NetSign產(chǎn)品技術(shù)白皮書

目前 第1 產(chǎn)品概 公司介 產(chǎn)品體系介 產(chǎn)品背 第2 相關(guān)技術(shù)知 PKI技術(shù)知 對(duì)稱密鑰算 非對(duì)稱密鑰算 其他技術(shù)知 ActiveX插 MS 第3 產(chǎn)品結(jié) 產(chǎn)品組 DownloadCRL服 產(chǎn)品架 第4 產(chǎn)品功 核心功 簽名功 數(shù)字信封功 帶簽名的數(shù)字信封功 附加功 獨(dú)立使用的接 獲取證書信息的接 第5 產(chǎn)品特 產(chǎn)品特 雙向的數(shù)字簽名/驗(yàn) 支持IC卡形式的證書介 強(qiáng)大的證書狀態(tài)檢驗(yàn)功 靈活而且便于使 第6 運(yùn)行環(huán) 操作系 Java應(yīng)用服務(wù) 第7 典型應(yīng) 應(yīng)用背 解決方 系統(tǒng)結(jié)構(gòu) 產(chǎn)品部 第8 技術(shù)規(guī) 證書標(biāo) PKI標(biāo) 目錄服 編 算法強(qiáng) 第9 附 詞匯 信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司PAGE1PAGE1前第1章產(chǎn)品概述1998信安世紀(jì)與眾多著名企業(yè)、優(yōu)質(zhì)客戶建立了長(zhǎng)期、穩(wěn)定的戰(zhàn)略伙伴關(guān)系，公司將加強(qiáng)對(duì)客戶需求的了解，為客戶提供具有創(chuàng)新價(jià)值的應(yīng)用解決方案，更好地為客戶提供優(yōu)質(zhì)的服務(wù)；公司還將致力于與合作伙伴共同發(fā)展，加強(qiáng)新技術(shù)交流，促進(jìn)應(yīng)用安全行業(yè)的蓬勃發(fā)展。ISO7498-2中提身份管理：NetCert（證安通（CA、RA、OCSP、安全傳輸是實(shí)時(shí)的，使用的臨時(shí)加密密鑰難于存儲(chǔ)，一旦連接結(jié)束，基于SSL/TLS協(xié)議的身份認(rèn)證就消失了。交易雙方可以對(duì)發(fā)生過的交易內(nèi)容進(jìn)行否信安世紀(jì)提供的NetSign這個(gè)產(chǎn)品作為應(yīng)用開發(fā)商實(shí)現(xiàn)信息安全的接口，第2章相關(guān)技術(shù)知識(shí)PKIPKI是“PublicKeyInfrastructure作為一種技術(shù)體系，PKI可以作為支持認(rèn)證、完整性、機(jī)密性和不可否認(rèn)為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障。PKI的核心是要解決信息網(wǎng)絡(luò)空間中的信任一個(gè)標(biāo)準(zhǔn)的PKI域一般包括數(shù)字證書認(rèn)證中心CA、審核注冊(cè)中心RA(RegistrationAuthority)、密鑰管理中心KM(KeyManager)等關(guān)鍵組件。CA（CertificateAuthority）PKIPKI的主（CRL信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司PAGE6PAGE6RA（RegistrationAuthority）CA的組成部分，非對(duì)稱密鑰算法采用兩個(gè)不同的密鑰進(jìn)行加解密的操作，一個(gè)密鑰公開只（通稱為公鑰（通稱為私鑰那么只有擁有私鑰的接收人才能閱讀經(jīng)過公鑰加密的消息。當(dāng)然，如果發(fā)送的信息還要經(jīng)過信息發(fā)送者的署名，只要需要用信息發(fā)送者的私鑰做簽名操作，則接收方只要用發(fā)送者的公鑰進(jìn)行驗(yàn)證，就可識(shí)別信息發(fā)布者的身份。常用的公鑰算法有：、、。CA發(fā)放X.509是廣泛使用的證書格式之一，X.509用戶公鑰證書由可信賴的證書在ITU標(biāo)準(zhǔn)和X.509V3里定義。根據(jù)這項(xiàng)標(biāo)準(zhǔn)，數(shù)字證書包括證書申請(qǐng)者的信息和發(fā)放證書CA的信息。X.509數(shù)字證書內(nèi)容：域SerialPeriodofSubject'sKeyMD5SHA-1A將需要發(fā)送的信息使用散列函數(shù)生成摘要信息，自己的私鑰B。BA的公鑰驗(yàn)加密：ABB；B在收到密文后用自己的私鑰進(jìn)行解密，將密文恢復(fù)為原文。該過程實(shí)現(xiàn)了信息的保密性以及對(duì)信息接收方B的認(rèn)證。信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司A先用由計(jì)算機(jī)隨機(jī)生成的一組一次使用的對(duì)稱密鑰——會(huì)話密鑰（SessionKey）B的公鑰對(duì)會(huì)話密鑰進(jìn)行加密處理，并將加密的會(huì)話密鑰附在密文后一起發(fā)送給B；B在收到密文和加密LDAP（LightweightDirectoryAccessProtocol，輕目錄訪問協(xié)議。它是一種標(biāo)準(zhǔn)，用于采用TCP/IP來(lái)更新和搜索目錄。LDAP允許通過訪問其它任LDAPInternetIntranet目錄，方便查找其它的Internet用戶。信息被集中存儲(chǔ)在服務(wù)器上的LDAP目錄中，LDAP目錄是一種數(shù)據(jù)庫(kù)；然UNIX文件系統(tǒng)非常相似：DN（Name；目錄被進(jìn)一步細(xì)分成組織單元（OrganizationUnits或OU；在這些OU中是包含數(shù)據(jù)的項(xiàng)。這種樹-葉結(jié)構(gòu)不僅使LDAP變得可擴(kuò)展，而且當(dāng)進(jìn)行簡(jiǎn)單ActiveXActiveXMicrosoftCOM（ComponentObject現(xiàn)組件之間及組件與系統(tǒng)之間的相互作用。ActiveX控件作為一個(gè)模塊化的靈序，只要靈活地插入一個(gè)具有此項(xiàng)功能的ActiveX控件即可實(shí)現(xiàn)。ActiveX的MSMSCryptoAPIPKIwindows操作系統(tǒng)實(shí)現(xiàn)安全加密應(yīng)用的服務(wù)體系。通過MSCryptoAPI可以在windows操作系統(tǒng)快速開發(fā)PKI應(yīng)用實(shí)現(xiàn)SSL連接、數(shù)字簽名和加密、安全郵件服務(wù)。CSP（CryptographicServiceProvider）通常是一個(gè)動(dòng)態(tài)連接庫(kù)文件(DynamicLinkLibraryDLL文件)CryptoAPICSP提供的函數(shù)，從而使硬件設(shè)備CPU卡或者USBKey完成加密服務(wù)。PKCS(PublicKeyCryptographicStandard)RSA公司提出公開法標(biāo)準(zhǔn))是在S/MIME中密碼書寫功能實(shí)現(xiàn)的框架，詳細(xì)說明了數(shù)據(jù)格式和加第3章產(chǎn)品結(jié)構(gòu)NetSign為客戶提供了基于Web瀏覽器和Web服務(wù)器的數(shù)字簽名解決方案，實(shí)現(xiàn)了對(duì)Web頁(yè)面中的指定內(nèi)容和文件進(jìn)行數(shù)字簽名和驗(yàn)證。NetSign由客戶端的瀏覽器控件（NetSign/Client）和一系列服務(wù)器端的API組件NetSignActiveX控件和服務(wù)器端的API組合，可以使用戶通過使用自己的證書（私鑰）來(lái)對(duì)交易過程中所要提交DownloadCRL是NetSign的外圍服務(wù)組件，完成CRL文件的下載。在NetSign的簽名和數(shù)字信封的認(rèn)證過程中，主要包括證書的三個(gè)特性的驗(yàn)證，CRL（證書廢棄列表）CFL（證書凍結(jié)列表）驗(yàn)證證書是否在由證書認(rèn)證中心（CA）簽發(fā)的CRL和CFL文件中通常情況下，證書認(rèn)證中心（CA）CRLCFL文件到發(fā)布證LDAP目錄服務(wù)器上。DownloadCRLNetSign運(yùn)行在一臺(tái)服務(wù)器上，通過遠(yuǎn)程下載的模式將文件放置在指定的目錄中供NetSign的使用。WebWebWebWebClient組件第4章產(chǎn)品功能AttachedDettachedAttachedAttachedCRL。Dettached對(duì)由Dettached方式產(chǎn)生的簽名數(shù)據(jù)進(jìn)行驗(yàn)證，并且驗(yàn)證該簽名證書的有打包數(shù)字信封(Attach帶簽名該功能按照MS定義的格式封裝帶簽名的數(shù)字信封，整個(gè)過程保證數(shù)字信解密數(shù)字信封(Attach帶簽名),接收者對(duì)接收的,數(shù)字信封(Attach帶簽名)進(jìn)行解密后，對(duì)獲得的簽名包進(jìn)NetSignAPI對(duì)輸入的串進(jìn)行用戶可以實(shí)現(xiàn)按BASE64方式返回一個(gè)字符串的SHA1_HASH結(jié)果的功BASE64BASE64獲取證書的完整信息（需要自行解析第5章產(chǎn)品特點(diǎn)NetSign可以實(shí)現(xiàn)客戶——服務(wù)器的雙向數(shù)字簽名和驗(yàn)證，比普通的單向支持ICNetSignCRL方式來(lái)進(jìn)行證書作廢狀態(tài)查詢，確保關(guān)鍵應(yīng)用的安全可NetSignWeb應(yīng)用平臺(tái)，可以方便地與現(xiàn)有的應(yīng)用系統(tǒng)連接與客第6章運(yùn)行環(huán)境SUNRedFlagMicrosoftJavaJavaIBMBEA 第7章典型應(yīng)用該集團(tuán)財(cái)務(wù)公司內(nèi)部銀行系統(tǒng)最終成功地采用了信安世紀(jì)提供的安全解決e實(shí)現(xiàn)了基于Ie控制功能將無(wú)有效證書的用戶隔離在業(yè)務(wù)系統(tǒng)之外；用NetSign行結(jié)合，實(shí)現(xiàn)了對(duì)交易單的數(shù)字簽名，從而保證了交易數(shù)據(jù)的提交者是可以進(jìn)RLL同時(shí)對(duì)于關(guān)鍵數(shù)據(jù)采用通用的標(biāo)準(zhǔn)實(shí)現(xiàn)了簽名、加密操作，保證了數(shù)據(jù)的完整WeWebNetSigNetSaWebNetSigNetSaLDAInteLDAInterneInterne信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司P3800以上、40GWindows2000第8章技術(shù)規(guī)格X.509InternetX.509PublicKeyCertificateandCRL證書策略及證書實(shí)施InternetX.509PublicKeyInfrastructureCertificatePolicyandCertification證書管理協(xié)議與消息CertificateManagementOn-lineCertificateStatusAnInternetAttributeCertificateProfileRFCPKIRSARSACryptographyDHPassword-BasedCryptographyExtended-CertificateSyntaxCryptographicMessageSyntaxPrivate-KeyInformationSyntaxCertificationRequestSyntaxCryptographicTokenInterface EllipticCurveCryptography加密硬件信息格式標(biāo)準(zhǔn)CryptographicTokenInformationOverviewofconcepts,modelsand TheLDAPDataInterchange ObjectLightweightDirectoryAccessProtocolLDAPAccessControlRequirementsforLDAPAuthenticationMethodsforLDAPLDAPv3:ExtensionforTransportWebHypertextTransferProtocol--HypertextTransferProtocol--HTML(HyperTextMarkupLanguage)ExtensibleMarkupLanguage(XML)Specificationofbasicnotation;objectspecification;Constraint2ASN.1ASN.1encodingrules:SpecificationBasicEncodingRules(BER),1EncodingRules(CER)andEncodingRules(DER);SpecificationPackedEncodingRules1281024信安世紀(jì)信息安全技術(shù)有限公司信安世紀(jì)信息安全技術(shù)有限公司第9章附錄NetCert（證安通PKI體系的技術(shù)實(shí)現(xiàn)，它PKICARA、KMC密鑰管理中NetCert產(chǎn)品將為整個(gè)應(yīng)用安全信任域內(nèi)的所有用戶簽發(fā)有效的口的網(wǎng)絡(luò)安全連接的代理服務(wù)器；主要通過個(gè)人數(shù)字證書通過IE瀏覽器實(shí)現(xiàn)Web應(yīng)用的SSL/TLS安全連接。LinkSafe（聯(lián)安通NetSafe實(shí)現(xiàn)Web應(yīng)用的SSL/TLS安全連接。RSA：適用于數(shù)字簽名和密鑰交換。Rivest-Shamir-Adleman(RSA)加密算法是目前應(yīng)用最廣泛的公鑰加密算法，特別適用于通過Internet傳送的數(shù)據(jù)。這種算法以它的三位發(fā)明者的名字命名：RonRivest、AdiShamir和LeonardAdleman。RSA算法的安全性基于分解大數(shù)字時(shí)的困難（處理時(shí)間而言。在常用的公鑰算法中，RSA與眾不同，它能夠進(jìn)行數(shù)字簽名DSA由美國(guó)國(guó)家安全署(UnitedStatesNationalSecurityAgencyNSA)發(fā)明，已經(jīng)由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)(NationalInstituteofStandardsandTechnology,NIST)收錄到聯(lián)邦信息處理標(biāo)準(zhǔn)(FederalInformationProcessingStandard,FIPS)之D