返回
用智能卡存储数字证书和私有密钥

用智能卡存储数字证书和私有密钥

ID:34784078

大小:51.99 KB

页数:3页

时间:2019-03-10

用智能卡存储数字证书和私有密钥_第1页
用智能卡存储数字证书和私有密钥_第2页
用智能卡存储数字证书和私有密钥_第3页
资源描述:

《用智能卡存储数字证书和私有密钥》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、用智能卡存储数字证书和私有密钥广东省电子商务认证有限公司郝云生---- 本文以MicrosoftIE浏览器为例,介绍使用智能卡申请个人证书的过程。不同的证书发行机构(CA),签发证书的程序会有所不同,这里只介绍基本步骤。一、使用智能卡申请证书----1)在计算机上安装读卡器和驱动程序。读卡器通过一根串行电缆与计算机的串行通信口连接,另一根电源线接到键盘插座上为读卡器提供电源。在安装驱动程序时,智能卡设备的加密驱动程序将被安装到机器上,这个核心程序称为加密服务模块(CSP)。在Windows操作系统的加密体系中,IE浏览器、OutlookExpre

2、ss邮件程序等应用程序,不能直接与加密设备(如智能卡)直接通信,必须通过CryptoAPI进行。----2)使用IE浏览器访问CA的Internet站点,填写注册信息,选定加密服务模块。在Web页面上,除了填写名字、E-MAIL地址等注册资料外,用户还要选择加密服务模块(CSP),默认的选项是“MicrosoftBaseProviderCSP”,属于软件加密模块。这里选择智能卡加密服务模块。----3)确认注册信息,提交证书请求。这时候,系统将弹出一个对话框,提示用户输入智能卡的PIN。输入正确的PIN之后,智能卡将产生一对密钥,其中私有密钥存储

3、在智能卡内,而公开密钥同注册信息一起提交给CA。----4)下载数字证书。如果CA经过审核批准了证书请求,将签发一张证书,并通知申请者。申请者可以从CA的站点将证书下载到智能卡中。二、使用智能卡访问安全站点----许多电子交易的站点或发布特定信息的站点需要经过授权才能访问,并且发送到该站点或由该站点发出的信息都是经过加密处理的。在Microsoft的IISWebServer中,将需要安全访问的文件或目录的访问控制设置为“requestclientcertificates”(需要客户端证书)就可以了。当用户使用浏览器访问这个安全站点时,该站点会要求

4、浏览器出示证书。----智能卡中安装了数字证书,就可以访问安全的Internet站点,过程如下:----1)用户访问安全站点时,WebServer提示浏览器访问该页面需要客户端证书。浏览器通过CryptoAPI调用CSP,检查是否安装了站点所要求的证书。系统将在对话框中列出所有满足条件的证书,由用户选择使用其中一张证书作为访问站点的身份证明。用户选择智能卡中的证书并确定,证书被提交给WebServer。----2)WebServer首先对客户端证书的有效性进行验证。确认证书有效后,WebServer发送一串随机数给客户端浏览器。浏览器收到这串数字

5、后,将其发送给智能卡,智能卡使用私有密钥对其进行数字签名。签名后的随机数串被回送给WebServer,WebServer将验证签名(用证书对应的公钥进行解密),如果签名验证通过(解密后得到的随机数与其发送的随机数相同),则授权访问页面。如果不能完成签名或签名验证失败,WebServer将认为访问者不具备该证书的使用权,访问请求被拒绝。----3)验证成功后,WebServer和浏览器之间使用SSL协议规程,建立安全会话通道进行通信,两者之间发送和接收的信息都是经过加密的。三、使用智能卡签名/加密电子邮件----以下介绍使用存储在智能卡中的数字证书

6、和私有密钥对邮件进行签名和加密/解密的过程。----1.签名邮件----1)对邮件进行签名时,OutlookExpress首先对邮件消息进行“哈希”(Hash)运算,得到消息的“哈希值”。“哈希值”是一串固定长度的数字,不同的消息(即使只存在1个bit的差异)的“哈希值”是完全不同的,所以“哈希值”也被称为“数字指纹”。----2)OutlookExpress通过CryptoAPI和CSP与智能卡进行通信,将“哈希值”发送给智能卡。----3)智能卡对“哈希值”使用私有密钥进行加密运算,加密后的“哈希值”就是数字签名。智能卡将数字签名返回给Out

7、lookExpress。----4)OutlookExpress将消息、签名、数字证书一起发送给接收者。----5)接收签名的邮件时,OutlookExpress从发送者的数字证书中取得发送者的公开密钥,对数字签名进行解密运算,得出原始的“哈希值”。同时,OutlookExpress会对收到的消息按照同样的“哈希算法”进行运算,得出一个新的“哈希值”。如果原始的“哈希值”和新的“哈希值”相同,则数字签名是有效的,接收者可以认为消息确实是来自证书持有者,在传输过程中没有被篡改。----2.加密/解密邮件----1)发送加密邮件,需要获得对方的数字证

8、书。有多种途径可以获得他人的数字证书:从收到的带数字签名的邮件中获得;搜索CAWeb站点上的数据库;在提供目录服务的站点进行搜索。---

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。