签名国密,签名,验签,服务器,规范

篇一 ESVS签名验签服务器技术白皮书-V1.1

ESVS签名验签服务器 技术白皮书

Version 1.1

中讯亚太科技有限公司

目录

1前言............................................................1 2产品概

述........................................................2 2.1 产品简

介....................................................2 2.2 组成框

图....................................................2 3 产 品 部

署........................................................3 4 产 品 功

能........................................................4 4.1 配置与管

理..................................................4 4.1.1 用 户 管

理.................................................4 4.1.2 配置 管

理.................................................5 4.1.3 服务 管

理.................................................7 4.1.4 日 志 管

理.................................................7 4.2 对 外 服

1

务....................................................8 4.2.1 签名验

签.................................................8 4.2.2制作/拆解数字信

封........................................8 4.2.3 证 书 校

验.................................................8 4.2.4 证书解

析.................................................8 4.2.5 安全通

信.................................................8 5 产 品 特

点........................................................9 6产品型号及技术指

标..............................................9

1前言

随着社会信息化的发展大量传统业务逐渐过渡到以计算机、互联网为代表的“电子化”时代 为确保这些经过“电子化”后的商业或政务活动的有效性 电子签名应运而生。在“电子化”的业务活动中各参与方通过对应用系统中关键业务信息进行签名来确保这些业务活动或业务信息的完整性和不可抵赖性。 PKI技术是实现电子签名的主要手段随着电子签名需求的增多以及PKI技术的深入发展将分散在各应用系统中实现电子签名的模块独立出来形成公用的电子签名服务平台逐渐成为各级管理人员、开发人员的共识签名验签系统就是这样一个针对业务数据进行签名验签的独立的服务平台。使用签名验签系统不但可以有效地保障业务数据的完整性和不可抵赖性同时还能大大降低应用系统中实现电子签名的复杂度因此签名验签系统可以被广泛应

2

用在电子政务、 电子商务、 电子金融等各个行业中。

2产品概述

2.1产品简介

ESVS签名验签服务器是一款支持多种算法的商用密码应用设备该设备主要应用在采用PKI安全体系的电子商务、电子政务系统和企业信息化中为各类系统提供数据签名和验签、基于数字(转载于:wWw.xLTkwj.c O M小龙文档网:国密,签名,验签,服务器,规范)证书的身份认证、基于数字证书的加密和解密等安全保护。

2.2组成框图

签名验签服务器及应用系统组成框图如下

各部分详细描述如下

一、 ESVS服务器签名验签服务器

ESVS服务器为一台为不同的应用系统同时提供签名验签服务的硬件服务器设备。它提供Web管理界面实现对自身的管理和审计。 ESVS服务器通过请求OCSP服务器实时验证证书状态或者自动下载C RL文件进行证书状态验证。ESVS服务器可以与TSA服务器结合实现带时间戳的数字签名。

从服务功能上划分ESVS服务器可分为四个大模块 1)

配置与管理模块

由ESVS管理员使用配置ESVS服务器参数和数据同步

3

并对相关帐

户、权限、 日志及服务进行管理。 2)

ESVS主服务模块

初始化必要的共享资源比如共享内存 日志服务等。 3)

签名验签模块

接收来自应用服务器的签名验签请求并将签名验签结果返回给应用服务器。 4)

C RL下载模块

定期自动下载C RL并更新到配置数据库中。

二、 ESVS应用API

ESVS应用API为应用系统提供签名验签服务的调用接口它通过将签名验签请求发送给ESVS服务器的方式实现对文件、表单数据的签名验签。

三、 ESVS客户端套件

ESVS签名控件为一个ActiveX控件为客户提供了基于浏览器的签名验签操作 同时它也可以验证来自ESVS服务器的签名。签名控件也可以支持数据压缩功能。

3产品部署

在产品的实际使用中 ESVS签名验签服务器与业务系统并行部署可以采用内部CA系统所签发的证书也支持第三方CA系统证书产品部署示意图如下

篇二 BJCA数字签名验证服务器白皮书201103

4

数字签名验证服务器

产品白皮书

二〇一一年三月

北京数字证书认证中心有限公司

北京市海淀区北四环西路68号双桥大厦15层TE L86-10-58045600 FAX 86-10-58045678

邮政编码 100080

声明

一、本白皮书是数字签名验证服务器简称DSVS的技术说明书。本资料版权归北京

数字证书认证中心有限公司所有。白皮书中的任何部分未经本公司许可不得转印、影印或复印。

?2010北京数字证书认证中心有限公司

All rights reserved.

二、本资料将定期更新如欲获取最新相关信息请访问北京数字证书认证中心有限公

司网站 。

三、您的宝贵意见和建议请发送至

北京数字证书认证中心有限公司

北京市海淀区北四环西路68号双桥大厦15层左岸工社电话(TE L) 010-58045600传真(FAX) 010-58045678邮政编码 100080

5

电子信箱 marketing@bjca.o rg.cn

目录

1产品概述.....................................................................1 2

产品架构.....................................................................1 3产品

功能.....................................................................24产品部署

与集成...........................................................2 5产品规

格.....................................................................4 6产品优

势.....................................................................4 7产品资

质.....................................................................5 8应用领

域.....................................................................5

1产品概述

数字签名验证服务器(以下简称DSVS)是由北京数证书认证中心自主研发为应用系统提供数字签名及验证服务的一款多安全功能、高稳定性、高性能并且具备跨平台、可扩展和快速部署能力的软硬件集成化安全设备。该产品可以广泛应用于网上审批、网上办公、网上银行、网上证券和网上支付等电子政务和电子商务活动中为业务系统提供安全保护。

2产品架构

数字签名验证服务器主要包括签名验证核心服务模块和安全管理模块。签名验证核心服务通过应用端部署的API接收应用端发送的签名服务请求并返回签名或验证服务结

6

果。安全管理以B/S方式提供管理员可以通过WEB浏览器直接对各种证书服务和系统进行集中管理和配置。

图1产品架构图

3产品功能

数字签名验证服务器可以为应用服务器提供数据签名、签名验证、证书验证等多种安全功能具体功能如下

4产品部署与集成

DSVS部署在业务系统服务端安全域中配置相互独立的核心服务网络接口和WEB管理服务网络接口分别用于签名验证服务和后台管理服务可以有效避免外界攻击。下图为典型的产品部署网络拓扑图 DSVS可以同时为多个WEB应用系统提供服务如果采用双机并行方式签名效率可以提升将近一倍。

篇三标识密码技术

身份标识密码技术

1标识密码技术的发展

基于身份标识的密码系统Identity-Based Cryptograph,简称IBC是一种非对称的公钥密码体系。标识密码的概念由Shamir于1984年提出[1] 其最主要观点是系统中不需要证书使用用户的标识如姓名、 IP地址、 电子邮箱地址、手机号码等作为公钥。用户的私钥由密钥生成中心(Ke yGenerate Center,简称KGC)根据系统主密钥和用户标识计

7

算得出。用户的公钥由用户标识唯一确定从而用户不需要第三方来保证公钥的真实性。但那时标识密码的思想停留在理论阶段并未出现具体的实施方案。

直到2000年以后 D.Boneh和M.Franklin[2],以及R.Sakai、K.Ohgishi和M.Kasahara[3]两个团队独立提出用椭圆曲线配对parings构造标识公钥密码引发了标识密码的新发展。利用椭圆曲线对的双线性性质在椭圆曲线的循环子群与扩域的乘法循环子群之间建立联系构成了双线性DH、双线性逆DH、判决双线性逆DH、 q-双线性逆DH和q-Gap-双线性逆DH等难题。当椭圆曲线离散对数问题和扩域离散对数问题的求解难度相当时可用椭圆曲线对构造出安全性和实现效率最优化的标识密码。

Bone h等人[1]利用椭圆曲线的双线性对得到Shamir意义上的基于身份标识的加密体制。在此之前一个基于身份的更加传统的加密方案曾被Cocks提出但效率极低。 目前基于身份的方案包括基于身份的加密体制[4-5]、可鉴别身份的

加密和签密体制[6]、签名体制[7-9]、密钥协商体制[10-11]、鉴别体制[12]、 门限密码体制[13]、层次密码体制[14]等。

基于身份的标识密码是传统的PKI证书体系的最新发展国家密码局于2006年组织了国家标识密码体系IBC标准规范的编写和评审工作。 2007年12月16日国家IBC标准正

8

式通过评审给予S M9商密算法型号。

2标识密码的技术原理

标识密码系统与传统公钥密码一样每个用户有一对相关联的公钥和私钥。标识密码系统中将用户的身份标识如姓名、 IP地址、电子邮箱地址、手机号码等作为公钥通过数学方式生成与之对应的用户私钥。用户标识就是该用户的公钥不需要额外生成和存储只需通过某种方式公开发布私钥则由用户秘密保存。 IBC密码体系标准[15]主要表现为IB E加解密算法组、 IB S签名算法组、 IB KA身份认证协议下面分别介绍。

2.1标识密码加解密体制

标识密码的加解密方案由四部分组成,即包括系统参数生成(Setup)算法、密钥生成(Extract)算法、加密(Encrypt)算法和解密(Decrypt)算法。步骤描述如下:

Setup给出一个安全参数k输出系统参数params和主密钥MasterKey。其中系统参数params是公开的而主密钥MasterKey只有密钥生成中心知道。

Extract利用params,MasterKey和任意的,ID∈{0, 1}*,返回私钥PrivateKeyID。 ID是任意长度的字符串并作为加密公钥 P rivateKeyID是解密用的私钥。

Encrypt利用params和公钥ID对明文M进行加密得出密文C C=Encrypt(params,M,ID)。

9