cfca加密加簽作用

Ⅰ 什麼是數字證書它有什麼作用如何為瀏覽器申請證書，請寫出詳細過程

1.數字證書基本功能
數字證書，是由證書認證機構簽名的包含公開密鑰擁有者信息、公開密鑰、簽發者信息、有效期以及一些擴展信息的數字文件。

從證書的用途來看，數字證書可分為簽名證書和加密證書。簽名證書主要用於對用戶信息進行簽名，以保證信息完整性和行為的不可抵賴；加密證書主要用於對用戶傳送信息進行加密，以保證信息的機密性。以下對數字證書的基本功能進行原理性描述。

身份認證
在各應用系統中，常常需要完成對使用者的身份認證，以確定誰在使用系統，可以賦予使用者何種操作許可權。身份認證技術發展至今已經有了一套成熟的技術體系，其中，利用數字證書完成身份認證是其中最安全有效的一種技術手段。

利用數字證書完成身份認證，被認證方（甲）必須先到相關數字證書運營機構申請數字證書，然後才能向應用系統認證方（乙）提交證書，完成身份認證。
通常，使用數字證書的身份認證流程如下圖所示：

被認證方（甲），使用自己的簽名私鑰，對隨機數進行加密；

被認證方（甲）將自己的簽名證書和密文發送給認證方（乙）；

乙驗證甲所提供的簽名證書的有效期、證書鏈，並完成黑名單檢查，失敗則放棄；

有效期、證書鏈和黑名單驗證通過後，乙即使用甲的簽名證書對甲所提供的密文進行解密，成功則表明可以接受由甲提交的簽名證書所申明的身份。

在上述流程中，步驟3描述的是對證書本身的驗證，依次分別驗證有效期、證書鏈和黑名單，某個步驟如果驗證失敗，則驗證流程立即終止，不必再執行下一個驗證。同時，有效期、證書鏈和黑名單的依次驗證順序是最合理的順序，能夠讓驗證流程達到最佳性能。

通過步驟3的驗證後，甲所提交的證書可以得到驗證，但這與甲本身是否和該證書所申明的實體相等沒有必然聯系，甲必須表明其是這個簽名證書對應的唯一私鑰的擁有者。因此，當步驟4執行成功後，即該簽名證書能夠解密，則說明甲擁有該私鑰，從而完成了對甲所申明身份的認證。

上面具體描述的是單向認證，即只有乙認證甲的身份，而甲沒有認證乙的身份。單向認證不是完善的安全措施，誠實可信的用戶甲可能會碰到類似「釣魚網站」的欺騙。因此在需要高度安全的應用環境中，還需要實現雙向認證。即乙也需要向甲提供其簽名證書，由甲來完成上述驗證流程，以確認乙的身份。如下圖。

數字簽名
數字簽名是數字證書的重要應用功能之一，所謂數字簽名是指證書用戶（甲）用自己的簽名私鑰對原始數據的雜湊變換後所得消息摘要進行加密所得的數據。信息接收者（乙）使用信息發送者的簽名證書對附在原始信息後的數字簽名進行解密後獲得消息摘要，並對收到的原始數據採用相同的雜湊演算法計算其消息摘要，將二者進行對比，即可校驗原始信息是否被篡改。數字簽名可以完成對數據完整性的保護，和傳送數據行為不可抵賴性的保護。

使用數字證書完成數字簽名功能，需要向相關數字證書運營機構申請具備數字簽名功能的數字證書，然後才能在業務過程中使用數字證書的簽名功能。

通常，使用數字證書的簽名和驗證數字證書簽名的流程如圖所示：

簽名發送方（甲）對需要發送的明文使用雜湊演算法，計算摘要；

甲使用其簽名私鑰對摘要進行加密，得到密文；

甲將密文、明文和簽名證書發送給簽名驗證方乙；

乙一方面將甲發送的密文通過甲的簽名證書解密得到摘要，另一方面將明文採用相同的雜湊演算法計算出摘要；

乙對比兩個摘要，如果相同，則可以確認明文在傳輸過程中沒有被更改，並且信息是由證書所申明身份的實體發送的。

如果需要確認甲的身份是否和證書所申明的身份一致，則需要執行身份認證過程，如前一節所述。

在上述流程中，簽名私鑰配合雜湊演算法的使用，可以完成數字簽名功能。在數字簽名過程中可以明確數據完整性在傳遞過程中是否遭受破壞和數據發送行為是簽名證書所申明的身份的行為，提供數據完整性和行為不可抵賴功能。數字證書和甲的身份的確認，需要通過身份認證過程明確。

數字信封
數字信封是數字證書另一個重要應用功能，其功效類似於普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內容；數字信封則採用密碼技術保證了只有規定的接收人才能閱讀「信件」的內容。

數字信封中採用了對稱密碼機制和公鑰密碼機制。信息發送者（甲）首先利用隨機產生的對稱密鑰對信息進行加密，再利用接收方（乙）的公鑰加密對稱密鑰，被公鑰加密後的對稱密鑰被稱之為數字信封。在傳遞信息時，信息接收方要解密信息時，必須先用自己的私鑰解密數字信封，得到對稱密鑰，才能利用對稱密鑰解密所得到的信息。通過數字信封可以指定數據接收者，並保證數據傳遞過程的機密性。

使用數字證書完成數字信封功能，需要向相關數字證書運營機構申請具備加密功能的數字證書，然後才能在業務過程中使用數字證書的數字信封功能。

通常，數字信封和數字信封拆解的流程如圖所示：

信息發送方（甲）生成對稱密鑰；

甲使用對稱密鑰對需要發送的信息執行加密，得到密文；

甲使用信息接收方（乙）的加密證書中的公鑰，加密對稱密鑰，得到數字信封；

甲將密文和數字信封發送給乙；

乙使用自己的加密私鑰拆解數字信封，得到對稱密鑰；

乙使用對稱密鑰解密密文，得到明文。

在上述流程中，信息發送方（甲）對用於加密明文信息的對稱密鑰使用接收方（乙）的加密證書進行加密得到數字信封，利用私鑰的唯一性保證只有擁有對應私鑰的乙才能拆解數字信封，從而閱讀明文信息。據此，甲可以確認只有乙才能閱讀信息，乙可以確認信息在傳遞過程中保持機密。

1、證書申請

CFCA授權的證書的注冊審核機構（Registration Authority，簡稱RA）（各商業銀行、證券公司等機構），面向最終用戶，負責接受各自的持卡人和商戶的證書申請並進行資格審核，具體的證書審批方式和流程由各授權審核機構規定。

證書申請表直接到RA處領取。

2、證書審批

經審批後，RA將審核通過的證書申請信息發送給CFCA，由CFCA簽發證書。

● 系統--CFCA將同時產生的二個碼（參考號、授權碼）發送到RA系統。為安全起見，RA採用兩種途徑將以上兩個碼交到證書申請者手中： RA管理員將其中授權碼列印在密碼信封里當面交給證書申請者；將參考號發送到證書申請者的電子郵箱里。

● SET系統--持卡人/商戶到RA各網點直接領取專用密碼信封。

3、證書發放/下載

CA簽發的證書格式符合X.509 V3標准。具體的證書發放方式各個RA的規定有所不同。可以登陸CFCF網站http://www.cfca.com.cn聯機下載證書或者到銀行領取。

4、證書生成

證書在本地生成，證書由CFCA頒發，用戶私鑰由客戶自己保管

Ⅱ 什麼是CFCA證書

CFCA證書是中國金融認證中心認證證書。

中國金融認證中心（，簡稱CFCA）中國人民銀行和國家信息安全管理機構批准成立的國家級權威安全認證機構，是國家重要的金融信息安全基礎設施之一。

在《中華人民共和國電子簽名法》頒布後，CFCA成為首批獲得電子認證服務許可的電子認證服務機構之一。

中國金融認證中心的售後服務宗旨：「幫助客戶保證系統的運行，成為客戶的技術支持合作夥伴，在客戶需要的時候隨時提供適當的服務」。

CFCA的技術支持服務遠遠超出了傳統的針對故障排除的響應支持概念，而是依據整個系擾仿統的情況及客戶的需求，從支持客戶的日高拿常運作維護、系統預防性檢查、系統功能升級，到客戶的培訓服務，幫助用戶更好地掌握系統維護的知識和了解相關的最新技術。

(2)cfca加密加簽作用擴展閱讀

CFCA數字證書

數字證書，各類實體(持卡人/個人、商戶/企業、網關/銀行等)在網上進行信息交流及商務活動的身份證明，在電子交易的各個環節，交易的各方都需驗證對方證書的有效性，從而解決相互間的信任問題。

數字證書，由權威CA機構頒發給用戶，用以在數字領域中證實用戶身份的一種數字憑證。從戚李搭數字證書的用途來看，可分為簽名證書和加密證書：簽名證書主要用於對用戶信息進行簽名，以保證信息的不可否認性；加密證書主要用於對用戶傳送的信息進行加密，以保證信息的真實性和完整性。

數字證書一段包含用戶公開密鑰、用戶信息、頒發機構信息、證書的序列號、有效時間、發證機關（CA中心）的名稱及CA中心數字簽名的數據。數字證書的格式遵循X.509
V3國際標准。

數字證書技術指標：

符合標准：X.509v3、CRLv2、PKCS1~12、ASN.1、MIME、SSL、SMIME等；

支持的非對稱演算法：RSA（1024位、2048位）、SM2（256位）；

支持的散列演算法：MD5、SHA1、SM3；

支持Outlook、Outlook
Express、Foxmail等遵循安全電子郵件擴展協議的客戶端郵件軟體；

證書應用支持WINDOWS、UNIX、LINUX等通用操作平台。

Ⅲ CFCA EV ROOT是啥意思

EV SSL伺服器證書是一個遵循Webtrust-EV標准進行更加嚴格身份認證的SSL伺服器證書，不僅能象Webtrust標準的SSL證書一樣，能高強度加密在線用戶的清鋒畝機密交易信息，支持RSA-2048/SHA-256、SM2/SM3等先進密碼演算法。並且通過地址欄為綠色、變紅等方答森式，非常顯著地向在線用戶表明其正在訪問網站的真實身份。通過使地址欄變綠以及向訪問者顯示所訪問的網站主體真實身份以及被認證的信息等，使EV SSL伺服器證書與SSL伺服器證基則書相比，具有更高水平的可信度及安全性

Ⅳ cfca證書是什麼

cfca證書指的是中國金融認證中心認證證書，cfca是China Financial Certification Authority的縮寫。中國金融認證中心是經中國人民銀行和國家信息安全管理機構批准成立的國家級權威安全認證機構，是國家重要的金融信息安全基礎設施之一扮漏岩。

中國金融認證中心簡介

中國金融認證中心簡稱CFCA，是國家非常重要的金融信息安全基礎設施之一，是經過中國人民銀行和國家信息安全機構批准成立的，是一所國家級權威安全認證機構。

在《中華人民共和國電子簽名法》頒布後，CFCA成為首批獲得電子認證服務許可的電子認證服務機構之一。

CFCA數字證書

數字證書，由權威CA機構頒發給用戶，用以在數字領域中證實用戶身份的一種廳御數字憑證。數字證書分為簽名證書和加密證書兩種，簽名證書主要用於對用戶信息進行簽名，以保證信息的不可否認性搜畝;加密證書主要用於對用戶傳送的信息進行加密，以保證信息的真實性和完整性。

Ⅳ CFCAC什麼時候成立的

CFCAC是在2005年的時候成立的。

Ⅵ 常見密碼技術簡介

##

密碼技術在網路傳輸安全上的應用

隨著互聯網電子商務和網路支付的飛速發展，互聯網安全已經是當前最重要的因素之一。作為一名合格的軟體開發工程師，有必要了解整個互聯網是如何來保證數據的安全傳輸的，本篇文章對網路傳輸安全體系以及涉及到的演算法知識做了一個簡要的介紹，希望大家能夠有一個初步的了解。

###密碼技術定義

簡單的理解，密碼技術就是編制密碼和破譯密碼的一門技術，也即是我們常說的加密和解密。常見的結構如圖：

其中涉及到的專業術語：

1.秘鑰：分為加密秘鑰和解密秘鑰，兩者相同的加密演算法稱為對稱加密，不同的稱為非對稱加密；

2.明文：未加密過的原文信息，不可以被泄露；

3.密文：經過加密處理後的信息，無法從中獲取有效的明文信息；

4.加密：明文轉成密文的過程，密文的長度根據不同的加密演算法也會有不同的增量；

5.解密：密文轉成明文的過程；

6.加密/解密演算法：密碼系統使用的加密方法和解密方法；

7.攻擊：通過截獲數據流、釣魚、木馬、窮舉等方式最終獲取秘鑰和明文的手段。

###密碼技術和我們的工作生活息息相關

在我們的日常生活和工作中，密碼技術的應用隨處可見，尤其是在互聯網系統上。下面列舉幾張比較有代表性的圖片，所涉及到的知識點後面都會一一講解到。

1.12306舊版網站每次訪問時，瀏覽器一般會提示一個警告，是什麼原因導致的？ 這樣有什麼風險呢？

2.360瀏覽器瀏覽HTTPS網站時，點開地址欄的小鎖圖標會顯示加密的詳細信息，比如網路的話會顯示```AES_128_GCM、ECDHE_RSA```，這些是什麼意思？

3.在Mac系統的鑰匙串里有很多的系統根證書，展開後有非常多的信息，這些是做什麼用的？

4.去銀行開通網上支付都會附贈一個U盾，那U盾有什麼用呢？

##如何確保網路數據的傳輸安全

接下來我們從實際場景出發，以最常見的客戶端Client和服務端Server傳輸文件為例來一步步了解整個安全體系。

####1. 保密性

首先客戶端要把文件送到服務端，不能以明文形式發送，否則被黑客截獲了數據流很容易就獲取到了整個文件。也就是文件必須要確保保密性，這就需要用到對稱加密演算法。 

** 對稱加密： **加密和解密所使用的秘鑰相同稱為對稱加密。其特點是速度快、效率高，適用於對較大量的數據進行加密。常見的對稱加密演算法有DES、3DES、AES、TDEA、RC5等，讓我們了解下最常見的3DES和AES演算法：

** DES(Data Encryption Standard)： **1972年由美國IBM研製，數學原理是將明文以8位元組分組（不足8位可以有不同模式的填充補位），通過數學置換和逆置換得到加密結果，密文和明文長度基本相同。秘鑰長度為8個位元組，後有了更安全的一個變形，使用3條秘鑰進行三次加密，也就是3DES加密。

**3DES：**可以理解為對明文進行了三次DES加密，增強了安全程度。

** AES(Advanced Encryption Standard)： **2001年由美國發布，2002年成為有效標准，2006年成為最流行的對稱加密演算法之一。由於安全程度更高，正在逐步替代3DES演算法。其明文分組長度為16位元組，秘鑰長度可以為16、24、32(128、192、256位)位元組，根據秘鑰長度，演算法被稱為AES-128、AES-192和AES-256。

對稱加密演算法的入參基本類似，都是明文、秘鑰和模式三個參數。可以通過網站進行模擬測試：[http://tool.chacuo.net/crypt3des]()。其中的模式我們主要了解下ECB和CBC兩種簡單模式，其它有興趣可自行查閱。

** ECB模式(Electronic Codebook Book)： **這種模式是將明文分成若干小段，然後對每一段進行單獨的加密，每一段之間不受影響，可以單獨的對某幾段密文進行解密。

** CBC模式(Cipher Block Chaining)： **這種模式是將明文分成若干小段，然後每一段都會和初始向量(上圖的iv偏移量)或者上一段的密文進行異或運算後再進行加密，不可以單獨解密某一斷密文。

 ** 填充補位： **常用為PKCS5Padding，規則為缺幾位就在後面補幾位的所缺位數。，比如明文數據為```/x01/x01/x01/x01/x01/x01```6個位元組，缺2位補```/x02```，補完位```/x01/x01/x01/x01/x01/x01/x02/x02```。解密後也會按照這個規則進行逆處理。需要注意的是：明文為8位時也需要在後面補充8個```/x08```。

####2. 真實性

客戶端有了對稱秘鑰，就需要考慮如何將秘鑰送到服務端，問題跟上面一樣：不能以明文形式直接傳輸，否則還是會被黑客截獲到。這里就需要用到非對稱加密演算法。

** 非對稱加密： **加密和解密秘鑰不同，分別稱為公開秘鑰(publicKey)和私有秘鑰(privateKey)。兩者成對出現，公鑰加密只能用私鑰解密，而私鑰加密也只能用公鑰加密。兩者不同的是：公鑰是公開的，可以隨意提供給任何人，而私鑰必須保密。特點是保密性好，但是加密速度慢。常見的非對稱加密演算法有RSA、ECC等；我們了解下常見的RSA演算法：

** RSA(Ron Rivest、Adi Shamir、Leonard Adleman)： **1977年由麻省理工學院三人提出，RSA就是他們三個人的姓氏開頭字母拼在一起組成的。數學原理是基於大數分解。類似於```100=20x5```，如果只知道100的話，需要多次計算才可以試出20和5兩個因子。如果100改為極大的一個數，就非常難去試出真正的結果了。下面是隨機生成的一對公私鑰:

這是使用公鑰加密後結果：

RSA的這種特性就可以保證私鑰持有者的真實性，客戶端使用公鑰加密文件後，黑客就算截獲到數據因為沒有私鑰也是無法解密的。

** Tips： **

+** 不使用對稱加密，直接用RSA公私鑰進行加密和解密可以嗎？ **

答案：不可以，第一是因為RSA加密速度比對稱加密要慢幾十倍甚至幾百倍以上，第二是因為RSA加密後的數據量會變大很多。

+** 由服務端生成對稱秘鑰，然後用私鑰加密，客戶端用公鑰解密這樣來保證對稱秘鑰安全可行嗎？ **

答案：不可行，因為公鑰是公開的，任何一個人都可以拿到公鑰解密獲取對稱秘鑰。

####3. 完整性

當客戶端向服務端發送對稱秘鑰加密後的文件時，如果被黑客截獲，雖然無法解密得到對稱秘鑰。但是黑客可以用服務端公鑰加密一個假的對稱秘鑰，並用假的對稱秘鑰加密一份假文件發給服務端，這樣服務端會仍然認為是真的客戶端發送來的，而並不知道閱讀的文件都已經是掉包的了。

這個問題就需要用到散列演算法，也可以譯為Hash。常見的比如MD4、MD5、SHA-1、SHA-2等。

** 散列演算法(哈希演算法)： **簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。而且該過程是不可逆的，無法通過摘要獲得原文。

** SHA-1(Secure Hash Algorithm 1)： **由美國提出，可以生成一個20位元組長度的消息摘要。05年被發現了針對SHA-1的有效攻擊方法，已經不再安全。2010年以後建議使用SHA-2和SHA-3替代SHA-1。

** SHA-2(Secure Hash Algorithm 2)： **其下又分為六個不同演算法標准：SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA512/256。其後面數字為摘要結果的長度，越長的話碰撞幾率越小。SHA-224的使用如下圖：

客戶端通過上面的散列演算法可以獲取文件的摘要消息，然後用客戶端私鑰加密後連同加密的文件發給服務端。黑客截獲到數據後，他沒有服務端私鑰無法獲取到對稱秘鑰，也沒有客戶端私鑰無法偽造摘要消息。如果再像上面一樣去掉包文件，服務端收到解密得到摘要消息一對比就可以知道文件已經被掉包篡改過了。

這種用私鑰對摘要消息進行加密的過程稱之為數字簽名，它就解決了文件是否被篡改問題，也同時可以確定發送者身份。通常這么定義：

** 加密： **用公鑰加密數據時稱為加密。

** 簽名： **用私鑰加密數據時稱為簽名。

####4. 信任性

我們通過對稱加密演算法加密文件，通過非對稱加密傳輸對稱秘鑰，再通過散列演算法保證文件沒被篡改過和發送者身份。這樣就安全了嗎？

答案是否定的，因為公鑰是要通過網路送到對方的。在這期間如果出現問題會導致客戶端收到的公鑰並不一定是服務端的真實公鑰。常見的** 中間人攻擊 **就是例子：

** 中間人攻擊MITM(Man-in-the-MiddleAttack)： **攻擊者偽裝成代理伺服器，在服務端發送公鑰證書時，篡改成攻擊者的。然後收到客戶端數據後使用攻擊者私鑰解密，再篡改後使用攻擊者私鑰簽名並且將攻擊者的公鑰證書發送給伺服器。這樣攻擊者就可以同時欺騙雙方獲取到明文。

這個風險就需要通過CA機構對公鑰證書進行數字簽名綁定公鑰和公鑰所屬人，也就是PKI體系。

** PKI(Privilege Management Infrastructure)： **支持公鑰管理並能支持認證、加密、完整性和可追究性的基礎設施。可以說整個互聯網數據傳輸都是通過PKI體系進行安全保證的。

** CA(Certificate Authority)： **CA機構就是負責頒發證書的，是一個比較公認的權威的證書發布機構。CA有一個管理標准：WebTrust。只有通過WebTrust國際安全審計認證，根證書才能預裝到主流的瀏覽器而成為一個全球可信的認證機構。比如美國的GlobalSign、VeriSign、DigiCert，加拿大的Entrust。我國的CA金融方面由中國人民銀行管理CFCA，非金融CA方面最初由中國電信負責建設。

CA證書申請流程：公司提交相應材料後，CA機構會提供給公司一張證書和其私鑰。會把Issuer,Public key,Subject,Valid from,Valid to等信息以明文的形式寫到證書裡面，然後用一個指紋演算法計算出這些數字證書內容的一個指紋，並把指紋和指紋演算法用自己的私鑰進行加密。由於瀏覽器基本都內置了CA機構的根證書，所以可以正確的驗證公司證書指紋（驗簽），就不會有安全警告了。

但是：所有的公司其實都可以發布證書，甚至我們個人都可以隨意的去發布證書。但是由於瀏覽器沒有內置我們的根證書，當客戶端瀏覽器收到我們個人發布的證書後，找不到根證書進行驗簽，瀏覽器就會直接警告提示，這就是之前12306打開會有警告的原因。這種個人發布的證書，其實可以通過系統設置為受信任的證書去消除這個警告。但是由於這種證書機構的權威性和安全性難以信任，大家最好不要這么做。

我們看一下網路HTTPS的證書信息：

其中比較重要的信息：

簽發機構：GlobalSign Root CA；

有效日期：2018-04-03到2019-05-26之間可用；

公鑰信息：RSA加密，2048位；

數字簽名：帶 RSA 加密的 SHA-256 ( 1.2.840.113549.1.1.11 )

綁定域名：再進行HTTPS驗證時，如果當前域名和證書綁定域名不一致，也會出現警告；

URI：在線管理地址。如果當前私鑰出現了風險，CA機構可以在線吊銷該證書。

####5. 不可抵賴性

看起來整個過程都很安全了，但是仍存在一種風險：服務端簽名後拒不承認，歸咎於故障不履行合同怎麼辦。

解決方法是採用數字時間戳服務：DTS。

** DTS(digital time-stamp)： **作用就是對於成功的電子商務應用，要求參與交易各方不能否認其行為。一般來說，數字時間戳產生的過程為：用戶首先將需要加時間戳的文件用Hash演算法運算形成摘要，然後將該摘要發送到DTS。DTS在加入了收到文件摘要的日期和事件信息後再對該文件進行數字簽名，然後送達用戶。

####6. 再次認證

我們有了數字證書保證了身份的真實性，又有了DTS提供的不可抵賴性。但是還是不能百分百確定使用私鑰的就是合法持有者。有可能出現被別人盜用私鑰進行交易的風險。

解決這個就需要用到強口令、認證令牌OTP、智能卡、U盾或生物特徵等技術對使用私鑰的當前用戶進行認證，已確定其合法性。我們簡單了解下很常見的U盾。

** USB Key(U盾)： **剛出現時外形比較像U盤，安全性能像一面盾牌，取名U盾。其內部有一個只可寫不可讀的區域存儲著用戶的私鑰(也有公鑰證書)，銀行同樣也擁有一份。當進行交易時，所有涉及到私鑰的運算都在U盾內部進行，私鑰不會泄露。當交易確認時，交易的詳細數據會顯示到U盾屏幕上，確認無誤後通過物理按鍵確認就可以成功交易了。就算出現問題黑客也是無法控制U盾的物理按鍵的，用戶可以及時取消避免損失。有的U盾裡面還有多份證書，來支持國密演算法。

** 國密演算法： **國家密碼局針對各種演算法制定了一些列國產密碼演算法。具體包括：SM1對稱加密演算法、SM2公鑰演算法、SM3摘要演算法、SM4對稱加密演算法、ZUC祖沖之演算法等。這樣可以對國產固件安全和數據安全進行進一步的安全控制。

## HTTPS分析

有了上面的知識，我們可以嘗試去分析下HTTPS的整個過程，用Wireshark截取一次HTTPS報文：

Client Hello: 客戶端發送Hello到服務端443埠，裡麵包含了隨機數、客戶端支持的加密演算法、客戶端的TLS版本號等；

Server Hello: 服務端回應Hello到客戶端，裡麵包含了服務端選擇的加密套件、隨機數等；

Certificate： 服務端向客戶端發送證書

服務端計算對稱秘鑰：通過ECDH演算法得到對稱秘鑰

客戶端計算對稱秘鑰：通過ECDH演算法得到對稱秘鑰

開始用對稱秘鑰進行加密傳輸數據

其中我們又遇到了新的演算法：DH演算法

** DH(Diffie-Hellman)： **1976年由Whitefield與Martin Hellman提出的一個奇妙的秘鑰交換協議。這個機制的巧妙在於可以通過安全的方式使雙方獲得一個相同的秘鑰。數學原理是基於原根的性質，如圖：

*** DH演算法的用處不是為了加密或解密消息，而是用於通信雙方安全的交換一個相同的秘鑰。 ***

** ECDH： **基於ECC(橢圓曲線密碼體制)的DH秘鑰交換演算法，數學原理是基於橢圓曲線上的離散對數問題。

** ECDHE： **字面少了一個E，E代表了臨時。在握手流程中，作為伺服器端，ECDH使用證書公鑰代替Pb，使用自身私鑰代替Xb。這個演算法時伺服器不發送server key exchange報文，因為發送certificate報文時，證書本身就包含了Pb信息。

##總結

| 演算法名稱  | 特點 | 用處 | 常用演算法名 |

| --- | :--- | :---: | ---: |

| 對稱加密  | 速度快，效率高| 用於直接加密文件 | 3DES、AES、RC4 |

| 非對稱加密  | 速度相對慢，但是確保安全 | 構建CA體系 | RSA、ECC |

| 散列演算法 | 算出的摘要長度固定，不可逆 | 防止文件篡改 | SHA-1、SHA-2 |

| DH演算法 | 安全的推導出對稱秘鑰 | 交換對稱秘鑰 | ECDH |

----

Ⅶ 小程序RSA加密、解密、加簽、驗簽

npm install  wxapp_rsa

var RSA = require('/wxapp_rsa.js')

// RSA加簽

    var sign_rsa = new RSA.RSAKey();

//privateKey_pkcs1需要是-----BEGIN PRIVATE KEY-----開頭的私鑰

    sign_rsa = RSA.KEYUTIL.getKey(privateKey_pkcs1);

    console.log('簽名RSA:')

    console.log(sign_rsa)

    var hashAlg = 'MD5withRSA';

    var hSig = sign_rsa.signString("12345678901234567890", hashAlg);

    hSig = RSA.hex2b64(hSig); // hex 轉 b64

    console.log("簽名結果：" + hSig)

    // RSA 驗簽

    var verify_rsa = new RSA.RSAKey();

    verify_rsa = RSA.KEYUTIL.getKey(publicKey_pkcs1);

    console.log('驗簽RSA:')

    console.log(verify_rsa)

    hSig = RSA.b64tohex(hSig)

    var ver = verify_rsa.verifyString("12345678901234567890", hSig)

    console.log('驗簽結果：' + ver)

//  RSA加密 【加密欄位長度不大於117】

    var encrypt_rsa = new RSA.RSAKey();

    encrypt_rsa = RSA.KEYUTIL.getKey(rsa_public_key);

    console.log('加密RSA:')

    console.log(encrypt_rsa)

    var encStr = encrypt_rsa.encrypt('1234567890')

    console.log(encStr)

    encStr = RSA.hex2b64(encStr);

    console.log("加密結果：" + encStr)

    // RSA 解密

    var decrypt_rsa = new RSA.RSAKey();

    decrypt_rsa = RSA.KEYUTIL.getKey(rsa_public_key_private);

    console.log('解密RSA:')

    console.log(decrypt_rsa)

    encStr = RSA.b64tohex(encStr)

    var decStr = decrypt_rsa.decrypt(encStr)

    console.log("解密結果：" + decStr)

Ⅷ 當前中國金融認證中心所涉及的業務領域有哪些

中國金融認證中心主要業務是信息安全服務：銀行、證券、保險、互聯網金融、第三方支付等。
中國金融認證中心全球信任證書是發放給全球范圍的數字證書，通過微軟根證書凳敬項目認證、Mozilla根證書認證，谷歌（安卓）根證書認證和蘋果根證書認證，其根證書已經預埋在微軟系統、設備，Mozilla相關產品，谷歌（安卓操作系統）相關產品以及蘋果相關產品中。
CFCA全球伺服器證書由CFCA自主研發。CFCA作為國內第一家與國外SSL伺服器證書廠商媲美的電子認證服務機構，嚴格按照國際標准提供電子認證服務，並結合我國國情，在密碼演算法、安全技術服務等方面兼容國際和國產演算法。目前已通過第三方審計公司按照國內、國際雙重標准進行的審計。
CFCA全球伺服器證書相當於Web站點的網路身份證，可為Web站點提供身棗粗悔份鑒定，並為Web站點提供高強度安全加密傳輸，保證信息在傳輸過程中的安全，能夠有效地防止信息傳輸過程中的網路釣魚、竊聽、篡改等安全問題。
拓展資料：
中金金融認證中心有限公司，是由中國人民銀行於1998年牽頭組建，經國家信息安全管理機構批准成立的權威電子認證機構。在中國人民銀行和中國銀聯的領導下，歷經20餘年積淀，CFCA已發展成為以網路安全綜合服務為核心的科技企業。
作為我國重要的信息安全基礎設施之一，CFCA始終堅持自主研發與科技創新，先後參與了「國家金卡工程」、「國家863計劃」等重大科研項目，牽頭30多項國家標准、金融行業標准、密碼行業標准及重要團體標準的制定，擁有發明凳正專利、軟體著作權100+項，多次榮獲中國人民銀行頒發的「銀行科技發展獎」及政府、協會等頒發的重要獎項。
網路安全風險是全球共同面臨的挑戰，CFCA在自身不斷發展的同時，積極投身國際安全認證體系構建。作為中國最早一批完成WebTrust國際標准審計並獲得微軟、Mozilla、谷歌、蘋果等主流根證書庫全入根，且是目前中國內地唯一獲得LEI驗證代理資格的電子認證機構，近年來CFCA積極參與CAB論壇、亞太PKI論壇、FIDO聯盟、GLEIF Global CA Stakeholder Group等國際組織，共同打造全球化數字開放服務生態。
依託雄厚的技術實力和運營能力，CFCA匠心打造電子認證、網路安全產品與服務、安全支付、互聯網財經媒體等多個業務板塊，搭建了電子合同簽署、電子數據存證與司法服務等核心平台，先後培育出無紙化、安心簽、雲證通、APP檢測等旗艦產品。憑借多元化的綜合服務優勢，成為助力政府、金融機構、企業集團數字化轉型升級的中堅力量。
展望未來，CFCA致力於構建可信網路空間，依託開放平台實現生態協同發展，積極融入國家數字經濟建設大局，踐行企業社會責任，力爭成為數字化時代網路安全的先導者。

Ⅸ cfca證書是什麼

CFCA證書是中國金融認證中心認證證書。

中國金融認證中心（China Financial Certification Authority，簡稱CFCA）是經中國人民銀行和國家信息安全管理機構批准成立的國家級權威安全認證機構，是國家重要的金融信息安全基礎設施之一。在《中華人民共和國電子簽名法》頒布後，CFCA成為首批獲得電子認證服務許可的電子認證服務機構之一。

中國金融認證中心服務內容：

1、日常咨詢：

針對用戶系統集成數字證書的安全問題提供每周7×24小時不限次全年電話技術支持的安全咨詢服務。

2、服務方案：

CFCA售後服務小組將根據客戶業務流程及許可權分配策略制定全方位周密、全面的服務方案。

3、安全通告：

CFCA以電子郵件通報的形式，每月定期向客戶通報每月出現的重大安全漏洞及病毒，以及重大安全漏洞及病毒的解決方案。

4、變更配合：

當客戶現場調整涉及相應工程設備時CFCA將積極配合，必要時提供現場支持。

5、緊急響應：

當合同中所提供的服務因安全問題中斷時，CFCA在提供遠端服務的同時在收到最終用戶要求本地響應的通知後，將在交通許可情況下（交通時間+2小時）盡快到達最終用戶現場。

CFCA對所有的售後服務內容都有詳細的過程記錄文檔。對於安全工程的售後支持請求和處理結果均將備案並定期向客戶提交。

Ⅹ cfca數字證書是什麼

中國金融認證中心（CFCA）是我國重要的金融信息安全基礎設施之一，是經中國銀行和國家信息安全管理局批準的國家級權威安全認證機構。

CFCA在《中華人民共和國電子簽名法》頒布後，成為首批獲得電子認證服務許可的電子認證服務機構之一。

了解CFCA證書是什麼之後，那麼CFCA的職能是什麼？

中國金融認證中心的售後服務宗旨：「成為客戶的技術支持夥伴，幫助客戶確保系統的運行，並在客戶需要時提供相應的服務」。

CFCA的技術支持服務根據整個系統的情況和客戶的需求，遠遠超出了傳統的故障排除響應支持的概念，從系統預防性檢查、支持客戶的日常運行維護、系統功能升級到客戶的培訓服務，幫助用戶更好地掌握系統維護知識和了解最新的相關技術。

CFCA一直致力於創造高水平的基礎設施條件和管理體系，作為中國一流的電子認證服務機構和信息安全集成解決方案提供商，竭誠為客戶提供高質量的產品和一流的服務。為了創造一個可信的網路環境，建立一個穩定的網路信任體系，我們將不斷努力，促進中國信息安全事業的繁榮和發展。

CFCA的技術支持服務根據整個系統的情況和客戶的需求，遠遠超出了傳統的故障排除響應支持的概念，從系統預防性檢查、支持客戶的日常運行維護、系統功能升級到客戶的培訓服務，幫助用戶更好地掌握系統維護知識和了解最新的相關技術。