电子商务与金融4.2(自考)幻灯片培训稿.pptVIP

* * 4.2.2 PKI的组成和功能 典型的PKA系统由五个基本的部分组成：①证书申请者②证书申请审核中心RA③认证中心CA④证书库CR⑤证书信任方其中，认证中心、注册机构和证书库三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。PKI的许多详细功能要根据业务的操作规程确定。 1.证书申请者 是证书的持有者，证书的目的是把用户的身份与其密钥绑定在一起，用户身份可以是参与网上交易的人或应用服务器；作用是验证身份、生成和校验数字签名、交换加密数据等。 PKI为证书申请者提供如下功能： ①证书请求； ②生成密钥对； ③生成证书请求格式； ④密钥更新请求； ⑤安装/存储私密密钥； ⑥安装/存储证书； ⑦私钥的签名和解密 ⑧向其他用户传送证书； ⑧证书撤销请求。 2 证书申请审核中心（RA） RA的主要功能是核实证书申请者的身份 功能有： ①验证申请者身份 ②批准证书 ③证书撤销请求 3 认证中心(CA) CA主要完成证书的管理，CA使其私钥对RA提交的证书申请签名，来保证证书数据的完整性。 CA的功能有： ①批准证书请求； ②生成密钥对； ③密钥的备份； ④撤销证书； ⑤发布CRL； ⑥生成CA根证书； ⑦签发证书； ⑧证书发放； ⑨交叉认证。 4 证书库 证书库存放了经CA签发的证书和已撤销证书的列表，网上交易的用户可以使用应用程序，从证书库中得到交易对象的证书、验证其证书的真伪或查询其证书的状态。 功能有: ①存储证书； ②提供证书； ③确认证书状态。 三、 中国金融认证中心 中国金融认证中心（China Financial Certification Authority，英文简称CFCA）于2000年6月29日正式挂牌成立，是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一，也是《中华人民共和国电子签名法》颁布后，国内首批获得电子认证服务许可的CA之一 . 功能：CFCA作为权威、公正的第三方安全认证机构，通过发放数字证书为网上银行、电子商务、电子政务提供安全认证服务：确保网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。 采用技术：CFCA采用国际主流的PKI技术，提供适用于企业、个人、Web站点、VPN、安全E-mail、手机应用等在内的十多种证书和各种信息安全服务，确保网上银行、网上证券、网上保险、网上税务、电子商务、电子政务、企业集团等的信息安全。为确保业务的可持续性，满足国家法律法规、国际认证要求，CFCA建立了高水准的异地灾难备份系统。 金融认证中心与电子商务： 金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行及各应用单位对电子商务的开发以及应用。其中SET CA主要用于电子商务中的B2C业务模式的身份认证；而Non-SET CA则支持B2B和B2C两种业务模式的身份认证。 意义：金融认证中心的建立是我国金融系统建立金融最高认证权威的第一步，金融认证中心的建立将我国广泛开展电子商务活动以及建立网上银行，网上支付等现代金融、贸易活动起着巨大的推动作用，这将极大地提高我国计算机安全通讯的水平。 4.3.2 金融CA建设原则和系统目标 建设原则 ①统一规划，联合共建 ②试点先行，逐步扩展 ③技术先进,功能全面 ④落实应用，快字为先 ⑤标准和开放 系统目标 建立SET CA及Non-SET CA两大体系 功能齐全 业务应用模式：无论网上银行或是网上购物都支持B2C、B2B以及B2G的模式 4.3.3 金融CA的体系结构 1.金融CA的三层结构 第一层CA（根CA） RCA RCA设在人民银行总行，负责制定和审批总体政策，确定每层CA的功能和职责，给自己签发证书，并签发和管理第二层CA的证书及与其它根CA的交叉认证。 职责：1）管理、发布其所签发的所有证书，根据运行政策，定期发布证书废止列表；2）保证用户密钥的安全备份，为客户提供密钥的回复服务；3）对所签发过的证书进行归档； 第二层CA 品牌CA或政策CA 对SET系统称为品牌CA (Brand CA),用来颁发地域CA、支付网关CA、商家CA、持卡人客户CA的证书； 对PKI (Non-CA)系统来讲称为政策CA，职责