nomexul材料认证证书

nomexul材料认证证书（精选3篇）

篇1：nomexul材料认证证书

认证证书和认证标志管理规定

第一章　总则

第一条　为加强对产品、服务、管理体系认证的认证证书和认证标志(以下简称认证证书和认证标志)的管理、监督，规范认证证书和认证标志的使用，维护获证组织和公众的合法权益，促进认证活动健康有序的发展，根据《中华人民共和国认证认可条例》(以下简称条例)等有关法律、行政法规的规定，制定本办法。

第二条　本办法所称的认证证书是指产品、服务、管理体系通过认证所获得的证明性文件。认证证书包括产品认证证书、服务认证证书和管理体系认证证书。

本办法所称的认证标志是指证明产品、服务、管理体系通过认证的专有符号、图案或者符号、图案以及文字的组合。认证标志包括产品认证标志、服务认证标志和管理体系认证标志。

第三条　本办法适用于认证证书和认证标志的制定、发布、备案、使用和监督检查。

第四条　国家认证认可监督管理委员会(以下简称国家认监委)依法负责认证证书和认证标志的管理、监督和综合协调工作。

地方质量技术监督部门和各地出入境检验检疫机构(以下统称地方认证监督管理部门)按照各自职责分工，依法负责所辖区域内的认证证书和认证标志的监督检查工作。

第五条　禁止伪造、冒用、转让和非法买卖认证证书和认证标志。

第二章　认证证书

第六条　认证机构应当按照认证基本规范、认证规则从事认证活动，对认证合格的，应当在规定的时限内向认证委托人出具认证证书。

第七条　产品认证证书包括以下基本内容：

(一)委托人名称、地址;

(二)产品名称、型号、规格，需要时对产品功能、特征的描述;

(三)产品商标、制造商名称、地址;

(四)产品生产厂名称、地址;

(五)认证依据的标准、技术要求;

(六)认证模式;

(七)证书编号;

(八)发证机构、发证日期和有效期;

(九)其他需要说明的内容。

第八条　服务认证证书包括以下基本内容：

(一)获得认证的组织名称、地址;

(二)获得认证的服务所覆盖的业务范围;

(三)认证依据的标准、技术要求;

(四)认证证书编号;

(五)发证机构、发证日期和有效期;

(六)其他需要说明的内容。

第九条　管理体系认证证书包括以下基本内容：

(一)获得认证的组织名称、地址;

(二)获得认证的组织的管理体系所覆盖的业务范围;

(三)认证依据的标准、技术要求;

(四)证书编号;

(五)发证机构、发证日期和有效期;

(六)其他需要说明的内容。

第十条　获得认证的组织应当在广告、宣传等活动中正确使用认证证书和有关信息。获得认证的产品、服务、管理体系发生重大变化时，获得认证的组织和个人应当向认证机构申请变更，未变更或者经认证机构调查发现不符合认证要求的，不得继续使用该认证证书。

第十一条　认证机构应当建立认证证书管理制度，对获得认证的组织和个人使用认证证书的情况实施有效跟踪调查，对不能符合认证要求的，应当暂停其使用直至撤销认证证书，并予以公布;对撤销或者注销的认证证书予以收回;无法收回的，予以公布。

第十二条　不得利用产品认证证书和相关文字、符号误导公众认为其服务、管理体系通过认证;不得利用服务认证证书和相关文字、符号误导公众认为其产品、管理体系通过认证;不得利用管理体系认证证书和相关文字、符号，误导公众认为其产品、服务通过认证。

第三章　认证标志

第十三条　认证标志分为强制性认证标志和自愿性认证标志。

自愿性认证标志包括国家统一的自愿性认证标志和认证机构自行制定的认证标志。

强制性认证标志和国家统一的自愿性认证标志属于国家专有认证标志。

认证机构自行制定的认证标志是指认证机构专有的认证标志。

第十四条　强制性认证标志和国家统一的自愿性认证标志的制定和使用，由国家认监委依法规定，并予以公布。

第十五条　认证机构自行制定的认证标志的式样(包括使用的符号)、文字和名称，应当遵守以下规定：

(一)不得与强制性认证标志、国家统一的自愿性认证标志或者已经国家认监委备案的认证机构自行制定的认证标志相同或者近似;

(二)不得妨碍社会管理秩序;

(三)不得将公众熟知的社会公共资源或者具有特定含义的认证名称的文字、符号、图案作为认证标志的组成部分(如使用表明安全、健康、环保、绿色、无污染等的文字、符号、图案);

(四)不得将容易误导公众或者造成社会歧视、有损社会道德风尚以及其他不良影响的文字、符号、图案作为认证标志的组成部分;

(五)其他法律、行政法规，或者国家制定的相关技术规范、标准的规定。

第十六条　认证机构自行制定的认证标志应当自发布之日起___日内，报国家认监委备案。

第十七条　认证机构备案时应当提交认证标志的式样(包括使用的符号)、文字、名称、应用范围、识别方法、使用方法等其他情况的书面材料。

国家认监委应当自收到备案材料之日起___日内，依照本办法有关规定对认证机构提交的材料进行核查，对于符合本办法第十五条规定的，予以备案并公布;不符合的，告知其改正。

第十八条　认证机构应当建立认证标志管理制度，明确认证标志使用者的权利和义务，对获得认证的组织使用认证标志的情况实施有效跟踪调查，发现其认证的产品、服务、管理体系不能符合认证要求的，应当及时作出暂停或者停止其使用认证标志的决定，并予以公布。

第十九条　获得产品认证的组织应当在广告、产品介绍等宣传材料中正确使用产品认证标志，可以在通过认证的产品及其包装上标注产品认证标志，但不得利用产品认证标志误导公众认为其服务、管理体系通过认证。

第二十条　获得服务认证的组织应当在广告等有关宣传中正确使用服务认证标志，可以将服务认证标志悬挂在获得服务认证的区域内，但不得利用服务认证标志误导公众认为其产品、管理体系通过认证。

第二十一条　获得管理体系认证的组织应当在广告等有关宣传中正确使用管理体系认证标志，不得在产品上标注管理体系认证标志，只有在注明获证组织通过相关管理体系认证的情况下方可在产品的包装上标注管理体系认证标志。

第四章　监督检查

第二十二条　国家认监委组织地方认证监督管理部门对认证证书和认证标志的使用情况实施监督检查，对伪造、冒用、转让和非法买卖认证证书和认证标志的违法行为依法予以查处。

第二十三条　国家认监委对认证机构的认证证书和认证标志管理情况实施监督检查。

认证机构应当对其认证证书和认证标志的管理情况向国家认监委提供报告。报告中应当包括其对获证组织使用认证证书和认证标志的跟踪调查情况。

第二十四条　境外认证标志所有人或者其授权的委托人可以向国家认监委办理境外认证标志备案。备案内容包括认证标志的式样(包括使用的符号)、文字、名称、应用范围、识别方法，认证标志持有人，以及使用变更等情况。

在中国境内设立的外商投资认证机构自行制定的认证标志应当按照本办法第十六条的规定办理备案。

第二十五条　认证机构应当公布本机构认证证书和认证标志使用等相关信息，以便于公众进行查询和社会监督。

第二十六条　任何单位和个人对伪造、冒用、转让和非法买卖认证证书和认证标志等违法、违规行为可以向国家认监委或者地方认证监督管理部门举报。

第五章　罚则

第二十七条　违反本办法第十二条规定，对混淆使用认证证书和认证标志的，地方认证监督管理部门应当责令其限期改正，逾期不改的处以___万元以下罚款。

未通过认证，但在其产品或者产品包装上、广告等其他宣传中，使用虚假文字表明其通过认证的，地方认证监督管理部门应当按伪造、冒用认证标志、违法行为进行处罚。

第二十八条　违反本办法规定，伪造、冒用认证证书的，地方认证监督管理部门应当责令其改正，处以___万元罚款。

第二十九条　违反本办法规定，非法买卖或者转让认证证书的，地方认证监督管理部门责令其改正，处以___万元罚款;认证机构向未通过认证的认证委托人出卖或转让认证证书的，依照条例第六十二条规定处罚。

第三十条　认证机构自行制定的认证标志违反本办法第十五条规定的，依照条例第六十一条规定处罚;违反其他法律、行政法规规定的，依照其他法律、行政法规处罚。

第三十一条　认证机构发现其认证的产品、服务、管理体系不能持续符合认证要求，不及时暂停其使用认证证书和认证标志，或者不及时撤销认证证书或者停止其使用认证标志的，依照条例第六十条规定处罚。

第三十二条　认证机构未按照规定向社会公布本机构认证证书和认证标志使用等相关信息，责令限期改正，逾期不改的，予以警告。

第三十三条　伪造、冒用、非法买卖认证标志的，依照《中华人民共和国产品质量法》和《中华人民共和国进出口商品检验法》等有关法律、行政法规的规定处罚。

第六章　附则

第三十四条　认证证书和认证标志的收费按照国家有关价格法律、行政法规的规定执行。

第三十五条　本办法由国家质量监督检验检疫总局负责解释。

第三十六条　本办法自___年___月___日起施行。___年___月___日原国家技术监督局发布的《产品质量认证证书和认证标志管理办法》和___年___月___日原国家商检局发布的《进出口商品标志管理办法》中有关认证标志的部分规定同时废止。

篇2：nomexul材料认证证书

电力系统远程拨号应用非常广泛, 如能量管理系统 (EMS) 、相角测量系统、电能计量系统实时和准实时系统的远程维护, 以及调度生产管理系统厂站操作票应用、电厂数据传输等。基于广域网组成部分之一的公共交换电话网 (PSTN) 和电力内网的拨号通信, 客观上存在一定的安全风险。广域网上用户复杂, 黑客、间谍、病毒等非常猖獗, 对电力控制系统的数据传输安全性、可靠性、实时性等影响较大, 中国电力数据网络必须对广域网用户授权管理, 并进行边界安全设备部署防护[1,2]。虽然电力系统对这些安全问题已开始逐步重视, 但还没有完善细致的远程拨号安全解决方案。因此, 本文针对电力远程拨号可能存在的所有安全问题进行了详细分析, 并对此进行电力安全拨号认证系统的系统部署、逻辑设计、功能框架结构设计等, 以实现完善的电力远程拨号应用的安全防护。

1 传统远程拨号系统安全性分析

长久以来, 传统远程拨号系统的结构都是采用拨号服务器进行远程拨号接入, 并使用基于挑战握手身份验证协议 (CHAP) /微软挑战握手身份验证协议 (MS-CHAP) 的身份验证方式[3], 电力系统Ⅰ区EMS/广域测量系统 (WAMS) 等的远程拨号维护应用的部署如图1所示。

传统的电力系统拨号应用接入方式存在很多安全隐患:

1) 拨号客户端主机安全性。在用户名、口令正确的前提下, 任何客户端主机都可进行拨号连接, 包括未及时安装、升级系统补丁、防火墙软件、防病毒软件的主机。这些主机存在一定安全风险, 可能作为黑客进攻的跳板。

2) CHAP/MS-CHAP身份认证机制的局限性。目前拨号系统大多基于CHAP/MS-CHAP, 通过单向哈希算法等进行用户身份鉴别, 但协议本身存在重大安全缺陷, 如易受字典攻击、重放攻击[3]等。更突出的问题是, 在拨号系统实际运行中, 口令的强度、安全性、授权使用难以保证, 大多数口令易猜测获取, 并长久不变;为使用方便, 共用账户登录现象非常普遍, 难以进行有效的身份鉴别, 而通过建立多账户管理并定期修改口令, 虽可提高安全性, 但由于拨号客户端较多, 造成管理复杂、成本较高。

3) 拨号过程数据安全传输问题。在拨号过程中, 大量业务数据包括敏感数据都经由PSTN明文传输, 无任何保密措施, 很容易被窃听和篡改。

4) 网络层协议访问控制问题。受系统软件限制、管理成本等影响, 对用户拨号访问基本没有协议、地址、端口等访问控制, 或控制粒度较粗, 用户通过认证后经交换机基本可访问所有内网主机。

5) 应用层协议访问控制问题。几乎所有拨号系统对用户拨号访问都没有应用层协议访问控制, 对常见应用协议, 如Telnet、rlogin、文件传输协议 (FTP) 、超文本传输协议 (HTTP) 、远程桌面协议 (RDP) 等没有安全监控、过滤, 用户可执行任何命令操作。

6) 用户行为安全审计问题。大多数拨号系统无安全审计或仅有网络层审计, 对于上述第2、第4和第5个问题, 目前大多数电力拨号系统安全审计粒度较粗, 无法对用户具体操作行为审计, 更无法追究用户真正身份。

以上的安全问题相互联系, 反映了目前的拨号系统在安全架构设计方面存在着重大缺陷, 本文将结合电力系统实际情况, 引入一些关键技术进行电力安全拨号认证系统的安全架构设计来解决上述问题。

2 电力安全拨号认证系统设计

2.1 系统结构设计

电力安全拨号认证系统主要由客户端系统和服务器端系统组成。如图2所示。

1) 客户端

拨号客户端通过内置数字证书智能卡进行本地身份验证, 并部署专用安全拨号软件进行与服务器端的认证交互。

2) 电力系统主站

部署内置电力加密卡的安全拨号认证网关。电力加密卡用于存放密钥及数字证书。拨号网关硬件结构采用Motorola 公司PowerPC处理器架构及嵌入式Linux安全操作系统内核, 以确保系统整体抗攻击性和高性能。

通过客户端和拨号网关自身持有的数字证书进行双方强身份验证, 建立安全加密隧道进行安全保密通信。在安全隧道中, 通过客户端安全拨号软件和服务器端的安全认证接入软件进行可信认证接入和细粒度的访问控制及安全审计。

2.2 基于数字证书的身份认证机制

为克服传统用户名口令验证机制缺陷, 考虑结合数字证书的身份验证方式, 采用智能卡、电力加密卡作为密钥存储和硬件运算介质。

2.2.1 公钥基础设施与数字证书系统

公钥基础设施[4,5] (PKI) 是用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。用户可利用PKI平台提供的安全服务进行安全通信。使用基于公钥技术平台的用户建立安全通信信任机制的基础是:网络间进行的任何需要提供安全服务的通信都是建立在公钥的基础上的, 而与公钥匹配的私钥只掌握于合法通信实体本身。数字证书为一个用户身份和公钥的结合, 这种结合是证书权威认证机构[4,5] (CA) 进行授权的, 它是PKI的核心组成部分, 是数字证书的签发机构。通过CA这一PKI应用中权威、可信任、公正的机构的签名授权以及对子CA授权形成的证书信任链, 可唯一识别一个实体的身份并用于信息加解密、签名认证等。

目前电力系统普遍部署了基于PKI体系的CA系统, 用于对电力生产及管理系统与数据网上的用户、关键网络设备、服务器提供数字证书服务。文献[6]就提出了一种基于PKI的变电站自动化系统访问安全管理的实现和应用结构。

2.2.2 基于数字证书的身份验证

系统实际通信前, 客户端和拨号网关都必须申请数字证书。客户端智能卡证书由管理员直接调用硬件生成并置入, 私钥由片上操作系统[7]保护, 不能出卡。拨号网关调用硬件加密单元, 生成符合公钥加密第10项标准[4,5] (PKCS#10) 格式的证书请求文件, 由管理员将此请求文件提交CA进行签发。拨号网关私钥由加密芯片保护, 双方申请都必须经过有关管理部门严格审核。

数字证书标准域信息主要含颁发者、被颁发者, 含具体单位、部门、姓名等, 以及有效时间、公开密钥值、CA签名算法、授权签名 (表明权威性) 等。扩展域信息表明对该证书的密钥使用权限 (数字签名、密钥协商等) , 以限制密钥使用范围。

2.2.3 数字证书的硬件载体

客户端数字证书存储介质为智能卡。智能卡[7]是具有复杂安全体系和片上操作系统的智能卡片, 具有高度安全性, 通过特殊硬、软件设计使密钥产生、证书等文件存放达到很高安全级别, 广泛应用于网银、税控等, 是双因素认证[5,7]的最普遍形式, 即只有同时拥有智能卡硬件和掌握个人识别码 (PIN) [7]的人才具有证书使用权限, 安全性很高, 目前主流接口形式为USB。

同时, 服务器端拨号网关的密钥及证书等加密存储于内嵌电力专用加密芯片的电力加密卡安全存储区内, 密钥和证书等均受专用加密算法加密保护存放。加密芯片和加密卡均经过国家保密局审批, 具有高度的安全性。

2.3 软件体系结构设计

2.3.1 软件体系设计及组成

电力安全拨号认证系统功能框架如图3所示。

客户端安全拨号软件主要包括Modem通信模块、智能卡认证模块、客户端扫描模块、数据通信模块等。服务器端安全接入软件主要包括Modem通信模块、证书认证模块、访控与授权模块及规则配置、安全审计模块等。双方交互的主要过程如下:

1) 管理员终端通过配置接口设置系统安全策略, 对内网资源、用户组、用户、访问权限等设置, 对客户端接入标准, 如操作系统及内核、补丁版本、防火墙类型及开启状态、防病毒软件类型及开启状态、防病毒软件病毒库版本和风险服务及端口等进行定制, 保存于安全策略数据库中。

2) 客户端软件及拨号网关侧同时配置正确的CA证书链[4,5]和黑名单 (CRL) [4,5]列表, 以进行后续证书双验证。

3) 两侧建立Modem通信信道连接, 通过智能卡及数字证书认证模块等进行双方证书互验, 双方必须通过以下认证步骤。①拨号客户端插入智能卡PIN码初验身份, 3次PIN码错误将锁死, 必须重新提交直属电力CA进行重新签发, 以确保禁止非法用户尝试;②证书链合法性验证:按照由下而上方式尝试搜寻并依序验证1级CA、2级CA、3级CA等证书链的签名是否合法, 能否顺利验签待验证书合法性;③数字证书解析及有效性验证:按照X.509数字证书标准解析相关字段, 检查待验证书颁发者信息是否和直属CA证书一致, 验证证书归属地、主题、组织、组织机构、密钥详细用途等字段的有效性等;④时效性验证:双方检查各自系统协调世界时间 (UTC) 时钟, 并根据过程2中取得的起、止时间校验双方证书时效性, 超过有效期的证书不能用于身份验证及后续密钥协商等过程;⑤CRL验证:根据证书吊销列表, 通过证书序列号等搜索匹配待验证书, 如已作废, 则待验证书非法。

4) 两侧数据加解密及通信模块调用硬件算法如RSA, 3DES, AES, SHA1等按照IPSec (IP security protocol) 或其他协议进行IKE (internet key exchange protocol) 密钥协商[4,5,8], 建立基于对称算法的加密隧道, 对后续通信全程加密、签名认证。原始IP报文经过加密、签名后可以消除报文传输过程中被窃听、被篡改的风险, 而且动态密钥协商模块定时协商、更换加密密钥, 增加了黑客破解、攻击的难度, 有效地保证了数据的完整性、保密性、不可抵赖性。

5) 对不同类型客户端, 依据预定义接入标准, 由客户端扫描模块进行系统动态安全检查 (一般定时周期为30 s～60 s) , 及时判断客户端主机系统当前的健康状态并传递给服务器端进行仲裁, 对存在安全风险的主机如未及时升级系统补丁、防病毒库版本太低、存在风险端口服务等情况均进行警告并拒绝接入。

6) 拨号网关系统模块依靠通信总线进行消息通信, 依据全局策略进行安全控制。Modem通信模块进行拨入号码、物理端口限制;数据包过滤模块、访控与授权模块通过用户层接口和内核报文重组模块通信, 对报文的协议、端口、地址进行过滤, 阻止畸形、碎片的攻击以及其他非法报文通过, 并进行详细的日志记录。

7) 除进行上述网络层控制外, 通过应用协议过滤模块, 可同时对接入用户越权、危险动作进行过滤, 如针对telnet协议命令shutdown、kill、rm等进行正则表达式匹配过滤, 确保可能的操作不会危及内网主机安全, 并通过Syslog日志系统进行日志审计。

8) 所有模块日志信息包括非法报文丢弃信息、攻击信息和会话通信信息 (包括真实用户身份、连接建立与终止时间、分配IP、通信持续时间、数据流量、通信协议、地址、端口、操作命令及参数) 等都通过Syslog日志接口发送给安全审计模块进行详细记录审计, 并在重大事件发生时通过硬件接口进行声光报警。管理员对远程拨号访问发生的全部事件一目了然, 便于事后追查和修补漏洞。

2.3.2 系统技术特点

与电力传统拨号系统相比, 该系统具有以下显著特点:

1) 身份验证强度高。客户端和拨号网关双方通过数字证书体系的数字证书及硬件密码算法进行彼此身份验证, 验证强度高、安全性好, 并且管理简捷、安全, 管理成本低。

2) 可信安全接入与有效访问控制。客户端和服务器端分别部署专用安全软件进行安全扫描、加密隧道协商、数据加密签名、数据过滤、安全监控、网络及应用层访问控制、安全审计等, 既保证了通信过程中数据的保密性、完整性、不可抵赖性, 又可进行细粒度访问控制, 并可对用户具体操作进行详细审计;对客户端主机安全性进行的监控和评估, 避免了风险接入可能对内网造成的侵害。

3) 系统可扩展性好。凡是符合ISO 7816[7]、微软CSP (cryptographic service provider) [4,5,7]标准的智能卡都可以作为客户端数字证书载体。针对电力用户需求, 可定制开发新的应用协议过滤模块, 以进行细粒度访问控制及用户行为安全审计。

4) 密码运算安全、高速。客户端和服务器端的安全软件底层基于硬件智能卡、电力专用加密芯片进行硬件算法运算, 加密保护通信过程的全部数据, 全部运算在硬件中进行, 安全性、稳定性、实时性高。实测RSA非对称算法可实现1 024 bit公钥运算2 000次/s、私钥运算800次/s。

5) 实际通信速率良好。文献[9]提出了一种用于发电竞价信息的加密系统开发方法, 直接调用RSA非对称算法加密, 而RSA非对称算法速度较慢[8], 其系统运算开销比3DES等对称算法大, 不适合长时间、大数据量数据加密传送。而本系统通过动态协商的对称密钥加密, 既保证数据报文保密传送, 又在拨号网络的低速通道中加快了系统传输速度。拨号过程实测加密通信速率平均为上行27.4 kbit/s (下行30 kbit/s) 和56 kbit/s Modem正常明文平均通信速率上行33.6 kbit/s (下行40 kbit/s) 比较下降了18.45% (25%) , 根据用户现场对ANSI类Telnet/SSH的命令行终端、WTS (windows terminal service) 等远程桌面类图形界面终端的测试, 操作响应时间在可接受范围内, 可进行正常的远程维护和数据传输。

3 结语

本文设计的电力安全拨号认证系统, 针对传统拨号应用中存在的安全问题, 通过采用多种安全技术, 如基于数字证书验证、安全扫描、隧道加密、网络层和应用层访控技术、细粒度安全审计技术等, 进行了新的系统结构及软件体系设计, 较大地增强了电力远程拨号应用的安全性及防护能力。

目前, 该系统的软、硬件设备已广泛应用于全国各级电力调度中心和电厂、变电站等, 对电力远程拨号应用的安全防护起到了重要作用, 对落实《电力二次系统安全防护总体方案》的有关规定有重大的现实意义, 并有力地保障了电力系统安全监控、生产的进行。

参考文献

[1]辛耀中, 胡红升, 卢长燕, 等.中国电力数据网络建设和运行中应注意的四个关系.电力系统自动化, 1998, 22 (1) :1-5.XI N Yaozhong, HU Hongshen, LU Changyan, et al.The fourrelationships having to be considered in the construction andoperation of China electric power data network.Automation ofElectric Power Systems, 1998, 22 (1) :1-5.

[2]辛耀中.电力信息化几个问题的探讨.电力信息化, 2003, 1 (3) :20-23.XI N Yaozhong.Discussion on electric power informationtechnology.Electric Power Information Technology, 2003, 1 (3) :20-23.

[3]李焕洲, 林宏刚, 戴宗坤, 等.MS-CHAP鉴别协议安全性分析.四川大学学报:工程科学版, 2005, 37 (6) :12-15.LI Huanzhou, LI N Honggang, DAI Zongkun, et al.Analysison the security of MS-CHAP.Journal of Sichuan University:Engineering Science Edition, 2005, 37 (6) :12-15.

[4]NASH A, DUANE W, JOSEPHC, et al.PKI:i mplementingand managing E-security.New York, NY, USA:Osborne/McGraw-Hill, 2001.

[5]ADAMS C, LLOYD S.Understanding PKI:concepts, standards, and deployment considerations.2nd ed.UpperSaddle River, NJ, USA:Addison-Wesley Pub Co, 2002.

[6]段斌, 刘念, 王健, 等.基于PKI/PMI的变电站自动化系统访问安全管理.电力系统自动化, 2005, 29 (23) :58-63.DUAN Bin, LI U Nian, WANG Jian, et al.Access security ofsubstation automation systems based on PKI/PMI.Automationof Electric Power Systems, 2005, 29 (23) :58-63.

[7]李祥.智能卡研发技术与工程实践.北京:人民邮电出版社, 2003.

[8]STALLI NGS W.密码编码学与网络安全.孟庆树, 王丽娜, 傅建明, 等译.北京:电子工业出版社, 2006.

篇3：辨别认证书的真伪

我回家后便从各种渠道收集了丹麦留学的信息，在国家教育部公布丹麦正规院校的网站上没有这个学院。但从使馆认证书上看到这个学校是公立高等院校且认证书上有领事馆编号。于是，我从外交部的官方网站上找到了中国驻丹麦使馆教育组的联系方式及E－mail地址。我的询问得到了中国驻丹麦使馆教育组一位姓牛的秘书的回答：“中国驻丹麦使馆‘03丹领认字第00674号’的认证书是伪造的。”这个结果令我和我的家人大吃一惊，因为他们自称是天津某学院自己的留学中介公司，而且留学项目、留学广告是经过市教委及市工商局的统一审核批准的。于是，我们又按照丹麦学校网站公布的联系方式，发了几封询问信，得到的结果是他们学校根本就不知道有天津这所学院，更无从谈起合作的事情。

天呀！天津某学院及该学院留学服务中心丹麦项目简直是一个骗局！

我又来到了天津是这所学院的外事处、行政处和院长办公室，从那里我得到的答复是：该学院留学服务中心已在2000年的时候被一位姓朱的女士承包了，其行为均为个人行为，与学院没有任何关系。

若不是看到国家教育部监管网上的提示和预警信息，我们可能也会和网上那些上当受骗的学生一样了。我衷心希望国家有关行政部门能严厉查处这样黑心的公司，为了一点点小利欺骗家长、学生。更令人可恶的是为了骗取留学项目的合法性及广告批准，居然以假认证书欺骗国家行政机关。

学生：刘××

2003年12月29日

刘同学：

生活中难免有遇上骗子的事情，有的人比较容易上当受骗，有的人则能将骗子识破。这位姓刘的同学最终能够拆穿这个骗局，前提是他没有轻信中介的许诺，尔后又采取了一系列正确的查询验证的方法，从而搞清楚了事实的真相。他的做法值得效仿。

刘的信息是从广告上看到的，由于他很清楚留学广告是要经过教育主管部门和工商管理部门的审核，所以最初并没有质疑，而是来到中介机构进行当面咨询。应该说他是个有心人，在接受咨询取得资料的同时也拿到了他们伪造的丹麦使馆的认证复印件。这个复印件成为以后他澄清事实、揭穿骗局的重要物证。

在听了中介的介绍之后，刘并没有停止对丹麦留学信息的查询，而是通过各种渠道进行资料的搜集和比对，特别是将学校名单拿到教育部的网站上核实。由于学校名单核实的结果是否定的，刘想到了那张使馆的认证书，并由此得到了该证书是伪造的这一确切结果。他甚至和丹麦的学校取得了联系，从另一渠道确认了该中介纯系造假骗钱的事实。

首先在教育部网站公布的学校名单中查找所要去的学校是否经过所在国政府或权威认证机构的认证，然后再去核对其他相关信息。如果每个准备留学者都走一遍这样的“程序”，花费时间不多，方法简便，可以有效地避免可能出现的风险和损失。