cfca加密加签作用

Ⅰ 什么是数字证书它有什么作用如何为浏览器申请证书，请写出详细过程

1.数字证书基本功能
数字证书，是由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。

从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息完整性和行为的不可抵赖；加密证书主要用于对用户传送信息进行加密，以保证信息的机密性。以下对数字证书的基本功能进行原理性描述。

身份认证
在各应用系统中，常常需要完成对使用者的身份认证，以确定谁在使用系统，可以赋予使用者何种操作权限。身份认证技术发展至今已经有了一套成熟的技术体系，其中，利用数字证书完成身份认证是其中最安全有效的一种技术手段。

利用数字证书完成身份认证，被认证方（甲）必须先到相关数字证书运营机构申请数字证书，然后才能向应用系统认证方（乙）提交证书，完成身份认证。
通常，使用数字证书的身份认证流程如下图所示：

被认证方（甲），使用自己的签名私钥，对随机数进行加密；

被认证方（甲）将自己的签名证书和密文发送给认证方（乙）；

乙验证甲所提供的签名证书的有效期、证书链，并完成黑名单检查，失败则放弃；

有效期、证书链和黑名单验证通过后，乙即使用甲的签名证书对甲所提供的密文进行解密，成功则表明可以接受由甲提交的签名证书所申明的身份。

在上述流程中，步骤3描述的是对证书本身的验证，依次分别验证有效期、证书链和黑名单，某个步骤如果验证失败，则验证流程立即终止，不必再执行下一个验证。同时，有效期、证书链和黑名单的依次验证顺序是最合理的顺序，能够让验证流程达到最佳性能。

通过步骤3的验证后，甲所提交的证书可以得到验证，但这与甲本身是否和该证书所申明的实体相等没有必然联系，甲必须表明其是这个签名证书对应的唯一私钥的拥有者。因此，当步骤4执行成功后，即该签名证书能够解密，则说明甲拥有该私钥，从而完成了对甲所申明身份的认证。

上面具体描述的是单向认证，即只有乙认证甲的身份，而甲没有认证乙的身份。单向认证不是完善的安全措施，诚实可信的用户甲可能会碰到类似“钓鱼网站”的欺骗。因此在需要高度安全的应用环境中，还需要实现双向认证。即乙也需要向甲提供其签名证书，由甲来完成上述验证流程，以确认乙的身份。如下图。

数字签名
数字签名是数字证书的重要应用功能之一，所谓数字签名是指证书用户（甲）用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者（乙）使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要，并对收到的原始数据采用相同的杂凑算法计算其消息摘要，将二者进行对比，即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护，和传送数据行为不可抵赖性的保护。

使用数字证书完成数字签名功能，需要向相关数字证书运营机构申请具备数字签名功能的数字证书，然后才能在业务过程中使用数字证书的签名功能。

通常，使用数字证书的签名和验证数字证书签名的流程如图所示：

签名发送方（甲）对需要发送的明文使用杂凑算法，计算摘要；

甲使用其签名私钥对摘要进行加密，得到密文；

甲将密文、明文和签名证书发送给签名验证方乙；

乙一方面将甲发送的密文通过甲的签名证书解密得到摘要，另一方面将明文采用相同的杂凑算法计算出摘要；

乙对比两个摘要，如果相同，则可以确认明文在传输过程中没有被更改，并且信息是由证书所申明身份的实体发送的。

如果需要确认甲的身份是否和证书所申明的身份一致，则需要执行身份认证过程，如前一节所述。

在上述流程中，签名私钥配合杂凑算法的使用，可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证书所申明的身份的行为，提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认，需要通过身份认证过程明确。

数字信封
数字信封是数字证书另一个重要应用功能，其功效类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读“信件”的内容。

数字信封中采用了对称密码机制和公钥密码机制。信息发送者（甲）首先利用随机产生的对称密钥对信息进行加密，再利用接收方（乙）的公钥加密对称密钥，被公钥加密后的对称密钥被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密钥，才能利用对称密钥解密所得到的信息。通过数字信封可以指定数据接收者，并保证数据传递过程的机密性。

使用数字证书完成数字信封功能，需要向相关数字证书运营机构申请具备加密功能的数字证书，然后才能在业务过程中使用数字证书的数字信封功能。

通常，数字信封和数字信封拆解的流程如图所示：

信息发送方（甲）生成对称密钥；

甲使用对称密钥对需要发送的信息执行加密，得到密文；

甲使用信息接收方（乙）的加密证书中的公钥，加密对称密钥，得到数字信封；

甲将密文和数字信封发送给乙；

乙使用自己的加密私钥拆解数字信封，得到对称密钥；

乙使用对称密钥解密密文，得到明文。

在上述流程中，信息发送方（甲）对用于加密明文信息的对称密钥使用接收方（乙）的加密证书进行加密得到数字信封，利用私钥的唯一性保证只有拥有对应私钥的乙才能拆解数字信封，从而阅读明文信息。据此，甲可以确认只有乙才能阅读信息，乙可以确认信息在传递过程中保持机密。

1、证书申请

CFCA授权的证书的注册审核机构（Registration Authority，简称RA）（各商业银行、证券公司等机构），面向最终用户，负责接受各自的持卡人和商户的证书申请并进行资格审核，具体的证书审批方式和流程由各授权审核机构规定。

证书申请表直接到RA处领取。

2、证书审批

经审批后，RA将审核通过的证书申请信息发送给CFCA，由CFCA签发证书。

● 系统--CFCA将同时产生的二个码（参考号、授权码）发送到RA系统。为安全起见，RA采用两种途径将以上两个码交到证书申请者手中： RA管理员将其中授权码打印在密码信封里当面交给证书申请者；将参考号发送到证书申请者的电子邮箱里。

● SET系统--持卡人/商户到RA各网点直接领取专用密码信封。

3、证书发放/下载

CA签发的证书格式符合X.509 V3标准。具体的证书发放方式各个RA的规定有所不同。可以登陆CFCF网站http://www.cfca.com.cn联机下载证书或者到银行领取。

4、证书生成

证书在本地生成，证书由CFCA颁发，用户私钥由客户自己保管

Ⅱ 什么是CFCA证书

CFCA证书是中国金融认证中心认证证书。

中国金融认证中心（，简称CFCA）中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构，是国家重要的金融信息安全基础设施之一。

在《中华人民共和国电子签名法》颁布后，CFCA成为首批获得电子认证服务许可的电子认证服务机构之一。

中国金融认证中心的售后服务宗旨：“帮助客户保证系统的运行，成为客户的技术支持合作伙伴，在客户需要的时候随时提供适当的服务”。

CFCA的技术支持服务远远超出了传统的针对故障排除的响应支持概念，而是依据整个系扰仿统的情况及客户的需求，从支持客户的日高拿常运作维护、系统预防性检查、系统功能升级，到客户的培训服务，帮助用户更好地掌握系统维护的知识和了解相关的最新技术。

(2)cfca加密加签作用扩展阅读

CFCA数字证书

数字证书，各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。

数字证书，由权威CA机构颁发给用户，用以在数字领域中证实用户身份的一种数字凭证。从戚李搭数字证书的用途来看，可分为签名证书和加密证书：签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送的信息进行加密，以保证信息的真实性和完整性。

数字证书一段包含用户公开密钥、用户信息、颁发机构信息、证书的序列号、有效时间、发证机关（CA中心）的名称及CA中心数字签名的数据。数字证书的格式遵循X.509
V3国际标准。

数字证书技术指标：

符合标准：X.509v3、CRLv2、PKCS1~12、ASN.1、MIME、SSL、SMIME等；

支持的非对称算法：RSA（1024位、2048位）、SM2（256位）；

支持的散列算法：MD5、SHA1、SM3；

支持Outlook、Outlook
Express、Foxmail等遵循安全电子邮件扩展协议的客户端邮件软件；

证书应用支持WINDOWS、UNIX、LINUX等通用操作平台。

Ⅲ CFCA EV ROOT是啥意思

EV SSL服务器证书是一个遵循Webtrust-EV标准进行更加严格身份认证的SSL服务器证书，不仅能象Webtrust标准的SSL证书一样，能高强度加密在线用户的清锋亩机密交易信息，支持RSA-2048/SHA-256、SM2/SM3等先进密码算法。并且通过地址栏为绿色、变红等方答森式，非常显着地向在线用户表明其正在访问网站的真实身份。通过使地址栏变绿以及向访问者显示所访问的网站主体真实身份以及被认证的信息等，使EV SSL服务器证书与SSL服务器证基则书相比，具有更高水平的可信度及安全性

Ⅳ cfca证书是什么

cfca证书指的是中国金融认证中心认证证书，cfca是China Financial Certification Authority的缩写。中国金融认证中心是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构，是国家重要的金融信息安全基础设施之一扮漏岩。

中国金融认证中心简介

中国金融认证中心简称CFCA，是国家非常重要的金融信息安全基础设施之一，是经过中国人民银行和国家信息安全机构批准成立的，是一所国家级权威安全认证机构。

在《中华人民共和国电子签名法》颁布后，CFCA成为首批获得电子认证服务许可的电子认证服务机构之一。

CFCA数字证书

数字证书，由权威CA机构颁发给用户，用以在数字领域中证实用户身份的一种厅御数字凭证。数字证书分为签名证书和加密证书两种，签名证书主要用于对用户信息进行签名，以保证信息的不可否认性搜亩;加密证书主要用于对用户传送的信息进行加密，以保证信息的真实性和完整性。

Ⅳ CFCAC什么时候成立的

CFCAC是在2005年的时候成立的。

Ⅵ 常见密码技术简介

##

密码技术在网络传输安全上的应用

随着互联网电子商务和网络支付的飞速发展，互联网安全已经是当前最重要的因素之一。作为一名合格的软件开发工程师，有必要了解整个互联网是如何来保证数据的安全传输的，本篇文章对网络传输安全体系以及涉及到的算法知识做了一个简要的介绍，希望大家能够有一个初步的了解。

###密码技术定义

简单的理解，密码技术就是编制密码和破译密码的一门技术，也即是我们常说的加密和解密。常见的结构如图：

其中涉及到的专业术语：

1.秘钥：分为加密秘钥和解密秘钥，两者相同的加密算法称为对称加密，不同的称为非对称加密；

2.明文：未加密过的原文信息，不可以被泄露；

3.密文：经过加密处理后的信息，无法从中获取有效的明文信息；

4.加密：明文转成密文的过程，密文的长度根据不同的加密算法也会有不同的增量；

5.解密：密文转成明文的过程；

6.加密/解密算法：密码系统使用的加密方法和解密方法；

7.攻击：通过截获数据流、钓鱼、木马、穷举等方式最终获取秘钥和明文的手段。

###密码技术和我们的工作生活息息相关

在我们的日常生活和工作中，密码技术的应用随处可见，尤其是在互联网系统上。下面列举几张比较有代表性的图片，所涉及到的知识点后面都会一一讲解到。

1.12306旧版网站每次访问时，浏览器一般会提示一个警告，是什么原因导致的？ 这样有什么风险呢？

2.360浏览器浏览HTTPS网站时，点开地址栏的小锁图标会显示加密的详细信息，比如网络的话会显示```AES_128_GCM、ECDHE_RSA```，这些是什么意思？

3.在Mac系统的钥匙串里有很多的系统根证书，展开后有非常多的信息，这些是做什么用的？

4.去银行开通网上支付都会附赠一个U盾，那U盾有什么用呢？

##如何确保网络数据的传输安全

接下来我们从实际场景出发，以最常见的客户端Client和服务端Server传输文件为例来一步步了解整个安全体系。

####1. 保密性

首先客户端要把文件送到服务端，不能以明文形式发送，否则被黑客截获了数据流很容易就获取到了整个文件。也就是文件必须要确保保密性，这就需要用到对称加密算法。 

** 对称加密： **加密和解密所使用的秘钥相同称为对称加密。其特点是速度快、效率高，适用于对较大量的数据进行加密。常见的对称加密算法有DES、3DES、AES、TDEA、RC5等，让我们了解下最常见的3DES和AES算法：

** DES(Data Encryption Standard)： **1972年由美国IBM研制，数学原理是将明文以8字节分组（不足8位可以有不同模式的填充补位），通过数学置换和逆置换得到加密结果，密文和明文长度基本相同。秘钥长度为8个字节，后有了更安全的一个变形，使用3条秘钥进行三次加密，也就是3DES加密。

**3DES：**可以理解为对明文进行了三次DES加密，增强了安全程度。

** AES(Advanced Encryption Standard)： **2001年由美国发布，2002年成为有效标准，2006年成为最流行的对称加密算法之一。由于安全程度更高，正在逐步替代3DES算法。其明文分组长度为16字节，秘钥长度可以为16、24、32(128、192、256位)字节，根据秘钥长度，算法被称为AES-128、AES-192和AES-256。

对称加密算法的入参基本类似，都是明文、秘钥和模式三个参数。可以通过网站进行模拟测试：[http://tool.chacuo.net/crypt3des]()。其中的模式我们主要了解下ECB和CBC两种简单模式，其它有兴趣可自行查阅。

** ECB模式(Electronic Codebook Book)： **这种模式是将明文分成若干小段，然后对每一段进行单独的加密，每一段之间不受影响，可以单独的对某几段密文进行解密。

** CBC模式(Cipher Block Chaining)： **这种模式是将明文分成若干小段，然后每一段都会和初始向量(上图的iv偏移量)或者上一段的密文进行异或运算后再进行加密，不可以单独解密某一断密文。

 ** 填充补位： **常用为PKCS5Padding，规则为缺几位就在后面补几位的所缺位数。，比如明文数据为```/x01/x01/x01/x01/x01/x01```6个字节，缺2位补```/x02```，补完位```/x01/x01/x01/x01/x01/x01/x02/x02```。解密后也会按照这个规则进行逆处理。需要注意的是：明文为8位时也需要在后面补充8个```/x08```。

####2. 真实性

客户端有了对称秘钥，就需要考虑如何将秘钥送到服务端，问题跟上面一样：不能以明文形式直接传输，否则还是会被黑客截获到。这里就需要用到非对称加密算法。

** 非对称加密： **加密和解密秘钥不同，分别称为公开秘钥(publicKey)和私有秘钥(privateKey)。两者成对出现，公钥加密只能用私钥解密，而私钥加密也只能用公钥加密。两者不同的是：公钥是公开的，可以随意提供给任何人，而私钥必须保密。特点是保密性好，但是加密速度慢。常见的非对称加密算法有RSA、ECC等；我们了解下常见的RSA算法：

** RSA(Ron Rivest、Adi Shamir、Leonard Adleman)： **1977年由麻省理工学院三人提出，RSA就是他们三个人的姓氏开头字母拼在一起组成的。数学原理是基于大数分解。类似于```100=20x5```，如果只知道100的话，需要多次计算才可以试出20和5两个因子。如果100改为极大的一个数，就非常难去试出真正的结果了。下面是随机生成的一对公私钥:

这是使用公钥加密后结果：

RSA的这种特性就可以保证私钥持有者的真实性，客户端使用公钥加密文件后，黑客就算截获到数据因为没有私钥也是无法解密的。

** Tips： **

+** 不使用对称加密，直接用RSA公私钥进行加密和解密可以吗？ **

答案：不可以，第一是因为RSA加密速度比对称加密要慢几十倍甚至几百倍以上，第二是因为RSA加密后的数据量会变大很多。

+** 由服务端生成对称秘钥，然后用私钥加密，客户端用公钥解密这样来保证对称秘钥安全可行吗？ **

答案：不可行，因为公钥是公开的，任何一个人都可以拿到公钥解密获取对称秘钥。

####3. 完整性

当客户端向服务端发送对称秘钥加密后的文件时，如果被黑客截获，虽然无法解密得到对称秘钥。但是黑客可以用服务端公钥加密一个假的对称秘钥，并用假的对称秘钥加密一份假文件发给服务端，这样服务端会仍然认为是真的客户端发送来的，而并不知道阅读的文件都已经是掉包的了。

这个问题就需要用到散列算法，也可以译为Hash。常见的比如MD4、MD5、SHA-1、SHA-2等。

** 散列算法(哈希算法)： **简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。而且该过程是不可逆的，无法通过摘要获得原文。

** SHA-1(Secure Hash Algorithm 1)： **由美国提出，可以生成一个20字节长度的消息摘要。05年被发现了针对SHA-1的有效攻击方法，已经不再安全。2010年以后建议使用SHA-2和SHA-3替代SHA-1。

** SHA-2(Secure Hash Algorithm 2)： **其下又分为六个不同算法标准：SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA512/256。其后面数字为摘要结果的长度，越长的话碰撞几率越小。SHA-224的使用如下图：

客户端通过上面的散列算法可以获取文件的摘要消息，然后用客户端私钥加密后连同加密的文件发给服务端。黑客截获到数据后，他没有服务端私钥无法获取到对称秘钥，也没有客户端私钥无法伪造摘要消息。如果再像上面一样去掉包文件，服务端收到解密得到摘要消息一对比就可以知道文件已经被掉包篡改过了。

这种用私钥对摘要消息进行加密的过程称之为数字签名，它就解决了文件是否被篡改问题，也同时可以确定发送者身份。通常这么定义：

** 加密： **用公钥加密数据时称为加密。

** 签名： **用私钥加密数据时称为签名。

####4. 信任性

我们通过对称加密算法加密文件，通过非对称加密传输对称秘钥，再通过散列算法保证文件没被篡改过和发送者身份。这样就安全了吗？

答案是否定的，因为公钥是要通过网络送到对方的。在这期间如果出现问题会导致客户端收到的公钥并不一定是服务端的真实公钥。常见的** 中间人攻击 **就是例子：

** 中间人攻击MITM(Man-in-the-MiddleAttack)： **攻击者伪装成代理服务器，在服务端发送公钥证书时，篡改成攻击者的。然后收到客户端数据后使用攻击者私钥解密，再篡改后使用攻击者私钥签名并且将攻击者的公钥证书发送给服务器。这样攻击者就可以同时欺骗双方获取到明文。

这个风险就需要通过CA机构对公钥证书进行数字签名绑定公钥和公钥所属人，也就是PKI体系。

** PKI(Privilege Management Infrastructure)： **支持公钥管理并能支持认证、加密、完整性和可追究性的基础设施。可以说整个互联网数据传输都是通过PKI体系进行安全保证的。

** CA(Certificate Authority)： **CA机构就是负责颁发证书的，是一个比较公认的权威的证书发布机构。CA有一个管理标准：WebTrust。只有通过WebTrust国际安全审计认证，根证书才能预装到主流的浏览器而成为一个全球可信的认证机构。比如美国的GlobalSign、VeriSign、DigiCert，加拿大的Entrust。我国的CA金融方面由中国人民银行管理CFCA，非金融CA方面最初由中国电信负责建设。

CA证书申请流程：公司提交相应材料后，CA机构会提供给公司一张证书和其私钥。会把Issuer,Public key,Subject,Valid from,Valid to等信息以明文的形式写到证书里面，然后用一个指纹算法计算出这些数字证书内容的一个指纹，并把指纹和指纹算法用自己的私钥进行加密。由于浏览器基本都内置了CA机构的根证书，所以可以正确的验证公司证书指纹（验签），就不会有安全警告了。

但是：所有的公司其实都可以发布证书，甚至我们个人都可以随意的去发布证书。但是由于浏览器没有内置我们的根证书，当客户端浏览器收到我们个人发布的证书后，找不到根证书进行验签，浏览器就会直接警告提示，这就是之前12306打开会有警告的原因。这种个人发布的证书，其实可以通过系统设置为受信任的证书去消除这个警告。但是由于这种证书机构的权威性和安全性难以信任，大家最好不要这么做。

我们看一下网络HTTPS的证书信息：

其中比较重要的信息：

签发机构：GlobalSign Root CA；

有效日期：2018-04-03到2019-05-26之间可用；

公钥信息：RSA加密，2048位；

数字签名：带 RSA 加密的 SHA-256 ( 1.2.840.113549.1.1.11 )

绑定域名：再进行HTTPS验证时，如果当前域名和证书绑定域名不一致，也会出现警告；

URI：在线管理地址。如果当前私钥出现了风险，CA机构可以在线吊销该证书。

####5. 不可抵赖性

看起来整个过程都很安全了，但是仍存在一种风险：服务端签名后拒不承认，归咎于故障不履行合同怎么办。

解决方法是采用数字时间戳服务：DTS。

** DTS(digital time-stamp)： **作用就是对于成功的电子商务应用，要求参与交易各方不能否认其行为。一般来说，数字时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash算法运算形成摘要，然后将该摘要发送到DTS。DTS在加入了收到文件摘要的日期和事件信息后再对该文件进行数字签名，然后送达用户。

####6. 再次认证

我们有了数字证书保证了身份的真实性，又有了DTS提供的不可抵赖性。但是还是不能百分百确定使用私钥的就是合法持有者。有可能出现被别人盗用私钥进行交易的风险。

解决这个就需要用到强口令、认证令牌OTP、智能卡、U盾或生物特征等技术对使用私钥的当前用户进行认证，已确定其合法性。我们简单了解下很常见的U盾。

** USB Key(U盾)： **刚出现时外形比较像U盘，安全性能像一面盾牌，取名U盾。其内部有一个只可写不可读的区域存储着用户的私钥(也有公钥证书)，银行同样也拥有一份。当进行交易时，所有涉及到私钥的运算都在U盾内部进行，私钥不会泄露。当交易确认时，交易的详细数据会显示到U盾屏幕上，确认无误后通过物理按键确认就可以成功交易了。就算出现问题黑客也是无法控制U盾的物理按键的，用户可以及时取消避免损失。有的U盾里面还有多份证书，来支持国密算法。

** 国密算法： **国家密码局针对各种算法制定了一些列国产密码算法。具体包括：SM1对称加密算法、SM2公钥算法、SM3摘要算法、SM4对称加密算法、ZUC祖冲之算法等。这样可以对国产固件安全和数据安全进行进一步的安全控制。

## HTTPS分析

有了上面的知识，我们可以尝试去分析下HTTPS的整个过程，用Wireshark截取一次HTTPS报文：

Client Hello: 客户端发送Hello到服务端443端口，里面包含了随机数、客户端支持的加密算法、客户端的TLS版本号等；

Server Hello: 服务端回应Hello到客户端，里面包含了服务端选择的加密套件、随机数等；

Certificate： 服务端向客户端发送证书

服务端计算对称秘钥：通过ECDH算法得到对称秘钥

客户端计算对称秘钥：通过ECDH算法得到对称秘钥

开始用对称秘钥进行加密传输数据

其中我们又遇到了新的算法：DH算法

** DH(Diffie-Hellman)： **1976年由Whitefield与Martin Hellman提出的一个奇妙的秘钥交换协议。这个机制的巧妙在于可以通过安全的方式使双方获得一个相同的秘钥。数学原理是基于原根的性质，如图：

*** DH算法的用处不是为了加密或解密消息，而是用于通信双方安全的交换一个相同的秘钥。 ***

** ECDH： **基于ECC(椭圆曲线密码体制)的DH秘钥交换算法，数学原理是基于椭圆曲线上的离散对数问题。

** ECDHE： **字面少了一个E，E代表了临时。在握手流程中，作为服务器端，ECDH使用证书公钥代替Pb，使用自身私钥代替Xb。这个算法时服务器不发送server key exchange报文，因为发送certificate报文时，证书本身就包含了Pb信息。

##总结

| 算法名称  | 特点 | 用处 | 常用算法名 |

| --- | :--- | :---: | ---: |

| 对称加密  | 速度快，效率高| 用于直接加密文件 | 3DES、AES、RC4 |

| 非对称加密  | 速度相对慢，但是确保安全 | 构建CA体系 | RSA、ECC |

| 散列算法 | 算出的摘要长度固定，不可逆 | 防止文件篡改 | SHA-1、SHA-2 |

| DH算法 | 安全的推导出对称秘钥 | 交换对称秘钥 | ECDH |

----

Ⅶ 小程序RSA加密、解密、加签、验签

npm install  wxapp_rsa

var RSA = require('/wxapp_rsa.js')

// RSA加签

    var sign_rsa = new RSA.RSAKey();

//privateKey_pkcs1需要是-----BEGIN PRIVATE KEY-----开头的私钥

    sign_rsa = RSA.KEYUTIL.getKey(privateKey_pkcs1);

    console.log('签名RSA:')

    console.log(sign_rsa)

    var hashAlg = 'MD5withRSA';

    var hSig = sign_rsa.signString("12345678901234567890", hashAlg);

    hSig = RSA.hex2b64(hSig); // hex 转 b64

    console.log("签名结果：" + hSig)

    // RSA 验签

    var verify_rsa = new RSA.RSAKey();

    verify_rsa = RSA.KEYUTIL.getKey(publicKey_pkcs1);

    console.log('验签RSA:')

    console.log(verify_rsa)

    hSig = RSA.b64tohex(hSig)

    var ver = verify_rsa.verifyString("12345678901234567890", hSig)

    console.log('验签结果：' + ver)

//  RSA加密 【加密字段长度不大于117】

    var encrypt_rsa = new RSA.RSAKey();

    encrypt_rsa = RSA.KEYUTIL.getKey(rsa_public_key);

    console.log('加密RSA:')

    console.log(encrypt_rsa)

    var encStr = encrypt_rsa.encrypt('1234567890')

    console.log(encStr)

    encStr = RSA.hex2b64(encStr);

    console.log("加密结果：" + encStr)

    // RSA 解密

    var decrypt_rsa = new RSA.RSAKey();

    decrypt_rsa = RSA.KEYUTIL.getKey(rsa_public_key_private);

    console.log('解密RSA:')

    console.log(decrypt_rsa)

    encStr = RSA.b64tohex(encStr)

    var decStr = decrypt_rsa.decrypt(encStr)

    console.log("解密结果：" + decStr)

Ⅷ 当前中国金融认证中心所涉及的业务领域有哪些

中国金融认证中心主要业务是信息安全服务：银行、证券、保险、互联网金融、第三方支付等。
中国金融认证中心全球信任证书是发放给全球范围的数字证书，通过微软根证书凳敬项目认证、Mozilla根证书认证，谷歌（安卓）根证书认证和苹果根证书认证，其根证书已经预埋在微软系统、设备，Mozilla相关产品，谷歌（安卓操作系统）相关产品以及苹果相关产品中。
CFCA全球服务器证书由CFCA自主研发。CFCA作为国内第一家与国外SSL服务器证书厂商媲美的电子认证服务机构，严格按照国际标准提供电子认证服务，并结合我国国情，在密码算法、安全技术服务等方面兼容国际和国产算法。目前已通过第三方审计公司按照国内、国际双重标准进行的审计。
CFCA全球服务器证书相当于Web站点的网络身份证，可为Web站点提供身枣粗悔份鉴定，并为Web站点提供高强度安全加密传输，保证信息在传输过程中的安全，能够有效地防止信息传输过程中的网络钓鱼、窃听、篡改等安全问题。
拓展资料：
中金金融认证中心有限公司，是由中国人民银行于1998年牵头组建，经国家信息安全管理机构批准成立的权威电子认证机构。在中国人民银行和中国银联的领导下，历经20余年积淀，CFCA已发展成为以网络安全综合服务为核心的科技企业。
作为我国重要的信息安全基础设施之一，CFCA始终坚持自主研发与科技创新，先后参与了“国家金卡工程”、“国家863计划”等重大科研项目，牵头30多项国家标准、金融行业标准、密码行业标准及重要团体标准的制定，拥有发明凳正专利、软件着作权100+项，多次荣获中国人民银行颁发的“银行科技发展奖”及政府、协会等颁发的重要奖项。
网络安全风险是全球共同面临的挑战，CFCA在自身不断发展的同时，积极投身国际安全认证体系构建。作为中国最早一批完成WebTrust国际标准审计并获得微软、Mozilla、谷歌、苹果等主流根证书库全入根，且是目前中国内地唯一获得LEI验证代理资格的电子认证机构，近年来CFCA积极参与CAB论坛、亚太PKI论坛、FIDO联盟、GLEIF Global CA Stakeholder Group等国际组织，共同打造全球化数字开放服务生态。
依托雄厚的技术实力和运营能力，CFCA匠心打造电子认证、网络安全产品与服务、安全支付、互联网财经媒体等多个业务板块，搭建了电子合同签署、电子数据存证与司法服务等核心平台，先后培育出无纸化、安心签、云证通、APP检测等旗舰产品。凭借多元化的综合服务优势，成为助力政府、金融机构、企业集团数字化转型升级的中坚力量。
展望未来，CFCA致力于构建可信网络空间，依托开放平台实现生态协同发展，积极融入国家数字经济建设大局，践行企业社会责任，力争成为数字化时代网络安全的先导者。

Ⅸ cfca证书是什么

CFCA证书是中国金融认证中心认证证书。

中国金融认证中心（China Financial Certification Authority，简称CFCA）是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构，是国家重要的金融信息安全基础设施之一。在《中华人民共和国电子签名法》颁布后，CFCA成为首批获得电子认证服务许可的电子认证服务机构之一。

中国金融认证中心服务内容：

1、日常咨询：

针对用户系统集成数字证书的安全问题提供每周7×24小时不限次全年电话技术支持的安全咨询服务。

2、服务方案：

CFCA售后服务小组将根据客户业务流程及权限分配策略制定全方位周密、全面的服务方案。

3、安全通告：

CFCA以电子邮件通报的形式，每月定期向客户通报每月出现的重大安全漏洞及病毒，以及重大安全漏洞及病毒的解决方案。

4、变更配合：

当客户现场调整涉及相应工程设备时CFCA将积极配合，必要时提供现场支持。

5、紧急响应：

当合同中所提供的服务因安全问题中断时，CFCA在提供远端服务的同时在收到最终用户要求本地响应的通知后，将在交通许可情况下（交通时间+2小时）尽快到达最终用户现场。

CFCA对所有的售后服务内容都有详细的过程记录文档。对于安全工程的售后支持请求和处理结果均将备案并定期向客户提交。

Ⅹ cfca数字证书是什么

中国金融认证中心（CFCA）是我国重要的金融信息安全基础设施之一，是经中国银行和国家信息安全管理局批准的国家级权威安全认证机构。

CFCA在《中华人民共和国电子签名法》颁布后，成为首批获得电子认证服务许可的电子认证服务机构之一。

了解CFCA证书是什么之后，那么CFCA的职能是什么？

中国金融认证中心的售后服务宗旨：“成为客户的技术支持伙伴，帮助客户确保系统的运行，并在客户需要时提供相应的服务”。

CFCA的技术支持服务根据整个系统的情况和客户的需求，远远超出了传统的故障排除响应支持的概念，从系统预防性检查、支持客户的日常运行维护、系统功能升级到客户的培训服务，帮助用户更好地掌握系统维护知识和了解最新的相关技术。

CFCA一直致力于创造高水平的基础设施条件和管理体系，作为中国一流的电子认证服务机构和信息安全集成解决方案提供商，竭诚为客户提供高质量的产品和一流的服务。为了创造一个可信的网络环境，建立一个稳定的网络信任体系，我们将不断努力，促进中国信息安全事业的繁荣和发展。

CFCA的技术支持服务根据整个系统的情况和客户的需求，远远超出了传统的故障排除响应支持的概念，从系统预防性检查、支持客户的日常运行维护、系统功能升级到客户的培训服务，帮助用户更好地掌握系统维护知识和了解最新的相关技术。