述 利用EFS加密數(shù)據(jù)的過程非常簡單，但是一旦密鑰丟失，數(shù)據(jù)恢復(fù)就非常困難。為了預(yù)防這類損失的發(fā)生，非常有必要預(yù)先做好各種防范工作，其中包

15、括：恢復(fù)策略的建立、恢復(fù)代理的配置、密鑰的備份等。 恢復(fù)策略是單位的安全策略之一，旨在規(guī)劃妥善恢復(fù)加密文件。本地安全策略的公鑰策略或者組策略的公鑰策略，也強(qiáng)制采用該策略。,EFS使用故障恢復(fù)策略（也稱“數(shù)據(jù)恢復(fù)策略”）提供內(nèi)置數(shù)據(jù)恢復(fù)?！肮收匣謴?fù)策略”是一種公鑰策略，可提供用于指定為故障恢復(fù)代理的一個(gè)或多個(gè)用戶帳戶。 故障恢復(fù)策略是為單獨(dú)的計(jì)算機(jī)在本地配置的。對于網(wǎng)絡(luò)中的計(jì)算機(jī)，可以在域、部門或單獨(dú)計(jì)算機(jī)級別上配置故障恢復(fù)策略，并將其應(yīng)用到策略可應(yīng)用的所有基于Windows XP和Windows Server 2003家族的計(jì)算機(jī)上。證書頒發(fā)機(jī)構(gòu)（CA）頒發(fā)故障恢復(fù)證書，您可以使用Micros

16、oft管理控制臺（MMC）中的“證書”來管理它們。 在域中，當(dāng)設(shè)置第一個(gè)域控制器時(shí)，Windows Server 2003家族執(zhí)行該域的默認(rèn)故障恢復(fù)策略，自行簽署的證書將頒發(fā)給域管理員。該證書將域管理員指定為故障恢復(fù)代理。要更改域的默認(rèn)故障恢復(fù)策略，須以管理員身份登錄到第一個(gè)域控制器，可以將其他故障恢復(fù)代理添加到本策略中，并且可以隨時(shí)刪除原始故障恢復(fù)代理。 本節(jié)詳細(xì)內(nèi)容參見書本P288頁。 【說明】8.4.2節(jié)的“更改本地計(jì)算機(jī)的故障恢復(fù)策略”和8.4.3節(jié)的“更改域的故障恢復(fù)策略”所涉及的具體配置方法參照書本P289P292頁。,8.5 數(shù)據(jù)恢復(fù)代理,數(shù)據(jù)恢復(fù)代理是指獲得授權(quán)解密由其他用戶

17、加密的數(shù)據(jù)的個(gè)人。數(shù)據(jù)恢復(fù)代理無需該角色的任何其他功能權(quán)限，可以是普通用戶。但在添加域數(shù)據(jù)恢復(fù)代理之前，必須確保每位數(shù)據(jù)恢復(fù)代理均獲得了X.509 v3證書。具體內(nèi)容參見書本P292P293頁。 8.5.1 EFS證書 EFS包括兩種類型的證書： 加密文件系統(tǒng)證書：此類證書允許其持有者使用EFS加密和解密數(shù)據(jù)，它通常也被直接稱為EFS證書。 文件恢復(fù)證書：此類證書的持有者可以在整個(gè)域或其他范圍內(nèi)對任何人加密的文件和文件夾進(jìn)行恢復(fù)。 本節(jié)詳細(xì)內(nèi)容參見書本P293頁。另外8.5.2節(jié)的“創(chuàng)建默認(rèn)的獨(dú)立計(jì)算機(jī)上的數(shù)據(jù)恢復(fù)代理”步驟參見書本P293P295頁。,8.5.3 添加其他恢復(fù)代理,要實(shí)現(xiàn)此目

18、的，您必須完成下列過程。 必須有企業(yè)證書頒發(fā)機(jī)構(gòu)（CA） 這部分的工作實(shí)際上就是針對“EFS故障恢復(fù)代理”證書模板的用戶權(quán)限配置，把相應(yīng)用戶添加到可以使用該模板注冊和自動(dòng)注冊權(quán)限之中。具體參見第七章7.3.2節(jié)介紹。 每個(gè)需要成為代理的用戶都必須申請一個(gè)文件恢復(fù)證書 證書的申請方法在第七章7.3.2和7.3.3節(jié)也有詳細(xì)介紹，不同的只是此所要申請的是“EFS故障恢復(fù)代理”證書，其它參見7.3.2節(jié)（向?qū)Х绞缴暾垼┗?.3.3節(jié)（網(wǎng)頁方式申請）。同樣用戶需要以自己的帳戶登錄網(wǎng)絡(luò)，由用戶自己申請，因?yàn)橛脩糇C書只能由用戶自己申請，其他人無法替代，包括系統(tǒng)管理員。 本節(jié)詳細(xì)內(nèi)容參見P295P296

19、頁。另8.5.4節(jié)的“啟用EFS文件共享”方法和8.6節(jié)具體內(nèi)容均參見書本P296P298頁。,8.7公鑰基礎(chǔ)結(jié)構(gòu)在文件傳輸和數(shù)字簽名方面的應(yīng)用,公鑰基礎(chǔ)結(jié)構(gòu)除了應(yīng)用在前面介紹的EFS文件加密外，還被廣泛應(yīng)用于網(wǎng)絡(luò)中的文件傳輸和郵件數(shù)字簽名。它利用的也是非對稱密鑰技術(shù)，就是一個(gè)用戶有兩個(gè)不同的密鑰，分別稱之為“公鑰”和“私鑰”。公鑰是可以任意被別人知道的，而私鑰卻只能永遠(yuǎn)由自己一人，只有用同一個(gè)用戶的兩個(gè)密鑰正確配合才能打開加密后的文件。文件加密和郵件的數(shù)字簽名用的就是這兩個(gè)密鑰的不同應(yīng)用。 在公鑰基礎(chǔ)結(jié)構(gòu)中，最關(guān)鍵的就是公、私鑰密鑰對的獲取，其實(shí)就是證書的發(fā)證機(jī)構(gòu)，不同的不同機(jī)構(gòu)頒發(fā)的證書公

20、信效力不一樣，也就決定了有不同的主要應(yīng)用領(lǐng)域。如利用自己的Windows系統(tǒng)頒發(fā)的密鑰證書，則主要應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶之間，因?yàn)樗淖C書頒發(fā)機(jī)構(gòu)就是企業(yè)自己，對其他非本單位用戶來說缺乏必要的公信力。,8.7.1 動(dòng)態(tài)文件加密原理,文件加密的目的就是在于保護(hù)文件不被非法用戶打開，防止別人查看文件內(nèi)容?，F(xiàn)在網(wǎng)絡(luò)還存在許多不安全因素，在我們發(fā)送電子郵件或進(jìn)行文件傳輸時(shí)或許有很多人在別處密切監(jiān)視著我們，特別是對一些著名的大公司。怎樣實(shí)現(xiàn)安全傳輸呢？公鑰基礎(chǔ)結(jié)構(gòu)就是應(yīng)用最廣的一種安全技術(shù)。 首先要清楚公鑰基礎(chǔ)結(jié)構(gòu)中的兩個(gè)密鑰在文件加密中是如何應(yīng)用的。其實(shí)很簡單，就是發(fā)送文件的用戶（假如為A）先用接收文

21、件方用戶（假如為B）的公鑰加密文件，然后發(fā)給接收方用戶B。B在收到A發(fā)來的用自己公鑰加密的文件后，再用自己的私鑰即可打開文件。 有關(guān)公鑰基礎(chǔ)結(jié)構(gòu)中公鑰與私鑰在文件加密和解密過程的具體應(yīng)用，在書本P299頁中有一個(gè)具體的示例，參見即可。,8.7.2 數(shù)字簽名原理,數(shù)字簽名主要是為了證明發(fā)件人身份，就象我們來看到的某文件簽名一樣。在上一節(jié)我們介紹了在文件傳輸和郵件發(fā)送中利用文件加密方式來阻止非法用戶打開的原理，其實(shí)僅用了文件加密方式還不足以保證郵件傳輸?shù)恼嬲踩驗(yàn)猷]件內(nèi)容還可能被非法用戶替換，盡管這些非法用戶不能查看原郵件中的真正內(nèi)容。這就涉及到如何確保自己收到的郵件就是自己希望的用戶發(fā)來的問

22、題了，此時(shí)就需要用到數(shù)字簽名技術(shù)。但是在郵件傳輸中，通常又不是單獨(dú)使用文件加密或者數(shù)字簽名，而是一起結(jié)合起來使用，它們兩者一起作用就可取到非常好的安全保護(hù)了。 具體的數(shù)字簽名原理參見書本P300頁。另8.7.3節(jié)的“加密密鑰對的獲取”方法和整個(gè)8.8節(jié)的“PGP動(dòng)態(tài)文件加密和數(shù)字簽名”方法均參見書本P300P316頁。,8.9 電子簽章,前面介紹的“數(shù)字簽名“與本節(jié)要介紹的“電子簽章”雖然作用幾乎一樣，但實(shí)施的方法不完全一樣。在數(shù)字簽名中并不一真正的用戶簽名，而是通過用戶證書中的私鑰來保證的；而此處的“電子簽章”則是實(shí)實(shí)在在的印章或者簽名，就像我們平常蓋章或者簽名一樣。 8.9.1 iSign

23、ature簽章系統(tǒng)簡介 江西金格據(jù)科技公司的iSignature 手寫簽名電子印章控件系統(tǒng)就是比較著名的代表，另外還如iTrusChina（天威誠信）公司代理的VeriSign公用數(shù)字證書應(yīng)用也非常廣。 iSignature 手寫簽名電子印章系統(tǒng)由簽章鑰匙盤和軟件構(gòu)成，簽章鑰匙盤自帶CPU、快速存儲器和加密處理機(jī)制，用于存放單位或個(gè)人數(shù)字證書、印章信息或簽名信息。 iSignature電子簽章系統(tǒng)具有的特點(diǎn)參見書本P318319頁。,8.9.2 iSignature主要功能,iSignature主要功能如下： 文檔簽章功能 手寫簽名功能 簽章驗(yàn)證功能 支持第三方數(shù)字證書 支持雙證書功能 撤消簽

24、章功能 證書查看功能 移動(dòng)簽章功能 禁止簽章移動(dòng)功能 文檔保護(hù)功能 文檔解鎖功能 讀取服務(wù)器時(shí)間功能 提供相應(yīng)二次開發(fā)數(shù)據(jù)接口本節(jié)具體內(nèi)容參見書本P319P320頁。,8.9.3 數(shù)字證書簡介,數(shù)字證書又稱為數(shù)字標(biāo)識（Digital Certificate，Digital ID）。它提供了一種在Internet上進(jìn)行身份驗(yàn)證的方式，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。在網(wǎng)上進(jìn)行電子商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進(jìn)行有關(guān)的交易操作。通俗地講，數(shù)字證書就是個(gè)人或單位在Internet的身份證。數(shù)字證書主要包括三方面的內(nèi)容：證書所有者的信息、證書所

25、有者的公開密鑰和證書頒發(fā)機(jī)構(gòu)的簽名。 數(shù)字身份認(rèn)證是基于國際PKI標(biāo)準(zhǔn)的網(wǎng)上身份認(rèn)證系統(tǒng)，數(shù)字證書相當(dāng)于網(wǎng)上的身份證，它以數(shù)字簽名的方式通過第三方權(quán)威認(rèn)證有效地進(jìn)行網(wǎng)上身份認(rèn)證，幫助各個(gè)實(shí)體識別對方身份和表明自身的身份，具有真實(shí)性和防抵賴功能。與物理身份證不同的是，數(shù)字證書還具有安全、保密、防篡改的特性，可對企業(yè)網(wǎng)上傳輸?shù)男畔⑦M(jìn)行有效保護(hù)和安全的傳遞。,一個(gè)標(biāo)準(zhǔn)的X.509 數(shù)字證書包含（但不限于）以下內(nèi)容： 證書的版本信息； 證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號； 證書所使用的簽名算法； 證書的發(fā)行機(jī)構(gòu)名稱（命名規(guī)則一般采用X.500 格式）及其私鑰的簽名；證書的有效期； 證書使

26、用者的名稱及其公鑰的信息。 在使用數(shù)字證書的過程中應(yīng)用公開密鑰加密技術(shù)，建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)： 除發(fā)送方和接收方外信息不被其他人竊??； 信息在傳輸過程中不被篡改； 接收方能夠通過數(shù)字證書來確認(rèn)發(fā)送方的身份； 發(fā)送方對于自己發(fā)送的信息不能抵賴。 【說明】8.9.4 節(jié)的“個(gè)人數(shù)字證書申請”和 8.9.5節(jié)的“iSignature簽章系統(tǒng)使用”方法參見書本P321P329頁介紹。,8.9.6 天威誠信安證通簡介,安證通（OnSite）是天威誠信公司提供的一種企業(yè)信息安全解決方案，她是一種完善的PKI解決方案。她主要解決了在企業(yè)進(jìn)行電子商務(wù)過程中的身份認(rèn)證、信息機(jī)密性、信息完整性和信息的不可抵賴性這四種進(jìn)行電子商務(wù)活動(dòng)時(shí)遇到的最核心安全障礙。除此以外還提供了一系列針對企業(yè)的不同應(yīng)用相應(yīng)的解決方案來解決類如：電子郵件系統(tǒng)、Lotus Notes、Microsoft Exchange、VPN等安全問題。 根據(jù)不同的企業(yè)用戶以及企業(yè)的不同應(yīng)用，安證通解決方案可以分為：公用安證通解決方案、專用安證通解決方案和Web服務(wù)器安證通解決方案，企業(yè)可以根據(jù)自身需求采用一種或多種解決方案來滿足他們自身的需要。 本節(jié)詳細(xì)內(nèi)容參見書本P329P331頁。,