第一篇:数字证书在网上银行的应用研究(精选)
数字证书在网上银行的应用研究
摘要:随着网络的发展和金融服务的多样化,网上银行逐渐走进人们的生活。网上银行在给人们提供便利和快捷的同时也出现了许多问题,这直接影响到了用户资金的安全。要避免这些问题,确保用户资金安全,就要求用户一定要养成良好的网上银行使用习惯,正确保存和使用USBKEY数字证书,这样才能有效的提高网上银行的安全性。
关键词:数字证书;网上银行;USBKEY
一、数字证书及其作用 1.什么是数字证书
数字证书也叫数字标识(Digital Certificate,Digital ID),是一种应用广泛的信息安全技术,一般由权威公正的第三方机构即CA(Certificate Authority)中心签发,主要用于网上安全交往的身份认证。通俗地讲,数字证书就是个人或单位在网络上的身份证。数字证书以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在Internet上建立安全有效的信任机制。
数字证书有代码签名证书、安全电子邮件证书、个人和单位身份证书以及服务器证书等几种类型,分别应用于不同的场合。例如代码签名证书主要用于给程序签名;安全电子邮件证书,用于给邮件数字签名;而个人数字证书用途则很广,可以用来给Office XP文档、软件代码、XML文件、Email等文件数字签名。我们这里谈论的数字证书正是个人数字证书,即用来对个人的身份进行认证。
数字证书文件通常就是一个.cer文件,采用ITUT X.509国际标准格式,其内容包含证书所有者的信息、公开密钥和证书颁发机构的签名等信息。数字证书可以存放在计算机的硬盘、随身软盘、U盘或银行发放的USBKEY中。
2.数字证书的原理及作用 利用数字证书技术进行网上安全传输数据的基本原理是:首先传输双方互相交换证书,验证彼此的身份;然后,发送方利用证书中的公钥和自己的私钥,对要传输的数据进行加密和签名,这样即可保证只有合法的用户才能解密数据,同时也保证了传输数据的真实性和不可否认性。
数字证书对数据加密的技术是利用一对互相匹配的密钥进行加密、解密。当用户申请证书的时候,会得到一把私钥和一个数字证书(公钥)。其中公钥可以发给他人使用,而私钥用户应该保管好、不能泄露给其他人,否则别人将能用它以你的名义签名。当用户向银行发送一份保密文件时,需要使用对方的公钥对数据加密,银行收到文件后,则使用自己的私钥解密。如果用户没有私钥,就不能解密文件,从而保证数据的安全保密性。
另外,用户也可以对文件进行数字签名,即用自己的私钥对数据进行加密处理。由于私钥仅为用户一个人拥有、别人是无法仿造的,因此经过用户签名的文件一定是用户本人签名发送的,而且它还未曾被篡改过。
数字证书应由用户、银行以外的权威的第三方安全认证机构(CA)发放。第三方CA为用户和银行承担了网上信息安全的部分责任,为用户和银行规避了一定的风险。数字证书可以实现用户的“网络亲笔签名”,用户在网上银行进行操作时,证
书会形成电子签附在用户发给银行的交易指令上,从而使银行能够认证用户的身份,使他人无法破解,修改用户和银行互相传递的信息。数字证书是用户的“安全保镖”,能够保证用户网上传送信息的安全,防止其他人对信息的窃取或篡改;数字证书是网上银行的安全卫士,它被国内外普遍采用,至今为止,从未发现一例由于数字证书被攻破而使网上交易诈骗得逞的事件。
二、网上银行存在的安全问题
近几年,国内商业银行在网上银行项目发展上有很大的进步,国家也在大力倡导网上银行数字证书的应用,以保障网上银行的安全。但是网上银行仍然存在一些安全问题,例如假造银行通知、网上“钓鱼”、病毒程序、短信诈骗等。黑客们利用这些手段,直接窃取用户的账号和密码。去年的所谓“网银大盗”事件,就是一帮黑客将托洛依木马程序置于某银行网银,窃取了近800万客户的账号及密码,给广大网银用户造成了很大的经济损失。
我们知道,目前我国的网上银行主要有两种形式:一种是“大众版”网上银行,另一种是“专业版”网上银行。“大众版”网上银行即指简单的“用户名+口令”的登陆方式。许多网络银行在开通时,为了迅速抢占更多的客户资源,往往过分宣传网银的便利性而推荐采用“用户名+口令”的简单的“大众版”的形式,这种简单的“大众版”网上银行其实存在很多不安全因素,比如客户误登假银行网站;卡号和密码丢失;个人电脑中木马病毒等情况,这些都可能导致他人盗取用户的帐户名和密码从而造成经济上的损失。实际上目前发生的大部分用户网上银行资金被盗案件正是由于用户使用简单的“大众版”网上银行方式使帐户名和密码被盗造成的。
“专业版”的利用数字证书登陆网上银行的方式是非常安全的,用户如果正确使用数字证书,就可以保证其帐户的安全。迄今为止,尚未发现一例数字证书机制被攻破的事例。但是如果用户不能很好的保存数字证书,使数字证书被他人窃取,则很可能导致用户帐户资金被盗的情况发生,比如用户将数字证书存放在硬盘上,这样就有可能被盗,存在风险。如果用户将数字证书保存在从银行发放的USBKEY中,这样密钥可以不出卡,安全级别最高,可以很好的保证帐户和资金的安全。
三、正确使用数字证书,保障网上银行的安全
虽然数字证书可以有效的保证网上交易的安全,国家也在大力倡导数字证书的应用,但笔者通过调查发现,到目前为止,全国网银数字证书的发放量仅仅为80万张左右,比起4000万的网银用户数,实在太少了。目前制约网银数字证书的发放主要有如下几个因素:首先是目前多数人对数字证书不太了解,不知道它在保障网上交易安全上能给我们带来的好处,从而没有尝试这一新生事物;其次,比起 “用户名+口令”的“大众版”网上银行,数字证书的使用还很烦琐,要通过“进入网银界面、输入用户名和密码、插入数字证书、询问是否需要签字”等几个步骤,然后,用户要等待十几秒甚至更长的时间,才能完成,这对于已经习惯于使用“用户名+口令”简单方式的用户来说,实在是很罗嗦,也太慢,普通老百姓很难适应它。因此对于仍然使用“用户名+口令”的“大众版”网上银行的用户来说,要保证网上交易的安全,最主要的是要养成良好的网上银行使用习惯。具体来说,普通用户在使用网上银行时要注意以下几个方面:
1.妥善保管卡号和密码
个人要妥善保管卡号和密码,防止将银行卡卡号和密码泄漏,尽量不要用生日和个人其他重要信息设置密码,以防密码被修改。另外,用户在使用网上银行时,请选择安全的、固定的地点上网,不要在公用的计算机上使用网上银行,以防密码被盗。
2.直接输入银行网址
使用网上银行时,请直接在地址栏输入该银行的正确网址或从收藏栏中调出以前收藏的该银行的网址,尽量避免通过搜索的形式登录银行网站,因为这样可能会误登“钓鱼网站”。
3.做好个人电脑的安全措施
为电脑安装防火墙程序,防止个人账户信息遭到黑客窃取。为电脑安装防病毒软件,并经常升级。及时更新相关软件,下载补丁程序,防止他人利用软件漏洞进入计算机窃取资料。对于陌生的电子邮件不要打开,直接删除,防止电子邮件欺诈等等。
4.定期查看交易明细,如有异常,及时和银行沟通
对网上银行办理的各项业务做好记录,定期查看交易明细,如发现异常交易或账务差错,应及时与银行联系。另外,银行网站如有重大变故,银行一般会提前公告用户。用户遇到非正常提示,应立即与银行确认。万一发现资料被盗,应立即修改相关交易密码或办理银行卡挂失。
普通的用户如果能养成上述良好的网上银行使用习惯,基本上也能保障网上银行的安全,但随着网络上病毒和黑客的泛滥,要更好的保障网上银行的安全,建议大家还是使用数字证书网上银行。
对于使用数字证书网上银行的用户来说,用户在向银行申请开通网上银行时,银行会给用户一个数字证书,数字证书应由用户、银行以外的权威的第三方安全认证机构(CA)发放。目前国内主要的数字证书是由中国金融认证中心(CFCA)发放的。据了解,CFCA是金融行业唯一的第三方安全认证机构,当前,除中行和招行外,国内其余全国性商业银行都在使用他们提供的数字证书。
数字证书可以存放在计算机的硬盘、随身软盘、U盘或银行发放的USBKEY中。对于存放在计算机的硬盘、随身软盘或U盘中的数字证书其实并不安全,病毒或黑客可以通过复制,从而从这些存储器中盗取用户的数字证书,并冒充用户进行网上交易,造成用户资金的损失。为了更好的保证网上银行的安全,我们建议用户使用USBKEY来保存数字证书,USBKEY是一个类似于U盘的的存储设备,里面存储了用户个人的认证信息,即数字证书。由于USBKEY中存储的信息具有不可复制性,因此,用户只要保存好USBKEY,就能保证网上银行的安全。这意味着,就算被别人知道了用户的卡号和密码,没有数字证书确认,任何网上交易都不可能成功,当然别人也就不可能通过网上银行盗用用户卡里的钱。因此,我们建议各位用户在申请开通网上银行时,最好选用由USBKEY保存数字证书,这样,只要用户保存好数字证书,就可以保证网上银行的安全。
参考文献:
[1] 张波.电子商务安全[M].成都:华东理工大学出版社,2006.[2] 程建明.网络金融[M].北京:清华大学出版社,2005.[3] 纪香清.网络金融实务[M].北京:电子工业出版社,2002.[4] 钟乐海,王朝斌,李艳梅.网络安全技术[M].北京:电子工业出版社,2003.[5] 卢自愿.论网上银行交易的风险与防范[J].中国农业银行武汉培训学院学报,2005,(3)
[6] 周天虹.浅析网上银行业务的安全规划和实施措施[J].信息网络安全,2007(5)
第二篇:网上银行
网上银行风险控制问题
——谈我国网上银行的发展状况和趁势
网上银行又称网络银行、虚拟银行,是指银行通过互联网向客户提供包括银行传统业务和新兴业务在内的各种金融服务的银行机构或虚拟网站。对银行而言,网上银行是对银行传统渠道的一种补充,相比传统渠道,网上银行的展开可以极大地降低银行的经营成本,增加业务交易量并获得更丰厚的收益,同时也可以为客户提供更便捷和创新的银行服务。对用户而言,网上银行没有时间和空间的限制,节省了用户的使用成本;特别是网上银行兴起之初在产品服务方面的优惠和创新,也为用户带来了更好的金融服务和体验。
网上银行在国内当前的发展环境十分有利,从硬件基础如互联网的发展、到用户意识和习惯的培育,从电子商务等经济环境的利好、到银行和各监管部门的重视和推广,中国网上银行当前处于非常好的发展环境和状态中。网上银行在国内的快速发展,主要得益于在电子商务、个人理财等市场快速发展的带动下,网民对网上银行查询和交易等业务的需求在不断攀升,通过网上银行服务可以及时查询帐户的基本信息、购买各种产品,满足工作及生活中的支付需求。
中国网银取得了突破性的增长,在看到成绩的同时,对中国网上银行发展中存在的风险也需要进行一些分析和总结。
我网上银行发展可以划分为四个阶段。我国网上银行萌芽阶段起于1996年,中国银行(BOC)投入网上银行的开发,次年中国银行建立网页;招商银行开通招商银行网站。第二阶段是在1998-2002年网上银行进入起步阶段,各大银行纷纷推出网上银行服务。2003-2010年进入发展阶段,主要表现为网上银行品牌建设加强,产品和服务改善成为重点。我国的网上银行要在2010 年以后进入最后一个阶段——成熟阶段,在2010年以后网上银行相关法律逐步完善,主要银行的网上银行业务将步入稳定发展阶段。目前我国的网上银行发展的特点与发展现状基本相同,发展速度很快,服务质量稳步提高与世界的网上银行服务水平靠拢和看齐。但主要集中在一些科学力量雄厚、经济发达的大城市,一些边远或落后的山区没有或很少网络银行。我国网上银行的服务区域、服务对象及清算金额都受到一定的制约,业务量规模不大,与银行传统客户群体和覆盖面相比还显得很低。经过近十年的努力,我国的网上银行有了很大的发展,也得到国际的好评,但与欧美日本等发达国家相比,还存在不少问题,发展环境设施不够完善,银行业务纵深和宽度都还有限,受信息基础设施规模小,网络设备的终端和程度失去平衡,现代支付体系不完善,信用评价机制不健全。存在一种巨大的风险。
经过这些年的努力,我国的网上银行有了很大的发展,也得到国际的好评,但与欧美日本等发达国家相比,还存在不少问题,发展环境设施不够完善,银行业务纵深和宽度都还有限,受信息基础设施规模小,网络设备的终端和程度失去平衡,现代支付体系不完善,信用评价机制不健全。存在一种巨大的风险。我国的网上银行功能还很单一。受体制束缚和传统业务规范的制约,我国网上银行目前的业务功能还比较单一,大多数已开通的服务仅有网上查询和代缴费用等,很容易受到本行城市综合业务网络的制约,很难突破传统的业务种类,很难发挥网上银行超越时间和空间障碍的优势,并且推进的速度和效果也不像预料及期望的那样好,投入产出比不够协调,网上银行装饰门面现象还客观存在,使得的很多网上银行发展很不合理。市场主体发展不健全,出现盲目发展、照搬柜面业务的情况,有些银行对网上银行发展方向的认识模糊,仅把它当作扩大传统业务的手段,因而发展缓慢。所以必须加强法律法规的建设,打击一些不法分子的利用网络犯罪的活动,同时也要提高服务水平和服务质量,使我国的网上银行向规范化,市场化,信息化,国际化发展。
网络银行交易虚拟化、服务个性化、经营混业化、监管国际化等特点正是网络银行相对于传统银行的比较优势。但同时也决定了网络银行引发风险的因素以及这些风险的影响与传统银行的不同。除了传统银行经营过程中存在的信用风险、流动性风险、市场风险和利率风险外,网络银行还由于其特殊性而存在新的风险:安全风险、信用风险、观念风险、法律风险、人才匮乏风险。网上银行风险的形成原因有:内部机构设置不协调、网上银行技术支持落后、网上银行监督不力、客户操作风险意识淡簿。由于我国网上银行发展时间短,正处于大力发展时期,网上银行业务风险管理还没有成形的理论和模式,同时银行的操作风险防范与社会环境、法律框架有关。只有找出影响网上银行安全性的深层次原因,才能提高网上银行的安全性,打消用户的疑虑,使更多的客户使用网上银行。银行部门要采取切实措施加强安全管理消除网上银行安全之忧:在行政管理方面,目前国内很多银行的IT系统与安全管理者没有实际的强制性权力,建议重组银行内部组织架构,将分散在各业务部门的安全管理人员重整,设立专门的机构负责安全工作,并加强安全管理部门的力量和权力,使安全管理的强制性得了落实。在技术手段上,则需要在用户认证方面进行作进一步改进。大力探索数字证书、虹膜认证、指纹认证等新型安全的认证方式,加强客户终端的安全。网上银行的客户,也应加强安全防范意识:平时养成良好的网上交易习惯,让不法分子无机可乘。切勿使用出生日期、电话号码或常用名字;切勿向任何人透露密码,并避免把密码写入记事簿或电脑;不应使用进入网上银行所用的登入姓名或密码进行其他网上服务;切勿使用公用电脑或通过电邮的超连结登入网上银行的网站;定期查阅银行户口结余及交易记录。
新经济时代为银行业揭示了美好的前景,知识“爆炸”使银行业面临着跳跃性质变的巨大机遇,电子化、网络化、虚拟化、综合化、全能化、国际化将成为贯穿未来银行业发展进程的主旋律,发展网络银行已经成为全球银行业发展的必然趋势,中国加入WTO以后,这趋势会更加迅速成为现实。银行业的发展如同逆水行舟,不进则退。21世纪的中国商业银行应牢牢把握信息时代的脉搏,在积极推进自身经营管理变革的同时,以现代化的金融服务推动人类经济模式的跃迁!随着我国网上银行业务水平及其风险监管水平的不断提高,在未来适当的时候,我国可以考虑扩大网上银行业务的品种和范围,放松或解除银行不能兼营证券及保险业务的限制,实行金融混业经营,以提高我国网上银行业的国际竞争力。
参考文献:《对我国网络银行发展与监管问题的研究》
第三篇:数字证书实验报告
学 生 实 验 报 告 篇二:电子商务实验报告 数字证书的使用
实验三 数字证书的使用
实验目的:1.掌握数字证书的配置内容及配置方法 2.了解数字证书的作用及使用方法
3.掌握使用数字证书访问安全站点的方法 4.利用数字证书发送签名邮件和加密邮件
实验环境: internet、internet explorer、outlook express 主要内容:1.申请数字证书,并查看数字证书的内容。2.将试用型数字证书安装捆绑到对应的电子邮件 3发送数字签名电子邮件 4.发送数字证书加密邮件
实验步骤:
一、数字证书的申请
以电子邮件证书的申请为例,申请数字证书的一般过程为:(2)如果是第一次使用,请先下载根证书;
(3)申请个人安全电子邮件证书;
(4)填写注册表,确认提交信息后等待审批结果;
(5)提交
如图2-1所示:
图2-1 免费证书的申请
(6)申请成功,下载并安装证书 如图2-2所示 图 2-2 下载安装证书窗口
(6)安装成功
2.证书的导出、导入
(1)证书的导出
单击选中要导出的证书,单击“导出”按钮后按证书管理器导出向导进行操作(选择好文件的路径)直至成功导出证书提示,就完成证书的导出。如图2-3所示:
图 2-3 证书的导出窗口
注意:系统询问是否私钥跟证书一起导出,选择“是”导出私钥的数字 证书文件是pfx格式。输入私钥的保护密码,根据系统提示选择导出文件的路径及文件名。证书管理器导出向导完成导出任务。
(2)数字证书的导入
a.选择导出的证书文件,选择“安装证书”进入证书导入向导。b.与导出步骤相同,点击图2-3的导入。
二.发送具有数字签名的电子邮件
在发送签名邮件之前,你首先要下载你的数字证书,即将你申请的数字证书导入到你的系统中;之后还必须将数字证书跟电子邮件绑定,也就是还必须完成“在outlook express中设置你的数字证书”使电子邮件帐号对应相应的数字证书;这些事做完之后才能发送数字签名电子邮件。
1. 在 outlook express 中设置数字证书。1)在 outlook express 中,单击 工具 菜单中的 帐号。如图1-3所示。2)选取邮件选项卡中用于发送安全邮件的邮件帐号,单击属性。如图1-31。3)选取安全选项卡中的从以下地点发送安全邮件时使用数字标识复选框,然后单击数字证书按健。如图1-32所示。
注意:对于express比较新的版本按默认设置就可以了,你可以在工具,选项,安全,数字标识中看到证书信息。图1-31 选择邮件选项 图1-32 选取安全选项卡 4)选择与该帐号有关的数字证书(只显示与该帐号相对应的电子邮箱的数字证书)。如图1-33所示。5)如果想查看证书,请单击查看证书,你将会看到详细的证书信息。如图1-34所示。点击确定,设置完毕。
图1-33 选择与该帐号有关的数字证
书
2. 发送签名电子邮件 图1-34 证书信息
用你自己的安全电子邮件证书,发一封签名邮件,内容将你的安全电子邮件证书的信息(包括你的公钥),主题为你的学号。1)在 outlook express 中,单击 工具 菜单中的 帐号。如图1-3所示。2)选取邮件选项卡中用于发送安全邮件的邮件帐号,单击属性。如图1-31。3)选取安全选项卡中的从以下地点发送安全邮件时使用数字标识复选框,然
后单击数字证书按健。如图1-32所示。
注意:对于express比较新的版本按默认设置就可以了,你可以在工具,选项,安全,数字标识中看到证书信息。
图1-31 选择邮件选项 图1-32 选取安全选项卡 4)选择与该帐号有关的数字证书(只显示与该帐号相对应的电子邮箱的数
字证书)。如图1-33所示。5)如果想查看证书,请单击查看证书,你将会看到详细的证书信息。如图1-34所示。点击确定,设置完毕。
图1-33 选择与该帐号有关的数字证
书
三.发送加密邮件 图1-34 证书信息
要将电子邮件加密,首先你需要有收件人的数字证书。1. 获得对方的数字证书
方法一:从ca中心的网站上获得。(例:获得my_hu@163.net的数字证书。)1)登陆,选择“查找和下载他人数字证书”栏目,如图1-39所示。2)输入e_mail地址:my_hu@163.net,按“查询并下载”,如图1-40所示。篇三:09级实验 数字证书的申请及安装使用实验报告
电子商务模拟实验报告
班级 姓名 学号 组号 时间
一、试验目的(本次上机实践所涉及并要求掌握的知识点)1.了解认证体系的体制结构、功能、作用、业务范围及运行机制。2.掌握网上申请个人数字证书的方法。3.掌握数字证书的导入、导出和安装。4.掌握数字证书的配置内容及配置方法。5.了解数字证书的作用及使用方法。6.利用数字证书发送签名邮件和加密邮件。
二、使用环境(本次上机实践所使用的平台和相关软件)internet、internet explorer、outlook express
三、试验内容与步骤(上机实践内容、思想与实现步骤等。)实验三:
1.通过搜索国内认证机构网站,了解其功能、作用及所提供的业务 2.在“中国数字认证网”网站()为自己申请“电子邮件保护证书”和“客户身份验证证书”。
3、在北京数字证书认证中心有限公司网站申领试用数字证书。
实验四:
1.发送数字签名电子邮件 2.发送pki加密邮件
3.利用数字证书访问安全站点 4.吊销数字证书的查询
四、相关数据记录(记录试验中的中间结果及最终结果数据)
实验三: 1.浏览 “中国数字认证网”网站(); 2.浏览 北京数字证书认证中心有限公司网站。网址:)
(2)阅读用户手册
(3)点击“根证书的下载”的按钮,下载并安装根ca证书。4.申请“电子邮件保护证书”和“客户身份验证证书”; 5.在北京数字证书认证中心有限公司网站申领试用数字证书。
(1)登录“中国数字认证网”网站(/retype/zoom/c0ee265b804d2b160b4ec0ce?pn=3&x=0&y=1268&raww=15&rawh=17&o=png_6_0_0_632_163_17_19_892.979_1262.879&type=pic&aimh=17&md5sum=504daea496dcbf06648acd3ab1703ad0&sign=bbabbc9b9c&zoom=&png=2592-6679&jpg=0-0“ target=”_blank">点此查看
名的邮件时,将看到“数字签名邮件”的提示信息。
(5)按“继续”按钮后可阅读到该邮件的内容。若邮件在传输过程中被他人篡改或发信人的数字证书有问题,页面将出现“安全警告”提示。3.发送加密邮件,要先获得对方的数字证书 所标示,打开数字签
从ca中心的网站上获得。(例:获得my_hu@163.net的数字证书。)
(1)登陆,选择“查找和下载他人数字证书”栏目。
(2)输入e_mail地址:my_hu@163.net,按“查询并下载”。
(3)查询到结果后,按“下载”按钮。在下载时请选择在“文件的当前位置打开”并确定,系统将自动执行对方的数字证书的安装过程,在此过程中,可以看到有关证书的信息。
(4)点取“通讯簿”选项卡,选拔“添加到通讯簿”,对方的e_mail地址连同数字证书便加入了通讯簿。
(5)可以到outlook express的通讯簿中去查看,如果联系人具有数字证书,他们在通讯簿的卡片将显示一根红色的飘带。4.根证书的导出
(1)启动ie,选择工具→internet选项→内容→证书→受信任的根目录颁发机构,单击选中要导出的根证书。
(2)单击 导出 按钮后,出现证书管理器导出向导界面,按照向导提示操作,向导会提示你选择证书导出的格式。
(3)选择好文件的路径后,按提示单击 下一步,直止系统出现证书导出成功提示,便完成根证书导出过程。5. 根证书的导入
(1)在ie中,选择工具→internet选项→内容→证书,选择受信任的根目录颁发机构标签栏,双击要导出的根证书文件,选择 安装证书,进入证书导入向导。(2)按照根证书的安装向导操作,当系统提示你选定证书存储区时,可选择 根据证书类型,自动选择证书存储区,根据系统提示操作,直至结束证书导入向导。6. 数字证书的导出
(1)在ie中,选择工具→internet选项→ 内容→证书,选择个人标签栏,选择数字证书,单击 导出 按钮,系统提示 欢迎使用证书导出向导,进入证书管理器导出向导程序。(2)系统询问是否将私钥跟证书一起导出,选择 是,导出私钥(如果在申请数字证书时选择的存储介质为非本地计算机,此时系统导出私钥项为虚)。
(3)下一步系统选择导出证书的格式,如果导出了私钥的数字证书文件,则格式为pfx。
(4)在导出私钥时,系统会提示要求输入私钥保护密码,为了防止第三方非法使用你的数字证书,请输入私钥保护密码;然后根据系统提示进行下一步;在出现的对话框中,选择导出文件的路径和文件名。至此,证书管理器导出向导完成导出任务。7. 数字证书的导入
(1)启动ie,选择 工具→internet选项→内容→证书→个人 标签栏,单击 导入 按钮,系统提示 欢迎使用证书导入向导,进入导入向导;下一步系统选择证书导入的文件。
(2)下一步,证书管理器导入向导选择证书存贮区,一般选择系统默认值。当显示 完成证书管理器导入向导 时,单击 完成 按钮。这时系统提示输入一个新的私人密钥,设定私人密钥后按确定,系统提示证书导入成功。
五、总结(试验中遇到的问题及解决过程,产生的错误及原因分析,试验体会和收获)通过这两个实验的学习实践,收获很多,提升了自身操作能力的同时又学到了很多知识,更加深了和同学们之间的沟通和交流。这样的实践课程一定会让我在今后的学习和工作中更加出色。
六、附录(参考文献等其他内容)
无篇四:实验七:数字证书的申请与使用报告
实 验 报 告
课程名称 实验名称 数字证书的申请与使用 专 业 信息管理与信息系统 班 级 0902 学 号姓 名 指导教师 唐志航、张益星、吴德健 2012年 4月 27 日
实验七:数字证书的申请与使用
一、实验目的通过此次实验让学生了解认证体系的体制结构、功能、作用、业务范围及运行机制。掌握了网上申请个人数字证书的方法,了解了数字证书的作用及使用方法。
二、实验内容
1.outlook express的使用 2.数字证书的申请和数字证书的使用
三、实验步骤
(一)任务1:数字证书的申请
以电子邮件证书的申请为例,申请数字证书的一般过程为:
(2)如果是第一次使用,请先下载根证书;
(3)申请个人安全电子邮件证书;
(4)填写注册表,确认提交信息后等待审批结果;
(5)提交
如图2-1所示:
图2-1 免费证书的申请(6)申请成功,下载并安装证书
(7)安装成功
2.证书的导出、导入
(1)证书的导出
单击选中要导出的证书,单击“导出”按钮后按证书管理器导出向导进行操作(选择好文件的路径)直至成功导出证书提示,就完成证书的导出。如图2-2所示: 1 图 2-2证书的导出窗口
注意:系统询问是否私钥跟证书一起导出,选择“是”导出私钥的数字 证书文件是pfx格式。输入私钥的保护密码,根据系统提示选择导出文件的路径及文件名。证书管理器导出向导完成导出任务。
(2)数字证书的导入
a.选择导出的证书文件,选择“安装证书”进入证书导入向导。b.与导出步骤相同,点击图2-3的导入。
(二)任务2:用outlook express发送具有数字签名的电子邮件
在发送签名邮件之前,你首先要下载你的数字证书,即将你申请的数字证书导入到你的系统中;之后还必须将数字证书跟电子邮件绑定,也就是还必须完成在 outlook express 或foxmail中设置数字证书。
1.设置outlook express 的账号属性
但注意126和163邮箱在2006年11月以后申请的邮箱暂不支持客户端pop、smtp的服务。
(2)设置outlook express的邮件账号:点击工具-账户-添加-邮件 2 3(3)设置 smtp 服务器身份验证:a.在“邮件”标签中,双击刚才添加的帐号,弹出此帐号的属性框;如2-4图所示:
图2-4 邮件账号的属性 b.点击“服务器”标签,然后在“发送邮件服务器”处,选中“我的服务器要求身份验证”如图2-5所示: 4篇五:实验指导-数字证书
一. ca数字证书的创建
实例说明:
本实例使用j2sdk提供的keytool工具用rsa算法在指定的密钥库mykeystore中创建公钥/私钥对和证书,并将证书导出到证书文件,设置此证书为ca证书。
运行程序: 1. 用rsa算法在指定的密钥库mykeystore中创建公钥/私钥对和证书
在命令行中输入“keytool –genkey –alias mycacert –keyalg rsa –keysize 1024 –keystore mykeystore –validity 7”。
该操作将使用rsa算法生成1024位的公钥/私钥对及证书,密钥长度为1024位,证书有效期是7天。证书中包含了新生成的公钥和一个名字为“cn=wang zhihui, ou=grid security center, o=dlut, l=dalian, st=liaoning, c=cn”的主体(人或机构)的对应关系。其中“cn=wang zhihui, ou=grid security center, o=dlut, l=dalian, st=liaoning, c=cn”是x.500格式的全名,包含了主体的国家,洲,城市,机构,单位和名字。这样,这个证书将证明相应的公钥是这个人或机构所拥有的。使用的密钥库是mykeystore文件。其中keytool的–genkey参数用于生成公钥和私钥,并以交互的方式获取公钥持有者的信息,同时生成一个能证明此公钥归持有者所有的证书。
–alias参数用于指定新生成的公钥和私钥对及证书在密钥库中对应的别名。
–keyalg参数可以指定密钥的算法,如rsa,dsa。-keysize参数用于指定密钥的长度,默认为1024,如果使用的是dsa算法,其密钥长度必须在512-1024之间,且必须是64的倍数。-keystore参数可以指定密钥库的名称。密钥库其实是存放密钥和证书的文件,密钥库对应的文件如果不存在则自动创建,由于密钥库中包含了私钥,所以是一个需要保密的文件,上述命令行执行时会提示输入keystore的密码,这里因为是第一次使用该密钥库,因此输入的密码“123456”将成为该密钥库默认的密码,以后再使用这个密钥库时必须提供这个口令才可以使用。
-validity参数可以指定所创建的证书有效期是多少天。
以上操作最后还提示“输入〈mycacert〉的主密码”,此处输入的密码是对应于该别名的私钥的密码,密钥库中每个别名对应的私钥可以使用不同的密码加以保护。2. 从密钥库显示条目信息并将证书导出到证书文件 a.在命令行中输入“keytool –list –keystore mykeystore-v”。keytool的命令行参数-list可以显示密钥库中的证书信息,进一步使用-keystore参数可 以显示指定的密钥库中的证书信息,在命令上加上-v参数可以显示证书的详细信息。b.使用keytool的-export可以将别名指定的证书导出到文件,文件名通过-file参数指定。如输入如下命令:“keytool –export –alias mycacert –keystore mykeystore-storepass 123456 –file mycacert.cer –rfc”。
该操作完成后将在当前目录中创建mycacert.cer文件,它包含了公钥和主体的对应关系,内容可以公开。-rfc参数是使用一种可打印的编码格式来保存证书,如下图所示。如果不使用此参数,则使用文本编辑器打开mycacert.cer,将会发现它是二进制文件。在windows中双击mycacert.cer的图表,将出现包含了证书所有者,颁发者和有效期等信息的对话框,这些信息与前面使用keytool显示出的信息一致。3. 安装mycacert为ca证书
这里我们假定你自己是ca,你在计算机中的身份以mycacert.cer来代表。下面将代表ca的证书文件mycacert.cer安装在机器中,以便在计算机中确立mycacert.cer证书的权威性。
双击导出的证书文件mycacert.cer,出现下图所示的对话框。
单击对话框中的“安装证书”按钮,出现下图所示的“证书导入向导”对话框。
单击其中的“下一步”按钮,出现下图所示的“证书存储”对话框。
使用该对话框的默认选择,直接单击“下一步”按钮,出现正在完成证书导入向导的对话框。
以后操作系统将自动信任由mycacert.cer签发的其他证书。单击其中的“完成”按钮,出现最后的确认对话框。
如果用户怀疑该证书是否正确,可以再核实一遍该对话框中显示的拇印,确认后单击其中的“是”按钮,最后提示导入成功。
此时双击证书文件mycacert.cer,将出现下图所示的“证书”对话框。与原对话框相比,“该ca根证书不受信任。。。”警告已经消失了,取而代之的是该证书的用途。
第四篇:数字证书使用须知
数字证书使用须知
大连市地方税务局为确保纳税人利用互联网办理涉税事宜数据传输的安全性和不可篡改性,特为纳税人提供数字证书电子认证服务,数字证书视同企业公章管理。
(一)申请
1.纳税人在申请数字证书时,应提供真实、完整和准确的信息及证明材料。如因故意或过失未向主管税务机关提供真实、完整和准确的信息,导致签发证书错误,造成相关各方损失的,由纳税人承担一切责任。
2.各主管税务机关负责进行纳税人信息录入、身份审核、证书制作和证书发放工作。纳税人在申请数字证书时应遵照相应的办理手续。
3.纳税人在获得数字证书时,应及时验证此证书基本信息,如无异议则视为接受证书。
(二)使用
1.税务机关发放的数字证书只能用于在网络上标识用户身份,税务机关提供的各种网上办税系统可以根据该功能需要对其用途进行定义。数字证书不能用于其他任何用途,若数字证书用于其他用途,税务机关不承担责任。
2.纳税人应当妥善保管税务机关签发的数字证书和私钥及保护密码,不得泄漏或交付他人。如纳税人不慎将数字证书丢失,或因故意、过失导致他人盗用、冒用、伪造或者篡改数字证书,造成一切损失,由纳税人自行承担。
3.数字证书对应的私钥为纳税人自己使用,纳税人对使用数字证书的行为负责。所有使用数字证书在网上办理涉税业务的活动均视为纳税人所为。
4.数字证书一律不得转让、转借或转用。因转让、转借或转用而造成的一切损失均由纳税人负责。
(三)更新
1.由于纳税人相应信息发生变化需要更新的,请及时到主管税务机关办理数字证书更新手续。
2.随着技术的进步,大连市地方税务局可能会要求纳税人及时更新数字证书。纳税人在收到更新通知时,应在规定的期限内到主管税务机关更新证书。
(四)注销
1.如果遇到数字证书私钥泄露、丢失、证书中的信息发生重大变更、或纳税人不希望继续使用数字证书的情况,纳税人应当立即到主管税务机关申请注销证书。
2.如果纳税人注销税务登记,应携带原数字证书,向主管税务机关申请注销用户证书。
3.对于下列情形之一,大连市地方税务局有权注销所签发的证书:
纳税人申请证书时,提供不真实信息;
证书对应的私钥泄露或出现其他证书的安全性得不到保证的情况;
(五)费用
首次申请数字证书时,免收介质费,丢失补办时,按市价收取介质成本费,本数字证书永久免收证书服务费。
(六)丢失、损毁
第五篇:数字证书服务协议
数字证书(以下简称证书)是_______电子商务认证有限公司(以下简称电子商务公司)签发的网上凭证,是为身份确实、资信可靠的个人、单位和服务器等在网上进行安全电子交易、安全电子事务处理等提供的一种身份认证。凡企业、机关团体、行政事业等单位、个人和服务器数字证书申请人(以下简称证书申请人)均可向电子商务公司的业务受理审批单位申请领用数字证书。
为了保障数字证书申请人的合法权利,维护_______电子商务认证有限公司的合法经营权益,双方本着自愿、平等的原则,达成以下协议书条款,双方共同遵守执行。
一、协议双方的权利与责任
1.电子商务公司的权利与责任
(1)电子商务公司发放的各类型数字证书只能用于在网络上标识身份、加密数据、保证网络安全通讯,不能作为其他任何用途。若证书申请人将其数字证书用于其他用途,电子商务公司不承担任何责任。
(2)电子商务公司委托各受理审批单位进行证书申请人的信息录入、身份审核、证书制作等工作。证书申请人在申请数字证书时请遵照各受理审批单位的规程办理手续。电子商务公司在网站上公布所有受理审批单位的地址。在通过受理审批单位的录入、审核和制作后,证书申请人即可获得所申请的数字证书以及该证书的存储介质。
(3)电子商务公司及其受理审批单位在进行身份认证或证书制作时,将充分遵守电子商务公司的安全操作流程。如果由于电子商务公司设备故障、线路中断,导致签发数字证书错误、延迟、中断或者无法签发,电子商务公司不负任何赔偿责任。
(4)电子商务公司不对由于客观意外或其它不可抗拒事件造成的操作失败或延迟承担任何损失、损害或赔偿责任。
(5)电子商务公司保证其使用和发放的公钥算法在现有技术条件下不会被攻破。如果发生上述情况,或者证书申请人举报并经确实,电子商务公司负责赔偿责任。
(6)随技术的进步,电子商务公司有权要求证书申请人及时更新数字证书。证书申请人在收到更新通知时,应在规定的期限内到电子商务公司更新证书,若逾期证书申请人没有更新证书,所引起的后果由证书申请人自行承担。
(7)由于身份认证差错,造成证书申请人或他人损失时,电子商务公司负责赔偿责任。
(8)证书所有权属于电子商务公司,对于下列情况之一的,电子商务公司有权主动废止所签发的数字证书:
•与证书中的公钥相对应的私钥被泄密;
•证书中的相关信息有所变更;
•由于证书不再需要用于原来的用途而要求终止;
•证书的更新费用未收到;
•证书持有者已经不能履行或违反了其他协议、法规及法律所规定的责任和义务;
•其他情况。
2.证书申请人的权利与责任
(1)证书申请人必须按照电子商务公司的有关规定办理申请手续,如实提交各种申请材料,如实填写证书申请表格。证书申请人必须对所提供资料的真实性、合法性负责。
(2)证书申请人在身份审核时,故意或过失提供不真实资料,导致电子商务公司签发证书错误,因而造成损失时,由证书申请人承担一切相关责任。
(3)证书申请人应当妥善保管电子商务公司所签发的数字证书和私钥及保护密码,不得泄漏或交付他人。如因故意、过失导致他人知道或遭盗用、冒用、伪造或者篡改时,证书申请人应当自行负责承担一切责任;如遇遗失或被窃,应立即向电子商务公司或其受理审批单位办理挂失/报失,并配合调查。
(4)如发生第(3)条情况,或者证书申请人不希望继续使用数字证书时,应当立即到受理审批单位申请报失数字证书。报失手续遵循电子商务公司的规定。电子商务公司在接到受理审批单位的报失申请后,在24小时内废止证书申请人数字证书。证书申请人应当承担在数字证书废止之前所有使用数字证书造成的责任。
(5)证书申请人数字证书的有效期为1年或2年。证书申请人必须及时提出数字证书更新请求。电子商务公司对此不负任何责任。
(6)证书一律不得转让、转借或转用。因转让、转借或转用而产生的一切损失均由证书申请人负责。若证书个人的住址、电话等联系方法发生变动;单位的法人、网站等发生变动,应立即通知电子商务公司。因证书申请人信息发生变化且未及时通知电子商务公司更新证书信息而造成的不良后果由证书申请人自行承担。
(7)所有使用证书在网上进行的电子商务活动均视为证书申请人所为,因此而产生的一切后果均由证书申请人负责,证书申请人必须遵守国家的相关规定。
(8)证书申请、废止、更新等的审核权在电子商务公司,证书申请人必须按照电子商务公司制定的有关规定按期缴纳相关费用。
(9)如果证书申请人死亡或单位停业或解散时,若证书申请人是单位的,则其法定责任人需要携带相关证明文件及原数字证书申请表格存根,向电子商务公司请求报失证书申请人数字证书。如果数字证书申请证明遗失,凭法律效力证明废止证书申请人数字证书。相关责任人应当承担其数字证书在废止前产生的一切行为。
二、协议的生效、变更与终止
1.本协议书一式三份,证书申请人、受理审批单位与电子商务公司三方各保留一份,三方签字或盖章后生效。
2.本协议书如有修订而涉及证书申请人的权利、义务时,电子商务公司会以电子邮件方式通知证书申请人。
3.本协议书的解释、修改权属于电子商务公司。协议书解释、修改并正式发布后10个工作日内证书申请人如果无异议,则视为同意;如果有异议而因此需要报失证书的,应该向电子商务公司提出。电子商务公司将本着“信誉第一,客户至上”的宗旨,竭诚服务,维护证书申请人合法权益。
三、争议解决
双方对本协议书之规定发生争议时,应首先本着友好协商的原则解决。若协商不成的,任何一方可以请求有管辖权的人民法院依法对所争议的事项作出裁决。
四、附则
1.各类证书的申请表、更新表、报失表等是本协议不可分割的组成部分。
2.证书申请人在递交数字证书申请表之前,须首先阅读本协议书条款。若申请人不接受本协议条款,则数字证书申请将不予受理。