【文章內(nèi)容簡介】 中心的突出特點是其金融特色， CFCA證書發(fā)放前須經(jīng)過金融機構(gòu)審批以規(guī)避交易中可能發(fā)生的支付風險，證書申請者必須具備合格的金融資信和支付能力才能獲得 CFCA證書。此外， CFCA證書實現(xiàn)了不同銀行之間、銀行與客戶之間信任關(guān)系的連接與傳遞，為全面解決網(wǎng)上安全支付提供了有力支持。目前， CFCA證書已實現(xiàn)了網(wǎng)上銀行業(yè)務的跨行身份認證，用戶只需持有一張 CFCA證書，即可在多個銀行的網(wǎng)銀系統(tǒng)中進行身份鑒別。不久的將來，在 CFCA與聯(lián)合共建銀行的努力下，使用一張CFCA證書即可進行網(wǎng)上跨行查詢、轉(zhuǎn)賬、支付等業(yè)務，這將極大地促進網(wǎng)上銀行和電子商務支付業(yè)務的蓬勃發(fā)展。 ? 中國金融認證中心的建立是我國電子商務走向成熟的重要里程碑，尤其是對我國網(wǎng)上銀行、電子商務的深入發(fā)展起著巨大的推動作用。面對網(wǎng)絡(luò)經(jīng)濟新浪潮，中國金融認證中心立足于技術(shù)、市場、管理、服務創(chuàng)新的基礎(chǔ)上，積極為用戶營造與國際接軌的安全高效的網(wǎng)絡(luò)信用平臺。 ? . CFCA的目標 ? 中國金融 CA建立了 SET CA及 NonSET CA兩大體系。NonSET CA體系亦稱 PKI CA系統(tǒng)。 ? 中國金融認證中心的售后服務宗旨是：“幫助客戶保證系統(tǒng)的運行，成為客戶的技術(shù)支持合作伙伴，在客戶需要的時候隨時提供適當?shù)姆铡薄? ? CFCA的技術(shù)支持服務遠遠超出了傳統(tǒng)的針對故障排除的響應支持概念，而是依據(jù)整個系統(tǒng)的情況及客戶的需求，從支持客戶的日常運作維護、系統(tǒng)預防性檢查、系統(tǒng)功能升級，到客戶的培訓服務，幫助用戶更好地掌握系統(tǒng)維護的知識和了解相關(guān)的最新技術(shù)。 ? . CFCA的體系結(jié)構(gòu) ? CFCA認證系統(tǒng)采用國際領(lǐng)先的 PKI技術(shù)，總體為三層 CA結(jié)構(gòu) : 第一層為根 CA；第二層為政策 CA，可向不同行業(yè)、領(lǐng)域擴展信用范圍；第三層為運營 CA，根據(jù)證書運作規(guī)范（ CPS）發(fā)放證書。運營 CA由 CA系統(tǒng)和證書注冊審批機構(gòu)（ RA）兩大部分組成。 ? CA系統(tǒng) : 承擔證書簽發(fā)、審批、廢止、查詢、數(shù)字簽名、證書 /黑名單發(fā)布、密鑰恢復與管理、證書認定和政策制定； CA系統(tǒng)設(shè)在CFCA本部，不直接面對用戶。 ? RA系統(tǒng) : 直接面向用戶，負責用戶身份申請審核，并向 CA申請為用戶轉(zhuǎn)發(fā)證書；一般設(shè)置在商業(yè)銀行的總行、證券公司、保險公司總部及其他應用證書的機構(gòu)總部，受理點（LRA）設(shè)置在商業(yè)銀行的分 /支行、證券、保險營業(yè)部及其他應用證書機構(gòu)的分支機構(gòu)。RA系統(tǒng)可方便集成到其業(yè)務應用系統(tǒng)。 ? CFCA認證系統(tǒng)在滿足高安全性、開放性、實用性、高擴展性、交叉認證等需求的同時，從物理安全、環(huán)境安全、網(wǎng)絡(luò)安全、 CA產(chǎn)品安全到密鑰管理和操作運營管理等方面均按國際標準制定了相應的安全策略；專業(yè)化的技術(shù)隊伍和完善的運營服務體系，確保系統(tǒng)7 24小時安全高效、穩(wěn)定運行。 CFCA系統(tǒng)體系 結(jié)構(gòu)示意圖 ? . CFCA證書種類 ? 除了根 CA、政策 CA、運營 CA等各級 CA的證書外，對于最終用戶，按照證書的功能不同，證書有不同的分類（ 6種） : ? 1）企業(yè)高級證書 —— 適用于企業(yè)作金額較大時的BtoB網(wǎng)上交易，安全級別較高，可用于數(shù)字簽名和信息加密。 ? 2）企業(yè)普通證書 —— 適用于企業(yè)用戶用于 SSL、S/MIME以及建立在 SSL之上的應用，它的安全級別較低，建議用于金額較小的網(wǎng)上交易。 ? 3）個人高級證書 —— 適用于個人作金額較大的網(wǎng)上交易，安全級別較高，可用于數(shù)字簽名和信息加密。 ? 4）個人普通證書 —— 適用于個人用戶用于SSL、 S/MIME以及建立在 SSL之上的應用，它的安全級別較低，建議用于小額的網(wǎng)上銀行和網(wǎng)上購物。 ? 5） Web Server證書 —— 適用于站點服務器提供金額較小的 BtoC網(wǎng)上交易，若一個網(wǎng)站要提供 BtoB交易時，應申請 Direct Server證書，并配合 Direct Server軟件來保證它的安全性。 ? 6） Direct Server證書 —— 用于數(shù)字簽名和信息加密。 Direct Server證書主要用于企業(yè)從事 BtoB交易時對 Web Server的保護使用。 ? . CFCA證書功能（ 10項） ? 1）實體的鑒別 ? 通過 CFCA簽發(fā)的數(shù)字證書，使電子交易的各方都擁有合法的身份，在交易的各個環(huán)節(jié)，交易的各方都可驗證對方數(shù)字證書的有效性，從而解決相互信任問題。 ? 2）保證電子交易中信息的保密性 ? 信息泄漏主要指交易雙方進行交易的內(nèi)容被第三方竊取，或交易一方提供給另一方使用的文件被第三方非法使用，通過對信息進行加密，從而解決了這方面的問題。 ? 3）保證電子交易中數(shù)據(jù)的真實性和完整性 ? 電子交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中，可能被他人非法地修改、刪除或重放（指只能使用一次的信息被多次使用），這方面的安全性是由身份認證和信息的加密來保證的。 ? 4）支持不可否認性 ? CFCA的高級證書中使用了一套專門用來進行簽名 /驗證的密鑰對，以保證簽名密鑰與加密密鑰的分隔使用。對簽名 /驗證密鑰對中用來簽名的私有密鑰而言，其產(chǎn)生、存儲和使用過程必須安全，且只能由用戶獨自控制。 ? 5）密鑰歷史記錄 ? CFCA能無縫地管理密鑰歷史記錄，并在檢索以前加密的數(shù)據(jù)時，能透明地使用其相應的密鑰進行解密，因此，企業(yè)和用戶就再也不用擔心無法訪問其歷史數(shù)據(jù)。 ? 6）密鑰備份與恢復 ? CFCA的 NonSET高級證書系統(tǒng)提供了備份與恢復解密密鑰的機制。需注意的是，密鑰備份與恢復只能針對解密密鑰，而簽名私鑰不能夠作備份。 ? 7）密鑰的自動更新 ? CFCA的 NonSET高級證書系統(tǒng)能實現(xiàn)完全透明的、自動的（無須用戶干預）密鑰更換以及新證書的分發(fā)工作。 ? 8） CRL查詢 ? 證書目錄服務器中，提供客戶端 服務器端自動在線證書撤銷列表（ CRL）的實時查詢和自動檢索。 ? 9）時間戳 ? 支持時間戳功能，確保所有用戶的時間一致。 ? 10）交叉認證 ? CFCA的 NonSET系統(tǒng)中所采用的網(wǎng)絡(luò)信任域模型，使得單位除了可完全控制自己的信任域外，也可通過接納其他單位而擴展自己的信任域。 ? . CFCA證書申請審批下載流程 ? 1）證書申請 ? CFCA授權(quán)的證書注冊審核機構(gòu)（Registration Authority，簡稱 RA，為各商業(yè)銀行、證券公司等機構(gòu)），面向最終用戶，負責接受各自的持卡人和商戶的證書申請并進行資格審核，具體的證書審批方式和流程由各授權(quán)審核機構(gòu)規(guī)定。證書申請表直接到 RA處領(lǐng)取。 ? 2）證書審批 ? 經(jīng)審批后， RA將審核通過的證書申請信息發(fā)送給 CFCA，由 CFCA簽發(fā)證書。 ? （ 1） NonSET系統(tǒng) CFCA將同時產(chǎn)生的兩個碼（參考號、授權(quán)碼）發(fā)送到 RA系統(tǒng)。為安全起見， RA采用兩種途徑將以上兩個碼交到證書申請者手中 : RA管理員將其中的授權(quán)碼打印在密碼信封里，當面交給證書申請者；將參考號發(fā)送到證書申請者的電子郵箱里。 ? （ 2） SET系統(tǒng) 持卡人 /商戶到 RA各網(wǎng)點直接領(lǐng)取專用密碼信封。 ? 3）證書發(fā)放 /下載 ? CA簽發(fā)的證書格式符合 。具體的證書發(fā)放方式各個 RA的規(guī)定有所不同?？梢缘顷?CFCA網(wǎng)站聯(lián)機下載證書或者到銀行領(lǐng)取。 ? 4）證書生成 ? 證書在本地生成，證書由 CFCA頒發(fā)，用戶私鑰由客戶自己保管。 ? 5）證書存放介質(zhì) ? 有硬盤、軟盤、 IC卡、 CPU卡和 SIM卡等。 ? . 證書標準 ? 電子商務活動中，為保證商務、交易、支付活動的安全可靠，需要有一種機制來驗證活動中各方的真實身份。目前最有效的認證方式是由權(quán)威的認證機構(gòu)為參與電子商務的各方發(fā)放證書，證書發(fā)放涉及信息加密、證書標準、證書驗證、相關(guān)信息發(fā)布等技術(shù)要求，也要求法律法規(guī)上的保障。 ? 數(shù)字證書作為網(wǎng)上交易雙方真實身份證明的依據(jù)，是一個經(jīng)證書授權(quán)中心數(shù)字簽名的、包含證書申請者個人信息及其公開密鑰的文件，基于公開密鑰體系的數(shù)字證書是電子商務安全體系的核心。數(shù)字證書是特定標準的。 4. 證書格式標準 ? 下面介紹一下目前廣泛使用的 。 ? 標準，用于通用的網(wǎng)絡(luò)安全工具如公開密鑰加密系統(tǒng)中，已用于許多網(wǎng)絡(luò)安全應用程序。 ? 證書由 CA根據(jù) ，應具備下列信息。 ? （ 1）版本號 用來區(qū)分 。 ? （ 2）序列號 認證中心給予每一份證書的特殊編碼。 ? （ 3）簽名算法 用于產(chǎn)生證書所用的方法以及每一個參數(shù)。 ? （ 4）發(fā)證機構(gòu) CA的識別名字。 ? （ 5）有效期限 包括兩個日期，在所指定的兩個時間內(nèi)有效。 ? （ 6）主題信息 證書持有人的姓名、服務處所等信息。 ? （ 7）公鑰信息 被證明的公鑰值，加上使用這個公鑰的方法名稱。 ? （ 8）認證機構(gòu)的數(shù)字簽名。 ? 目前，國際標準化組織正在擬定一系列證書管理標準，這些標準將逐漸取代 。 ? . 報文格式 ? 證書格式定義在 ，根據(jù)這項標準，證書包括：申請證書個人的信息和發(fā)行證書的認證中心的信息。 ? 證書由以下兩部分組成： ? 1）證書數(shù)據(jù) ? 證書數(shù)據(jù)包括以下信息： ? （ 1）版本信息，用來與 。 ? （ 2）證書序列號，每一個由認證中心發(fā)行的證書必須有一個惟一的序列號。 ? （ 3） CA所使用的簽名算法。 ? （ 4）發(fā)行證書 CA的名稱。 ? （ 5）證書的有效期限。 ? （ 6）證書主體名稱。 ? （ 7）被證明的公鑰信息，包括公鑰算法和公鑰的位字符串表示。 ? （ 8）包含額外信息的特別擴展。 ? 2）發(fā)行證書的 CA簽名 ? 證書第二部分包括發(fā)行證書的 CA簽名和用來生成數(shù)字簽名的簽名算法。任何人收到證書后都能使用簽名算法來驗證證書是不是由 CA的簽名密鑰簽署的。 ? . 安全處理 ? 為防止證書被假冒或出現(xiàn)證書過期后仍然使用等兼容性問題，只有滿足下列幾個條件后，證書才被認為有效： ? （ 1）證書沒有過期。 ? （ 2）密鑰沒有修改，不論出于何種理由，被修改的密鑰均無效。 ? （ 3）用戶仍然有權(quán)使用此密鑰。 ? （ 4） CA負責回收證書，發(fā)行無效證書清單，證書必須不在 CA發(fā)行的無效證書清單中。 ? 人們實踐經(jīng)驗告訴我們，開展電子商務要解決好兩方面的問題，一是信用問題（即安全問題）；一是配送問題，其中最重要的是解決網(wǎng)上購物、交易和結(jié)賬的安全問題。 ? . 電子交易中認證機構(gòu)的作用及管理 ? 企業(yè)進行電子商務求得的最大希望就是為了“安全”，而企業(yè)從事電子商務求得