电子商务安全导论11教材课程.pptVIP

11.1 中国金融认证中心（CFCA）2 11.1.2 CFCA体系结构 CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，第一层为根CA；第二层为政策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发放证书。运营CA由CA系统和证书注册审批机构（BA）两大部分组成。 CA系统：承担证书签发、审批、废止、查询、数学签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定。CA系统设在CFCA本部，不直接面对用户。 RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书。RA系统一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点（LRA）设置在商业银行的分/支行、证券、保险营业部及其他应用证书机构的分支机构。RA系统可方便集成到其业务应用系统。 CFCA认证系统在满足高安全性、开放性、实用性、高扩展性、交叉认证等需求的同时，从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面均按国际标准制定了相应的安全策略；专业化的技术队伍和完善运营服务体系，确保系统7*24小时安全高效、稳定运行。 11.1.3 CFCA数字证书服务 1，CFCA数字证书：是CFCA用其私钥进行了数字签名的包含用户身份、公开密钥、有效期等许多相关信息的权威性的电子文件，是各实体在网上的电子身份证。它遵循ITU X.509V3国际标准规范，采用双密钥和高强度双向认证机制，具有证书自动更新、密钥备份、黑名单在线自动查询等功能。 2，CFCA证书种类：企业高级证书、个人高级证书、企业普通证书、个人普通证书、服务器证书、手机证书、安全E-MAIL证书、VPN设备证书、代码签名证书。 3，PKI服务：PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核对执行者是CA认证机构。实体鉴别、数据的保密性、数据的真实性和完整性、不可否认证、证书审批发放、密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证。 4，企业、个人如何获得CFCA证书 用户可以到所有CFCA授权的证书审批机构（RA）申请证书，申请者一般需提供有关开户账号、身份证/组织机构代码，邮件地址等有效信息，RA审 核通过后给用户参考号、授权码作为获得证书的凭据。用户在得到参考号授权码后，可以自行登录CFCA网站获得证书，也可以使用RA提供的其他更为简便的方式获得证书。证书的存储介质可以是软盘、硬盘，但更为安全的方式是使用智能卡或USB-KEY存放。 * 11.1 中国金融认证中心（CFCA）3 11.1.4 主要应用项目 目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证服务体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业。 11.1.5 发展历程 11.1.6 CFCA证书注册审批机构（RA) 银行系统：中国工商银行、中国农业银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、广东发展银行、深圳发展银行、中国民生银行、兴业银行、上海浦发银行、华一银行（合资银行）、中国人民银行上海分行、武汉市商业银行、宁波市商业银行、温州市商业银行、柳州市商业银行。 证券系统：山西证券公司、黄河证券公司、福建省闽发证券公司、江门证券有限公司、蔚深证券公司、海南港海岸国际信托投资有限公司、湘财证券有限责任公司、华鑫证券有限责任公司、中富证券有限责任公司、国都证券有限责任公司、金信证券有限责任公司、兴业证券股份有限公司、中信证券公司、新华证券有限责任公司、新时代证券有限责任公司、兴安证券有限公司。 其他：深圳金融电子结算中心、中国银联股份有限公司大连分公司、中国银联股份有限公司夏门分公司。 11.1.7 典型应用 1，网上银行 2，网上证券 3，网上申报与缴税 4，网上企业购销 5，安全移动商务（WAP/短信息） 6，企业级VPN部署 7，基于数字签名的安全E-MAIL、安全文档管理系统 8，基于数字签名的TruePass系统 9，CFCA时间戳服务 * 11.2 中国电信CA安全认证系统（CTCA）1 11.2.1 CTCA概况 中国电信CA安全认证系统（简称CTCA）于2000年5月12日正式向社会发放CA证书，并向社会免费公布CTCA安全认证系统的接口标准。 系统可以为应用系统提供两种黑名单查询方式，即OCSP方式和CRL方式，其中OCSP方式为用户提供实时的证书状态查询服务，而CRL方式定期为用户提供证书黑名单列表。 中国电信CFCA系统有一套完善的证书发放体系和管理制度。体系采用三级管理