1. 什麼是數字證書?
數字證書就是網路通訊中標志通訊各方身份信息的一系列數據,其作用類似於現實生活中的身份證。它是由一個權威機構發行的,人們可以在交往中用它來識別對方的身份。
最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間,發證機關(證書授權中心)的名稱,該證書的序列號等信息,證書的格式遵循ITUT X.509國際標准。
一個標準的X.509數字證書包含以下一些內容:
證書的版本信息;
證書的序列號,每個證書都有一個唯一的證書序列號;
證書所使用的簽名演算法;
證書的發行機構名稱,命名規則一般採用X.500格式;
證書的有效期,現在通用的證書一般採用UTC時間格式,它的計時范圍為1950-2049;
證書所有人的名稱,命名規則一般採用X.500格式;
證書所有人的公開密鑰;
證書發行者對證書的簽名。
使用數字證書,通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統,從而保證:信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己的信息不能抵賴。
2. 為什麼要使用數字證書?
由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的,並且要使顧客、商家和企業等交易各方都具有絕對的信心,因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術,也就是說,必須保證網路安全的四大要素,即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。
信息的保密性
交易中的商務信息均有保密的要求,如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功首先要能確認對方的身份,商家要考慮客戶端是不是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店,為了做到安全、保密、可靠地開展服務活動,都要進行身份認證的工作。對有關的銷售商店來說,他們對顧客所用的信用卡的號碼是不知道的,商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法,確認顧客的身份是否合法,同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認受到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
由於商情的千變萬化,交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認收到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制,其它還包括對稱密鑰加密、數字簽名、數字信封等技術。
我們可以使用數字證書,通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統,從而保證:信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己的信息不能抵賴。
3. 數字認證原理
數字證書採用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。
在公開密鑰密碼體制中,常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私有密鑰),在計算上是不可能的。按現在的計算機技術水平,要破解目前採用的1024位RSA密鑰,需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密,安全地傳送以商戶,然後由商戶用自己的私有密鑰進行解密。
如果用戶需要發送加密數據,發送方需要使用接收方的數字證書(公開密鑰)對數據進行加密,而接收方則使用自己的私有密鑰進行解密,從而保證數據的安全保密性。
另外,用戶可以通過數字簽名實現數據的完整性和有效性,只需採用私有密鑰對數據進行加密處理,由於私有密鑰僅為用戶個人擁有,從而能夠簽名文件的唯一性,即保證:數據由簽名者自己簽名發送,簽名者不能否認或難以否認;數據自簽發到接收這段過程中未曾作過任何修改,簽發的文件是真實的。
4. 數字證書是如何頒發的?
數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。
認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造,認證中心的公共密鑰必須是可靠的,認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性,後一種方法導致了多級別認證中心的出現。
數字證書頒發過程如下:用戶產生了自己的密鑰對,並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後,將執行一些必要的步驟,以確信請求確實由用戶發送而來,然後,認證中心將發給用戶一個數字證書,該證書內附了用戶和他的密鑰等信息,同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時,就可以提供這一數字證書。
5. 加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息,加密技術是電子商務採取的主要保密安全措施,是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。
加密包括兩個元素:演算法和密鑰。一個加密演算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合,產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。
密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中,可通過適當的密鑰加密技術和管理機制,來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。
相應地,對數據加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標准(DES,Data Encryption Standard)演算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)演算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。
2. SSL 證書的演算法有哪些
根據密鑰類型不同將現代密碼技術分為兩類:對稱加密演算法(秘密鑰匙加密)和非對稱加密演算法(公開密鑰加密)。
對稱鑰匙加密系統是加密和解密均採用同一把秘密鑰匙,而且通信雙方都必須獲得這把鑰匙,並保持鑰匙的秘密。非對稱密鑰加密系統採用的加密鑰匙(公鑰)和解密鑰匙(私鑰)是不同的。
對稱加密演算法用來對敏感數據等信息進行加密,常用的演算法包括:
DES(Data Encryption Standard):數據加密標准,速度較快,適用於加密大量數據的場合。
3DES(Triple DES):是基於DES,對一塊數據用三個不同的密鑰進行三次加密,強度更高。
AES(Advanced Encryption Standard):高級加密標准,是下一代的加密演算法標准,速度快,安全級別高;
常見的非對稱加密演算法如下:
RSA:由 RSA 公司發明,是一個支持變長密鑰的公共密鑰演算法,需要加密的文件塊的長度也是可變的;
DSA(Digital Signature Algorithm):數字簽名演算法,是一種標準的 DSS(數字簽名標准);
ECC(Elliptic Curves Cryptography):橢圓曲線密碼編碼學。
3. 無線路由器安全設置和加密方式和認證方法還有密碼類型
方法就可以了,建議你先把進入無線路由設置的網站的密碼(和用戶名)先改掉
WEP加密
1、啟用WEP加密。
打開路由器管理界面,「無線設置」->「基本設置」:
「安全認證類型」選擇「自動選擇」,因為「自動選擇」就是在「開放系統」和「共享密鑰」之中自動協商一種,而這兩種的認證方法的安全性沒有什麼區別。
「密鑰格式選擇」選擇「16進制」,還有可選的是「ASCII碼」,這里的設置對安全性沒有任何影響,因為設置「單獨密鑰」的時候需要「16進制」,所以這里推薦使用「16進制」。
「密鑰選擇」必須填入「密鑰2」的位置,這里一定要這樣設置,因為新的升級程序下,密鑰1必須為空,目的是為了配合單獨密鑰的使用(單獨密鑰會在下面的MAC地址過濾中介紹),不這樣設置的話可能會連接不上。密鑰類型選擇64/128/152位,選擇了對應的位數以後「密鑰類型」的長度會變更,本例中我們填入了26位參數11111111111111111111111111 。因為「密鑰格式選擇」為「16進制」,所以「密鑰內容」可以填入字元是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f,設置完記得保存。
如果不需要使用「單獨密鑰」功能,網卡只需要簡單配置成加密模式,密鑰格式,密鑰內容要和路由器一樣,密鑰設置也要設置為「WEP密鑰2」的位置(和路由器對應),這時候就可以連接上路由器了。
如果你比較有興趣學習的話,還可以繼續往下看
無線路由器加密有以下幾種方法:
1.使用無線路由器提供的WEP,WPA等加密方式.WEP一般設置簡單.
2.或者使用訪問限制,同過MAC地址來限制連接,就是說在訪問限制列表裡輸入MAC的機器,才能連接到你的無線路由器.
3.一種更簡單的,就是關閉SSID廣播,就是無法搜索到你AP的SSID,你只能手工的方式自己填入正確的SSID,才能連接!上述三個方法都可以,但安全性質最好的是通過MAC地址限制訪問.設置都是在無線路由器完成.
下面將對這些加密方式詳細介紹下:
一、先介紹下最簡單的,關閉SSID廣播,這樣無線用戶就搜索不到你的網路標識,可以起到限制其他用戶的連接.具體設置:
a、路由器方設置,在關閉SSID廣播時,你最好改變下SSID廣播號,如果不改動的話,以前連過你網路的用戶,還可以連接;
b、客戶機設置:無線網路---屬性----無線配置---"使用windows配置您的無線網路"--然後點"添加"--寫上你設置的SSID名稱.OK後,---再點屬性,要確認"自動連接到非手選網路"的勾未打上,確定就可以----讓你剛剛設置的SSID號排在最上方,因為SSID廣播關閉後,是你的電腦無線網卡去搜尋路由器,在最上方,可以首先訪問你的無線網路,且避免連接到其他的無線網路.(備注:如果這樣還是上不去網的話,你可以點開無線網路的TCP/IP設置,寫上內網的固定 ip,網關,DNS.一般網關,DNS都是你路由器的ip.)
二、MAC地址限制
2、單獨密鑰的使用。
這里的MAC地址過濾可以指定某些MAC地址可以訪問本無線網路而其他的不可以,「單獨密鑰」功能可以為單個MAC指定一個單獨的密鑰,這個密鑰就只有帶這個MAC地址的網卡可以用,其他網卡不能用,增加了一定的安全性。
打開「無線設置」->「MAC地址過濾」,在「MAC地址過濾」頁面「添加新條目」,如下界面是填入參數的界面:
「MAC地址」參數我們填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ,
「類型」可以選擇「允許」/「禁止」/「64位密鑰」/「128位密鑰」/「152位密鑰」 ,本例中選擇了64位密鑰。「允許」和「禁止」只是簡單允許或禁止某一個MAC地址的通過,這和之前的MAC地址功能是一樣的,這里不作為重點。
「密鑰」填入了10位AAAAAAAAAA ,這里沒有「密鑰格式選擇」,只支持「16進制」的輸入。
「狀態」選擇生效。
最後點擊保存即可,保存後會返回上一級界面:
注意到上面的「MAC地址過濾功能」的狀態是「已開啟」,如果是「已關閉」,右邊的按鈕會變成「開啟過濾」,點擊這個按鈕來開啟這一功能。至此,無線路由器這一端配置完成!
順便說一下怎樣獲取網卡MAC地址?可以參考我司網站「網路教室」 文檔《路由器配置指南》相關內容,通過電腦DOS界面運行ipconfig/all這個命令會彈出如下類似信息,紅線勾勒部分「Physical Address」對應的就是處於連接狀態的網卡的MAC地址;
二、網卡TL-WN620G的配置
打開TL-WN620G客戶端應用程序主界面——「用戶文件管理」—>「修改」,會彈出用戶配置文件管理對話框。首先是「常規」頁填入和無線路由器端相同的SSID —— 本例為「TP-LINK」
然後點擊「高級」頁,紅線勾勒部分注意選擇認證模式,可以保持和無線路由器端相同,由於我們的路由器上選擇了「自動選擇」模式,所以這里無論選擇什麼模式都是可以連接的。
如果這個選項是灰色,就請先配置「安全」頁面的參數,回過頭再來這里配置;
接下來我們進入「安全」頁
先選擇「預共享密鑰(靜態WEP)」,然後點擊「配置…..」按鈕,進入設置共享密鑰的界面:
上面用紅線勾勒的參數說明一下:
1)、「密鑰格式」必須選擇「十六進制(0-9,A-F);
2)、總共需要填入兩個密鑰,密鑰1對應的是路由器 「無線配置」->「MAC地址過濾」頁面下設置的單獨密鑰,本例為64位長度的密鑰AAAAAAAAAA ;密鑰2對應的是路由器「無線配置」->「基本設置」頁面下設置的公共密鑰,本例為128位長度的密鑰:11111111111111111111111111 。
3)、最後要選中「WEP密鑰1」。(注意「WEP密鑰1」後面的圓點)
4)、單獨密鑰和公共密鑰的位置是不能更改的。
配置完成,連續點擊兩次「取定」回到客戶端應用程序主界面,我們可以看到網卡和無線路由器已經建立了連接,如下圖所示:
這時候我們進入路由器「無線設置」-「主機狀態」,可以看到已連接的網卡MAC地址;在「主機狀態」頁面,表裡第一個顯示的是無線路由器的MAC地址;
4. ssl用哪些加密演算法,認證機制
SSL是一個安全協議,它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。網際網路的 超文本傳輸協議(HTTP)使用 SSL 來實現安全的通信。
在客戶端與伺服器間傳輸的數據是通過使用對稱演算法(如 DES 或 RC4)進行加密的。公用密鑰演算法(通常為 RSA)是用來獲得加密密鑰交換和數字簽名的,此演算法使用伺服器的SSL數字證書中的公用密鑰。
有了伺服器的SSL數字證書,客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證,此認證同時需要客戶端和伺服器的數字證書。
詳細介紹:網頁鏈接
5. 消息認證碼與加密演算法的區別求大神指教
消息認證碼MAC(帶密鑰的Hash函數):密碼學中,通信實體雙方使用的一種驗證機制,保證消息數據完整性的一種工具。構造方法由M.Bellare提出,安全性依賴於Hash函數,故也稱帶密鑰的Hash函數。是一種消息認證演算法。消息認證碼是基於密鑰和消息摘要所獲得的一個值,可用於數據源發認證和完整性校驗。消息認證是強調消息的完整性。可以驗證消息的完整性,當接收方收到發送方的報文時,接收方能夠驗證收到的報文是真實的和未被篡改的。一是驗證消息的發送者是真正的而非冒充的,即數據起源認證,二是驗證消息在傳輸過程中未被篡改。
而加密演算法主要是保證消息的保密性,各種加密演算法就不說了,網路很詳細。。。
6. 一種身份認證系統中數據加密演算法的設計 要求:用於身份認證的ID和口令都要進行加密,設計出一種加密演算法。
l iceEncryptText 文本加密解密
http://dl.icese.net/src.php?f=iceEncryptText.src.rar
7. 什麼是加密認證策略
信息加密是網路安全的有效策略之一。一個加密的網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
信息加密的目的是保護計算機網路內的數據、文件,以及用戶自身的敏感信息。網路加密常用的方法有鏈路加密、端到端加密和節點加密三種。鏈路加密的目的是保護鏈路兩端網路設備間的通信安全;節點加密的目的是對源節點計算機到目的節點計算機之間的信息傳輸提供保護;端到端加密的目的是對源端用戶到目的端用戶的應用系統通信提供保護。用戶可以根據需求酌情選擇上述加密方式。
信息加密過程是通過各種加密演算法實現的,目的是以盡量小的代價提供盡量高的安全保護。在大多數情況下,信息加密是保證信息在傳輸中的機密性的惟一方法。據不完全統計,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密鑰演算法和公開密鑰演算法。採用常規密鑰方案加密時,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的,其優點是保密強度高,能夠經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,密鑰管理成為系統安全的重要因素。採用公開密鑰方案加密時,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。公開密鑰加密方案的優點是可以適應網路的開放性要求,密鑰管理較為簡單,尤其可方便地實現數字簽名和驗證。
加密策略雖然能夠保證信息在網路傳輸的過程中不被非法讀取,但是不能夠解決在網路上通信的雙方相互確認彼此身份的真實性問題。這需要採用認證策略解決。所謂認證,是指對用戶的身份「驗明正身」。目前的網路安全解決方案中,多採用兩種認證形式,一種是第三方認證,另一種是直接認證。基於公開密鑰框架結構的交換認證和認證的管理,是將網路用於電子政務、電子業務和電子商務的基本安全保障。它通過對受信用戶頒發數字證書並且聯網相互驗證的方式,實現了對用戶身份真實性的確認。
除了用戶數字證書方案外,網路上的用戶身份認證,還有針對用戶賬戶名+靜態密碼在使用過程中的脆弱性推出的動態密碼認證系統,以及近年來正在迅速發展的各種利用人體生理特徵研製的生物電子認證方法。
8. 科普:國產密碼演算法
密碼學(cryptography): 通過將信息編碼使其不可讀,從而達到安全性。
演算法 :取一個輸入文本,產生一個輸出文本。
加密演算法 :發送方進行加密的演算法。
解密演算法 :接收方進行解密的演算法。
對稱密鑰加密 (Symmetric Key Cryptography):加密與解密使用相同密鑰。
非對稱密鑰加密 (Asymmetric Key Cryptography):加密與解密使用不同密鑰。
密鑰對 :在非對稱加密技術中,有兩種密鑰,分為私鑰和公鑰,私鑰是密鑰對所有者持有,不可公布,公鑰是密鑰對持有者公布給他人的。
公鑰 :公鑰用來給數據加密,用公鑰加密的數據只能使用私鑰解密。
私鑰 :如上,用來解密公鑰加密的數據。
摘要 :對需要傳輸的文本,做一個HASH計算。
簽名 :使用私鑰對需要傳輸的文本的摘要進行加密,得到的密文即被稱為該次傳輸過程的簽名。
密碼協議是指兩個或兩個以上的參與者為了達到某種特定目的而採取的一系列步驟。規定了一系列有序執行的步驟,必須依次執行。必須有兩個或兩個以上的參與者,有明確的目的。參與者都必須了解、同意並遵循這些步驟。
常見的密碼協議包括IPSEC VPN 協議、SSL VPN 協議、密鑰交換協議等。
密碼是指描述密碼處理過程的一組運算規則或規程,一般是指基於復雜數學問題設計的一組運算,其基本原理基於數學難題、可證明計算、計算復雜度等。主要包括:對稱密碼、公鑰密碼、雜湊演算法、隨機數生成。
在對稱加密演算法中,加密使用的密鑰和解密使用的密鑰是相同的,加密和解密都是使用同一個密鑰,不區分公鑰和私鑰。
通信雙方採用相同的密鑰來加解密會話內容,即一段待加密內容,經過同一個密鑰的兩次對稱加密後,與原來的結果一樣,具有加解密速度快和安全強度高的優點。
國際演算法:DES、AES。
國產演算法:SM1、SM4、SM7。
非對稱加解密演算法又稱為 公鑰密碼 ,其密鑰是成對出現的。雙方通信時,首先要將密鑰對中的一個密鑰傳給對方,這個密鑰可以在不安全的信道中傳輸;傳輸數據時,先使用自己持有的密鑰做加密,對方用自己傳輸過去的密鑰解密。
國際演算法:RSA
國產演算法:SM2
優點:
密鑰分發數目與參與者數目相同,在有大量參與者的情況下易於密鑰管理。
支持數字簽名和不可否認性。
無需事先與對方建立關系,交換密鑰。
缺點:
速度相對較慢。
可能比同等強度的對稱密碼演算法慢10倍到100倍。
加密後,密文變長。
密碼雜湊演算法 :又稱為散列演算法或哈希函數,一種單向函數,要由散列函數輸出的結果,回推輸入的資料是什麼,是非常困難的。
散列函數的輸出結果,被稱為訊息摘要(message digest)或是 摘要(digest) ,也被稱為 數字指紋 。
雜湊函數用於驗證消息的完整性, 在數字簽名中,非對稱演算法對數據簽名的速度較慢,一般會先將消息進行雜湊運算,生成較短的固定長度的摘要值。然後對摘要值進行簽名,會大大提高計算效率 。
國際演算法:MD5、SHA1、SHA2、SHA3
國產演算法:SM3
2009年國家密碼管理局發布的《信息安全等級保護商用密碼技術實施要求》中明確規定,一、二、三、四級信息系統應使用商用密碼技術來實施等級保護的基本要求和應用要求,一到四級的密碼配用策略要求採用國家密碼管理部門批准使用的演算法。
2010年年底,國家密碼管理局公開了SM2、SM3等國產密碼演算法。
2011年2月28日,國家密碼管理局印發的【2011】145號文中明確指出,1024位RSA演算法正在面臨日益嚴重的安全威脅,並要求各相關企業在2012年6月30日前必須使用SM2密碼演算法
國家密碼管理局在《關於做好公鑰密碼演算法升級工作的函》中要求2011年7月1日以後建立並使用公鑰密碼的信息系統,應使用SM2演算法;已經建設完成的系統,應盡快進行系統升級,使用SM2演算法。
2014年底,國家密碼管理局啟動《重要信息系統密碼應用推進總體研究課題》,確定十三五密碼 科技 專項。
2017年11月底,國家密碼管理局下發了《政務雲密碼支撐方案及應用方案設計要點》。
2017年國家密碼管理局發布了42項金融和重要領域國產密碼應用試點任務。
2018年,中共中央辦公廳、國務院辦公廳印發《金融和重要領域密碼應用與創新發展工作規劃(2018-2022年)。
2018年,為指導當時即將啟動的商用密碼應用安全性評估試點工作,國家密碼管理局發布了密碼行業標准GM/T0054-2018《信息系統密碼應用 基本要求》。
2021年3月,國家市場監管總局、國家標准化管理委員會發布公告,正式發布國家標准GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》,該標准於2021年10月1日起實施。
SM1 演算法是分組密碼演算法,分組長度為 128 位,密鑰長度都為 128 比特,演算法安全保密強度及相關軟硬體實現性能與AES相當,演算法不公開,僅以IP核的形式存在於晶元中。
演算法集成於加密晶元、智能 IC 卡、智能密碼鑰匙、加密卡、加密機等安全產品,廣泛應用於電子政務、電子商務及國民經濟的各個應用領域(包括政務通、警務通等重要領域)。
SM2橢圓曲線公鑰密碼演算法是我國自主設計的公鑰密碼演算法,是一種基於ECC演算法的 非對稱密鑰演算法, 其加密強度為256位,其安全性與目前使用的RSA1024相比具有明顯的優勢。
包括SM2-1橢圓曲線數字簽名演算法,SM2-2橢圓曲線密鑰交換協議,SM2-3橢圓曲線公鑰加密演算法,分別用於實現 數字簽名密鑰協商 和 數據加密 等功能。
SM3雜湊演算法是我國自主設計的密碼雜湊演算法,屬於哈希(摘要)演算法的一種,雜湊值為256位,安全性要遠高於MD5演算法和SHA-1演算法。
適用於商用密碼應用中的 數字簽名 和 驗證消息認證碼的生成與驗證 以及 隨機數 的生成,可滿足多種密碼應用的安全需求。
SM4 分組密碼演算法 是我國自主設計的分組對稱密碼演算法,SM4演算法與AES演算法具有相同的密鑰長度分組長度128比特,因此在安全性上高於3DES演算法。
用於實現數據的加密/解密運算,以保證數據和信息的機密性。軟體和硬體加密卡均可實現此演算法。
商用密碼技術框架包括 密碼資源、密碼支撐、密碼服務、密碼應用 等四個層次,以及提供管理服務的密碼管理基礎設施。
密碼資源層: 主要是提供基礎性的密碼演算法資源。
密碼支撐層: 主要提供密碼資源調用,由安全晶元、密碼模塊、智能IC卡、密碼卡、伺服器密碼機、簽名驗簽伺服器、IPSCE/SSL VPN 等商密產品組成。
密碼服務層: 提供密碼應用介面,分為對稱和公鑰密碼服務以及其他三大類。
密碼應用層: 調用密碼服務層提供的密碼應用程序介面,實現數據的加解密、數字簽名驗簽等服務。如應用 於 安全郵件、電子印章系統、安全公文傳輸、移動辦公平台、可信時間戳等系統。
密碼管理基礎設施: 獨立組件,為以上四層提供運維管理、信任管理、設備管理、密鑰管理等功能。
完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統(KMC)、證書作廢系統(CRL)、應用介面(API)等基本構成部分,構建PKI也將圍繞著這五大系統來著手構建。
CA 系統:Ca系統整個PKI的核心,負責證書的簽發。CA首先產生自身的私鑰和公鑰(密鑰長度至少為1024位),然後生成數字證書,並且將數字證書傳輸給安全伺服器。、CA還負責為操作員、安全伺服器以及注冊機構伺服器生成數字證書。安全伺服器的數字證書和私鑰也需要傳輸給安全伺服器。
CA伺服器是整個結構中最為重要的部分,存有CA的私鑰以及發行證書的腳本文件,出於安全的考慮,應將CA伺服器與其他伺服器隔離,任何通信採用人工干預的方式,確保認證中心的安全。
(1)甲使用乙的公鑰對明文進行加密,生成密文信息。
(2)甲使用HASH演算法對明文進行HASH運算,生成數字指紋。
(3)甲使用自己的私鑰對數字指紋進行加密,生成數字簽名。
(4)甲將密文信息和數字簽名一起發送給乙。
(5)乙使用甲的公鑰對數字簽名進行解密,得到數字指紋。
(6)乙接收到甲的加密信息後,使用自己的私鑰對密文信息進行解密,得到最初的明文。
(7)乙使用HASH演算法對還原出的明文用與甲所使用的相同HASH演算法進行HASH運算,生成數字指紋。然後乙將生成的數字指紋與從甲得到的數字指紋進行比較,如果一致,乙接受明文;如果不一致,乙丟棄明文。
SSL 協議建立在可靠的傳輸協議(如 TCP)之上,為高層協議提供數據封裝,壓縮,加密等基本功能。
即可以協商加密演算法實現加密傳輸,防止數據防竊聽和修改,還可以實現對端設備身份驗證、在這個過程中,使用國密演算法進行加密、簽名證書進行身份驗證、加密證書用於密鑰交換
SSL協商過程:
(1)客戶端發出會話請求。
(2)服務端發送X.509證書(包含服務端的公鑰)。
(3)客戶端用已知Ca列表認證證書。
(4)客戶端生成隨機對稱密鑰,並利用服務端的公鑰進行加密。
(5)雙方協商完畢對稱密鑰,隨後用其加密會話期間的用戶最終數據。
利用SSL卸載技術及負載均衡機制,在保障通訊數據安全傳輸的同時,減少後台應用伺服器的性能消耗,並實現伺服器集群的冗餘高可用,大幅度提升整個業務應用系統的安全性和穩定性。此外,藉助多重性能優化技術更可縮短了業務訪問的響應等待時間,明顯提升用戶的業務體驗。
基於 數字證書 實現終端身份認證,給予密碼運算實現本地數據的加密存儲,數字證書硬體存儲和密碼運算由移動終端內置的密碼部件提供。
移動應用管理系統伺服器採用簽名證書對移動應用軟體安裝包進行簽名,移動應用管理系統客戶端對簽名信息進行驗簽,保障移動應用軟體安裝包的真實性和完整性。
移動辦公應用系統採用簽名證書對關鍵訪問請求進行簽名驗證。
採用加密證書對關鍵傳輸數據和業務操作指令,以及移動終端本地存儲的重要數據進行加密保護。
移動辦公系統使用商用密碼,基於數字證書認證系統,構建覆蓋移動終端、網路、移動政務應用的安全保障體系,實現政務移動終端安全、接入安全、傳輸安全和移動應用安全 。
9. ssl用哪些加密演算法,認證機制
SSL是Netscape公司所提出的安全保密協議,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web伺服器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間構造安全通道來進行數據傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程序提供加密數據通道,它採用了RC4、MD5以及RSA等加密演算法,使用40 位的密鑰,適用於商業信息的加密。同時,Netscape公司相應開發了HTTPS協議並內置於其瀏覽器中,HTTPS實際上就是HTTP over SSL,它使用默認埠443,而不是像HTTP那樣使用埠80來和TCP/IP進行通信。哈希簽名演算法:SHA256、SHA384、SHA512,加密位數:204、4096、8192,SSL都是統一的認證機制並且統一在webtrust執行下認證。
10. 思考ssl用哪些加密演算法,認證機制等
SSL是Netscape公司所提出的安全保密協議,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web伺服器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間構造安全通道來進行數據傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程序提供加密數據通道,它採用了RC4、MD5以及RSA等加密演算法,使用40 位的密鑰,適用於商業信息的加密。同時,Netscape公司相應開發了HTTPS協議並內置於其瀏覽器中,HTTPS實際上就是HTTP over SSL,它使用默認埠443,而不是像HTTP那樣使用埠80來和TCP/IP進行通信。哈希簽名演算法:SHA256、SHA384、SHA512,加密位數:204、4096、8192,SSL都是統一的認證機制並且統一在webtrust執行下認證。