【文章內(nèi)容簡介】 中心的突出特點(diǎn)是其金融特色， CFCA證書發(fā)放前須經(jīng)過金融機(jī)構(gòu)審批以規(guī)避交易中可能發(fā)生的支付風(fēng)險(xiǎn)，證書申請者必須具備合格的金融資信和支付能力才能獲得 CFCA證書。此外， CFCA證書實(shí)現(xiàn)了不同銀行之間、銀行與客戶之間信任關(guān)系的連接與傳遞，為全面解決網(wǎng)上安全支付提供了有力支持。目前， CFCA證書已實(shí)現(xiàn)了網(wǎng)上銀行業(yè)務(wù)的跨行身份認(rèn)證，用戶只需持有一張 CFCA證書，即可在多個(gè)銀行的網(wǎng)銀系統(tǒng)中進(jìn)行身份鑒別。不久的將來，在 CFCA與聯(lián)合共建銀行的努力下，使用一張CFCA證書即可進(jìn)行網(wǎng)上跨行查詢、轉(zhuǎn)賬、支付等業(yè)務(wù)，這將極大地促進(jìn)網(wǎng)上銀行和電子商務(wù)支付業(yè)務(wù)的蓬勃發(fā)展。 ? 中國金融認(rèn)證中心的建立是我國電子商務(wù)走向成熟的重要里程碑，尤其是對我國網(wǎng)上銀行、電子商務(wù)的深入發(fā)展起著巨大的推動作用。面對網(wǎng)絡(luò)經(jīng)濟(jì)新浪潮，中國金融認(rèn)證中心立足于技術(shù)、市場、管理、服務(wù)創(chuàng)新的基礎(chǔ)上，積極為用戶營造與國際接軌的安全高效的網(wǎng)絡(luò)信用平臺。 ? . CFCA的目標(biāo) ? 中國金融 CA建立了 SET CA及 NonSET CA兩大體系。NonSET CA體系亦稱 PKI CA系統(tǒng)。 ? 中國金融認(rèn)證中心的售后服務(wù)宗旨是：“幫助客戶保證系統(tǒng)的運(yùn)行，成為客戶的技術(shù)支持合作伙伴，在客戶需要的時(shí)候隨時(shí)提供適當(dāng)?shù)姆?wù)”。 ? CFCA的技術(shù)支持服務(wù)遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)的針對故障排除的響應(yīng)支持概念，而是依據(jù)整個(gè)系統(tǒng)的情況及客戶的需求，從支持客戶的日常運(yùn)作維護(hù)、系統(tǒng)預(yù)防性檢查、系統(tǒng)功能升級，到客戶的培訓(xùn)服務(wù)，幫助用戶更好地掌握系統(tǒng)維護(hù)的知識和了解相關(guān)的最新技術(shù)。 ? . CFCA的體系結(jié)構(gòu) ? CFCA認(rèn)證系統(tǒng)采用國際領(lǐng)先的 PKI技術(shù)，總體為三層 CA結(jié)構(gòu) : 第一層為根 CA；第二層為政策 CA，可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍；第三層為運(yùn)營 CA，根據(jù)證書運(yùn)作規(guī)范（ CPS）發(fā)放證書。運(yùn)營 CA由 CA系統(tǒng)和證書注冊審批機(jī)構(gòu)（ RA）兩大部分組成。 ? CA系統(tǒng) : 承擔(dān)證書簽發(fā)、審批、廢止、查詢、數(shù)字簽名、證書 /黑名單發(fā)布、密鑰恢復(fù)與管理、證書認(rèn)定和政策制定； CA系統(tǒng)設(shè)在CFCA本部，不直接面對用戶。 ? RA系統(tǒng) : 直接面向用戶，負(fù)責(zé)用戶身份申請審核，并向 CA申請為用戶轉(zhuǎn)發(fā)證書；一般設(shè)置在商業(yè)銀行的總行、證券公司、保險(xiǎn)公司總部及其他應(yīng)用證書的機(jī)構(gòu)總部，受理點(diǎn)（LRA）設(shè)置在商業(yè)銀行的分 /支行、證券、保險(xiǎn)營業(yè)部及其他應(yīng)用證書機(jī)構(gòu)的分支機(jī)構(gòu)。RA系統(tǒng)可方便集成到其業(yè)務(wù)應(yīng)用系統(tǒng)。 ? CFCA認(rèn)證系統(tǒng)在滿足高安全性、開放性、實(shí)用性、高擴(kuò)展性、交叉認(rèn)證等需求的同時(shí)，從物理安全、環(huán)境安全、網(wǎng)絡(luò)安全、 CA產(chǎn)品安全到密鑰管理和操作運(yùn)營管理等方面均按國際標(biāo)準(zhǔn)制定了相應(yīng)的安全策略；專業(yè)化的技術(shù)隊(duì)伍和完善的運(yùn)營服務(wù)體系，確保系統(tǒng)7 24小時(shí)安全高效、穩(wěn)定運(yùn)行。 CFCA系統(tǒng)體系 結(jié)構(gòu)示意圖 ? . CFCA證書種類 ? 除了根 CA、政策 CA、運(yùn)營 CA等各級 CA的證書外，對于最終用戶，按照證書的功能不同，證書有不同的分類（ 6種） : ? 1）企業(yè)高級證書 —— 適用于企業(yè)作金額較大時(shí)的BtoB網(wǎng)上交易，安全級別較高，可用于數(shù)字簽名和信息加密。 ? 2）企業(yè)普通證書 —— 適用于企業(yè)用戶用于 SSL、S/MIME以及建立在 SSL之上的應(yīng)用，它的安全級別較低，建議用于金額較小的網(wǎng)上交易。 ? 3）個(gè)人高級證書 —— 適用于個(gè)人作金額較大的網(wǎng)上交易，安全級別較高，可用于數(shù)字簽名和信息加密。 ? 4）個(gè)人普通證書 —— 適用于個(gè)人用戶用于SSL、 S/MIME以及建立在 SSL之上的應(yīng)用，它的安全級別較低，建議用于小額的網(wǎng)上銀行和網(wǎng)上購物。 ? 5） Web Server證書 —— 適用于站點(diǎn)服務(wù)器提供金額較小的 BtoC網(wǎng)上交易，若一個(gè)網(wǎng)站要提供 BtoB交易時(shí)，應(yīng)申請 Direct Server證書，并配合 Direct Server軟件來保證它的安全性。 ? 6） Direct Server證書 —— 用于數(shù)字簽名和信息加密。 Direct Server證書主要用于企業(yè)從事 BtoB交易時(shí)對 Web Server的保護(hù)使用。 ? . CFCA證書功能（ 10項(xiàng)） ? 1）實(shí)體的鑒別 ? 通過 CFCA簽發(fā)的數(shù)字證書，使電子交易的各方都擁有合法的身份，在交易的各個(gè)環(huán)節(jié)，交易的各方都可驗(yàn)證對方數(shù)字證書的有效性，從而解決相互信任問題。 ? 2）保證電子交易中信息的保密性 ? 信息泄漏主要指交易雙方進(jìn)行交易的內(nèi)容被第三方竊取，或交易一方提供給另一方使用的文件被第三方非法使用，通過對信息進(jìn)行加密，從而解決了這方面的問題。 ? 3）保證電子交易中數(shù)據(jù)的真實(shí)性和完整性 ? 電子交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中，可能被他人非法地修改、刪除或重放（指只能使用一次的信息被多次使用），這方面的安全性是由身份認(rèn)證和信息的加密來保證的。 ? 4）支持不可否認(rèn)性 ? CFCA的高級證書中使用了一套專門用來進(jìn)行簽名 /驗(yàn)證的密鑰對，以保證簽名密鑰與加密密鑰的分隔使用。對簽名 /驗(yàn)證密鑰對中用來簽名的私有密鑰而言，其產(chǎn)生、存儲和使用過程必須安全，且只能由用戶獨(dú)自控制。 ? 5）密鑰歷史記錄 ? CFCA能無縫地管理密鑰歷史記錄，并在檢索以前加密的數(shù)據(jù)時(shí)，能透明地使用其相應(yīng)的密鑰進(jìn)行解密，因此，企業(yè)和用戶就再也不用擔(dān)心無法訪問其歷史數(shù)據(jù)。 ? 6）密鑰備份與恢復(fù) ? CFCA的 NonSET高級證書系統(tǒng)提供了備份與恢復(fù)解密密鑰的機(jī)制。需注意的是，密鑰備份與恢復(fù)只能針對解密密鑰，而簽名私鑰不能夠作備份。 ? 7）密鑰的自動更新 ? CFCA的 NonSET高級證書系統(tǒng)能實(shí)現(xiàn)完全透明的、自動的（無須用戶干預(yù)）密鑰更換以及新證書的分發(fā)工作。 ? 8） CRL查詢 ? 證書目錄服務(wù)器中，提供客戶端 服務(wù)器端自動在線證書撤銷列表（ CRL）的實(shí)時(shí)查詢和自動檢索。 ? 9）時(shí)間戳 ? 支持時(shí)間戳功能，確保所有用戶的時(shí)間一致。 ? 10）交叉認(rèn)證 ? CFCA的 NonSET系統(tǒng)中所采用的網(wǎng)絡(luò)信任域模型，使得單位除了可完全控制自己的信任域外，也可通過接納其他單位而擴(kuò)展自己的信任域。 ? . CFCA證書申請審批下載流程 ? 1）證書申請 ? CFCA授權(quán)的證書注冊審核機(jī)構(gòu)（Registration Authority，簡稱 RA，為各商業(yè)銀行、證券公司等機(jī)構(gòu)），面向最終用戶，負(fù)責(zé)接受各自的持卡人和商戶的證書申請并進(jìn)行資格審核，具體的證書審批方式和流程由各授權(quán)審核機(jī)構(gòu)規(guī)定。證書申請表直接到 RA處領(lǐng)取。 ? 2）證書審批 ? 經(jīng)審批后， RA將審核通過的證書申請信息發(fā)送給 CFCA，由 CFCA簽發(fā)證書。 ? （ 1） NonSET系統(tǒng) CFCA將同時(shí)產(chǎn)生的兩個(gè)碼（參考號、授權(quán)碼）發(fā)送到 RA系統(tǒng)。為安全起見， RA采用兩種途徑將以上兩個(gè)碼交到證書申請者手中 : RA管理員將其中的授權(quán)碼打印在密碼信封里，當(dāng)面交給證書申請者；將參考號發(fā)送到證書申請者的電子郵箱里。 ? （ 2） SET系統(tǒng) 持卡人 /商戶到 RA各網(wǎng)點(diǎn)直接領(lǐng)取專用密碼信封。 ? 3）證書發(fā)放 /下載 ? CA簽發(fā)的證書格式符合 。具體的證書發(fā)放方式各個(gè) RA的規(guī)定有所不同?？梢缘顷?CFCA網(wǎng)站聯(lián)機(jī)下載證書或者到銀行領(lǐng)取。 ? 4）證書生成 ? 證書在本地生成，證書由 CFCA頒發(fā)，用戶私鑰由客戶自己保管。 ? 5）證書存放介質(zhì) ? 有硬盤、軟盤、 IC卡、 CPU卡和 SIM卡等。 ? . 證書標(biāo)準(zhǔn) ? 電子商務(wù)活動中，為保證商務(wù)、交易、支付活動的安全可靠，需要有一種機(jī)制來驗(yàn)證活動中各方的真實(shí)身份。目前最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書，證書發(fā)放涉及信息加密、證書標(biāo)準(zhǔn)、證書驗(yàn)證、相關(guān)信息發(fā)布等技術(shù)要求，也要求法律法規(guī)上的保障。 ? 數(shù)字證書作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的、包含證書申請者個(gè)人信息及其公開密鑰的文件，基于公開密鑰體系的數(shù)字證書是電子商務(wù)安全體系的核心。數(shù)字證書是特定標(biāo)準(zhǔn)的。 4. 證書格式標(biāo)準(zhǔn) ? 下面介紹一下目前廣泛使用的 。 ? 標(biāo)準(zhǔn)，用于通用的網(wǎng)絡(luò)安全工具如公開密鑰加密系統(tǒng)中，已用于許多網(wǎng)絡(luò)安全應(yīng)用程序。 ? 證書由 CA根據(jù) ，應(yīng)具備下列信息。 ? （ 1）版本號 用來區(qū)分 。 ? （ 2）序列號 認(rèn)證中心給予每一份證書的特殊編碼。 ? （ 3）簽名算法 用于產(chǎn)生證書所用的方法以及每一個(gè)參數(shù)。 ? （ 4）發(fā)證機(jī)構(gòu) CA的識別名字。 ? （ 5）有效期限 包括兩個(gè)日期，在所指定的兩個(gè)時(shí)間內(nèi)有效。 ? （ 6）主題信息 證書持有人的姓名、服務(wù)處所等信息。 ? （ 7）公鑰信息 被證明的公鑰值，加上使用這個(gè)公鑰的方法名稱。 ? （ 8）認(rèn)證機(jī)構(gòu)的數(shù)字簽名。 ? 目前，國際標(biāo)準(zhǔn)化組織正在擬定一系列證書管理標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)將逐漸取代 。 ? . 報(bào)文格式 ? 證書格式定義在 ，根據(jù)這項(xiàng)標(biāo)準(zhǔn)，證書包括：申請證書個(gè)人的信息和發(fā)行證書的認(rèn)證中心的信息。 ? 證書由以下兩部分組成： ? 1）證書數(shù)據(jù) ? 證書數(shù)據(jù)包括以下信息： ? （ 1）版本信息，用來與 。 ? （ 2）證書序列號，每一個(gè)由認(rèn)證中心發(fā)行的證書必須有一個(gè)惟一的序列號。 ? （ 3） CA所使用的簽名算法。 ? （ 4）發(fā)行證書 CA的名稱。 ? （ 5）證書的有效期限。 ? （ 6）證書主體名稱。 ? （ 7）被證明的公鑰信息，包括公鑰算法和公鑰的位字符串表示。 ? （ 8）包含額外信息的特別擴(kuò)展。 ? 2）發(fā)行證書的 CA簽名 ? 證書第二部分包括發(fā)行證書的 CA簽名和用來生成數(shù)字簽名的簽名算法。任何人收到證書后都能使用簽名算法來驗(yàn)證證書是不是由 CA的簽名密鑰簽署的。 ? . 安全處理 ? 為防止證書被假冒或出現(xiàn)證書過期后仍然使用等兼容性問題，只有滿足下列幾個(gè)條件后，證書才被認(rèn)為有效： ? （ 1）證書沒有過期。 ? （ 2）密鑰沒有修改，不論出于何種理由，被修改的密鑰均無效。 ? （ 3）用戶仍然有權(quán)使用此密鑰。 ? （ 4） CA負(fù)責(zé)回收證書，發(fā)行無效證書清單，證書必須不在 CA發(fā)行的無效證書清單中。 ? 人們實(shí)踐經(jīng)驗(yàn)告訴我們，開展電子商務(wù)要解決好兩方面的問題，一是信用問題（即安全問題）；一是配送問題，其中最重要的是解決網(wǎng)上購物、交易和結(jié)賬的安全問題。 ? . 電子交易中認(rèn)證機(jī)構(gòu)的作用及管理 ? 企業(yè)進(jìn)行電子商務(wù)求得的最大希望就是為了“安全”，而企業(yè)從事電子商務(wù)求得