数字证书
一. 什么是数字证书?
数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在互联网上用它来识别对方的身份。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。
一个标准的X.509数字证书包含以下一些内容:
证书的版本信息;
证书的序列号,每个证书都有一个唯一的证书序列号;
证书所使用的签名算法;
证书的发行机构名称,命名规则一般采用X.500格式;
证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
证书所有人的名称,命名规则一般采用X.500格式;
证书所有人的公开密钥;
证书发行者对证书的签名。
使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
二. 为什么要使用数字证书?
基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
1、信息的保密性
交易中的商务信息均有保密的要求。如信用卡账号和用户名被人知悉,就可
能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2、交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
3、不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
4、不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人互不见面的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交易双方身份的真实性。国际上已经有比较成熟的安全解决方案,那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。
我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起
一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
三.数字证书原理?
1.密码学
在密码学中,有一个五元组:{明文、密文、密钥、加密算法、解密算法},对应的加密方案称为密码体制(或密码)。
明文:是作为加密输入的原始信息,即消息的原始形式所有可能明文的有限集称为明文空间。
密文:是明文经加密变换后的结果,即消息被加密处理后的形式,所有可能密文的有限集称为密文空间。
密钥:是参与密码变换的参数,一切可能的密钥构成的有限集称为密钥空间。
加密算法:是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程。
解密算法:是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程。
现代密码学算法:
对称算法:
加密和解密使用同一密钥
主要算法包括:DES、3DES、RC2、RC4
加/解密速度快,但密钥分发问题严重
非对称算法:
不需要首先共享秘密
两个密钥同时产生:一把密钥(公钥)是公开的,任何人都可以得到。另一把密钥(私人密钥)只有密钥的拥有者知道。
用其中一把密钥(公钥或者是私钥)加密的信息,只能用另一把打开。
RSA算法,ECC(椭圆曲线)算法
由已知的公钥几乎不可能推导出私钥
强度依赖于密钥的长度
很慢-不适合加密大数据
公钥可以广泛地、开放地分发
用于加密,签名/校验,密钥交换
主要算法包括:RSA,ECC,Diffie-Hellman,DSA
数字摘要:
把可变输入长度串转换成固定长度输出串的一种函数。称输出串为输入串的指纹,或者数字摘要;
不同明文的摘要相同的概要是非常非常小的;而同样明文其摘要
必定一致;
明文的长度不固定,摘要的长度固定。
没有密钥
不可回溯
典型算法:MD5, SHA-1
用于完整性检测,产生数字签名
最好的解决方案:
使用对称算法加密大的数据
–每次加密先产生新的随机密钥
使用非对称算法交换随机产生的密钥
用非对称算法做数字签名(对散列值即摘要做数字签名) 四条基本规则
–先签名,然后加密
–加密之前先压缩
–用你自己的私钥做签名
–用接收者的公钥做加密
解密:
怎样解决4个通讯安全需求?
–
私密性 加密 –
完整性 ? –
不可否认性 ? – 身份认证 ?
问题:如何解决以上三个问题?
2.数字签名
数字签名采用公钥体制(PKI ),即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过这种手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在数字信封重要文件密文付给$密钥打包重要文件
接收者私钥随机
对称密钥
公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字签名具体做法是:
(1)将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
(2)将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。这样就保证了签发者不可否认性。
(3)接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。
四. 数字证书是如何生成的?
数字证书是数字证书在一个身份和该身份的持有者所拥有的公/私钥对之间建立了一种联系,由认证中心(CA)或者认证中心的下级认证中心颁发的。根证书是认证中心与用户建立信任关系的基础。在用户使用数字证书之前必须首先下载和安装。
认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造,认证中心的公共密钥必须是可靠的,认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性,后一种方法导致了多级别认证中心的出现。
数字证书颁发过程如下:用户产生了自己的密钥对,并将公共密钥及部分个人身份信息(称作P10请求)传送给一家认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内附了用户和他的密钥等信息,同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时,就可以提供这一数字证书。
证书的产生:认证中心把用户证书的基本信息做哈希算法,然后用自己的私钥对哈希值进行加密。
五.数字证书是如何分发的?
CA将证书分发给用户的途径有多种。第一种途径是带外分发(Out-of-band Distribution),即离线方式。例如,密钥对是由软件运营商代替客户生成,证书也是由运营商代替客户从CA下载,然后把私钥和下载的证书一起储存在软盘里,再交给用户的。这样做的好处是免去了用户上网下载证书的麻烦。第二种途径是带内分发(In-band distribution),即用户从网上下载数字证书到自己的电脑中。下载时,用户要向CA出示“参考号”和“授权码”,以向CA证明自己的身份。这样做成本较低,但对使用计算机不太熟悉的用户来说,可能在下载时会碰到一些麻烦。除了以上两种方式外,CA还把证书集中放置在公共的数据库中公布,用户可以随用随查询随调用。
六.数字证书是如何存储的?
数字证书和私钥储存的介质有多种,大致分为硬证书和软证书。可以存储在计算机硬盘、软盘、智能卡或USB key里。
1、关于私钥的唯一性
严格地讲,私钥既然是世上唯一且只由主体本身持有,它就必须由主体的计算机程序来生成。因为如果在别处生成将会有被拷贝的机会。然而在实际应用上
并非如此,出于某些特殊需要(例如,如果只有一份私钥,单位的加密文件就会因为离职员工带走私钥而无法解密。)加密用的公/私钥对会要求在可信的第三方储存其备份。这样,加密用的私钥可能并不唯一。然而签名用的私钥则必须保持唯一,否则就无法保证被签名信息的不可否认性。
在生成用户的密钥对时,用于加密的公/私钥对可以由CA、RA产生,也可以在用户终端的机器上用专用的程序(如浏览器程序或认证软件)来产生。用于数字签名的密钥对原则上只能由用户终端的程序自行产生,才能保证私钥信息的私密性以及通信信息的不可否认性。
有人可能会产生疑问:有的加密和签名的密钥对都是由软件运营商代替客户生成的,这是否破坏了上述的私钥唯一性原则呢?答案是否定的。这时候,私钥的唯一性要依靠法律合同的保证以及操作过程中相应制度的约束,使得不可否认性得到支持。出于这种机制,我们仍然可以认为,用户的签名私钥是唯一的。
2、证书,私钥,到底保护哪一个?
我们常常听到有人说:“保管好你的软盘,保管好你的KEY,不要让别人盗用你的证书。”有些教科书上也这样讲。应该说,这句话是有毛病的。数字证书可以在网上公开,并不怕别人盗用和篡改。因为证书的盗用者在没有掌握相应的私钥的情况下,盗用别人的证书既不能完成加密通信,又不能实现数字签名,没有任何实际用处。而且,由于有CA对证书内容进行了数字签名,在网上公开的证书也不怕黑客篡改。我们说,更该得到保护的是储存在介质中的私钥。如果黑客同时盗走了证书和私钥,危险就会降临。
3、为什么说USB key安全性好?
不同的存储介质,安全性是不同的。如果证书和私钥储存在计算机的硬盘里,计算机一旦受到黑客攻击,(例如被埋置了木马程序)证书和私钥就可能被盗用。
使用软盘或存储型IC卡来保存证书和私钥,安全性要比硬盘好一些,因为这两种介质仅仅在使用时才与电脑相连,用完后即被拔下,证书和私钥被窃取的可能性有所降低。但是黑客还是有机会,由于软盘和存储型IC卡不具备计算能力,在进行加密运算时,用户的私钥必须被调出软盘或IC卡进入外部的电脑,在这个过程中就会造成一定的安全隐患。
使用智能卡(含CPU的IC卡)储存数字证书和私钥是更为安全的方式。为什
么这样说呢?原来智能卡具有一定的计算机的功能,芯片中的CPU就是一台小小的计算机。
产生公私密钥对的程序(指令集)是智能卡生产者烧制在芯片中的ROM中的,密码算法程序也是烧制在ROM中。公私密钥对在智能卡中生成后,公钥可以导出到卡外,而私钥则存储于芯片中的密钥区,不允许外部访问。
智能卡中密钥文件存储在E2PROM之中。对密钥文件的读写和修改都必须由卡内的程序调用。从卡接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除、。除非设计和编写卡操作系统(COS)的人自己在COS 上留了后门,只有他才知道如何从外部调出密钥区的内容。但我们可以排除黑客与COS设计者相勾结的这种几率极小的可能性。
在加密和签名的运算过程中,外部计算机中的应用软件使用智能卡API调用的方式,输入参数、数据和命令,启动智能卡内部的数字签名运算、密码运算等,并获得返回结果。由于智能卡内部的CPU可以完成这些操作,全过程中私钥可以不出智能卡介质,黑客的攻击程序没有机会去截获私钥,因此这就比证书和私钥放在软盘或硬盘上要安全得多。
从物理上讲,对智能卡芯片中的内容作整体拷贝也是几乎不可能的。虽然听说有人能够从智能卡芯片在操作过程中发生的微弱的电磁场变化,或者I/O口上反映出的微弱的电平变化中分析出芯片中的代码。但现在国际上对智能卡生产商的技术要求很高,要求上述的指标要低到不能够被测出来。国际上生产智能卡的公司都采用了种种安全措施,确保智能卡内部的数据不能用物理方法从外部拷贝。
为了防止USBkey不慎丢失而可能被他人盗用,不少证书应用系统在使用过程中还设置了口令认证机制。如口令输入得不对,即使掌握了USB key,也不能登录进入应用系统。这种双因素认证机制可以使USB key更加安全可靠,值得提倡。
USB Key和智能卡除了I/O物理接口不一样以外,内部结构和技术是完全一样的,其安全性也一样。只不过智能卡需要通过读卡器接到电脑的串行接口上,而USB Key通过电脑的通用串行总线(USB)接口直接与电脑相接。另外,USB 接口的通信速度要远远高于串行接口的通信速度。现在出品的电脑已经把USB
接口作为标准配置,而使用智能卡则需要加配读卡器。出于以上原因,各家CA 都把USB Key作为首选的证书和私钥存储介质而加以推广。
4、第二代USB Key
第二代USBKey带有液晶显示屏和安全按键,按上下键可在显示屏上查看转账信息(包括收款账号、收款人姓名和交易金额等),如发现转账内容不正确,按清除键可以清楚所有输入的内容,再重新输入。当输入无误,需要使用USBKey 进行签名时,在有效时限内按下物理按键后签名才能成功,否则签名操作失败,即使USBKey的密码被人截取,木马程序发起一个非法的交易申请,由于无法进行物理上的按键操作致使整个交易不能进行下去。可保证交易的内容不会被黑客程序非法修改,有效防止交易伪造和交易劫持的攻击。
5、仍需注意的问题
这里需要指出的是,有些号称智能卡的产品实际上只是不含CPU的存储型IC卡,它仅仅具有存储功能。上文已经介绍过,存储型IC卡的安全性与软盘相仿,对于这两种不同类型的IC卡,用户需要甄别清楚。
第二个问题是,尽管智能卡在设计和生产过程中,对安全机制给以了充分的考虑和保证,然而,由于人为因素,也可能带来安全隐患。例如智能卡上提供一个闪存(flash)随机存储区域,是供写入一般用户数据或增加卡片功能的程序之用的。敏感的数据和程序不允许写在闪存区,必须写在安全存储区。制作智能卡时,安全区要通过硬件方法做掩模处理。硬件的掩模处理费工费时成本高,一般需要时间较长。有些卡商为了降低成本缩短工期迎合客户要求,将应该放在安全区中的敏感数据和程序放在闪存区中,闪存区里的内容是可以从卡片外部进行读写的,这就造成了可能被黑客侵入的安全隐患。这就要求我们对合作的IC卡厂商的工艺流程也要仔细审查。
七.如何验证数字证书?
以Alice验证Bob证书为例:
校验Bob的证书的合法性
(1)Alice获得Bob的证书和签发Bob证书的CA的证书
(2)用CA的公钥解密Bob的证书摘要
(3)计算Bob的证书的摘要
(4)比较这两个摘要
(5)校验Bob的证书证书有效期
(6)校验签发者签名(证书链)
(7)检查证书作废列表(CRL,OCSP)
八.CRL和OCSP是什么?
证书的有效性取决于两个方面因素:
第一个因素是证书有效期:证书的有效期在证书被颁发之日就已经确定了,例如CFCA(中国金融认证中心)规定个人证书的有效期是一年(可扩展),企业证书的有效期是三年。证书的有效期(V alidity Period)作为一项内容被写进了数字证书之中,它用两个日期——证书开始生效的日期和证书失效的日期来表示。显然,已经过了有效期的证书不能通过验证。
证书有效期的设定是出于安全的考虑,当一张证书有效期将结束时,如果想继续使用就需要更新,证书更新时将产生新的公私密钥对,密钥定期更新对于证书的安全性是有好处的。
第二个因素是证书注销:虽然证书有效期没有过,但是如果发生了特殊情况,例如用户发现证书遗失或私钥失密,用户会向CA/RA提出注销证书的申请,CA/RA 经过审核后将实施证书注销。那么,被注销的证书也不能通过验证。
第一种情况比较简单,证书的有效期就写在了证书之中,安全认证应用软件只要调出证书的内容,判断一下就知道这张数字证书当前是否还在有效期内。
第二种情况则比较复杂,证书一旦发出,是不可能收回的。怎么办呢?只能申请注销。所谓注销,就是要求当初颁发这张证书的单位(CA)出一张告示,宣布某张证书已经被注销作废,警告有关的交易者注意,不要再使用与这张证书绑定的公钥。在PKI安全认证体系中,这种“告示”称为证书注销列表(或证书撤销清单、证书注销清单、证书废止列表等),英文原文是Certificate Revocation List,缩写为CRL。
对于第二种情况,安全认证应用软件在验证证书的有效性时就需要去访问证书注销列表(CRL)。这个列表相当于“黑名单”,一旦发现通信对方的证书在这张列表中,就不能通过验证。
证书注销机制可以防止证书遗失或发现私钥失密后,不法分子冒用用户证
书、私钥实行欺诈交易所带来的损失。这和信用卡注销、有效证件注销的机制十分类似。
注销证书的其他原因还包括:银行方面认为证书用户信用丧失、用户身份姓名发生改变、用户从他所属单位离职、岗位和职权发生变更等情况。
CRL的内容
根据X.509标准,CRL的内容和数据结构定义如所示:
版本
签名算法
签发者
更新时间
下一次更新时间
废止的证书列表
用户证书序列号
废止时间
CRL入口扩展
CRL的内容包括CRL的版本号、计算本CRL的数字签名所用的算法的标识符(如加密算法RSA、数字摘要算法MD5等算法的标识符)、颁发CRL的CA 的可识别名(DN)、CRL的发布/更新时间、被注销证书的列表(仅列出被注销证书的唯一序列号)以及扩展项。
扩展项中的内容有:
(1)理由代码——指出该证书被注销的理由,如:密钥损坏、CA损坏、关系变动、操作终止等;
(2)证书颁发者——列出该证书颁发者的名字;
(3)控制指示代码——用于证书的临时冻结;
(4)失效日期——列出该证书不再有效的日期。
为了保证CRL的真实性和完整性,CRL数据的后面附有颁发CRL的CA对CRL的数字签名。
CRL的发布
CRL的数据形成后,要把它公布在网上,放在哪里呢?首先,在CFCA的
证书系统中,设置了一个LDAP服务器,它与互联网相连接,有特定的IP地址,CRL的数据就放在这里供用户查询。LDAP的全称是Lightweight Directory Access Protocol,即轻型目录访问协议。LDAP的信息模型是建立在“条目”(entries)的基础上,目录的基本信息单元是条目。目录条目呈现为一个层次状的树形结构。CRL的数据以条目的形式存放在LDAP服务器中。根据LDAP目录服务所具有的特性,用户可以在网上方便快捷地对CRL进行查询。
然而,CRL的数据集中存放在CA的服务器中可能带来另一个问题,就是当用户数量庞大,而且到了交易集中发生的高峰时期时,对LDAP服务器的并发访问可能造成网络和服务器的拥塞,致使交易效率急剧下降甚至超时。
解决这个问题有以下两个办法:
第一个办法是使用分段的CRL,就是把庞大的CRL分成很多可控的片段,并允许一个CA的证书注销信息通过多个CRL发布出来。在证书的扩展项中,有一个子项称为CRL分布点,它指出CRL分布点的分布位置,用户可以根据这个参数来访问相应的CRL。
第二个办法是建立远程的镜像LDAP服务器。这些镜像服务器分布在其他城市或一些大客户的所在地。CA的LDAP主服务器负责对这些镜像服务器进行定期数据更新,以便使镜像服务器的数据内容和主服务器保持一致。设置镜像服务器的目的有两个:一是加快当地用户访问目录服务器的响应时间。二是通过设置镜像服务器可以对大量的并发访问进行分流,减轻高峰时间LDAP主服务器的负担。此外,作为一种备份机制,镜像服务器还可以在主服务器故障期间起到备份作用,提供不间断服务,这就提高了整个系统的可用率。
CRL的更新
从安全的角度上讲,CRL最好是进行实时更新,即一旦发生证书注销事件就立即更新,以杜绝欺诈案件的得逞。但这种实时更新的代价非常高,要占用大量的网络资源和服务器资源,反过来又会影响到网上交易的进行。因此,业内普遍的做法是定期更新,如CFCA的管理策略是对主服务器的CRL和所有远程镜像CRL每天更新一次。
然而,当CRL数据总量非常庞大时,即使是每天更新一次也会给系统带来过大的负担。因此,又出现了增量CRL的概念。增量CRL的想法就是不需要每
注销一张证书就产生一个完整的、越来越大的CRL,它只是产生一个与注销该证书相关的增加信息。
根据定义,增量CRL是以已经颁发的注销信息为基础的,这个已经颁发的注销信息称为基本CRL,增量CRL中含有的是基本CRL中不含有的信息。引入增量CRL概念的好处是体积很小的增量CRL可以比基本CRL的更新频率高得多。例如,庞大的基本CRL的更新周期如果是一周的话,增量CRL的更新周期可以定为8小时,甚至更短。显然,这样的安全策略具有较高的安全性,而且不会给系统造成大的负担。
在线查询机制——OCSP
我们在上文已经提到,CRL方法存在一些缺点,其一就是CRL不可能实时更新,由于CA每隔一定时间才发布CRL,所以CRL不能及时地反应证书的状态,在安全性上有一定局限;其二,即使定期更新CRL也有麻烦,当注销证书的数量很大及用户基础很大时,CRL常常会越变越大。每次CRL分发会大量消耗网络带宽和服务器处理能力。对于很多集群客户来说(例如一家银行和它的众多客户或者一家大企业和它的子公司、分销店),为了提高证书有效性验证效率,往往把CRL先下载到自己的服务器上,以减少对CRL的在线查询。然而频繁地下载CRL也是令用户头疼的问题。有时候,这种CRL处理方式还要求用户配置客户PC来处理来自多个证书机构的CRL。
于是,另一种证书有效性的管理和查询方法,即在线查询机制应运而生。它使用的协议称为在线证书状态协议,英文是OCSP(Online Certificate Status Protocol)。
在线证书状态协议(OCSP)是IETF颁布的用于检查数字证书在某一交易时间是否有效的标准,在RFC 2560中有描述。它为网上业务提供了一种检验数字证书有效性的途径,比下载和处理证书注销列表(CRL)的传统方式更快、更方便和更具独立性。OCSP实时在线地向用户提供证书状态,其结果是它比CRL 处理快得多,并避免了令人头痛的逻辑问题和处理开销。
OCSP在线查询机制的简单过程如下(见插图):
用户的客户机形成查询指定证书状态请求,并将请求转发到一个OCSP应答器(服务器),应答器建立与CA证书库的连接,并查询CA证书库而获得该证书的状态,应答器返回客户机有关证书有效性信息。
简单地说,一个OCSP请求,由协议版本号、服务请求类型及一个或多个证书标识符等信息所组成;响应信息是由证书标识符、证书状态——“有效”、“注销”或“未知”三个中的一个、以及验证相应时间等信息所组成。详细信息见下表所示。
表:OCSP响应信息
用户的客户机形成查询指定证书状态请求,并将请求转发到一个OCSP应答器(服务器),应答器建立与CA证书库的连接,并查询CA证书库而获得该证书的状态,应答器返回客户机有关证书有效性信息。
简单地说,一个OCSP请求,由协议版本号、服务请求类型及一个或多个证书标识符等信息所组成;响应信息是由证书标识符、证书状态——“有效”、“注销”或“未知”三个中的一个、以及验证相应时间等信息所组成。详细信息见下表所示。
响应信息必须经过数字签名,以保证这个信息的真实性和完整性(未被篡改)。签名密钥属于CA,即颁发这张证书的权威、可信的第三方机构,因此,在任何情况下,用户都能够信任这个信息。
OCSP在线查询机制只能检测证书的注销状态,没有其他功能,例如不能检查证书的有效期,也不返回用户一个完全的证书。但是这种用法在某些应用场合下,对于验证证书的有效性来说是快速有效的。
由于使用OCSP在线查询必须保持用户在线状态,且用户访问的对象集中在CA的OCSP服务器上,这同样会带来高峰负载过重,交通拥塞效率下降的问题。
从以上的描述中我们可以看到,CRL和OCSP两种机制所针对的目标和实现的功能是一样的,只不过实现的方法途径不一样,两者具有异曲同工之妙。用户可根据自己的需求决定使用哪种方法,目前,CFCA对这两种方法都提供服务。
九.常见的数字证书格式
1.在Security编程中,有几种典型的密码交换信息文件格式:
DER-encoded certificate: .cer, .crt
PEM-encoded message: .pem
电力系统二次系统网络与信息安全 管理制度 批准: 审核: 编制: XXXXXXXXXX有限公司
目录 一、总则 (3) 二、术语和定义 (3) 三、人员管理: (4) (一)、网络与信息安全专(兼)职人员管理 (4) (二)、要害岗位人员管理 (4) (三)、第三方人员管理 (4) 四、电力二次系统信息安全等级保护管理 (4) 五、电力二次系统安全防护管理 (4) (一)电力二次系统安全防护基本要求 (4) (二)电力二次系统安全防护工程实施管理 (5) 六、电力二次系统运维安全管理 (5) (一)机房环境安全管理 (5) (二)信息资产管理 (5) (三)设备安全管理 (5) (四)数据安全管理 (6) (五)介质安全管理 (6) (六)网络安全管理 (6) (七)电力专用安全防护设备管理 (6) (八)调度数字证书系统安全管理 (7) (九)防火墙安全管理 (7) (十)入侵检测系统安全管理 (7) (十一)操作系统安全管理 (7) (十二)数据库安全管理 (7) (十三)应用系统安管理 (8) (十四)病毒、恶意代码防护管理 (8) (十五)补丁安全管理 (8) (十六)账户和口令管理 (8) (十七)权限管理 (8) (十八)安全配置变更管理 (9) (十九)网络与信息安全事件处置 (9) (二十)应急预案管理 (9) 七、电力二次系统网络与信息安全检查和评估管理 (9) 八、回顾 (10) 九、培训 (10) 十、考核 (10)
电力二次系统网络与信息安全管理制度 一、总则 1、目的:为保障电力二次系统网络与信息安全,依据有关法律、法规及信息安全标准,特制定本规定。 2、内容:本规定明确了电力二次系统网络与信息安全管理的相关单位及部门职责、管理内容和方法。 3、适用范围:本规定适用于电力二次系统网络与信息安全规划设计、项目审查、工程实施、系统改造、运行维护管理。发电厂等从事电力二次系统网络与安全防护专业管理和运行维护管理的相关人员,均应遵守本规定。 4、规范性引用文件 中华人民共和国国务院令147 号中华人民共和国计算机信息系统安全保护条例 公通字[2007]43 号信息安全等级保护管理办法 国家电力监管委员会5号令电力二次系统安全防护规定 电监安全[2006]34号电力二次系统安全防护总体方案 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22239-2008 信息系统安全等级保护基本要求 GB/T 22240-2008 信息系统安全等级保护定级指南 GB/T20269-2006 信息安全技术信息系统安全管理要求 GB/T20270-2006 信息安全技术网络基础安全技术要求 GB/T20271-2006 信息安全技术信息系统通用安全技术要求 GB/T20272-2006 信息安全技术操作系统安全技术要求 GB/T20273-2006 信息安全技术数据库管理系统安全技术要求 GB/T20282-2006 信息安全技术信息系统安全工程管理要求 GB/T 19715-1.2 2005 /ISO/IEC TR 13335:2000 信息技术安全管理指南GB/T 19716-2005/ISO/IEC 17799:2000 信息安全管理实用规则 GB/T 18336-2001 /ISO/IEC 15408-1999 信息技术安全性评估准则 二、术语和定义 1、电力二次系统 在本规定所指电力二次系统包含电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等。 2、电力监控系统 在本规定是指用于监视和控制电网及电厂生产运行过程的、基于计算机和网络技术的业务处理系统及智能设备等。包括电力数据采集
数字证书登陆常见问题解决方法 问题一、-10101042错误信息没有符合条件的证书 原因分析:由于客户使用了安全卫士等工具在启动项把我们的 (SMKEYU1O00没有检测到证书所以导致这样的问题 KEY的启动程序g SMKeyU 1000_禄圳性启盘和金晉无眉弁8.23M 錐捋呱扶匕开启荼止启功 解决办法: 第一步,检查数字证书是否已接到电脑上,灯是否亮。 第二步,检查数字证书的驱动是否已安装 第三步,用管理工具登陆检查一下有没有数字证书在UKEY里面 第四步,检查电脑的右下角任务栏里有没有一个U盘图标 U USBKET设备 诟BK町已经插 ZJ 如果没有U盘图标执下面的操作 (1 )执行桌面上的管理工具会自动的调用SMKEY Mon itor.exe 言理工具 (2需手动找到下面这个目录 深圳CA数字证书EKEY t理工具\SMKEYMonitor.exe 双击运行SMKEYMonitor.exe
SMKEYIMonitor. exe; 执行以上操作后应该可以出来一个这样的图标 廿 USBKET设备 USBKtygg 插入I 出现这样的图标就可以登陆本系统。 问题二: 登陆时提示,登陆失败,请检查是否正确安装驱动程序!点击这里下载安装驱动程序。 M”瑛圳帀顷必积盘営理申心”审的聳和c#芋证芳咗?如集氓仍任话耐和谊财ujrjmit辰農诩加軟攻」山頼 解决办法: 双击IE上面的黄色提示加载项,并安装深圳CA数字证书控件 并检查IE的加载项有没有启动(IE-工具-管理加载项) 此忙站龍鼻妥捷以下血星n ”瑕MI帀住翦公积丄誉理申匕”即的“诺划忙皿芋哑於园徉?.如簾够広任适障站和逗负珥莽打鼻宜農话加蛊3b d学i
气相色谱仪-检测系统 1.热导检测器热导检测器 ( Thermal coductivity detector,简称TCD ),是应用比较多的检测器,不论对有机物还是无机气体都有响应。热导检测器由热导池池体和热敏元件组成。热敏元件是两根电阻值完全相同的金属丝(钨丝或白金丝),作为两个臂接入惠斯顿电桥中,由恒定的电流加热。如果 热导池只有载气通过,载气从两个热敏元件带走的热量相同,两个热敏元件的温度变化是相同的,其电阻值变化也相同,电桥处于平衡状态。如果样品混在载气中通过测量池,由于样号气和载气协热导系数不同,两边带走的热量不相等,热敏元件的温度和阻值也就不同,从而使得电桥失去平衡,记录器上就有信号产生。这种检测器是一种通用型检测器。被测物质与载气的热导系数相差愈大,灵敏度也就愈高。此外,载气流量和热丝温度对灵敏度也有较大的影响。热丝工作电流增加—倍可使灵敏度提高3—7倍,但是热丝电流过高会造成基线不稳和缩短热丝的寿命。热导检测器结构简单、稳定性好,对有机物和无机气体都能进行分析,其缺点是灵敏度低。 2.气相色谱仪氢火焰离子化检测器 氢火焰离子化检测器(Flame Ionization Detector,FID) 简称氢焰检测器。它的主要部件是一个用不锈钢制成的离子室。离子室由收集极、极化极(发射极)、气体入口 及火焰喷嘴组成。在离子室下部,氢气与载气混合后通过喷嘴,再与空气混合点火燃烧,形成氢火焰。无样品时两极间离子很少,当有机物进入火焰时,发生离子化反应,生成许多离子。在火焰上方收集极和极化极所形成的静电场作用下,离子流向收集极形成离子流。离子流经放大、记录即得色谱峰。有机物在氢火焰中离子化反应的过程如下:当氢和空气燃烧时,进入火焰的有机物发生高温裂解和氧化反应生成自由基,自由基又与氧作用产生离子。在外加电压作用下,这些离子形成离子流,经放大后被记录下来。所产生的离子数与单位时间内进入火焰的碳原子质量有关,因此,氢焰检测器是一种质量型检测器。这种检测器对绝大多数有机物都有响应,其灵敏度比热导检测器要高几个数量级,易进行痕量
海口市社保网上申报数字证书操作说明 一、社保网上申报为什么要使用数字证书? 利用数字证书的本身的特性,能够使社保机关部门与用户之间形成可信任的交流途径,可实现如下功能: 1、公正性。利用数字证书进行网上申报的活动,具有法律效力,活动双方都负有相应的法律责任。 2、身份确认。只有通过拥有合法机关颁发的数字证书才能登录到社保网上申报系统,以此确保申报者的真实合法身份。 3、权限控制。只有申请了数字证书的社保申报单位,才能直接参与网上申报、下载、提交的全过程,以保证申报系统不被非法访问,从而确保了单位自身的权益不被侵害。 4、完整性。利用数字证书的加密技术,能够保证网上申报的信息在传输过程中不被恶意篡改,保证申报的信息完整传输。 5、不可否认性。利用数字证书的数字签名技术,能够确保申报人与审核人对其行为的不可抵赖。 二、办理数字证书需要提交的资料 1、首次办理数字证书需要提交的资料: (1)、数字证书申请表(一式三联加盖公章) (2)、营业执照副本复印件(加盖公章) (3)、组织机构代码证副本复印件(加盖公章) (4)、税务登记证副本复印件(加盖公章) (5)、经办人身份证复印件(加盖公章)(二代身份证需复印正反两面) (6)、法人身份证复印件(加盖公章)( 二代身份证需复印正反两面) 2、“一证多用”: 已在地税办理数字证书的用户可以申请升级为“一证多用”用户,具体申请表格可详见附件,或登录海南省数字证书认证中心网站(https://www.doczj.com/doc/8e2238857.html,)下载“一户多证数字证书用户授权书”。 “一证多用”的概念:是指一个用户可以利用同一张数字证书登录多个不同的业务系统,例如地税系统、社保系统等。 “一证多用”适用范围:在同一个单位里,同一个人负责多个岗位的事务,例如既负责办理地税网报业务,同时又负责办理社保网上申报业务的,即可开通证书的”一证多用“功
内蒙古CA数字证书使用手册 目录 一、简介 (3) 1、什么是数字证书 (3) 2、为什么要使用数字证书 (3) 3、使用数字证书的好处 (4) 二、数字证书安装 (4) 1、安装数字证书的基本环境 (4) 2、安装驱动程序 (5) 3、新硬件安装 (14) 三、管理工具使用 (18) 1、密码修改 (18) 2、自动检测 (21) 3、证书有效期检验 (22) 4、查看证书信息 (22) 四、证书应用常见问题 (25)
1、内蒙古CA电子钥匙硬件问题 (25) 2、数字证书问题 (26) 3、驱动安装问题 (34)
内蒙古CA数字证书使用手册 一、简介 1、什么是数字证书 数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实生活中我们每一个人都要拥有一张身份证或驾驶执照来证明身份一样。 2、为什么要使用数字证书 在通过网络进行的电子商务和电子政务活动中,所有参与活动的实体都必须用数字证书来证明自己的身份。数字证书由权威的、公正的电子认证服务机构签发,为单位或个人在网上进行安全电子交易、安全事务处理提供权威的身份证明。
内蒙古CA数字证书使用手册 3、使用数字证书的好处 1)身份的可鉴别性:在互联网上进行交易的双方不能相互见面,可以利用数字证书来确认身份。 2)信息的保密性:利用数字证书对信息进行加密,保证加密后只有信息传递双方才能解密并阅读该信息。 3)信息的完整性:利用数字证书可以保证信息在互联网传输的过程中不被篡改。 4)信息的不可抵赖性:通过数字证书实现电子签名可以确保信息的不可否认,具有事后抗抵赖的作用。 二、数字证书安装 1、安装数字证书的基本环境 安装数字证书,需要具备以下的基本环境:
【发布单位】国家电力监管委员会 【发布文号】国家电力监管委员会令第5号 【发布日期】2004-12-20 【生效日期】2005-02-01 【失效日期】 【所属类别】国家法律法规 【文件来源】国家电力监管委员会 电力二次系统安全防护规定 (国家电力监管委员会令第5号) 《电力二次系统安全防护规定》已经国家电力监管委员会主席办公会议通过,现予公布,自2005年2月1日起施行。 主席柴松岳 二○○四年十二月二十日 电力二次系统安全防护规定 第一章总则 第一条为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,根据《中华人民共和国 计算机信息系统安全保护条例》和国家有关规定,制定本规定。 第二条电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证 的原则,保障电力监控系统和电力调度数据网络的安全。 第三条电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符 合本规定的要求。 第二章技术措施 第四条发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上 划分为生产控制大区和管理信息大区。 生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响
生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。 根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 第五条电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。 电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。 第六条在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。 生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。 第七条在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。 第八条安全区边界应当采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。 生产控制大区中的业务系统应当具有高安全性和高可靠性,禁止采用安全风险高的通用网络服务功能。 第九条依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统,生产控制大区中的重要业务系统应当采用认证加密机制。 第三章安全管理 第十条国家电力监管委员会负责电力二次系统安全防护的监管,制定电力二次系统安全防护技术规范并监督实施。 电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,建立健全电力二次系统安全管理制度,将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。 电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂输变电部分的二次系统安全防护的技术监督,发电厂内其它二次系统可由其上级主管单位实施技术监督。 第十一条建立电力二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将电力二次系统安全评估纳入电力系统安全评价体系。
+ CA认证和网上办事大厅客户端系统安装及使用手册 宁波市鄞州地方税务局 https://www.doczj.com/doc/8e2238857.html,
2012
目录 1、内容简介 2、办理流程 3、客户端系统—软件下载 4、客户端系统—软件安装 5、CA证书—软件安装 6、CA证书—登录使用 7、CA证书—常见问题 8、客户端操作手册 9、客户端常见问题 10、技术服务 附件资料一: 日常维护与服务说明 附件资料二:关于在全市使用网上办税的纳税人中推广电子签名身份认证技术的通知(甬地税征(2010)218号) 附件资料三:CA证书办理须知 (一) 内容简介 CA数字证书简介 政府机构或企业开发的业务系统大多是基于互联网的,需要通过广泛的、开放的互联网进行数据传输。因此,不可避免地存在着由于互联网的广泛性、开放性所带来的安全隐患,例如:用户身份认证、信息的机密性、信息的完整性、信息的不可抵赖性等。 宁波财税开发的网上办事大厅(客户端)、网上征管、个税全员申报、机打发票等互联网应用系统,涉及企业财务数据和国家财政收入等机密信息,因此,需要确保互联网数据传输的安全。根据业界实践经验,使用CA 数字证书是解决该问题的最佳选择。
使用CA证书将确保用户身份合法性和互联网数据安全 根据国家电子签名法,CA电子签名可替代手写签名或盖章 企业可以不再向财税局报送纸质报表(注:以局方通知为准) 宁波财税网上办事大厅(客户端)简介 网上办事大厅(客户端)是市财税局推出的集纳税申报、财务报表、 个税全员申报、所得税年报、机打发票等各种财税业务于一体的“一窗式” 服务终端,是所有企业涉税信息的统一出入口。“客户端”解决了企业电 脑上浏览器版本众多带来的操作使用问题、大数据量在线填写导致的网络 超时问题、以及企业端涉税软件统一管理和统一服务的问题,为广大纳税 企业提供一体化、方便、安全的办税服务。 客户端实现了所有涉税软件的整合,提供“一窗式”服务 有效避免了互联网浏览器版本不兼容问题,申报过程更稳定 不存在网络链接超时问题,支持长时间操作,以及大数据量填报 所有功能均支持CA数字证书,确保身份真实和数据传输安全 随着纸质报表的取消,真正实现“足不出户”享受办税服务 (二)办理流程 学习参加税局组织的集中培训或自学,学习CA证书及客户端操作要点客户端软件服务商常年提供免费培训,具体参见服务商网站: https://www.doczj.com/doc/8e2238857.html,/art/2011/6/2/art_1442_40000.html
专利电子申请数字证书常见问题 问: 什么是电子申请数字证书? 答: 专利电子申请数字证书是国家知识产权局注册部门为注册用户免费提供的用于用户身份验证的一种权威性电子文档,国家知识产权局可以通过电子申请文件中的数字证书验证和识别用户的身份。数字证书还有对申请文件进行打包加密的功能。 问: 用户如何获取数字证书? 答: 问: 用户数字证书如何备份?证书注销后如何重新申请?答: 问: 如何知道证书已经下载成功? 答: 用户数字证书重新签发后需要如何操作? 答: 问: 由于电脑重装系统,或其他原因导致数字证书不慎丢失,如何重新获取数字证书? 答:
问: 数字证书如何供多台电脑共同使用? 答: 问: 问: 如何设置用户数字证书的密码? 答: 用户在下载证书的时候,会弹出安装数字证书的提示框,默认的安全级别为中级,此时点击【设置安全级别】,选择“高”,点击【下一步】,输入密码,点击【确定】,即可设置数字证书的密码。 问: 用户下载数字证书的时候没有设置密码,如何重新设置密码? 答: 用户需要先从IE浏览器中导出数字证书,再将证书重新导入到IE浏览器中。导入时在根据页面上的提示,勾选“启用强私钥保护”和“标志此密钥是可导出的”选项,点击【设置安全级别】,选择“高”,点击【下一步】,输入密码,点击【确定】,即可重新设置数字证书的密码。设置密码后,在每次使用客户端进行数字签名时,系统都会弹出提示信息,要求用户输入密码。 问: 重装系统后数字证书丢失,应如何办理?要填什么表?答:
需要提交纸件形式的《电子申请用户注册事务意见陈述书》和相关证明文件复印件,重新申请证书。个人提交身份证复印件并签名,企业提交营业执照复印件并盖章。邮寄地址是: 北京市海淀区蓟门桥西土城路6号国家知识产权局专利局受理处,邮编: 100088。" 问: 数字证书可以重复下载吗? 答: 数字证书不可以重复下载,用户下载证书后应立即备份,并妥善保存。 问: 有时候已经成功下载了用户数字证书,但是在客户端系统中无法查看该证书,这是什么原因? 答: 如果使用的是正式环境下的数字证书,应当在客户端“系统设置”——>“选项”中选择“生产环境”;反之,如果使用的是测试环境下的数字证书,则应当在客户端“系统设置”——>“选项”中选择“测试环境”。 问: 上网看到注册成功了,登录后为什么没有显示用户证书那一栏? 答: 临时用户不能下载数字证书。 问: 导出备份的数字证书导入其他电脑后,CPC客户端查看不到此证书,是什么问题?
手册说明: 本手册为AHCA数字证书用户使用说明。 版权信息: 版本号:1.0 本文的版权属于安徽省数字认证中心,未经许可,任何个人和团体不得转载、粘贴或发布本文,也不得部分的转载、粘贴或发布本文,更不得更改本文的部分词汇进行转贴。 未经许可不得拷贝,影印。 Copyright @2004 安徽省数字认证中心
手册目录 1、关于数字证书 (3) 2、安装证书管理器和配套的介质驱动程序 (4) 3、导入企业身份证书和私钥 (14) 4、设置IE浏览器的安全等级 (17) 5、卸载证书管理器 (20) 附A数字证书使用注意事项 (21)
1、关于数字证书 为确保用户的数据的安全,使用AHCA数字证书可以确保数据传递的安全性和不可抵赖性。数字证书有两种: ●CA证书:以盘片形式发给用户,它包括一张3.5英寸软盘(或光盘)和一张密码信封。 ●USB证书:以USB棒形式发给用户,它包括一个USB棒、一张光盘和一张密码信封。使用 USB设备存储证书,需要安装证书管理器和USB驱动。 常用到数字证书的下列两个文件:UserCert.DER文件,一般我们称之为证书公钥;UserKey.KEY 文件,一般我们称之为证书私钥。用到的其他证书有: ●根证书 ●证书链 数字证书的作用: i、确保数据的安全性 发送方利用接收方的公钥证书对数据进行加密,接收方收到数据后,用接收方的私钥文件解密,保证发送方的发送数据只能被指定的接收方解密接收。 反之,指定的接收方收到数据后,将反馈信息用原发送方的公钥加密,原发送方在收到反馈信息后用自己的私钥文件解密,保证反馈的信息只能被原发送方解密接收。 ii、确保数据的不可抵赖性 发送方在发送数据时,用自己的私钥进行签名,网站收到发送方发送的数据请求后,用发送方的公钥验证签名,以确认发送方身份的合法性,网站接收合法的数据,并传递到接收方,接收方用发送方的公钥验证签名,确认发送方身份的合法性、唯一性和不可抵赖性。 接收方反馈信息时用自己的私钥进行签名,原发送方收到后,用接收方的公钥验证签名,确认反馈信息的合法性和不可抵赖性。
《电力二次系统安全防护规定》(电监会5号令) 第一章总则 第一条为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系统的安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,制定本规定。 第二条电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力的安全。 第三条电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符合本规定的要求。 第二章技术措施 第四条发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根安全要求划分安全区。 根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区接。 第五条电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共隔离。 电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。 第六条在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。 生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。 第七条在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密相应设施。 第八条安全区边界应当采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。 生产控制大区中的业务系统应当具有高安全性和高可靠性,禁止采用安全风险高的通用网络服务功能。 第九条依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统,生产控制大区中的重要业务系统应当采制。 第三章安全管理 第十条国家电力监管委员会负责电力二次系统安全防护的监管,制定电力二次系统安全防护技术规范并监督实施。 电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,建立健全电力二次系统安全管理制度,将电力二次系统安全防息报送纳入日常安全生产管理体系,落实分级负责的责任制。 电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂输变电部分的二次系统安全防护的技术监督,发
问题处理 5.1通用处理技能 5.1.1添加信任站点 查看方法:一般在当前打开的网页右下方会显示“可信站点”字样(如下图)。 如在当前网页右下方未显示信任站点的状态栏,点击当前浏览器上方的查看,状态栏一项打勾即可显示。 如果当前网页状态栏未显示“可信任站点”,而显示“未知区域”,则说明该站点还未被添加为可信站点,需重新添加。操作方法如下: 打开IE浏览器,点击工具—Internet选项—安全,选中受信任的站点或可信站点后点击站点,将需要添加信任站点的网址输入到“将该网站添加到区域中”并将“对该区域中的所有站点要求服务器验证”选项勾选去除,点击“添加”即可。 5.1.2安装证书信任链文件 当遇到证书路径有问题的情况下,电脑时间正常,则需要到汇信网下载中心,下载“ZJCA 证书信任链文件”(下图), 信任链文件 解压后分别安装两个证书即可。以下图分解说明信任链安装过程:
备注:顺序从左至右。 5.1.3确认IE浏览器版本 打开任意一个网页,点击浏览器上方“帮助-关于Internet Explorer”即可查看浏览器的版本。 “e照通”支持的是以IE核心的浏览器版本,如世界之窗(The World)、傲游浏览器(Maxthon)、腾讯TT(Tencent Traveler)、360安全浏览器(360SE)、搜狗浏览器等;不支持的浏览器有火狐(Firefox)、Opera、苹果等非IE核心的浏览器。
5.1.4安全警报 登录网站时涉及到安全证书的情况下,浏览器将会提示安全警报,点击“是”继续即可。如下图。 5.1.5启用控件 (一)浏览器上被拦截的控件 点击拦截工具条,再点击“为此计算机上的所有用户安装此加载项”,在点击安装后即可,如下图。
数字证书操作手册 ——适用贵州省公共资源交易中心 1、前言 欢迎使用贵州CA数字证书!本手册介绍了如何使用数字证书、如何使用数字证书登录系统、 如何使用电子印章等内容,我们希望通过本使用手册让您尽快熟悉和使用数字证书。 2、安装驱动程序 首次使用数字证书的用户必须先安装数字证书客户端。客户端有两种安装方式: 方式一:自动方式:用户插入USB-Key后,会在系统后台自动下载数字证书客户端的安装包,下载完毕后,自动弹出安装界面,请用户按照界面提示完成安装。 方式二:手工方式:用户访问贵州省公共资源交易中心交易平台(:8888/prt050a/auth/login)或贵州CA网站()下载数字证书客户端安装包,按照界面提示完成安装。 注意:使用方式二安装数字证书驱动的过程切勿将KEY插在电脑的USB接口。 客户端安装具体步骤: a下载驱动,点击运行,开始安装客户端
b 点击安装,客户端自动安装,直至完成 3、修改证书密码 为保证证书的安全性,用户首次使用数字证书前,建议先修改证书密码。 a 成功安装客户端后,在电脑右下角会显示证书管理器图标 b双击运行客户端,点击修改证书PIN码,
c 按提示修改密码即可。 4、使用数字证书登录贵州省公共资源交易中心交易平台。 a、登录贵州省公共资源交易中心网站()首页,点击“交易平台”。
b、选择“CA登录”,选择证书后点击“确定”再输入证书密码(办理证书后得到的机密函件内),即可 成功登录。 ★注意★原注册账号、密码在开通数字证书后即失效,无需输入,直接点击CA登录按钮。 5、IE浏览器设置(点击CA登录不能正常进入交易平台的客户才需设置) a 在“工具栏”里面找到“Internet选项”,点击“安全”里的“受信任的站点”,再点击“站点”, 把“将该网站添加到区域”。并把“对该区域中的所有站点要求服务器验证”前面的勾去掉。
2020年电力工程师职称考试(一) 一.单选题: 1.(单选题,0.5分)变压器铭牌上的额定容量是指(C ) A.有功功率; B.无功功率; C.视在功率; D.平均功率 2.(单选题,1分)下列(A )情况下单相接地故障电流大于三相 短路电流。 A.故障点零序综合阻抗小于故障点正序阻抗; B.故障点零序综合阻抗等于故障点正序阻抗; C.故障点零序综合阻抗大于故障点正序阻抗; D.故障点零序综合阻抗等于故障点负序阻抗。 3.(单选题,0.5分)在高压设备上工作,应至少由(B)进行,并 完成保证安全的组织措施和技术措施。 A.一人; B.两人; C.三人; D.四人 4.(单选题,1分)根据电力系统所承受扰动的大小,功角稳定类 型不包括(ACD)。 A.暂态稳定; B.电压稳定; C.静态稳定; D.动态稳定
5.(单选题,0.5分)计算机网络通信系统是指(D)。 A.电信号传输系统; B.文字通信系统; C.信号通信系统; D.数据通信系统 6.(单选题,0.5分)输送相同的负荷,提高输送系统的电压等级会 (B)。 A.提高负荷功率因数; B.减少线损; C.改善电压波形; D.增大电流 7.(单选题,0.5分)电力监控系统安全防护工作应当按照等级保护 的有关要求,坚持(B)的原则,保障电力监控系统和电力调度数据网络的安全。 A.“安全分区、网络专用、纵向隔离、横向认证”; B.“安全分区、网络专用、横向隔离、纵向认证”; C.“安全隔离、网络专用、横向分区、纵向认证”; D.“安全认证、网络专用、纵向隔离、横向分区”。 8.(单选题,0.5分)计算机的操作系统是指(C)。 A.软件与硬件的接口; B.主机与外设的接口; C.计算机与用户的接口; D.高级语言与机器语言的接口。 9.(单选题,1分)户外110kV中性点接地系统高压配电装置场所 的行车通道上,车辆(包括装载物)外廓至无遮拦带电部分之间的安全距离为(D)m。 A. 1.35; B. 1.55; C. 1.60; D. 1.65
单位使用企业数字证书登录公积金网上政务大厅的办理流程 一、业务申请 (一)已有四川CA“e证通”企业数字证书的用户 (证书须在有效期内,且能正常使用) 填写《“E证通”公积金网上业务开通申请表》,并携带数字证书USBkey到成都住房公积金管理中心柜台申请开通。 (二)无四川CA“e证通”数字证书的用户,请按以下办理: 提交下列资料(均加盖公章,证照为最新年检有效) ①《“e证通”数字证书业务申请表》原件1份 ②企业法人营业执照(副本)复印件1份 ③组织机构代码证(副本)复印件1份 ④经办人身份证复印件1份 二、业务受理 新办数字证书的地点、方式,由成都公积金管理中心和四川“CA”认证中心根据情况确定后告知单位。 新办用户当月提交资料,请于次月凭电话通知,由经办人本人前来领取“e 证通”数字证书。 三、相关费用 已有证书开通业务免费 证书开户费:200元/个(2011年免开户费) 企业数字证书服务费:400元/年(2011年免费) KEY解锁:免费 证书变更:20元/次 遗失补办、损坏更换:80元/个 (解锁、证书变更、遗失补办、损坏更换请到四川CA数字证书窗口办理:
地址:草市街2号(四川省/成都市政务服务中心5楼) 电话:86936568 附件1:“e证通”数字证书业务申请表 附件一: “e证通”数字证书业务申请表 注意事项: 1、请用黑色水笔填写或电脑A4纸打印,一旦递交则视作承认并遵守《数字证书用户责任书》。 2、『新办』、『更新』、『变更』业务需携带以下资料(均加盖公章): ①单位证照(副本)复印件一份 ②《组织机构代码证(副本)》复印件一份
③经办人有效身份证件复印件一份 3、『解锁』『注销』『补办』业务办理需携带以下资料(加盖公章): ①经办人有效身份证件复印件一份 “e证通”数字证书用户责任书 数字证书(以下简称“证书”)用于标识网络用户的身份,四川省数字证书认证管理中心有限公司(以下简称“四川CA”)作为权威的、公正的第三方机构,为用户提供数字身份认证服务。 “e证通”是四川CA推出的在政府网上申报、网上审批业务中使用的,可以实现“一证多用”的数字证书。经“e证通”签名的电子文档与手写签名及纸质材料加盖公章具有同等法律效力。用户使用“e证通”经授权后可以进入多个政府职能部门的网上业务系统,能够降低开展网上业务的成本, 提高数字证书的使用效率,但同时也可能会使单位内部原本分权管理的核心信息无法实现分权管理。为合理使用“e证通”,在享受“e证通”好处的同时降低使用风险,特订立如下条款,四川CA和用户共同遵守执行: 一、用户知晓证书只能用于在网络上标识用户身份,不作其他任何用途,但各应用系统可以根据该功能对 其用途进行定义。用户应妥善保管数字证书,所有使用数字证书在网上作业中的活动均视为用户所为,用户对使用数字证书的行为负责,因此而产生的相关后果应当由用户自行承担。 二、用户在申请证书时请遵照四川CA的规程办理相关手续。 三、用户同意四川CA向有关部门和个人核实用户信息且四川CA有权合法收集、处理、传递和应用用户资 料,并按照国家有关规定对用户资料保密。 四、用户申请证书时应向四川CA提供真实、完整、准确的资料和信息。如用户故意或过失提供不真实资料 和信息而导致四川CA签发证书错误的,由用户承担所造成的一切责任和损失。证书申请者的申请一旦获得批准,无论是否已经接受证书,证书申请者自动成为证书用户。 五、用户因提供的资料信息如单位名称、单位注册号、组织机构代码等资料信息在证书有效期内变更的, 应当及时书面告知四川CA,并终止使用证书。在证书签发日起30日内发生变更的,四川CA提供免费变更服务。 六、用户应妥善保管证书和证书私钥。如因用户原因致使证书私钥泄露、损毁或者丢失的,损失由用户自 行承担。如证书私钥在证书有效期内泄露、损毁、丢失或可能泄露、损毁、丢失的,用户应及时向四川CA申请办理注销手续。注销自手续办妥时起生效,注销生效前发生的损失由用户自行承担。 七、用户终止使用证书时,应当立即申请注销证书。证书注销生效前,用户自行承担使用数字证书造成的 一切责任。 八、四川CA承诺,由于四川CA原因导致证书签发错误或证书私钥破译并对用户造成损失的,由四川CA向 用户承担赔偿责任。 九、由于不可抗力因素致使四川CA无法履行相应义务,四川CA不承担任何责任。 十、下列情形之一,四川CA有权注销所签发的证书并不承担任何责任。由此给四川CA造成损失的,用户 应当向四川CA承担赔偿责任: 1、提供的资料或信息不真实、不完整或不准确的; 2、证书信息有变更或证书私钥已经丢失或可能丢失,未终止使用该证书并通知四川CA的; 3、超过证书的有效期限使用证书的; 4、没有按照规定缴纳证书费用或其它相关费用的; 5、使用证书用于违法、犯罪活动的。 十一、证书的有效期为一年,自证书签发之日起计算。用户更新证书的,须在证书期限届满前30天以内向四川CA提出证书更新请求,否则,期限届满后证书将自动失效,四川CA对此不负任何责任。用户所提交的鉴证资料有效期先于证书的有效期届满的,用户应在原资料有效期届满前更新资料,否则四川CA有权注销用户的证书,若因此而造成损失,由用户承担。 十二、如果用户单位解散,法定责任人需要携带相关证明文件及原证书,向四川CA请求注销用户证书。相关责任人应当承担其证书在注销前相关行为所产生的责任。
数字证书使用指南 用户拿到数字证书和密码卡后,首先要在准备使用数字证书的计算机上安装证书应用环境“ BJCA ffi书助手”(即数字证书驱动)。 数字证书驱动可在襄阳市国土资源网上交易系统下载。 以下是使用详细流程: 1.1 证书应用环境安装 将用户的USBKEY插到电脑上,然后双击证书应用环境的安装程序。首先对 压缩包进行解压,解压完毕后双击进行安装,如图1所示。 图1安装证书应用环境
点击“安装”,安装证书信任列表,如图2所示 图2安装证书信任列表 安装程序将提示插入USBKE,此时确保USBKE已经和电脑正常连接,然后点击 【确定】,进行驱动的安装,如图3所示。 图3 提示插入USBKEY 安装程序自动识别所插入的USBKEY^类型,并安装对应的驱动,点击【确定】进行安装,如图4所示。
图4识别KEY 类型 点击【确定】开始安装驱动,如图 5所示 图5 开始安装驱动 点击【下一步】,出现硬件安装的提示,点击【仍然继续】直到安装过程进入到 下一个页面,如图6 所示。
图6驱动安装过程 点击【完成】结束安装,如图7所示。 图7 完成安装
1.2 证书密码修改 证书应用环境安装成功后会在桌面上生成一个证书管理工具,证书密码可以通过证书管理工具进行修改。 1、用户刮开“数字证书密码卡”上获得初始密码,建议用户立即修改初始密码。 2、将数字证书USBKE插入计算机USB接口,打开数字证书管理工具,点击“证书管理-修改密码” 3、在“当前密码”对话框中输入初始密码,在“新设密码”对话框中输入 新密码,在“二次确认”对话框中再次输入新密码,点击“确定”完成密码修改。 4、P IN码最多输入不能超过8次,8次后KEY自动锁死。如出现此情况请速于BJCA(湖北信天行)进行联系解锁。 注:密码不能长于16位。 首先插入USBKEY打开,点击【修改密码】按钮,如图8所示。 图8 证书管理工具 输入当前密码和新密码,点击【确定】修改证书密码,如图9所示。
扁平化指挥系统平台 解决方案 四川天翼网络服务有限公司 2014年6月
一、项目背景 近年来,在我国“科技强警”战略背景下,各地公安机关纷纷进行信息化系统的研发和应用,在强化社会服务管理、维护治安秩序、保障公共安全、预防和打击违法犯罪等各项警务工作取得了明显成效。我省公安系统已经逐步建成了视频会议系统、监控系统、350M 集群系统等涵盖视频、语音、数据等方面的通信保障系统,以及警务综合应用系统、PGIS警用地理信息系统、PKI/PMI数字证书系统等业务应用管理系统,极大地提高了公安机关各部门的工作效率,提升了公安系统的日常工作效率,提高了应对紧急突发事件的处置能力。 但是在成绩之外,现有信息化建设距离“信息主导警务、情报引领实战、扁平警务调度”的警务新格局还有较大差距,主要表现在以下几个方面:一是总体规划、建设和应用明显滞后于现实斗争需要;二是建设、管理水平难以满足各级公安机关和广大公安民警对信息化应用的旺盛需求增长;三是实际发展不平衡对公安信息化建设愈加注重整体性推进的相矛盾;四是前期分散式建设模式阻碍公安信息化集成、整合、共享工作开展;五是传统警务机制惯性与建立以信息化为核心的现代警务机制相矛盾。 如何整合已掌握的信息资源,实现公安指挥调度工作在应急处突工作时的扁平化,提高指挥调度的工作效率,更好地满足我省公安系
统各级指挥中心快速、高效处置重特大案(事)件的指挥调度需要;如何有效提升全省公安机关快速反应、处置突发事件的能力;如何更积极的适应科技发展趋势,向信息化要警力、要战斗力,稳步推进信息化项目的建设应用和信息化系统的管理维护工作成为新时期公安信息化建设的重点。 随着日益严峻的反恐压力和快速维稳处突等新要求,急需要一个综合性的指挥调度系统来指挥公安部门日常工作和实际作战。天翼公司以“信息主导警务、情报引领实战”为导向,按照四川省公安厅“4+2”战略框架体系总体部署,结合公安信息化工作的实际,研发了扁平化指挥系统平台。该系统将构架扁平化指挥体系的核心平台,实现省厅指挥中心与公安部指挥中心、厅交警、消防、警卫和边防指挥中心的互联互通,实现省厅与市、区、县各级指挥中心的可视指挥、视频调用、视频会议、实时交流、数据共享等功能,并实现全网视频、音频资源的统一管理和统一调度。系统将改善公安部门指挥决策链条过长的缺点,实现现有警用业务系统间的交互,整合资源,充分利用各项业务数据进行分析挖掘,为指挥决策提供重要的数据支撑。 二、系统功能简介 扁平化指挥系统基于GIS、PGIS平台,充分整合公安的“三台合一”接处警系统,对GPS定位、天网视频监控和350M无线集群、短信系统等系统进行有效关联整合,从而构建了可用于公安日常工作和作战指挥的扁平化、可视化指挥系统。系统可实现对巡逻警员在地图
深圳市组织机构数字证书操作使用及服务指南 一、数字证书已开通的应用: ODC现已开通组织机构代码网上年检、变更和换证、营业执照网上年检、网上社保、地税的网上报锐、贷款卡年审、车管等多项应用。 二、数字证书如何使用: 第一步:安装数字证书驱动程序(必须安装) 登录“全国组织机构代码深圳分中心”网站,网址:https://www.doczj.com/doc/8e2238857.html,;点击首页-“驱动下载”,选择网证通NETCA版本的驱动下载后进行安装 第二步:安装提示成功后,重启电脑 第三步:重启电脑后插入数字证书 第四步:登录“全国组织机构代码深圳分中心”网站,根据业务需要,点击代码证网上年检、代码证网上变更、代码证网上换证、数字证书应用(含营业执照网上年检、社保申报、地税报税、车管应用)等选项在网页上填写或提交相关资料。 三、如何进行组织机构代码证网上年检: 一、前提条件 1、插入UKey,数字证书客户端能读取到两个证书(签名和加密),正常显示电子副本 2、电脑系统时间正常,数字证书没有到期(如证书已到期请参照“四”更新证书有效期) 3、其他代码业务已完成办结(如:代码证网上变更、换证,代码信息修改) 二、年检操作过程(普通年检/快速年检) 1、普通年检 1)打开深圳代码网站https://www.doczj.com/doc/8e2238857.html,,点击“代码证网上年检”,如下图: 2) 点击“1组织机构数字证书登录,如下图: 3)“请您选择数字证书”选择单位名称,点击登录,输入密码,点“确定”,如下图: 4)填写必填项:法人/负责人电话、填表人名字、填表人电话、证件号码,点“预览”备注:如是分公司年检,需 填写上级主管部门和主管 部门机构代码栏。 5) 核对页面信息是否有错, 如有,点“返回修改”,如正 确,点“提交” 6) 提交成功后,记录页面的 受理号,方便查询受理进度 7) 第二个工作日,可打开网 站:https://www.doczj.com/doc/8e2238857.html,,点击 “办理进度查询”,输入回执 号查询办理结果 8) 办理结果页面如看到2 个绿色的勾,说明已年检完 成,如下图所示: 备注:上图为不用上传资 料的机构年检通过的结果。 如有上传资料的情况,请参 考页面提示,进行资料上传 2、快速年检(截图略) 注意事项: 如同时符合以下2个条件的 可以进入快速年检通道办 理代码证网上年检 企业或个体工商户 无任何资料变更 全国组织机构代码管理中心深圳分中心网址https://www.doczj.com/doc/8e2238857.html, 数字证书咨询电话800-830-1330
如何使用数字证书 (说明:本手册仅对数字证书的安装以及广交会网络管理系统相应应该设置的操作进行说明,在系统正式启用数字证书前,所有操作方法与原来的相同。本手册上的系统操作说明只有在启用数字证书后才适用) 第一部分:系统登陆 一、安装数字证书 电子密钥是一外形象U盘的安全存储体,内含数字证书,通过数字证书保证使用者操作的合法、有效。 电子密钥需要驱动程序,其驱动程序的安装过程如普通硬件。 安装驱动程序方法: ①把证书驱动程序光盘放进光驱里,光盘会自动播放,在弹出的窗口 点击安装电子密钥驱动; ②按照屏幕提示进行安装; ③“电子密钥PKXC用户版”已经安装完毕,在任务栏上会新增一个小图标如下: 如果此工具没有启动,请点击“开始”->“程序”->“电子密钥用户版”->“数字证书查验工具”,启动此工具。 插入电子密钥(以winXP为例) 1、将电子密钥插进USB接口,任务栏会显示: 2、等待片刻,会出现如下窗口:
3、在以上的窗口选择默认的选项“自动安装软件(推荐)”,点击下一步,等待片刻,系统自动安装; 4、点击完成,新硬件安装成功 。 检验安装是否成功 1、确认电子密钥插好后,打开浏览器(IE),菜单中选择“工具”——>“Internet选项”; 2、在出现的窗口上选择“内容”的页面,点击“证书”项,可以查看到自己的证书。 (当Windows系统存在的证书数量不止一个时,在使用备案网站的备案表输入和证件申请过程
中,提交操作时会弹出窗口要求你选取要签名的证书。为了使操作方便,建议把不起作用的证书删除,使Windows系统只保留本中心下发的证书,比如上图的Administrator证书是Windows自带的,可以选择它删除,如下图,点击“是”完成删除) 密码更改 1、插入电子密钥 2、双击任务栏上电子密钥的图标: 3、选择管理工具的“修改密码”按钮,进行密码修改(原密码是12345678)。 Internet设置(此项设置必设) 如果第一次进入备案系统网站(https://www.doczj.com/doc/8e2238857.html,)出现以下提示或无法正常登陆系统,或者在网页浏览过程中防毒软件有提示ActiveX 控件没启用或者拦截了,则需要把防毒软件暂时停掉,另外可能需要进行以下几