深圳oa软件系统

上述名词均属于PKI体系的一部分，PKI体系是基于“非对称加密算法”所构建的网络安全体系。

PKI 的本质就是非对称密钥管理的标准化

完整的 PKI 系统必须具有数字证书、认证中心（CA）、证书资料库、证书吊销系统、密钥备份及恢复系统、PKI 应用接口系统等构成部分。

数字证书：包含了用于签名和加密数据的公钥的电子凭证，是PKI的核心元素

认证中心（CA）：数字证书的申请及签发机关，CA必须具备权威性

证书资料库：存储已签发的数字证书和公钥，以及相关证书目录，用户可由此获得所需的其他用户的证书及公钥

证书吊销列表（CRL）/OCSP：在有效期内吊销的证书列表，在线证书状态协议OCSP是获得证书状态的国际协议

一、什么是CA

负责颁发数字证书的系统称为 CA 系统，负责管理并运营 CA 系统的机构称为 CA 中心。

我们通常所说的CA，是指CA机构，又称为证书授证（Certificate Authority）中心，上海CA、北京CA、CFCA等都是CA机构，国内有大概42家CA机构。

二、什么是数字证书

简单的说：数字证书是CA机构签发的一段身份凭证数据，其中包含了三部分：公钥，私钥，相关身份信息，可使用其进行数字签名。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。

三、什么是数字签名

简单的说：数字签名就是数字证书所有者，对被签名的原文进行签名运算后，生成的签名结果数据。

数字签名是基于非对称密钥加密技术与数字摘要技术的应用，是一个包含电子文件信息以及发送者身份，并能够鉴别发送者身份以及发送信息是否被篡改的一段数字串。

数字签名有两个作用：一是能确定签名者的身份主体；二是能确定被签名的数据是否被篡改。

发送文件加密过程：

1.数字签名用户发送电子文件时，发送方通过哈希函数对电子数据文件进行加密生成数据摘要（digest）；

2.数字签名发送方用自己的私钥对数据摘要进行加密，私钥加密后的摘要即为数字签名；

3.数字签名和报文将一起发送给接收方。 

四、什么是电子签名

电子签名是广义的，通过各种技术手段实现的电子化签名；

数字签名，是特指采用非对称加密算法实现，基于PKI体系，使用数字证书签署的电子签名；

电子签名是广义的概念，数字签名是电子签名众多形式中的一种特定的形式。

《电子签名法》之所以叫“电子签名”，是因为立法体系并没有指定特定的技术实现形式。但《电子签名法》中所定义的“可靠电子签名”，正是按照“数字签名”的特征所进行的定义。也就是说，当前最符合“可靠电子签名”定义的，就是“数字签名”。同时，电子签名法也支持未来可能的新的签名技术。

五、什么是时间戳

数字时间戳服务（DTS：digita1 time stamp service）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护。

时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：

（1）需加时间戳的文件的摘要（digest）；

（2）DTS收到文件的日期和时间；

（3）DTS的数字签名。

简单的说，时间戳就是时间戳服务器（授时机构），针对需要签署的文件，加上当前的可信时间，使用授时机构自身数字证书，运算出的数字签名。

时间戳可准确的标示签名时间，及验证加盖时间戳的原文的完整性。