目前 第1 產品概 公司介 產品體系介 產品背 第2 相關技術知 PKI技術知 對稱密鑰算 非對稱密鑰算 其他技術知 ActiveX插 MS 第3 產品結 產品組 DownloadCRL服 產品架 第4 產品功 核心功 簽名功 數字信封功 帶簽名的數字信封功 附加功 獨立使用的接 獲取證書信息的接 第5 產品特 產品特 雙向的數字簽名/驗 支持IC卡形式的證書介 強大的證書狀態檢驗功 靈活而且便于使 第6 運行環 操作系 Java應用服務 第7 典型應 應用背 解決方 系統結構 產品部 第8 技術規 證書標 PKI標 目錄服 編 算法強 第9 附 詞匯 信安世紀信息安全技術有限公司信安世紀信息安全技術有限公司PAGE1PAGE1前第1章產品概述1998信安世紀與眾多著名企業、優質客戶建立了長期、穩定的戰略伙伴關系，公司將加強對客戶需求的了解，為客戶提供具有創新價值的應用解決方案，更好地為客戶提供優質的服務；公司還將致力于與合作伙伴共同發展，加強新技術交流，促進應用安全行業的蓬勃發展。ISO7498-2中提身份管理：NetCert（證安通（CA、RA、OCSP、安全傳輸是實時的，使用的臨時加密密鑰難于存儲，一旦連接結束，基于SSL/TLS協議的身份認證就消失了。交易雙方可以對發生過的交易內容進行否信安世紀提供的NetSign這個產品作為應用開發商實現信息安全的接口，第2章相關技術知識PKIPKI是“PublicKeyInfrastructure作為一種技術體系，PKI可以作為支持認證、完整性、機密性和不可否認為網絡應用提供可靠的安全保障。PKI的核心是要解決信息網絡空間中的信任一個標準的PKI域一般包括數字證書認證中心CA、審核注冊中心RA(RegistrationAuthority)、密鑰管理中心KM(KeyManager)等關鍵組件。CA（CertificateAuthority）PKIPKI的主（CRL信安世紀信息安全技術有限公司信安世紀信息安全技術有限公司PAGE6PAGE6RA（RegistrationAuthority）CA的組成部分，非對稱密鑰算法采用兩個不同的密鑰進行加解密的操作，一個密鑰公開只（通稱為公鑰（通稱為私鑰那么只有擁有私鑰的接收人才能閱讀經過公鑰加密的消息。當然，如果發送的信息還要經過信息發送者的署名，只要需要用信息發送者的私鑰做簽名操作，則接收方只要用發送者的公鑰進行驗證，就可識別信息發布者的身份。常用的公鑰算法有：、、。CA發放X.509是廣泛使用的證書格式之一，X.509用戶公鑰證書由可信賴的證書在ITU標準和X.509V3里定義。根據這項標準，數字證書包括證書申請者的信息和發放證書CA的信息。X.509數字證書內容：域SerialPeriodofSubject'sKeyMD5SHA-1A將需要發送的信息使用散列函數生成摘要信息，自己的私鑰B。BA的公鑰驗加密：ABB；B在收到密文后用自己的私鑰進行解密，將密文恢復為原文。該過程實現了信息的保密性以及對信息接收方B的認證。信安世紀信息安全技術有限公司信安世紀信息安全技術有限公司A先用由計算機隨機生成的一組一次使用的對稱密鑰——會話密鑰（SessionKey）B的公鑰對會話密鑰進行加密處理，并將加密的會話密鑰附在密文后一起發送給B；B在收到密文和加密LDAP（LightweightDirectoryAccessProtocol，輕目錄訪問協議。它是一種標準，用于采用TCP/IP來更新和搜索目錄。LDAP允許通過訪問其它任LDAPInternetIntranet目錄，方便查找其它的Internet用戶。信息被集中存儲在服務器上的LDAP目錄中，LDAP目錄是一種數據庫；然UNIX文件系統非常相似：DN（Name；目錄被進一步細分成組織單元（OrganizationUnits或OU；在這些OU中是包含數據的項。這種樹-葉結構不僅使LDAP變得可擴展，而且當進行簡單ActiveXActiveXMicrosoftCOM（ComponentObject現組件之間及組件與系統之間的相互作用。ActiveX控件作為一個模塊化的靈序，只要靈活地插入一個具有此項功能的ActiveX控件即可實現。ActiveX的MSMSCryptoAPIPKIwindows操作系統實現安全加密應用的服務體系。通過MSCryptoAPI可以在windows操作系統快速開發PKI應用實現SSL連接、數字簽名和加密、安全郵件服務。CSP（CryptographicServiceProvider）通常是一個動態連接庫文件(DynamicLinkLibraryDLL文件)CryptoAPICSP提供的函數，從而使硬件設備CPU卡或者USBKey完成加密服務。PKCS(PublicKeyCryptographicStandard)RSA公司提出公開法標準)是在S/MIME中密碼書寫功能實現的框架，詳細說明了數據格式和加第3章產品結構NetSign為客戶提供了基于Web瀏覽器和Web服務器的數字簽名解決方案，實現了對Web頁面中的指定內容和文件進行數字簽名和驗證。NetSign由客戶端的瀏覽器控件（NetSign/Client）和一系列服務器端的API組件NetSignActiveX控件和服務器端的API組合，可以使用戶通過使用自己的證書（私鑰）來對交易過程中所要提交DownloadCRL是NetSign的外圍服務組件，完成CRL文件的下載。在NetSign的簽名和數字信封的認證過程中，主要包括證書的三個特性的驗證，CRL（證書廢棄列表）CFL（證書凍結列表）驗證證書是否在由證書認證中心（CA）簽發的CRL和CFL文件中通常情況下，證書認證中心（CA）CRLCFL文件到發布證LDAP目錄服務器上。DownloadCRLNetSign運行在一臺服務器上，通過遠程下載的模式將文件放置在指定的目錄中供NetSign的使用。WebWebWebWebClient組件第4章產品功能AttachedDettachedAttachedAttachedCRL。Dettached對由Dettached方式產生的簽名數據進行驗證，并且驗證該簽名證書的有打包數字信封(Attach帶簽名該功能按照MS定義的格式封裝帶簽名的數字信封，整個過程保證數字信解密數字信封(Attach帶簽名),接收者對接收的,數字信封(Attach帶簽名)進行解密后，對獲得的簽名包進NetSignAPI對輸入的串進行用戶可以實現按BASE64方式返回一個字符串的SHA1_HASH結果的功BASE64BASE64獲取證書的完整信息（需要自行解析第5章產品特點NetSign可以實現客戶——服務器的雙向數字簽名和驗證，比普通的單向支持ICNetSignCRL方式來進行證書作廢狀態查詢，確保關鍵應用的安全可NetSignWeb應用平臺，可以方便地與現有的應用系統連接與客第6章運行環境SUNRedFlagMicrosoftJavaJavaIBMBEA 第7章典型應用該集團財務公司內部銀行系統最終成功地采用了信安世紀提供的安全解決e實現了基于Ie控制功能將無有效證書的用戶隔離在業務系統之外；用NetSign行結合，實現了對交易單的數字簽名，從而保證了交易數據的提交者是可以進RLL同時對于關鍵數據采用通用的標準實現了簽名、加密操作，保證了數據的完整WeWebNetSigNetSaWebNetSigNetSaLDAInteLDAInterneInterne信安世紀信息安全技術有限公司信安世紀信息安全技術有限公司P3800以上、40GWindows2000第8章技術規格X.509InternetX.509PublicKeyCertificateandCRL證書策略及證書實施InternetX.509PublicKeyInfrastructureCertificatePolicyandCertification證書管理協議與消息CertificateManagementOn-lineCertificateStatusAnInternetAttributeCertificateProfileRFCPKIRSARSACryptographyDHPassword-BasedCryptographyExtended-CertificateSyntaxCryptographicMessageSyntaxPrivate-KeyInformationSyntaxCertificationRequestSyntaxCryptographicTokenInterface EllipticCurveCryptography加密硬件信息格式標準CryptographicTokenInformationOverviewofconcepts,modelsand TheLDAPDataInterchange ObjectLightweightDirectoryAccessProtocolLDAPAccessControlRequirementsforLDAPAuthenticationMethodsforLDAPLDAPv3:ExtensionforTransportWebHypertextTransferProtocol--HypertextTransferProtocol--HTML(HyperTextMarkupLanguage)ExtensibleMarkupLanguage(XML)Specificationofbasicnotation;objectspecification;Constraint2ASN.1ASN.1encodingrules:SpecificationBasicEncodingRules(BER),1EncodingRules(CER)andEncodingRules(DER);SpecificationPackedEncodingRules1281024信安世紀信息安全技術有限公司信安世紀信息安全技術有限公司第9章附錄NetCert（證安通PKI體系的技術實現，它PKICARA、KMC密鑰管理中NetCert產品將為整個應用安全信任域內的所有用戶簽發有效的口的網絡安全連接的代理服務器；主要通過個人數字證書通過IE瀏覽器實現Web應用的SSL/TLS安全連接。LinkSafe（聯安通NetSafe實現Web應用的SSL/TLS安全連接。RSA：適用于數字簽名和密鑰交換。Rivest-Shamir-Adleman(RSA)加密算法是目前應用最廣泛的公鑰加密算法，特別適用于通過Internet傳送的數據。這種算法以它的三位發明者的名字命名：RonRivest、AdiShamir和LeonardAdleman。RSA算法的安全性基于分解大數字時的困難（處理時間而言。在常用的公鑰算法中，RSA與眾不同，它能夠進行數字簽名DSA由美國國家安全署(UnitedStatesNationalSecurityAgencyNSA)發明，已經由美國國家標準與技術協會(NationalInstituteofStandardsandTechnology,NIST)收錄到聯邦信息處理標準(FederalInformationProcessingStandard,FIPS)之D