电子商务安全导论11探究.ppt

* 第11章 国内CA认证中心及CFCA金融认证服务相关业务规则 * 11.1 中国金融认证中心（CFCA）1 11.1.1 CFCA简介 中国金融认证中心（China Financial Certification Authority，CFCA）是由中国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、福建兴业银行、上海浦东发展银行等14家全国性商业银行共同建立的国家级权威金融认证机构，是国内惟一一家能够全面支持电子商务安全支付业务的第三方网上信任服务机构。 中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务，采用基于PKI（公钥基础设施）技术的双密钥机制。 中国金融认证中心的建立是我国电子商务走向成熟的重要里程碑，尤其是对我国网上银行、电子商务的深入发展起着巨大的推动作用。 11.1 中国金融认证中心（CFCA）2 11.1.2 CFCA体系结构 CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，第一层为根CA；第二层为政策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发放证书。运营CA由CA系统和证书注册审批机构（BA）两大部分组成。 CA系统：承担证书签发、审批、废止、查询、数学签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定。CA系统设在CFCA本部，不直接面对用户。 RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书。RA系统一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点（LRA）设置在商业银行的分/支行、证券、保险营业部及其他应用证书机构的分支机构。RA系统可方便集成到其业务应用系统。 CFCA认证系统在满足高安全性、开放性、实用性、高扩展性、交叉认证等需求的同时，从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面均按国际标准制定了相应的安全策略；专业化的技术队伍和完善运营服务体系，确保系统7*24小时安全高效、稳定运行。 11.1.3 CFCA数字证书服务 1，CFCA数字证书：是CFCA用其私钥进行了数字签名的包含用户身份、公开密钥、有效期等许多相关信息的权威性的电子文件，是各实体在网上的电子身份证。它遵循ITU X.509V3国际标准规范，采用双密钥和高强度双向认证机制，具有证书自动更新、密钥备份、黑名单在线自动查询等功能。 2，CFCA证书种类：企业高级证书、个人高级证书、企业普通证书、个人普通证书、服务器证书、手机证书、安全E-MAIL证书、VPN设备证书、代码签名证书。 3，PKI服务：PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核对执行者是CA认证机构。实体鉴别、数据的保密性、数据的真实性和完整性、不可否认证、证书审批发放、密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证。 4，企业、个人如何获得CFCA证书 用户可以到所有CFCA授权的证书审批机构（RA）申请证书，申请者一般需提供有关开户账号、身份证/组织机构代码，邮件地址等有效信息，RA审 核通过后给用户参考号、授权码作为获得证书的凭据。用户在得到参考号授权码后，可以自行登录CFCA网站获得证书，也可以使用RA提供的其他更为简便的方式获得证书。证书的存储介质可以是软盘、硬盘，但更为安全的方式是使用智能卡或USB-KEY存放。 * 11.1 中国金融认证中心（CFCA）3 11.1.4 主要应用项目 目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证服务体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业。 11.1.5 发展历程 11.1.6 CFCA证书注册审批机构（RA) 银行系统：中国工商银行、中国农业银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、广东发展银行、深圳发展银行、中国民生银行、兴业银行、上海浦发银行、华一银行（合资银行）、中国人民银行上海分行、武汉市商业银行、宁波市商业银行、温州市商业银行、柳州市商业银行。 证券系统：山西证券公司、黄河证券公司、福建省闽发证券公司、江门证券有限公司、蔚深证券公司、海南港海岸国际信托投资有限公司、湘财证券有限责任公司、华鑫证券有限责任公司、中富证券有限责任公司、国都证券有限责任公司、金信证券有限责任公司、兴业证券股份有限公司、中信证券公司、新华证券有限责任公司、新时代证券有限责任公司、兴安证券有限公司。 其