构建有安全保障的应用系统.pptVIP

第8章 构建有安全保障的应用系统 安全电子商务应用 第8章 安全电子商务应用 【本章提要】 中国金融认证中心系统（CFCA） 网证通系统（NET CA） 第8章 安全电子商务应用 8.1 中国金融认证中心系统 8.2 网证通系统（NET CA） 8.1 中国金融认证中心系统 1．中国金融认证中心（CFCA）简介 中国金融认证中心( China Finance Certification Authority 缩写 CFCA )，是由中国人民银行牵头，联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的。 为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性)，防范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措施之外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认其他各方的身份，这就要求参加电子商务的各方必须有一个可以被验证的身份标识，即数字证书。数字证书是各类实体(个人/持卡人、企业/商户、银行/网关等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。中国金融认证中心(CFCA---China Finance Certificate Authority )作为一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。 金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。 8.1 中国金融认证中心系统 2．CFCA系统的体系结构 中国金融认证中心的目标　 中国金融CA建立了SET CA及Non-SET CA两大体系。Non-SET CA 体系亦称PKI CA 系统。其宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。 　金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放15万张Non-SET证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张,个人8万张,SET证书支持SET 1.0 扩充版功能，既支持信用卡,又支持借记卡及PIN的处理。当CA完善后，扩大其应用范围，可发放S/MIME、VPN及特制X.509 证书等。还将发放支持无线WAP协议的证书。 　中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持B to C、B to B以及B to G (Government)的模式。 8.1.2 CFCA证书的类型及应用 CFCA的功能　 　CFCA是采用目前国内外先进技术，按国际通用标准开发建设的，它具有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能。证书符合ITU的X.509国际标准。提供具有世界先进水平的CA认证中心的全部需求。归纳起来有以下几个方面： 1． 证书的申请 ·申请方式： 离线申请方式 在线申请方式 2． 证书的审批 离线审核方式 在线审核方式 3． 证书的发放 离线方式发放 在线方式发放 4． 证书的归档 5． 证书的撤销 6． 证书的更新 人工密钥更新 自动密钥更新 7．证书废止列表的管理功能( CRL ) 证书废止原因编码 CRL的产生及其发布 企业证书及CRL的在线服务功能 8．CA的管理功能 9．CA 自身密钥的管理功能 8.1.5 CFCA证书在B2B交易中的应用 1．双密钥对体系 在B2B交易中使用的高级证书使用两套密钥，其中一对公开密钥/私有密钥用来做加/解密，另一对公开密钥/私有密钥用来做验证/签名 2．实时查询CRL 8.1.5 CFCA证书在B2B交易中的应用 3.证书管理 使用证书库来分发证书 4．数字签名 5．安全连接（SPKM/CAST-128） 6．CFCA证书和用户应用结合 CFCA个人证书 需求背景：　　 随着网上银行、网上购物日益普及，电子商务已越来越深入到普通人的生活中。在网上做交易时，由于交易双方并不进行现场交易，因此无法通过传统的面对面的方式确认双方的合法身份；同时，交易信息要通过互联网传输，