Symbian系统证书、权限、签名介绍
资深玩家都知道以往的S60第一版、第二版系统手机(如QD、N70)具有很强的开放性,任何软件都具有完全的系统权限,能够随意读取、修改和删除系统文件。这种高度开放的操作系统面对日益严峻的个人信息安全问题显得力不从心。“证书”是Symbian9.1 S60v3.0操作系统开始引入的一种系统安全保护机制。“证书机制”是诺基亚为了解决智能手机数据安全而推出的一个有效的解决方案。从3250、N73开始,“证书机制”全面部署到诺基亚推出的每一部智能手机。
但对于刚接触Symbian智能手机的用户来说,证书、权限和签名就属于“高深”的东西了,很多人不明白到底应该怎么做,甚至有的朋友认为这个很麻烦,很难搞明白。其实,Symbian的证书、权限和签名并没有想想中的那么恐怖,现在就随着小编的脚步来学习吧,聪明的你一定可以搞明白的!
1. 什么是证书?
S60手机的证书可以这样理解:软件进入(安装)手机的通行证。S60 第三版系统在安全性上做了较大修改,对在系统中安装运行的第三方软件有更严格的规定。有些软件运行时需要的权限涉及手机软硬件安全/个人信息安全等方面的操作,S60第三版系统对这些权限是有限制的(如:随开机动启动就是被限制的功能之一)。
2. “证书”要放哪里?
这里要澄清一些误区:证书的使用不能用我们通常的“安装”软件来理解,也不是要放到某一个文件夹下的,更不是要导入到手机里的(当然,破解手机系统权限所提到的导入根证书与这个还是有区别的,有兴趣的同学可以百度搜索一下)。证书是给软件颁发“通行证”用的。自己的证书要好好保管,不要弄丢了,存储在电脑或者U盘中,可以备用,需要给软件签名的时候就需要证书。
3. 证书如何用?
证书必须通过专门的程序(签名工具)打包到软件中的,证书的作用就是赋予程序安装到手机中所需的权限。
4. 什么是签名?
“签名”,就是将证书的一个副本打包到需要获得权限的程序中的一个过程。简言之,S60第三版系统引入证书机制是为了针对系统的安全性所采用的一种措施。证书的作用主要是两点:
(1)证明软件的合法性(从而获得安装到手机中的“通行证”)
(2)使软件获得运行所需的权限
5. 什么是权限?
首先,S60手机证书可以理解为“软件进入(安装)手机的通行证。”而权限则是这张“通行证”的使用范围。形象比喻,17权限的通行证可以进入17个特定的区域,19权限同理。塞班的证书系统共有20个权限,它们分别是:
(1)NetworkServices:用于使用移动网络
(2)LocalServices:用于通过USB、红外和蓝牙发送或接收消息
(3)ReadUserData:准许读取用户数据
(4)WriteUserData:准许写入用户数据
(5)Location:准许访问手机的位置信息
(6)UserEnvironment:准许访问用户及其附近环境的实时保密信息
(7)PowerMgmt:准许在系统中中断任何进程或者转换机器状态
(8)SwEvent:准许生成或者捕获键盘以及笔输入事件
(9)ReadDeviceData:准许读取系统设备驱动数据
(10)WriteDeviceData:准许写入系统设备驱动数据
(11)SurroundingsDD:准许访问提供外围设备输入信息的逻辑设备驱动
(12)TustedUI:区分”normal”应用和”trusted”应用的UI
(13)ProtServ:准许服务器应用可以用一个受保护的名字进行注册
(14)NetworkControl:准许修改或者访问网络协议控制
(15)MultimediaDD:准许对所有多媒体设备驱动的访问
(16)CommDD:准许访问通信设备驱动
(17)DiskAdmin:准许进行硬盘管理操作,例如格式化驱动器
(18)DRM:准许访问DRM保护的内容
(19)TCB:准许在终端中访问/sys以及/resource目录
(20)AllFiles:准许系统中的所有文件可见,可对在/private下的文件进行写操作
20项权限代表了程序能调用的所有系统权限。不同类型的程序需要不同的权限以执行相应的功能,例如浏览器程序拥有:NetworkServices,ReadUserData,WriteUserData等权限。基于证书机制,未签名程序不再拥有完整的系统权限,有效的杜绝了病毒、恶意程序窃取和传播个人信息。当然并不是说有了证书权限系统用户的个人信息就万无一失了,笔者建议用户不要随意安装不知名的程序,更不要给陌生软件签证,否则赋予了权限就如同给病毒敞开了大门。
塞班公司根据不同用户发放了多种不同权限的证书。其中常见的个人开发证书具有20项权限中的前13项,这种证书俗称低权限证书,早期从SymbianSigned网站申请获得。另外一种PublisherID(开发者用户)证书是目前最常见的证书,这种证书由Symbiansigned
发布,具有法人代表的公司才能够申请。国内玩家通常申请到的就是这种证书,具有20项权限中的前17项。聪明的读者或许已经知道17权限和19权限的区别了,通俗的说19权限的输入法拥有更多的权限,表现为19权限的输入法能够在系统中的绝大部分需要文字录入的区域中被调用。而17权限的输入法由于权限不足,在某些区域不能使用,在这些地方,只能使用自带的输入法。简单的说19权限证书比17权限证书拥有更多能力,能够赋予程序更丰富的功能。
6. 如何获得证书?
塞班智能手机网为用户提供了免费的证书申请平台,大家可以访问https://www.doczj.com/doc/801079498.html,/提交手机IMEI来免费申请证书。
7. 拿到证书后应该如何签名?
拿到我们申请的证书后,先下载签名工具(点击下载),下载后在PC上解压,会得到以下文件。
双击运行“DOSPY签名工具”会出现以下画面,然后随便在键盘上按个键即可。
出现上图画面时,按任意键会出现一个“使用说明-记事本”的文档,然后关掉文档。接下来就是要导入证书。对着证书右击,选择“导入证书(替换)”。
导入证书以后会出现下面画面,只需要在键盘上随便敲一个键即可。
接下来就是要给软件签名了。只需要对着你要安装到手机的软件鼠标右击选择“签名此文件”即可,只能签名.sis和.sisx的文件,其他的都不行(sis软件指的是你要安装到手机上的软件,比如来电通或者A4之类的软件,是要自己去下载的)。
签名完以后会自动生成一个“已签名”的文件夹。
然后通过数据线或者蓝牙再或者内存卡,反正不管你用什么方法,只要把文件夹内的已经签名文件拷贝到手机上的(Others)文件夹内即可,然后再到手机上的菜单--工具--文件管理--其他即(Others)文件夹内找到你刚拷贝进来的文件安装即可。手机上安装软件的时候请注意手机的时间,以免出现证书尚未生效的问题。
关于安装软件出现“安全警告:此应用程序仅供开发之用。继续安装可能会导致您的设备出现严重问题。”此为免责任说明而已,要安装选择“继续”即可。
签名视频教程:点击下载,如果无法下载请点击此处注册塞班会员。
企业财务系统的CA身份认证和电子签名解决方案 1、用户需求: 总结用户需求如下: ●财务系统需要提升安全级别。财务系统的基本情况如下: ?财务系统的系统结构、操作系统、开发语言等(略) ?三种主要应用功能:预算申请、审批、修正;费用的申报;对财务系统查阅。 ●需要解决单纯的用户名/密码登录的脆弱性问题,确保登录财务系统的身 份的真实性。 ●需要对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的 应用需求。 2、解决方案 具体设计方案如下: ●建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。 具体建设方案如下: ?证书服务器负责证书的日常管理。 ?管理终端完成证书的申请和发放工作。 ?为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性。 ?用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K。 用于私钥存储,确保私钥的安全。 ?采用SQL数据库,用于证书服务器生成证书和CRL的存储 ●建设数字签名中间件,对用户在财务系统中的操作实现数字签名,实现 抗抵赖的功能。具体建设方案如下: ?将数字签名服务器与应用服务器共同部署; ?在IE中部署签名插件; ?用户的操作需要用私钥进行签名; ?服务器端对用户的签名数据进行验签;
?应用数据和签名数据进行分别的存储。 具体部署的拓扑图如下(略) 3、用户收益 采用本方案后用户收益如下: ●通过强身份认证手段的采用,确保所有登录财务系统用户的身份的真实 性 对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的应用需求。 ---------------------------------------------------------------------------------------------------------------------- 北京安软天地科技有限公司 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
第四章 短签名和基于身份的签名 ( 2 学时) 【讲授内容】 1. 双线性对 2. 短签名 3. 基于身份的签名 4.1 双线性对(pairing ) 为什么能够签名长度短?就是利用了双线性对的原因。(现在是一种趋势。) 假设21,G G 是两个群,阶数都是素数q 。1G 为加法群,2G 为乘法群。P 是1G 的任一生成元,aP 就是a 个P 相加。假设离散对数问题在21,G G 都是困难的。满足以下条件的映射211:G G G e →?叫做双线性映射(bilinear map ) (1) 双线性性:*∈∈=q ab Z b a and G Q P all for Q P e bQ aP e ,,,),(),(1 (2) 非退化性:如果P 是1G 的生成元,则),(P P e 是2G 的生成元,也即1),(≠P P e (3) 可计算性:容易计算1,), ,(G Q P all for Q P e ∈。 Bilinear map 也叫做Pairing 。椭圆曲线上或超椭圆曲线上的Weil 对和Tate 对可作为pairing 使用。(椭圆曲线上加群的离散对数问题,可构造数字签名。) 而基于椭圆曲线上的加法群的离散对数问题建立的方案,具有长度短,安全性高的优点。现在再结合双线性对的特性,可使方案具有长度短和证明简便的结合的优点。 计算DH (CDH )问题:给出一个随机生成元g 和随机元素G h h ∈21,,计算))(log (log 21h h g g g , 也即如果y x g h g h ==21,,计算输出xy g 。如果这是困难的,就说CDH 假设在G 成立。 对应于加法群: 1G 上的DDH (Decisional Diffie-Hellman )问题:给出*∈q Z c b a cP bP aP P ,,),,,,(,判断ab c =。这一问题可以在多项式时间解决(验证),(),(cP P e bP aP e =)。 习惯写法:),(),(),,,(B A e Q P e B Q P A V DDH =→ 1G 上CDH (Computational Diffie-Hellman )问题:给出*∈q Z b a bP aP P ,),,,(,计算 abP 。 Gap Diffie-Hellman group (GDH ):计算DDH 容易,计算CDH 困难。Pairing 的原象域domain 就是GDH 群的例子。
数字签名及安全电子邮件 一、背景知识 使用个人证书,在电子邮件中至少有以下功能。 保密性:你可以使用收件人的数字证书对电子邮件进行加密。这样,只有收件人的私钥才能解密这封邮件,即使第三方截获邮件,由于没有收件人的私钥,也无法阅读该邮件。当然,要发送加密电子邮件,必须先拥有对方的数字证书。 认证身份:你可以使用你本人的数字证书对电子邮件进行数字签名,这样,收件人通过验证签名就可以确定你的身份,而不是他人冒充的。 完整性:如果验证数字签名有效,收件人不仅可以认证你的身份,还可以确信收到的邮件在传递的过程中没有被篡改。 不可否认性:数字签名要使用你本人数字证书中的私钥,而私钥仅你个人所有,所以,你不能对发送过的签名邮件进行否认。 1、电子邮件的重要性 由于越来越多的人通过电子邮件发送机密信息,因此确保电子邮件中发送的文档不是伪造的变得日趋重要。同时保证所发送的邮件不被除收件人以外的其他人截取和偷阅也同样重要。 通过使用 Outlook Express 和 Foxmail,可以在电子事务中证明身份,就象兑付支票时要出示有效证件一样。也可以使用数字证书来加密邮件以保护邮件的保密性。数字证书结合了 S/MIME 规范来确保电子邮件的安全。 2、对电子邮件进行数字签名 对电子邮件进行数字签名,能够确保电子邮件中发送的文档不是伪造的,即收件人能够确信该邮件来自于其声称的发件人,同时邮件从发件人的机器传达到接收人的机器没有经过任何改动。 当发件人在待发邮件中添加数字签名时,发件人就在邮件中加入了数字签名和自己的数字证书。邮件的接收方接收到该邮件后,首先判断发件人的证书是否有效(该证书是否是可信任的CA签发的,该证书是否在有效期内,该证书是否已经被撤销),如果证书有效,从发件人的证书中提取公钥信息,来验证邮件的数字签名是否有效。 3、对电子邮件进行加密 对电子邮件进行加密(使用接收人的数字证书中的公钥进行加密)可以保证所发送的邮件不被除收件人以外的其他人截取和偷阅。 当发件人对邮件进行加密时,使用接收人的数字证书中的公钥对邮件进行加密。邮件的接收方接收到该邮件后,使用自己的私钥对邮件进行解密,可以得到邮件的明文。因为使用公钥加密的数据,只有对应的私钥才可以解密,而对一封加密邮件来说,只有接收人才具有对应的私钥,也就是只有接收人才可以对邮件解密得到邮件的明文。其他任何人截获了该邮件都是无法识别的乱码。有效的保证了邮件内容的保密性。 4、电子邮件证书使用的简易性 如果接收到有问题的安全邮件,例如邮件已被篡改或发件人的数字证书已过期,则在被允许阅读邮件内容前,会看到一条安全警告,它详细说明了问题所在。根据警告中的信息,接收人可以决定是否查看邮件。 以上所述的签名和加密邮件的过程都是由邮件客户端程序(如Microsoft Outlook,Foxmail、Netscape Messager等)来完成。对于邮件的发送人来说,就是在邮件发送之前,简单的点击“签名”和“加密”按钮就可以了;对于邮件的接收人来说,邮件接收到后,邮件客户端程序更能够自动对签名邮件进行验证,对加密邮件进行解密,并将验证和解密结果
数字证书和数字签名的关系 什么是数字证书? 由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。 数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。 数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。 目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、W AP证书、代码签名证书和表单签名证书。 随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。 什么是数字签名?数字签名与电子签名是不是一回事? 电子签名和数字签名的内涵并不一样,数字签名是电子签名技术中的一种,不过两者的关系也很密切,目前电子签名法中提到的签名,一般指的就是"数字签名"。
数字签名技术的认证和分类 摘要随着计算机网络的迅速发展,人们经常利用网络进行信息的传递和文件的传输,这种传递的方式非常方便,因此很多商家开始在Internet中进行电子交易,为了保证交易的安全性数字签名因此诞生。 关键词数字签名;密码学;认证技术 现代密码学有很多组成部分,数字签名就是其中非常重要的一部分。数字签名也是公钥密码学的重要应用之一,其研究的方向有信息论、概率论、数论等多方面的内容。数字签名与手写签名相类似,它能够帮助验证签名者是否是消息的发出者;另一方面,数字签名被接收者保存下来,一旦出现争执的情况时,数字签名可以作为证据交给第三方(例如法院),由第三方验证此签名的合法性。 因此,使用数字签名可以避免产生以下四类问题: 1)否认。发送方或接收方在事后否认已经发送或接收过此份文件; 2)伪造。接收方自己或让他人帮助伪造出一份来自发送方的文件; 3)篡改。接收方对从发送方接到的文件内容进行全部或部分篡改; 4)冒充。在计算机网络中,某一用户冒充他人成为接收方或发送方。 数字签名是一种认证技术,它可以认证下面的内容: 1)实体认证。采取一定的鉴别协议来验证是否在正确的接收方和发送方之间进行信息通信; 2)身份认证。用户身份认证的目的是防止非法的用户访问该数据,采用数字签名技术进行身份认证在很大程序上提高了控制的力度; 3)报文认证。确认用户双方无误之后,就可以开始报文通信了。为了验证传送数据是否真实,可以采用数字签名对对数据进行验证。例如验证传送数据的时间、来源地、目的地等的真实性。 我们在日常生活中经常需要签名,例如在银行进行存款和取款时需要签名;在商业活动中需要在契约和合同上签名。在互联网上进行网上交易时需要进行数字签名。这种手写签名和数字签名的主要区别在于:手写签名因人而异,每个人都会因为书写习惯不同或常用字体不同而拥有不同的签名;数字签名是由0 和1 组成的字符串,消息内容不同则数字签名结果也不同。它们之间的主要区别在于:
关于电子签名和认证的法律问题研究 摘要:在传统交易活动中,“签字盖章”是许多法律的基本要求。但随着网络技术的日新月异,电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分,其中的法律问题阻碍了电子交易的进行,也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。 关键词:电子签名,认证,电子商务,电子合同,法律问题 在传统交易中,人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时,亲笔签名也是许多法律的要求。例如,我国《合同法》第32条规定:“当事人采用合同书形式订立合同的,自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定:“票据出票人制作票据,应当按照法定条件在票据上签章,并按照所记载的事项承担票据责任。持票人行使票据权利,应当按照法定程序在票据上签章,并出示票据。”然而,在电子商务环境下,由于合同当事人可能相隔千里,甚至在整个交易过程中并不谋面,这就使传统的亲笔签名方式就很难运用于电子交易。但是,传统的亲笔签名方式所具有的功能,特别是它所具有的证明合同的真实性和完整性的功能,对一直为网络安全问题所困扰的电子商务仍然具有重要的价值。所以,签名的要求在电子商务环境下不仅不应被放弃,反而应该得到强化和更有力的保障。当然,这里所说的签名已经不再是传统的亲笔签名,而是电子签名(Electronic Signature)。 新加坡1998年颁布的《电子交易法》(Singapore Electronic Transactions
Act 1998,SETA)对电子签名和数字签名作了相关规定。它将电子签名定义为:“以数字形式所附或在逻辑上与电子记录有联系的任何字母,文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录”;将数字签名(Digital Signature)定义为:“通过使用非对称加密系统和哈希函数(Hushing Function)来变换电子记录的一种电子签名”。可见,数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则(草案)》(Draft Uniform Rule On Electronic Signature)第1条的规定:“‘电子签名’,是指以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,并且它(可以)用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可”。笔者认为这一定义颇值得我国立法的借鉴。 电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改,以及解决事后发件人否认已经发送或者是收到资料等问题。[1]电子签名是法律上一个重要的创新概念,它作为电子认证技术在法律上的总括,得到了许多国家的认可。目前,国际上通用的电子签名主要有以下三种模式: 一、智能卡模式。智能卡是安装了嵌入式微型控制器芯片的IC卡,内储有关自己的数字信息。使用者在使用智能卡时只要在计算机的扫描器上一扫,然后键入自己设定的密码即成。 二、密码模式。使用者可以自己设定一个密码,该密码由数字或字符组合而成。有的单位还提供硬件,让使用者用电子笔在电子板上签名
数字签名及安全电子邮件详细步骤
数字签名及安全电子邮件 一、背景知识 使用个人证书,在电子邮件中至少有以下功能。 保密性:你可以使用收件人的数字证书对电子邮件进行加密。这样,只有收件人的私钥才能解密这封邮件,即使第三方截获邮件,由于没有收件人的私钥,也无法阅读该邮件。当然,要发送加密电子邮件,必须先拥有对方的数字证书。 认证身份:你可以使用你本人的数字证书对电子邮件进行数字签名,这样,收件人通过验证签名就可以确定你的身份,而不是他人冒充的。 完整性:如果验证数字签名有效,收件人不仅可以认证你的身份,还可以确信收到的邮件在传递的过程中没有被篡改。 不可否认性:数字签名要使用你本人数字证书中的私钥,而私钥仅你个人所有,所以,你不能对发送过的签名邮件进行否认。 1、电子邮件的重要性 由于越来越多的人通过电子邮件发送机密信息,因此确保电子邮件中发送的文档不是伪
造的变得日趋重要。同时保证所发送的邮件不被除收件人以外的其他人截取和偷阅也同样重要。 通过使用 Outlook Express 和 Foxmail,可以在电子事务中证明身份,就象兑付支票时要出示有效证件一样。也可以使用数字证书来加密邮件以保护邮件的保密性。数字证书结合了S/MIME 规范来确保电子邮件的安全。 2、对电子邮件进行数字签名 对电子邮件进行数字签名,能够确保电子邮件中发送的文档不是伪造的,即收件人能够确信该邮件来自于其声称的发件人,同时邮件从发件人的机器传达到接收人的机器没有经过任何改动。 当发件人在待发邮件中添加数字签名时,发件人就在邮件中加入了数字签名和自己的数字证书。邮件的接收方接收到该邮件后,首先判断发件人的证书是否有效(该证书是否是可信任的CA签发的,该证书是否在有效期内,该证书是否已经被撤销),如果证书有效,从发件人的证书中提取公钥信息,来验证邮件的数字签名是否有效。 3、对电子邮件进行加密
CA数字签名认证系统技术方案 1. 系统需求 1.1 背景概述 随着计算机网络技术的迅速发展和信息化建设的大力推广,越来越多的传统办公和业务处理模式开始走向电子化和网络化,从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比,基于网络的电子化业务处理系统必须解决以下问题: (1)如何在网络上识别用户的真实身份; (2)如何保证网络上传送的业务数据不被篡改; (3)如何保证网络上传送的业务数据的机密性; (4)如何使网络上的用户行为不可否认; 基于公开密钥算法的数字签名技术和加密技术,为解决上述问题提供了理论依据和技术可行性;同时,《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据,使得数字签名与传统的手工签字和盖章具有了同等的法律效力。 PKI(Public Key Infrastructure)是使用公开密钥密码技术来提供和实施安全服务的基础设施,其中CA(Certificate Authority)系统是PKI体系的核心,主要实现数字证书的发放和密钥管理等功能。 数字证书由权威公正的CA中心签发,是网络用户的身份证明。使用数字证书,结合数字签名、数字信封等密码技术,可以实现对网上用户的身份认证,保障网上信息传送的真实性、完整性、保密性和不可否认性。
数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。 1.2 现状与需求概述 现状描述。。。。。。 基于上述现状,******系统需要解决数据的签名问题和法律效力问题,从而提高*****的便捷性和管理效率。鉴于数字证书、数字签名的广泛应用和相关法律的保障,****单位规划建设CA及数字签名认证系统,主要需求如下: (1)建设CA系统或采用第三方CA,为****用户申请数字证书; (2)在现有*****系统中加入对数据的签名功能,存储数据签名并提供对签名的认证功能; 1.3 需求分析 为了解决网上用户的身份证明问题,需要为用户颁发数字证书。数字证书由CA中心签发,目前在实际应用中主要存在两种类型的CA: (1)独立的第三方CA 跨区域的CA,如:中国电信的CTCA、中国人民银行的CFCA; 地域性的CA,如:广东电子商务认证中心CNCA、上海电子商务认证中心SHECA,以及其他各省电子商务认证中心; (2)各类应用系统自己建设的CA 如:招商银行、建设银行等建设的用于服务各自网上银行的CA;海关、税务等建设的服务各自网上报税系统的CA; 这两种类型的CA在实际使用过程中各有优劣,以下将进行分析和比较:
认证和数字签名技术 前言 Internet的迅猛发展使电子商务成为商务活动的新模式。电子商务包括管理信息MIS、电子数据交换EDI、电子订货系统EOS、商业增值网VAN等,其中EDI 成为电子商务的核心部分,是一项涉及多个环节的复杂的人机工程,网络的开放性与共享性也导致了网络的安全性受到严重影响。如何保证网上传输的数据的安全和交易对方的身份确认是电子商务是否得到推广的关键,可以说电子商务最关键的问题是安全问题,而数字签名(Digital Signatures)又是电子商务安全性的重要部分。 一、数字签名技术 1、数字签名的概念 数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成系统上手书签名盖章的作用,以表示确认,负责,经手等。 数字签名(也称数字签字)是实现认证的重要工具,在电子商务系统中是不可缺少的。 保证传递文件的机密性应使用加密技术,保证其完整性应使用信 息摘要技术,而保证认证性和不可否认性应使用数字签名技术。
2、数字签名的原理 其详细过程如下: (1)发方A将原文消息M进行哈希(hash)运算,得一哈希值即消息摘要h(M);(2)发方A用自己的私钥K1,采用非对称RSA算法,对消息摘要h(M)进行加密[E h(M)],即得数字签名DS; (3)发方A把数字签名作为消息M的附件和消息M 一起发给收方B; (4)收方B把接收到的原始消息分成M’和[E h(M)]; (5)收方B从M中计算出散列值h(M’); (6)收方B再用发方A的双钥密码体制的公钥K2解密数字签名DS得消息摘要 h(M); (7)将两个消息摘要h(M’)=h(M)进行比较,验证原文是否被修改。如果 二者相等,说明数据没有被篡改,是保密传输的,签名是真实的;否则拒绝该签名。 这样就作到了敏感信息在数字签名的传输中不被篡改,未经认证和授权的人,看不见原数据,起到了在数字签名传输中对敏感数据的保密作用。 3、数字签名的要求 数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同,
第26卷第2期西南民族学院学报?自然科学版 JoumalofSouthwestNationalitiesCollege?NaturalScienceEdition 文章编号:1003—2843C2000)02.0213.04 数字加密与数字证书 帅青红1,缪春池1,付强2 t1西南财经太学经井信息系.成都610074;2西南民族学院靳理系,成都61004摘要:介绍了数字加密技术、数字签名技术和数字证书,这样就可以保证电子商务中数字信息传输的真实性、完整性和不可否认性 关键词:数字加密;数字签名;数字证书 中图分类号:TP39308文献标识码:A l单钥加密与双钥加密 单钥密码体制,又称对称密码体制:是指加密密钥和解密密钥为同一密钥的密码体制因此,信息的发送者和信息的接收者在进行信息的传输与处理时,必须共同持有该密码(称为对称密码) 在对称密钥码体制中,加密运算与解密运算使用同样的密钥.通常,使用的加密算法比较简便高教,密钥简短,破泽极其困难(典型的有DES,DataEncryptionStandard)但是,在公开的计算机网络上安全地传输和保管密钥是一个严峻的问题1976年,Diffie和Hellman为解决密钥管理问题,在他们的奠基性的工作“密码学的新方向”一文中,提出一种密钥交换协}义,允许在不安全的媒体上通讯双方交换信息,安全地达成一致的密钥在此新思想的基础上,很快出现了“不对称密钥密码体制”,即“公开密钥密码体制”,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,前者称为“公开密钥”(apublic—key)或简称“公钥”(PK),后者称为“秘密密钥”(aprivate—key)或简称“私钥”(SK)双钥密码体制,又称公钥密码体制:是指加密密钥和解密密钥为两个不同密钥的密码体制公钥密码体制不同于单钥密码体制,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密通信这两个密钥之间存在着相互依存关系:即用其中任一个密钥加密的信息只能用另一个密钥进行解密若以公钥作为加密密钥,以用户专用密钥(私钥)作为解密密钥,则可实现多个用户加密的信息只能由一个用户解读;反之,以用户私钥作为加密密钥而以公钥作为解密密钥,则可实现由一个用户加密的信息而多个用户解读前者可用于数字加密,后者可用于数字签名RSA公钥密码体制是一种公认十分安全的公钥密码体制它的命名取自三个创始人:Rivest,Shamir和AdelmanRsA公钥密码体制是目前网络P进行保密通信和数字签名的最有效的安全算法 在通过网络传输信息时,公钥密码体制体现出了单密钥加密体制不可替代的优越性对于参加电子交易的商户来说,希望通过公开网络与成千上万的客户进行交易若使用对称密码, 收藕13期:2000.03—23 万方数据 作者简介:帅肯红(1966),男,博士,西南财经大学经济信息系讲师
PKI 体系、数字签名和数字证书 PKI 体系 PKI (Public Key Infrastructure)体系不代表某一种技术,而是综合多种密码学手段来实现安全可靠传递消息和身份确认的一个框架和规范。 一般情况下,包括如下组件: CA(Certification Authority):负责证书的颁发和作废,接收来自RA 的请求; RA(Registration Authority):对用户身份进行验证,校验数据合法性,负责登记,审核过了就发给CA; 证书数据库:存放证书,一般采用LDAP 目录服务,标准格式采用X.500 系列。 CA 是最核心的组件,主要完成对公钥的管理。密钥有两种类型:用于签名和用于加解密,对应称为签名密钥对和加密密钥对。用户基于PKI 体系要申请一个证书,一般可以由CA 来生成证书和私钥,也可以自己生成公钥和私钥,然后由CA 来对公钥进行签发。数字签名 类似在纸质合同上签名确认合同内容,数字签名用于证实某数字内容的完整性和来源。 A 发给 B 一个文件。A 先对文件进行摘要,然后用自己的私钥进行加密,将文件和加密串都发给B。B 收到文件和加密串后,用A 的公钥来解密加密串,得到原始的数字摘要,跟对文件进行摘要后的结
果进行比对。如果一致,说明该文件确实是 A 发过来的,并且文件内容没有被修改过。 多重签名 n 个持有人中,收集到至少m 个()的签名,即认为合法,这种签名被称为多重签名。 其中,n 是提供的公钥个数,m 是需要匹配公钥的最少的签名个数。环签名由Rivest,shamir 和Tauman 三位密码学家在2001 年首次提出。环签名属于一种简化的群签名。签名者首先选定一个临时的签名者集合,集合中包括签名者自身。然后签名者利用自己的私钥和签名集合中其他人的公钥就可以独立的产生签名,而无需他人的帮助。签名者集合中的其他成员可能并不知道自己被包含在其中。 数字证书 数字证书用来证明某个公钥是谁的。对于数字签名应用来说,很重要的一点就是公钥的分发。一旦公钥被人替换,则整个安全体系将被破坏掉。 怎么确保一个公钥确实是某个人的原始公钥?这就需要数字证书机制。顾名思义,数字证书就是像一个证书一样,证明信息和合法性。由证书认证机构(Certification Authority,CA)来签发。 数字签名和数字证书 数字证书内容可能包括版本、序列号、签名算法类型、签发者信息、有效期、被签发人、签发的公开密钥、CA 数字签名、其它信息等等。其中,最重要的包括签发的公开密钥、CA 数字签名两个信息。
PDF签名及数字证书配置详细教程 本文解决问题:数字签名的优点有哪些?怎么进行数字签名?数字签名的流程是?如何安装证书? 数字签名与传统的手写签名一样,必须验证签署文件中签名人身份的真实性。采用数字签名文件必须确认以下两点:一是文件的确是由签名者签署;二是文件内容自签发后到收到为止未曾作过任何修改。在Acrobat中,如果需要对某个文档进行数字签名,那签名人必须首先具 有一个指定的数字身份,数字身份就像身份证一样,这个数字身份可以自己创建,也可以由可信的第三方供应商提供。在Acrobat中提供了三种数字证书的创建方法: 第一种方法:使用缺省的安全证书方式自行创建数字身份,创建的数字身份文件被存储成后缀为.Pfx文件,在这种方式下,可以选择由密码来保护数字身份文件,这种方 式只适合小规模企业,在大的环境中,验证签名的证书交换存在问题; 第二种方法:由Windows的安全授权机构提供的数字身份,主要特点是申请管理证书及验证签名比较方便,无需重新投入费用,但只适合在企业内部使用,与其它企业建 立相互信任关系比较困难; 第三种方法:由可信的数字证书认证中心来提供。一般官方场合使用的数字身份都是由可信的数字证书认证中心发放的。数字证书认证中心会发放一个私钥文件(Sk)和 一个数字身份文件。数字身份文件包含身份拥有者的公共密钥(公钥Pk)、名称,发证 机构名称、数字身份证号,以及发证机构的数字签名等信息,但每年的投入费用相当 昂贵。 1、申请个人数字证书 备注:个人数字证书由公司证书服务器统一颁发,通过域帐号进行申请,要养成离开电脑后锁定计算机的习惯,域密码必须妥善保管,以防止被他人冒用申请证书;证书同样也必须妥善保管,以防被他人盗用;个人数字证书有限期为2年,过期后需要重新申请(Windows X P之后版本的操作系统证书过期后会自动续订更新证书)。 Windows XP之后版本的操作系统通过公司域登录后会自动注册个人数字证书,Windows 2000版本操作系统必须手工申请公司颁发的个人数字证书,查看数字证书是否注册成功,方法如下: 打开IE浏览器,在“菜单”->“Internet选项”->“工具”->“内容”
公钥密码、数字签名和数字证书相关知识及原理介绍一、从对称密码谈起 自从人类有了战争,智慧的人们就想出了很多的办法来解决通信保密问题,把需要通信的消息按固定规律转变成没有意义的乱码,而只有指定的合法接收者才能恢复解读出来,这就是密码学的基本思想。 通常,人们总是会有很多的秘密信息需要保护,比如个人的信用卡账号,个人的医疗记录和财政细节等等;企业也有秘密,例如战略报告、销售预测、公司财务、技术产品的细节、研究成果、人员档案等,密码学上将这些需要保护的原始信息称为明文。为了确保明文信息不被别人获知,在将这些明文保存在某个地方或从网络上传送出去之前,需要用某种方法(通常是数学方法)把它伪装起来以隐藏它的真实内容,我们把伪装的这个过程称为加密,把伪装采用的方法称之为加密算法,(明文)伪装后得到的结果称之为密文;相反地,把密文恢复成明文的过程称为解密,恢复时所用的方法称为解密算法。 上述这个过程还不是一个足够安全的过程。因为无论是加密算法还是解密算法,我们都可以用软件(一段程序)或硬件(加密机或加密卡)来实现。如果我们能绝对地保证加密和解密算法是保密的(例如只有通信双方知道),那么自然可以达到保密的效果。可事实上并非如此,实践证明,保护一段程序或者保护一个硬件是秘密的,和直接保护明文信息是秘密的,是一样的困难,高明的密码破译者们总能找到我们用来保密的加密算法和解密算法,从而找到我们要保密的信
息。更何况,如果我们有办法保全加密算法或解密算法是秘密的,那么我们何不用之以直接保全我们的明文信息呢?因此密码学家们最终放弃了保密加解密算法的念头,而选择了设计一类新的加解密算法,在用这类算法加密时需要引入一个只有自己知道的秘密参数,密码学家把它称为密钥,而且只有拥有同样密钥的人才能解密阅读被加密的明文。 顾名思义,“密钥”就是秘密的钥匙,起初人们总是把加解密比喻成利用钥匙给坚固的保险箱上锁开锁。这里“带锁的保险箱”好比是密码算法,可以用来保存明文文件,“钥匙”好比是密钥,“将明文文件放入保险箱并用钥匙锁上”就是加密过程,相反地,用钥匙将“锁有文件的保险箱”打开取出文件就是解密过程。整个过程如果没有钥匙,其他人即使能看到上锁的保险箱(密文),也不可能取出该文件,从而达到了保密的效果。 通常,人们用同一把钥匙进行上锁或开锁,上锁时,把钥匙插入锁里并旋转,锁的栓和结构就以预定好的方式形成障碍以阻止门被打开;开锁时,插入钥匙并反方向旋转,锁的栓和结构就会以相反的方式工作,使门可以打开。在这里,我们用了同一把钥匙进行上锁和开锁,也就是说我们用于加密(上锁)和解密(开锁)的密钥(钥匙)是完全相同的,我们把这种加密密钥和解密密钥相同的密码称之为对称密码。 现在国际上广泛采用的而且被证明足够安全的对称密码算法有3DES,IDEA,RC2,RC4,RC5等,当然还有很多其他好的算法,我们
注:答案为网上查的 选择题 1、如果发送方用私钥加密消息,则可以实现(D ) A、保密性 B、保密与鉴别 C、保密而非鉴别 D、鉴别 2、在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是(B ) A、非对称算法的公钥 B、对称算法的密钥 C、非对称算法的私钥 D、CA中心的公钥 3、以下关于加密说法,不正确的是(ABC ) A、加密包括对称加密和非对称加密两种 B、信息隐蔽是加密的一种方法 C、如果没有信息加密的密钥,只要知道加密程序的细节就可以对信息进行解密 D、密钥的位数越多,信息的安全性就越高 4、以下关于混合加密方式说法不正确的是:(ACD) A、采用公开密钥体制进行通信过程中的加解密处理
B、采用公开密钥体制对对称密钥体制的密钥进行加密后的通信 C、采用对称密钥体制对对称密钥体制的密钥进行加密后的通信 D、采用混合加密方式,利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点 5、两个不同的消息摘要具有相同的值时,称为(B ) A、攻击 B、冲突 C、散列 D、都不是 6、(A)用于验证消息完整性。 A、消息摘要 B、加密算法 C、数字信封 D、都不是 7、HASH函数可应用于(A )。 A、数字签名 B、生成程序或文档的“数字指纹” C、安全存储口令 D、数据的抗抵赖性 8、数字证书采用公钥体制,每个用户设定一把公钥,由本人公开,用它进行:A*
A、加密和验证签名 B、解密和签名 C、加密 D、解密 9、数字签名为保证其不可更改性,双方约定使用(A) A、HASH算法 B、RSA算法 C、CAP算法 D、ACR算法 10、1是网络通信中标志通信各方身份信息的一系列数据,提供一种在Inte rnet上验证身份的方式B A、数字认证 B、数字证书 C、电子证书 D、电子认证 11、以下关于CA认证中心说法正确的是C A、CA认证是使用对称密钥机制的认证方法 B、CA认证中心只负责签名,不负责证书的产生 C、CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D、CA认证中心不用保持中立,可以随便找一个用户来做为CA认证中心
该证书有一个无效的数字签名的原因和解决方 法 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-
在网页弹出该网站的安全证书有问题后,我们点击查看证书会看到这种错误消息:该证书有一个无效的数字签名。这是什么意思呢?该如何解决呢? 数字签名又称公钥数字签名、电子签章,就是证书颁发机构盖在数字证书上的一个章或印,用来证明某个消息或文件是本人发出/认同的,并未被修改。该证书有一个无效的数字签名,可能是由于以下原因造成的: ·该证书是自签名SSL证书 ·该证书是被更改过密钥的旧/过期证书 ·该证书不是由受信任的证书颁发机构颁发的 以上情况均可能导致该证书有一个无效的数字签名。那么,有什么方法可以解决这个问题呢? 方法一:停止使用自签名SSL证书 1024位RSA非对称密钥对已经不安全了,而目前几乎所有自签证书都是1024位,自签根证书也都是1024位。因此,很多浏览器和操作系统都不认可自签名证书,会发出安全警告,显示该证书有一个无效的数字签名。 推荐使用受信任的CA机构提供的免费且安全的SSL证书,如数安时代GDCA就有免费ssl证书可以申请。 方法二:修改浏览器设置
关闭数字签名检查,也可以避免出现“该证书有一个无效的数字签名”。你需要更改Internet选项中的某些设置,Internet Explorer——工具——Internet选项——高级,然后拖到下面,勾选“允许运行或安装软件,即使签名无效”,单击“确定”按钮即可。不过为了安全起见,不推荐使用这个方法。 方法三:安装权威受信任的SSL证书 解决“该证书有一个无效的数字签名”最好的方法是,安装部署受信任的CA机构颁发的ssl证书。受信任的CA机构是指已在Windows根证书计划的成员列表中,并且将根证书入根到Firefox、Chrome、IE等各大浏览器中,国内的数安时代GDCA就是优秀代表,它通过了WebTrust国际认证,其签署的数字签名受各大浏览器的信任。 如果需要SSL证书,请登录数安时代GDCA了解产品详情。数安时代还提供免费的安装部署服务,免费的重新签发服务,以及免费的咨询服务,是您的满意之选!
公钥私钥数字签名数字证书详解
加密和认证
首先我们需要区分加密和认证这两个基本概念。 加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取 正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据 的安全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依 不同的身份给予不同的权限。 其重点在于用户的真实性。 两者的侧重点是不同的。
公钥和私钥
其次我们还要了解公钥和私钥的概念和作用。 在现代密码体制中加密和解密是采用不同的密钥(公开密钥),也就是非对 称密钥密码系统,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以 互为加解密。公钥是公开的,不需要保密,而私钥是由个人自己持有,并且必须 妥善保管和注意保密。 公钥私钥的原则:
1. 2. 3. 4. 一个公钥对应一个私钥。 密钥对中,让大家都知道的是公钥,不告诉大家,只有自己知道的,是私钥。 如果用其中一个密钥加密数据,则只有对应的那个密钥才可以解密。 如果用其中一个密钥可以进行解密数据,则该数据必然是对应的那个密钥进行的加 密。
非对称密钥密码的主要应用就是公钥加密和公钥认证, 而公钥加密的过程和 公钥认证的过程是不一样的,下面我就详细讲解一下两者的区别。
基于公开密钥的加密过程
比如有两个用户 Alice 和 Bob,Alice 想把一段明文通过双钥加密的技术发 送给 Bob,Bob 有一对公钥和私钥,那么加密解密的过程如下:
1. Bob 将他的公开密钥传送给 Alice。 2. Alice 用 Bob 的公开密钥加密她的消息,然后传送给 Bob。 3. Bob 用他的私人密钥解密 Alice 的消息。
上面的过程可以用下图表示,Alice 使用 Bob 的公钥进行加密,Bob 用自己 的私钥进行解密。