首页  思维导图  详情

安全体系

2020-10-26 19:33:46   0  举报





AI智能生成

安全

作者其他创作

大纲/内容

数字签名

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证

数字签名是非对称密钥加密技术与数字摘要技术的应用

签名

普通数字签名算法

RSA

ElGamal

Fiat-Shamir

Guillou- Quisquarter

Schnorr

Des/DSA

椭圆曲线数字签名算法

有限自动机数字签名算法

特殊签名

盲签名

代理签名

群签名

不可否认签名

公平盲签名

门限签名

具有消息恢复功能的签名

算法类型

密码生成算法

标记算法

验证算法

功能

数字签名保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生

数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性

一个完整地PKI系统是由认证机构、密钥管理中心（KMC）、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成，其中认证机构(Certification Authority，CA)在PKI系统中居于核心地位。

国内分类

第一类是行业性的CA

中国金融认证中心（CFCA）

海关CA

商务部CA（国富安CA）

以上CA是由相应行业的主管部门牵头建立的

第二类是地方性CA

北京CA

上海CA

浙江CA

这些CA是由当地地方政府牵头建立的

第三类CA是商业性CA

天威诚信CA

这类CA进行商业化经营，并不从属于任何行业或地域，但它们也必须具有良好的公信力，必须由国家主管部门审批通过才能投入运营，以确保其权威、公正性

组成部分

CA服务器：这是CA的核心，是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务

证书下载中心：该中心连接在互联网上，用户通过登录CA网站访问证书下载中心，CA服务器生成的证书通过证书下载中心供用户下载。

目录服务器：它的功能是提供数字证书的存储，以及数字证书和证书撤销列表（CRL）的查询。业者有时把它称为”LDAP”，这是因为目录服务的技术标准遵循LDAP (轻量级目录访问协议)的缘故。

OCSP服务器：该服务器向用户提供证书在线状态的查询

密钥管理中心(KMC)：根据国家密码管理规定，加密用私钥必须由权威、可靠的机构进行备份和保管。CFCA被授权建立KMC,以备份和保管用户的加密密钥。

证书注册机构(Registration Authority，RA)：它负责受理证书的申请和审核，其主要功能是接受客户证书申请并进行审核。 RA主要是远程的，CFCA的RA部署在各家用户银行、税务机关、或企业所在地。因为，这样一方面便于进行客户资料的审查，另一方面也便于银行将证书与客户的帐号进行绑定，以实现认证。但即使RA部署在远程所在地，这些RA也仍然是CA的组成部分。

基本功能

签发数字证书（最重要）

CA密钥的管理

接受证书申请，审核申请者身份

证书管理

提供证书和证书状态的查询

加密算法

对称加密

单秘钥加密/秘钥加密

常用算法

DES

3DES