标签: 数字签名

分类
网络新闻

移动互联网安全问题全面解决之道

移动互联网需要保护的首先是移动用户的利益,防止移动用户的隐私、财产被侵犯和占有,防止移动终端技术实现环境的损失和破坏。其次,移动互联网需要保障业务提供商的利益,防止业务提供商的内容和应用被非法使用,同时,移动互联网需要保障移动运营商的利益,防止运营商能力被滥用和非法使用。从三者的利益出发,通过分析可以得出的结论是需要打造移动终端的可信交易环境,实现完整的移动终端安全解决方案。

 

实现三者利益的保障,首先是要能够对用户的身份和设备的身份实现认证,只有避免用户身份和设备身份的盗用,识别到用户和设备的真实身份才能行之有效的保护用户和业务提供商的利益。身份识别和认证是一项说起来简单实现起来复杂的技术实现,用户识别最基本的方式是用户名、密码方式,但这种方式的两个根本问题是,一是安全系数低,单因子认证,一是不同系统统一用户名密码造成的用户信息泄露,缺少单点认证的共享安全机制。设备识别的最基本方式是硬件标识信息的识别,移动终端可以通过标识设备的IMSI或标识移动运营商识别的IMEI号进行识别,当然,单纯的标识识别缺少技术认证机制,存在被假冒的风险。因此,移动终端最佳的用户和设备识别机制是基于PKI技术的数字证书和数字签名,数字证书通过第三方验证方式验证用户身份后颁发基于非对称算法的数字证书,用户和设备的身份具备第三方认可依据,数字签名可以在技术上实现对用户设备的验证和鉴别,从而,符合法律和技术的身份认证服务标准。

 

 

分类
安全播报

爱上iphone“偷菜” 如此黑客你伤不起

“偷菜”和iphone都是大家非常熟悉的字眼,人气之高完全超乎想象。人们半夜起床“收菜”或是在与朋友闲聊之余突然冒出一句“啊,该收菜了”;一段云山雾绕的Iphone5发布会视频让多少苹果fans们心痒难耐,“屏幕超大、外观颠覆、重量更轻”,成了大家乐此不疲的话题。在大家为之兴奋的同时,天威诚信提醒各位网友:网络社区网站安全薄弱,恶意链接泛滥,而Iphone为代表的智能手机等移动设备也成为了黑客攻击的重点对象。因此有效运用SSL服务器证书及代码签名证书等安全技术产品变得愈发重要。

 

日前,全球网络安全企业赛门铁克发布了《赛门铁克第十六期互联网安全威胁报告》,揭示出2010年新威胁总数激增,已超过2.86亿个,以目前的发展趋势来看,互联网攻击者们正在大张旗鼓地将攻击重点锁定移动设备。

 

社交网络:网站安全重灾区

 

社交网络平台的普及不断上升,这种情况毫无意外地吸引了大批恶意软件。据悉,社交网站上主要的攻击方式之一是通过缩短的网页地址(URL),在Email或网页上高效地共享这些短URL链接,取代原本非常复杂的网址。

 

赛门铁克表示,黑客充分利用社交网站中的新闻订阅功能实现大规模分布攻击。最常见的情况是,黑客侵入某个社交网络账户,并发表一个通往恶意网站的缩短链接。之后,该社交网站自动把恶意链接分发到该账户各个朋友的新闻订阅内容中,数分钟内便可能把该链接传播给数以万计的网友。

 

数据统计,去年在新闻订阅内容所含的恶意链接中,有65%使用了缩短的网页地址。在这些链接当中,73%被点击了至少11次,其中更有33%的恶意链接获得了11次至50次点击。

 

移动设备:下载软件伴随木马风险

 

广泛应用的主要移动平台引起了黑客的注意,因此,安全软件专家们预计对移动平台发起的攻击将会激增。据了解,去年移动设备遭受的多数恶意软件攻击均是以木马程序的形式,这些程序冒充合法应用程序,提供给用户下载安装。

 

通常黑客会临时生成一些恶意软件。但在许多情形下,他们通过将合法应用程序中篡改嵌入恶意逻辑来感染用户。之后,攻击者通过公共应用软件商店来发布这些被恶意篡改的应用程序。

 

尽管当前移动设备采用的新型安全架构,与传统PC采用的安全防护同样有效,但攻击者经常能绕过这些保护措施,攻击移动平台应用中的固有漏洞。检测数据显示,目前移动设备最常见的漏洞有163种,黑客利用这些漏洞部分或完全控制那些热门移动平台的设备。在2011年的最初几个月里,攻击者们利用这些漏洞感染了成千上万的特有设备。

针对社交网络和移动平台出现的问题,一直与全球知名服务器证书品牌VeriSign合作的国内权威认证机构天威诚信表示,社交网络用户信息大量集中却缺乏可靠的信息安全保障,是此类网站急需解决的安全隐患。借由报告内容,建议社交网络采用权威机构的SSL证书,通过SSL技术实现信息加密传输,确保资料安全。而移动平台合法应用软件遭到篡改,被植入木马程序的问题可以通过代码签名证书有效解决。代码签名证书是针对网上发布控件、应用程序、驱动程序等代码和内容,创建数字“保护膜”,防止代码内容被篡改。以便在软件发行者和用户通过 Internet 或移动网络下载应用软件时对他们加以保护。其中VeriSign移动代码签名证书以高兼容性和稳定性在市场中占据主导地位。

分类
安全播报

恶意软件“跨平台” Iphone网银屡受威胁

人们对数码产品的热捧已经超乎想象,Iphone4、Ipad2、Android等词汇已成为时下的热门词汇。众多“粉丝”不仅沉醉于自己钟爱产品的优越性能和精巧外观之中,几乎所有人都对免费下载移动网络平台上的有趣程序乐此不疲。这些软件来自各个国家地区,功能千奇百怪并包含丰富的创意和特色,为人们的生活提供不少便利和乐趣。不过,天威诚信在此提醒广大的数码爱好者及服务厂商,手机不仅涉及大量用户个人信息且与支付、网银手机绑定等应用直接相关,因此在关注用户体验的同时请不要忽视移动平台的软件安全问题,应及时采取代码签名证书等安全技术手段加强移动平台安全。

 

《中国手机恶意软件分析报告》指出,随着智能手机的日益普及,在移动互联网快速发展下,手机平台安全问题逐渐恶化。恶意程序不断袭击移动手机平台,手机病毒已经步入高发期,“手机骷髅”、“短信海盗”、“僵尸”等手机病毒已经严重侵害了用户权益。

 

有关数据显示,手机病毒产业链每年催生高达10亿元的灰色收入,据中科院心理研究所发布的报告指出,68.6%的手机用户正面临着移动安全威胁。

 

另据中国互联网络信息中心(CNNIC)统计显示,中国手机网民规模继续扩大,截至2010年12月,手机网民已达3.03亿,与2009年底相比增加了近七千万人,移动互联网展现出巨大的发展潜力,同时不法分子也密切紧盯这一领域,形形色色的恶意软件为用户的生活带来极大麻烦。

 

其中恶意扣费是手机恶意软件中最常见的行为,有75.6%的手机恶意软件存在恶意扣费行为。这里提到的恶意扣费是指,在用户不知情或未授权的情况下,恶意软件通过隐蔽执行、欺骗用户点击等手段,订购移动增值收费业务、使用手机支付或直接扣除用户资费,给用户造成经济损失。此外,远程控制、隐私窃取、恶意传播隐患、消耗用户手机资源等也是恶意软件的典型行为。

 

其中,一些恶意程序发展出了新的谋利手段,最近发现的FCS.A.Adrd.a 病毒通过被植入动态脚印壁纸、指纹解锁等多款正常程序中,实现在后台不断地用搜索引擎对某些关键字进行搜索,并对搜索结果进行点击,病毒作者则依靠点击次数从中谋利。此时,手机用户的流量资源就已经被快速消耗殆尽。

 

    为避免此类事件发生,天威诚信专家建议合法软件的发布者应采用移动代码签名证书,确保其合法软件在发布后不被人篡改,防止合法软件被植入非法恶意代码。此类产品可使用由全球数字认证领域中最知名的VeriSign提供的代码签名证书,VeriSign代码签名证书以高兼容性和稳定性在市场中占据主导地位。VeriSign代码签名证书针对网上发布控件、应用程序、驱动程序,如设备驱动程序、硬件固化程序、病毒更新码、配置文件等代码和内容创建数字“保护膜”,以便在软件发行者和用户通过 Internet 与移动网络下载代码及内容时对他们加以保护。

分类
安全播报

大片热映木马叫好 合法播放软件暗藏祸胎

暑期,不少大片即将热映银屏,《加勒比海盗4》《功夫熊猫2》等影片已吊足了观众胃口,相信在电影院观影的热潮之后,网友搜寻网上影片资源的高峰也会接踵而至。有如此良机,捆绑木马病毒的“高清播放器”等恶意软件恐怕正蠢蠢欲动。喜欢寻找电影下载资源、在线观看的网友务必留神,在下载播放软件方面应选择正规渠道发布或经过代码签名证书签名的软件,避免遭到木马病毒的侵害。

 

最近,“本山大叔”倾力打造的爱情轻喜剧《乡村爱情》系列第四部《乡村爱情交响曲》就被钓鱼网站利用,许多用户不慎中招,即将迎接暑期档的各位应以此为鉴。

《乡村爱情交响曲》于5月与观众见面后,其首集在北京地区的收视率就高达10.48%,荣登北京卫视近期收视率榜首。

 

“乡村爱情交响曲”也毫无悬念的成为百度搜索的热词,开播两天后,其百度指数就已接近58万。病毒集团自然不会放过这样的机会,利用“乡村爱情交响曲全集”“乡村爱情4”等热词诱骗用户访问盗版视频网站和虚假视频网站。进而诱导用户安装捆绑了木马病毒的“高清专用播放器”。用户中招后,将遭遇浏览器首页被篡改、频繁弹出广告,甚至网银账号等敏感信息被盗取的威胁。

 

同样,“加勒比海盗”“雷神”“功夫熊猫”等与在线观看密切相关的词汇搜索量自然不低,这些植入恶意代码的播放软件又有了“用武之地”。

 

随着安全软件的逐步升级,恶意攻击的手段越来越狡猾,甚至在正规渠道发布的合法软件中也能找到病毒的身影。许多攻击者正在通过技术手段,在论坛和一些小网站上将木马植入合法的播放软件,进而让木马获得更好的隐蔽性。这种攻击方式难以察觉,随着论坛等站点的推广,将有大量用户面临安全威胁。

 

为此,用户要通过安装安全软件加强防护并严格挑选下载渠道,也建议各位正规软件的发布者通过代码签名证书为自己发布的播放软件进行签名,以防止攻击者篡改软件内容、植入恶意代码。

 

代码签名证书针对网上发布控件、应用程序、驱动程序,如设备驱动程序、病毒更新码、播放软件等代码和内容创建了一层数字“保护膜”,可有效阻止恶意攻击者对合法软件的肆意篡改。通过代码签名证书对软件进行数字签名,可让用户验证软件或代码内容的来源及完整性,在增加下载者信任度和维护软件发布者声誉方面,发挥了显著作用。

 

目前,在众多代码签名证书中,最知名的是VeriSign代码签名证书。VeriSign具有最丰富的代码签名证书种类,所支持的平台数量超过其他供应商。作为全球数字认证领域最知名的品牌,VeriSign与其中国合作伙伴天威诚信在11年的合作中,为腾讯、瑞星、迅雷等上百家知名企业提供服务,有效维护了使用者的良好声誉。相信普及代码签名证书,实现更多合法播放软件的数字签名,会让大片云集的暑期档更加令人期待。

分类
知识中心

软件代码数字签名基本原理

   在通过精美的包装盒销售软件的时代,大家使用什么防伪标志等来让用户识别什么是正版软件。但在当今的网络时代,有利的一面是软件开发商可以通过网络不受时间、地域的限制而快速发行软件,但不利的一面,则是用户无法辨认软件的真伪,根本无法确认软件代码的真实身份。在没有间谍软件和木马程序之前,大家可能还都信任某个软件就是软件中声称的开发商开发的软件,但是在今天就不应该这样认为了,互联网的匿名性使得用户根本无法确认此软件是否真的是软件中声称的开发商开发的软件!如何保证软件代码在网络传输过程中不会被非法修改,同时还能让用户非常清楚地识别软件发行者的真实身份( 软件真实来源 ),答案就是代码签名

 

    以微软代码为例,为了保证微软 Windows系统的安全和用户安全,微软推出了 Microsoft Authenticode 技术,即微软认证码技术,此技术保证了只有使用了 Windows 的受信任的根证书颁发机构颁发的代码签名证书对软件代码数字签名后才允许在 Windows 上运行,从而保证了软件代码来自真实的发行者和保证软件代码没有被非法篡改。

 

    软件开发商在自己电脑上生成私钥 (.pvk) 和证书请求文件 (CSR) 提交给天威诚信 ,同时提交有关身份证明文件 ( 如营业执照等 ) 查验, 验证身份后用自己的私钥给 CSR 文件签名后生成代码签名证书,也就是公钥 (.spc) 给软件开发商。这样就完成了证书的申请和颁发。

 

    软件开发商用代码签名工具 ( 如: SignCode.exe) 给要签名的代码生成一个 Hash 表,再用其私钥加密 Hash 表产生认证摘要,接着就把认证摘要连同其公钥与软件代码一起打包生成签名后的新的软件代码,软件开发商就可以把已经签名的代码放到网上发行了。

 

    最终用户从网上下载已经签名的代码时,浏览器会从签名代码中解读出其签名证书 ( 公钥 ) 和 Hash 表摘要,并与 Windows 的受信任的根证书相比较查验公钥证书的有效性和合法性,验证签名证书正确后,就可以确认此代码确实是来自真实的软件开发商。

 

    接着,再使用签名时使用的同样算法对软件代码生成一个 Hash 表,并使用公钥也同样生成一个 Hash 表认证摘要,比较从代码中解包出来的 Hash 表认证摘要与生成的 Hash 表认证摘要是否一致,如果一致,则表明此代码在传输过程中未有任何修改,从而可以确认代码的一致性。

 

    从以上整个过程的简单介绍,可以看出:

 

    (1) 购买代码签名证书一定要从 Windows 内置的受信任的根证书颁发机构购买 ( 如: VeriSign ),否则无法通过验证。而通过人为的添加根证书到 Windows 受信任的根证书存储区,一来不可能要求所有网上用户在使用代码之前先下载和安装某个根证书,更重要的是,谁都可以人为添加的根证书不能保证签名证书的唯一性和权威性。

 

    (2) 代码签名后不仅保证了软件开发商的真实身份,而且还保证了代码的完整性,以免代码被病毒干扰和被非法篡改。

 

    (3) 只有使用了 Windows 受信任的证书颁发机构 颁发的代码签名证书签名的代码才允许下载,所以,如果您要让您的代码能让用户放心地下载,就一定要申请代码签名证书

分类
知识中心

数字证书三项基本功能

    数字证书,是由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。

    从证书的用途来看,数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名,以保证信息完整性和行为的不可抵赖;加密证书主要用于对用户传送信息进行加密,以保证信息的机密性。以下对数字证书的基本功能进行原理性描述。

 

1、  身份认证

 

    在各应用系统中,常常需要完成对使用者的身份认证,以确定谁在使用系统,可以赋予使用者何种操作权限。身份认证技术发展至今已经有了一套成熟的技术体系,其中,利用数字证书完成身份认证是其中最安全有效的一种技术手段。

    利用数字证书完成身份认证,被认证方(甲)必须先到相关数字证书运营机构申请数字证书,然后才能向应用系统认证方(乙)提交证书,完成身份认证。

通常,使用数字证书的身份认证流程如下图所示:

 数字证书三项基本功能-1

2、  数字签名

 

    数字签名是数字证书的重要应用功能之一,所谓数字签名是指证书用户(甲)用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者(乙)使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要,并对收到的原始数据采用相同的杂凑算法计算其消息摘要,将二者进行对比,即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护,和传送数据行为不可抵赖性的保护。

使用数字证书完成数字签名功能,需要向相关数字证书运营机构申请具备数字签名功能的数字证书,然后才能在业务过程中使用数字证书的签名功能。

 

    通常,使用数字证书的签名和验证数字证书签名的流程如图所示:

 数字证书三项基本功能-2

    签名发送方(甲)对需要发送的明文使用杂凑算法,计算摘要;

    甲使用其签名私钥对摘要进行加密,得到密文;

    甲将密文、明文和签名证书发送给签名验证方乙;

    乙一方面将甲发送的密文通过甲的签名证书解密得到摘要,另一方面将明文采用相同的杂凑算法计算出摘要;

    乙对比两个摘要,如果相同,则可以确认明文在传输过程中没有被更改,并且信息是由证书所申明身份的实体发送的。

    如果需要确认甲的身份是否和证书所申明的身份一致,则需要执行身份认证过程,如前一节所述。

 

    在上述流程中,签名私钥配合杂凑算法的使用,可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证书所申明的身份的行为,提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认,需要通过身份认证过程明确。

 

 

 

3、数字信封

 

   数字信封是数字证书另一个重要应用功能,其功效类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读“信件”的内容。

    数字信封中采用了对称密码机制和公钥密码机制。信息发送者(甲)首先利用随机产生的对称密钥对信息进行加密,再利用接收方(乙)的公钥加密对称密钥,被公钥加密后的对称密钥被称之为数字信封。在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密钥,才能利用对称密钥解密所得到的信息。通过数字信封可以指定数据接收者,并保证数据传递过程的机密性。

    使用数字证书完成数字信封功能,需要向相关数字证书运营机构申请具备加密功能的数字证书,然后才能在业务过程中使用数字证书的数字信封功能。

    通常,数字信封和数字信封拆解的流程如图所示:

 数字证书三项基本功能-3

    信息发送方(甲)生成对称密钥;

    甲使用对称密钥对需要发送的信息执行加密,得到密文;

    甲使用信息接收方(乙)的加密证书中的公钥,加密对称密钥,得到数字信封;

    甲将密文和数字信封发送给乙;

    乙使用自己的加密私钥拆解数字信封,得到对称密钥;

    乙使用对称密钥解密密文,得到明文。

 

    在上述流程中,信息发送方(甲)对用于加密明文信息的对称密钥使用接收方(乙)的加密证书进行加密得到数字信封,利用私钥的唯一性保证只有拥有对应私钥的乙才能拆解数字信封,从而阅读明文信息。据此,甲可以确认只有乙才能阅读信息,乙可以确认信息在传递过程中保持机密。

 

分类
知识中心

代码签名证书过期后时间戳所起的作用

    这是许多用户经常提出的问题。首先,让我们了解一下时间戳的作用:任何数字证书都是有有效期的, 代码签名证书支持 1-3 年有效期。 然而,您的软件的生命周期一般都会更长,为了避免签名证书到期后需要重签软件和重新发布,必须使用免费提供的时间戳服务。当您对代码签名时,代码产生的哈希值将发送给 时间戳服务器进行时间戳反签名。这样,当用户下载签名代码后, IE 浏览器将进行鉴别:

 

(1) 用已经吊销的代码签名证书签名的代码不会被信任;

 

(2) 用有效的代码签名证书签名的代码,即使代码签名证书已经到被吊销,但代码仍然是可以信任的。这意味着您不用担心代码签名证书吊销后需要重新签名代码。

 

    时间戳服务是代码签名证书免费配套服务,是为了方便软件开发商可以不用担心由于代码签名证书过期而影响在有效期内已经签名的代码的正常的使用,也就是说,在代码签名证书有效期内签名的代码永远不会过期。

 

    为Windows XP中运行签名证书已经过期的CAB文件时的警告:为帮助保护您的安全,IE已经停止从此站点安装ActiveX控件到您的计算机,也就是说,对于XP来讲,签名证书过期后的处理是等同于没有签名而直接阻止运行。

分类
知识中心

智能手机中的代码签名证书

    在传统的软件交付模式中,购买者通过检查包装来确定应用程序的来源及完整性。然而,在移动网络下载的软件存在风险,因为发行商的身份更难以确定。不慎在无线网络环境中引入恶意软件,不仅会给终端用户的智能手机带来风险,还会影响整个设备网络,使所有用户遭受攻击,并导致服务中断,严重损害网络提供商的声誉和财务业绩。

 

    为保护智能手机用户,应用程序软件商店(如Windows Marketplace)现在要求应用代码签名技术,用数字签名对移动软件代码进行“签名”。创建一个“数字压缩包”,不仅能够验证软件代码的来源,还能确保代码并未被修改。

 

    代码签名基于公共密钥加密法技术。开发者或软件发行商使用“私有”密钥,在软件代码中加设一个数字签名。例如,Windows Mobile 7移动平台,在移动应用程序下载过程中,使用“公共”密钥验证签名,将应用程序签名中的散列码与所下载程序中的散列码进行对比。

 

    数字签名中的散列码用以确认文件内容,检验文件在签名后代码是否被更改或损坏。用户能够验证文件内容及软件的完整性,同时,发行商应该有能力及时有效召回损坏的证书。

 

    在传统代码签名证书中,开发者使用相同的数字签名签署所有代码。但移动应用具有独特挑战,因为它要求独特的部署和管理方法。开发者和发行商必须有能力迅速召回有漏洞、有错误及有泄露的代码,但不影响合法开发者所发布的其它版本及应用程序。

 

    理想情况下,移动代码签名的实现有两个数字认证——一个用来识别发行商,另一个用来识别内容。在这种情况下,发行商使用发行商身份标识号来签名代码,然后上传,再通过安全接口,由应用认证中心所提供的代码签名服务进行验证。一旦签名生效,它便会生成唯一的内容身份识别号,其中包括发行商身份和应用程序信息。接下来,认证中心可以使用内容身份识别号对内容重新进行签名,随后,它就可以被确定为可信的并允许发布的代码了。如果应用程序中有潜在而敏感的应用程序编程接口(API),那么在签发内容身份标识号前,便要求有第三方评估(如微软Privileged Access for Marketplace)。

 

    重新签名过程技术对最终用户设备是透明的,因为在客户端设备层面只会执行一项检验。但对于开发商和网络提供商来说,分配具体的证书有利于简便地识别并召回有问题的代码,而并不影响应用程序的其余部分。这些方案和功能为网络运营商提供了更多的操控力和更好的网络保障,不会影响创新或最终用户体验。

 

    大多情况下,来自受信源的签名代码可以被自动接收。安全警报也会提示终端用户查看签名信息,确定这一代码的可信度。某些网络提供商只接受已签名的应用程序,以便最大限度地降低网络风险;有些网络提供商则要求代码签名,以便应用程序能够访问潜在敏感的应用程序编程接口(API)。如果移动平台(如Windows Mobile 7)没能将应用程序的签名识别为有效签名,那么该平台将完全不会运行这一程序。

分类
知识中心

数字证书八种应用模式

1、    信息安全传输

 

在各类应用系统中,无论是哪类网络,其网络协议均具有标准、开放、公开的特征,各类信息在标准协议下均为明文传输,泄密隐患很严重。因此,重要敏感数据、隐私数据等信息的远程传输需要通过可靠的通信渠道,采取加密方式,达到保守机密的目的。

 

同时,由于各应用信息在网上交互传输过程中,不仅仅面临数据丢失、数据重复或数据传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输过程中,还需要确保发送和接收的信息内容的一致性,保证信息接收结果的完整性。

 

    应用数字证书技术保护信息传输的安全性,通常采用数字信封技术完成。通过数字信封技术,信息发送者可以指定信息接收者,并且在信息传输的过程保持机密性和完整性。

 

2、安全电子邮件

 

电子邮件是网络中最常见的应用之一。普通电子邮件基于明文协议,没有认证措施,因此非常容易被伪造,并被泄密内容。对于重要电子邮件,应具有高安全保护措施,因此基于数字证书技术来实现安全邮件在实际中具有巨大需求。

 

    应用数字证书技术提供电子邮件的安全保护,通常采用数字签名和数字信封技术。数字签名保证邮件不会被伪造,具有发信人数字签名的邮件是可信的,并且发信人的行为不可抵赖。数字信封技术可以保证只有发信人指定的接收者才能阅读邮件信息,保证邮件的机密性。

 

3、安全终端保护

 

随着计算机在电子政务、电子商务中的广泛使用,保护用户终端及其数据越来越重要。为了保证终端上敏感的信息免遭泄露、窃取、更改或破坏,一方面可基于数字证书技术实现系统登录,另一方面对重要信息进行动态加密,保护计算机系统及重要文件不被非法窃取、非法浏览。

 

    在电子政务、电子商务中应用数字证书技术实现安全登录和信息加密,采用了数字证书的身份认证功能和数字信封功能。应用系统通过对用户数字证书的验证,可以拒绝非授权用户的访问,保证授权用户的安全使用。用户通过使用数字信封技术,对存放在业务终端上的敏感信息加密保存,保证只有具有指定证书的用户才能访问数据,保证信息的机密性和完整性。

 

4、可信电子印迹

 

“电子印迹”是指电子形式的图章印记和手写笔迹。

 

在政府机关信息化建设中,电子公文受到广泛使用。通过电子公文来实现单位内部及单位之间流转传达各种文件,实现无纸化的公文传递、发布,可以有效提高行政办公效率。在电子商务应用中,电子合同等电子文书同样受到广泛使用。为更好体现这些电子文档作为正式公文的权威性和严肃性,它们常常需要“加盖”电子形式的图章印记或显现电子形式的手写签名笔迹,从形式上符合传统习惯。当接受方对电子文件进行阅读和审批时,就需要确认电子文件以及上面的公章图片的真实性、可靠性,防止电子印迹被冒用,造成严重事故。

 

    应用数字证书可以提供可信电子印迹,通常是采用数字签名技术完成的。通过数字签名,可以将签名人的身份信息不可抵赖地集成在电子印迹中,从而保证了电子印迹的权威性和可靠性。

 

5、可信网站服务

 

    网站服务假冒是互联网上常见的攻击行为,恶意假冒网站服务所带来的威胁非常严重,不仅会造成网络欺诈,带来纠纷,还会导致虚假信息发布,影响网站信誉,产生恶劣的后果。

应用数字证书技术可以提供可信网站服务,采用数字证书的身份认证功能,网站用户可以通过对网站的数字证书进行验证,从而避免遭受假冒网站服务的欺骗。

 

6、代码签名保护

 

    网络因其便利而推广,也因其便利带来一些不利的影响。电子政务、电子商务的用户通过使用网络共享软件方便工作,网站通过控件等技术手段为用户带来便捷,但这些软件、控件等的安全性如何保障?软件的提供商是软件的责任单位,但是网络中可能存在的仿冒行为为软件的使用带来安全隐患。

    数字证书的一项重要应用就是代码签名,通过使用数字签名技术,软件的使用者可以验证供应者的身份,防止仿冒软件带来的安全风险。

 

7、授权身份管理

 

    授权管理系统是信息安全系统中重要的基础设施,它向应用系统提供对实体(用户、程序等)的授权服务管理,提供实体身份到应用权限的映射,提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。

    授权管理的基础是身份鉴别,只有通过数字证书技术,有效地完成对系统用户的身份鉴别后才能正确授权,达到安全保护的最终目的。数字证书技术是授权管理系统的基础,授权管理系统的身份管理依赖于数字证书的身份认证技术。

 

8.行为责任认定

 

    在各个业务系统中的行为,需要通过身份确认、行为审计等手段,在发生意外事故、甚至是蓄意破坏时能够有效的明确责任所在。

    通过使用数字证书的身份认证和数字签名技术,可以在日常操作时正确有效地认证执行者的身份,并在业务系统中使用数字签名对行为日志等签名保存,以供取证时使用。通过使用数字证书相关技术,各项业务操作的行为审计和责任认定可以得到有效保障。

分类
知识中心

SSL协议简介

   SSL(SecuresocketLayer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。

 

    安全套接层协议(SSL,SecuritySocketLayer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator4.04版开始的所有浏览器中引入了一种被称作”表单签名(FormSigning)”的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用”SSL+表单签名”模式能够为电子商务提供较好的安全性保证。