模块7认证中心CA.pptVIP

（1）SET系统是为在网上购物时用银行卡来进行结算的业务而建立的。SET系统为三层结构，第一层为根CA，简称RCA；第二层为品牌CA，简称BCA；第三层为终端用户CA,简称ECA；根据证书使用者的不同分为CCA（持卡人CA）、MCA（商户CA）、PCA（网关 CA）。结合今后的发展可在第二层CA和第三层CA之间扩展出GCA（地区CA）。 SET-CA系统结构如图7-3所示 （2）Non-SET系统。Non-SET CA 体系亦称PKI CA系统。其服务宗旨是向各种用户颁发不同类型的数字证书，以金融行业的可信赖性及权威性支持中国电子商务、网上银行业务及其他安全管理业务的应用。Non-SET对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值两类证书（即个人/普通证书和高级/企业级证书），以支持B2C，B2B模式的应用。 Non-SET CA系统分为三层结构，第一层为根CA，第二层为政策CA，第三层为运营CA。其中第三层运营CA直接为各商业用户发证并与RA连接。Non-SET CA系统结构如图7-4所示。 （3）RA系统。RA（Registration Authority）是CA的延伸，是CA的组成部分。RA分为本地RA和远程RA。本地RA审批有关CA一级的证书、接收远程RA提交的已审批的资料。远程RA根据商业银行的管理体系可分为三级结构，即总行—分行—受理点。RA系统结构如图所示。 RA系统结构如图所示 2．CFCA的证书 （1）CFCA证书的分类。中国金融认证中心（CFCA）采用国际主流的PKI（Public Key Infrastructure，公钥基础设施）技术，能够提供多种证书及信息安全服务。其发布的证书除了根CA、政策CA、运营CA等各级CA的证书外，对于最终用户，按照证书使用对象及功能的不同，又可以分为以下类型： ①个人证书：也称客户数字证书，主要用于标识数字证书持有人的身份，证书中包含了个人的身份信息和个人的公钥，如用户姓名、证件号码、身份类型等，用于个人网上安全交易操作，如合同签定、定单、录入审核、操作权限、支付信息等活动。 ②企业或机构证书：主要用于标识数字证书机构所有人的身份，包含企业的相关信息及其公钥，如：企业名称、组织机构代码等，用于企业在电子商务、电子政务应用中进行合同签定、网上支付、行政审批、网上办公等各类活动。在SET中，企业可以持有一个或多个数字证书。 ③网关证书：是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(Internet?上各种安全协议与银行现有网络数据格式的转换）。该证书只能在有效状态下使用，通常不可被申请者转让。 ④服务器证书：主要用于网站交易服务器的身份识别，使得连接到服务器的用户确信服务器的真实身份。证书中包含服务器信息和服务器的公钥。证书主要颁发给Web站点或其他需要安全鉴别的服务器，证明服务器的真实身份信息。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 ⑤安全E-mail证书：用于安全电子邮件或向需要客户验证的Web服务器表明身份。安全电子邮件证书可以确保邮件的真实性和保密性。申请后通常是安装在客户的浏览器中使用，可以用它来发送签名或加密的安全电子邮件。 ⑥代码签名证书：又称代码数字证书，包含了软件提供者的身份信息及其公钥，主要用于证明软件发布者所发行的软件代码来源于一个真实软件发布者，可以有效防止软件代码被篡改。 （2）证书的等级 在证书业务中，CFCA会根据客户的需要提供不同等级的数字证书，即根据证书的等级、证书的政策等向其提供不同的服务。例如在向企业和个人提供的数字证书中就分别设置了高级证书和普通证书两种不同级别的证书，由于证书级别的不同，证书使用的安全级别和适用范围也有所不同。高级证书，适用于企业或个人进行较大金额的网上交易，安全级别较高；而普通证书则适用于企业或个人较小金额的网上交易，安全级别较低。在认证机构框架范围内，一般存在着多重或多个认证机构，每个机构都支持一种或多种程度的服务，CFCA也是如此。通常证书的等级与认证机构所承担的责任范围有紧密的联系。 3．CFCA的功能 CFCA采用目前国内外先进技术，按国际通用标准开发建设，能够提供具有世界先进水平认证中心的全部服务，以满足不同客户的需求。它具有对CA系统的管理功能、对CA自身密钥的管理功能以及对用户证书的管理功能。以上功能中最重要的是对用户证书的管理功能，具体表现如下。 （1）实体鉴别与验证。 （2）确保电子交易中信息的保密性。 （3）保证电子