数字证书、电子签章、网上支付原理及应用

1、LOGO2011.12.10数字证书电子签章网上支付数字证书电子签章网上支付 原理及应用原理及应用江苏国泰新点软件有限公司江苏国泰新点软件有限公司目目 录录名词解释名词解释原理及应用原理及应用网上支付网上支付演示程序演示程序名词解释（一）名词解释（一）-权威身份认证，权威身份认证，受委托发放数字证书的第三方组织或公司。受委托发放数字证书的第三方组织或公司。CA在这个过程中所起的作用就是保证获得这一独特证书的人就是被在这个过程中所起的作用就是保证获得这一独特证书的人就是被授权者本人。授权者本人。 利用公钥理论和技术建立的提供安全服务的基础设施- 证书的国际标准证书的国际标准CA（ Certifi

2、cate Authority ）PKI（Public Key Infrastructure）X.509标准名词解释（二）名词解释（二）安全套接层 及其继任者传输层安全是为网络通信提供安全及数据完整性的一种安全协议。-公钥和私钥是通过一种算法得到的一个密钥对公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个即一个公钥和一个私钥私钥)其中的一个向外界公开，称为公钥；另一个自己保留，称为其中的一个向外界公开，称为公钥；另一个自己保留，称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的公钥加密私钥解密，私钥加密公钥解密公钥加密私

3、钥解密，私钥加密公钥解密-证书吊销列表证书吊销列表(CRL)，列出被认为不能再使用的证书的序列号，列出被认为不能再使用的证书的序列号公钥，私钥（公钥，私钥（ Public Key PrivateKey）SSL（Secure Sockets Layer ）TSL（ Transport Layer Security ）CRL（ Certificate Revocation List ） PKIPKI的组织架构的组织架构CACA（Certificate Authority)Certificate Authority)即即 认证机构认证机构 ，是负责签发证书、认证，是负责签发证书、认证证书、管理已颁发

4、证书的机构，是证书、管理已颁发证书的机构，是PKIPKI的核心。的核心。CACA要制定政策和具体步骤来要制定政策和具体步骤来验证、识别用户的身份，对用户证书进行签名，以确保证书持有者的身份验证、识别用户的身份，对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。和公钥的拥有权。 RA (Registration Authority):RA (Registration Authority):证书注册授权机构证书注册授权机构。RARA是认证机构是认证机构CACA的的延伸部分，它与延伸部分，它与CACA在逻辑上是一个整体，执行不同的功能在逻辑上是一个整体，执行不同的功能, ,负责用户证书的申负

5、责用户证书的申请、审核和发证。请、审核和发证。 LRALRALocal Registration AuthorityLocal Registration Authority电子签章电子签章v电子签章是电子签名的一种表现形式，利电子签章是电子签名的一种表现形式，利用图像处理技术将电子签名操作转化为与用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果，同时纸质文件盖章操作相同的可视效果，同时利用电子签名技术保障电子信息的真实性利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。和完整性以及签名人的不可否认性。目目 录录名词解释名词解释原理及应用原理及应用网上支付网上

6、支付演示程序演示程序1.开标前，文件采用数字信封加密开标前，文件采用数字信封加密投标文件招标人公钥投标单位私钥招标人私钥投标单位公钥二次加密的投标文件互联网络招标中心服务器原始投标文件招标人公钥投标单位私钥招标人私钥投标单位公钥二次加密的投标文件互联网络远程解密互联网络远程解密开始唱标开标子系统启用备用光盘工作人员解密失败投标文件异常处理投标文件异常处理加密投标文件校验是否同时生成HASH运 算私钥签名-保证来源唯一性随 机 产 生3DES 密钥（对称算法）利用接收方公钥加密（非对称）利用接收方公钥加密（非对称） 数字信封数字信封私钥解密私钥解密3DES3DES算法算法3DES解密解密利用发送

7、方利用发送方公钥解密判断唯一性公钥解密判断唯一性HASH 运算运算对对 比比验验 签签2.传输时，建立传输加密通道传输时，建立传输加密通道 (使用硬件使用硬件128位位SSL加密通道加密通道)SSL加密通道SSL加密通道CFCALDAP Server 招标方招标方投标方投标方评审团评审团系统管理员系统管理员证书申请证书申请WEB Server数据库ServerWEB ServerLDAP Server加密机加密机CA ServerSSL ServerSSL ServerSSL Server时间戳 Server加密机SVS ServerWEB Server数据库ServerFWFWFWFWFW江

8、苏省电子商务有限公司江苏省电子商务有限公司RA（安全）应用服务器组（安全）应用服务器组客户端客户端数据安全网关是一款保障网络通信安全的服务器系统，它能提供客户端浏览器和Web服务器之间的身份认证和安全通信，从而在网络交易过程中保证交易安全和实现访问控制。 HTTPS 128128位加密安位加密安 全连接全连接 代理多个应用服务器代理多个应用服务器 身份认证身份认证 黑名单验证黑名单验证 用户证书信息透传用户证书信息透传 双机热备双机热备 采用采用SSLSSL安全通信协议安全通信协议 采用国际标准的对称采用国际标准的对称 及非对称加密算法及非对称加密算法特点特点 : :安全安全 、标准、标准 、

9、易用、易用 、高效、高效 、兼容、兼容 等等3.开标后，文件采用电子签章技术开标后，文件采用电子签章技术 和可信时间戳，判断其是否有效。和可信时间戳，判断其是否有效。(解决了是谁盖章的，是什么时候盖章的，具有解决了是谁盖章的，是什么时候盖章的，具有不可伪造性和不可逆性不可伪造性和不可逆性）HASH运运 算算私钥签名私钥签名发送者公钥发送者公钥解解 密密HASH运运 算算比对是否比对是否一致一致可信时间戳可信时间戳采用采用pdf的理由（一）的理由（一）v政府信息化项目应该采用国家标准，且档案政府信息化项目应该采用国家标准，且档案保存时间需要几十年的时间，要保证几十年保存时间需要几十年的时间，要保

10、证几十年以后有工具可以打开。以后有工具可以打开。vPdf格式于格式于2009年年9月月1日起成为国家标准日起成为国家标准（GBT23286.1-2009,名称：文献管理长期保名称：文献管理长期保存的电子文档文件格式，电子档案的今后发存的电子文档文件格式，电子档案的今后发展方向）展方向）vPdf格式格式2008年年7月月1日成为国际标准日成为国际标准（ISO 32000-1:2008) pdf国家标准截图国家标准截图网站截图网站截图采用采用pdf的理由（二）的理由（二）vPDF使用广泛，可跨平台使用。在国外和国使用广泛，可跨平台使用。在国外和国内多个电子化标书领域都采用此格

11、式。可以内多个电子化标书领域都采用此格式。可以和其他异构系统和其他异构系统(建设系统跨部门交换非常频建设系统跨部门交换非常频繁繁)进行无缝交换。进行无缝交换。v例如：例如：1.德国政府的招标采购平台中应用的标书工德国政府的招标采购平台中应用的标书工具具ANA（Angebotsassistent (AnA)）就是基于版）就是基于版式文件格式式文件格式PDF。v2.南京建设工程网上招投标平台南京建设工程网上招投标平台(e路阳光路阳光) 全部采用全部采用 PDF格式。格式。v3.江苏省全省远程评标系统江苏省全省远程评标系统 全部采用全部采用PDF格式。格式。几个重要概念（单证书）几个重要概念（单证书

12、）单证书单证书几个重要概念（双证书）几个重要概念（双证书）双证书双证书几个重要概念（签名证书）几个重要概念（签名证书）签名证书签名证书几个重要概念（加密证书）几个重要概念（加密证书）加密证书加密证书我公司我公司CA整合流程整合流程1.项目经理CA开发商发送网上招投标CA技术参数及电子签章要求2.公司开发形成EpointCA和网页调用程序，供项目组使用，项目值需要更换系统参数就可以了，系统参数见论坛3.正式发证书前三天完成CA上线联合调试记录表-必做目目 录录名词解释名词解释原理及应用原理及应用网上支付网上支付演示程序演示程序支付过程示意（第三方支付）支付过程示意（第三方支付）业务系统第三方支付平台各银行后台接口跳转到支付平台地址跳转到选择银行的页面反馈通知反馈通知支付过程示意（直连网银）支付过程示意（直连网银）v缺点：只接入一家银行，所有投标人都必缺点：只接入一家银行，所有投标人都必须拥有该银行网银账户须拥有该银行网银账户。v公司目前有公司目前有Java版本。版本。业务系统各银行后台接口跳转到选择银行的页面反馈通知划转过程示意（第三方支付）划转过程示意（第三方支付）业务系统第三方支付平台各银行后台接口客户A（预先登记农行）我公司（预先登记交行）800元划转指令划转成功or失败农行账户转出695交行账户转出100手续费5元划转的事项划转的事项v一般周五将所有开标结束的标段划转掉，