电子商务安全导论11

2023/2/1第11章国内CA认证中心及CFCA金融认证服务相关业务规则2023/2/111.1中国金融认证中心（CFCA）111.1.1CFCA简介中国金融认证中心（ChinaFinancialCertificationAuthority，CFCA）是由中国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、福建兴业银行、上海浦东发展银行等14家全国性商业银行共同建立的国家级权威金融认证机构，是国内惟一一家能够全面支持电子商务安全支付业务的第三方网上信任服务机构。中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务，采用基于PKI（公钥基础设施）技术的双密钥机制。中国金融认证中心的建立是我国电子商务走向成熟的重要里程碑，尤其是对我国网上银行、电子商务的深入发展起着巨大的推动作用。11.1中国金融认证中心（CFCA）211.1.2CFCA体系结构CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，第一层为根CA；第二层为政策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发放证书。运营CA由CA系统和证书注册审批机构（BA）两大部分组成。CA系统：承担证书签发、审批、废止、查询、数学签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定。CA系统设在CFCA本部，不直接面对用户。RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书。RA系统一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点（LRA）设置在商业银行的分/支行、证券、保险营业部及其他应用证书机构的分支机构。RA系统可方便集成到其业务应用系统。CFCA认证系统在满足高安全性、开放性、实用性、高扩展性、交叉认证等需求的同时，从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面均按国际标准制定了相应的安全策略；专业化的技术队伍和完善运营服务体系，确保系统7*24小时安全高效、稳定运行。11.1.3CFCA数字证书服务1，CFCA数字证书：是CFCA用其私钥进行了数字签名的包含用户身份、公开密钥、有效期等许多相关信息的权威性的电子文件，是各实体在网上的电子身份证。它遵循ITUX.509V3国际标准规范，采用双密钥和高强度双向认证机制，具有证书自动更新、密钥备份、黑名单在线自动查询等功能。2，CFCA证书种类：企业高级证书、个人高级证书、企业普通证书、个人普通证书、服务器证书、手机证书、安全E-MAIL证书、VPN设备证书、代码签名证书。3，PKI服务：PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核对执行者是CA认证机构。实体鉴别、数据的保密性、数据的真实性和完整性、不可否认证、证书审批发放、密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证。4，企业、个人如何获得CFCA证书用户可以到所有CFCA授权的证书审批机构（RA）申请证书，申请者一般需提供有关开户账号、身份证/组织机构代码，邮件地址等有效信息，RA审核通过后给用户参考号、授权码作为获得证书的凭据。用户在得到参考号授权码后，可以自行登录CFCA网站获得证书，也可以使用RA提供的其他更为简便的方式获得证书。证书的存储介质可以是软盘、硬盘，但更为安全的方式是使用智能卡或USB-KEY存放。2023/2/111.1中国金融认证中心（CFCA）311.1.4主要应用项目目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证服务体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业。11.1.5发展历程11.1.6CFCA证书注册审批机构（RA)银行系统：中国工商银行、中国农业银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、广东发展银行、深圳发展银行、中国民生银行、兴业银行、上海浦发银行、华一银行（合资银行）、中国人民银行上海分行、武汉市商业银行、宁波市商业银行、温州市商业银行、柳州市商业银行。证券系统：山西证券公司、黄河证券公司、福建省闽发证券公司、江门证券有限公司、蔚深证券公司、海南港海岸国际信托投资有限公司、湘财证券有限责任公司、华鑫证券有限责任公司、中富证券有限责任公司、国都证券有限责任公司、金信证券有限责任公司、兴业证券股份有限公司、中信证券公司、新华证券有限责任公司、新时代证券有限责任公司、兴安证券有限公司。其他：深圳金融电子结算中心、中国银联股份有限公司大连分公司、中国银联股份有限公司夏门分公司。11.1.7典型应用1，网上银行2，网上证券3，网上申报与缴税4，网上企业购销5，安全移动商务（WAP/短信息）6，企业级VPN部署7，基于数字签名的安全E-MAIL、安全文档管理系统8，基于数字签名的TruePass系统9，CFCA时间戳服务2023/2/111.2中国电信CA安全认证系统（CTCA）111.2.1CTCA概况中国电信CA安全认证系统（简称CTCA）于2000年5月12日正式向社会发放CA证书，并向社会免费公布CTCA安全认证系统的接口标准。系统可以为应用系统提供两种黑名单查询方式，即OCSP方式和CRL方式，其中OCSP方式为用户提供实时的证书状态查询服务，而CRL方式定期为用户提供证书黑名单列表。中国电信CFCA系统有一套完善的证书发放体系和管理制度。体系采用三级管理结构：全国CA安全认证中心（包括全国CTCA中主、CTCA湖南备份中心）、省级RA中心，以及地市业务受理点。11.2.2CTCA的组成及功能组成：全国CA中心、省RA中心系统、地市级业务受理点。CA中心的功能是：（1）签发自签名的根证书；（2）审核和签发其他CA系统的交叉认证证书；（3）向其他CA系统申请交叉认证证书；（4）受理和审核各RA机构的申请；（5）为RA机构签发证书；（6）润滑处理各RA服务器的证书业务请求；（7）签发业务证书和证书作废表；（8）管理全系统的用户和证书资料；（9）维护全系统的OCSP查询数据。2023/2/111.2中国电信CA安全认证系统（CTCA）211.2.2CTCA的组成及功能2RA中心的功能是：（1）受理用户证书业务；（2）审核用户身份；（3）为审核通过的用户生成密钥对；（4）向CA中心申请签发证书；（5）将证书和私钥灌入IC卡后分发给受理中心、受理点或用户；（6）管理本地OCSP服务器，并提供证书状态的实时查询；（7）管理本地用户资料。受理点的功能是：（１）管理所辖受理点用户资料；（２）受理用户证书业务；（３）审核用户身份；（４）向受理中心或ＲＡ中心申请签发证书；（５）将ＲＡ中心或受理中心制作的证书介质分发给用户。11.2.3CTCA数字证书业务简介1，安全电子邮件证书：是指个人用户收发电子邮件时采用证书机制保证安全所必须具备的证书。它的申请不需要通过业务受理点，由用户直接通过自己的浏览器完成。用户的密钥对由浏览器产生和管理，密钥长512位。2，个人数字证书：是指个人使用电子商务应用系统应具备的证书。一般个人证书通过业务受理点申请，用户的密钥对由RA中心产生，长1024位。3，企业数字证书：是指单位、团体、企业作为被服务者，参与电子商务应用系统时应具备的证书。一般企业证书通过业务受理点申请，经业务受理点的审核操作员一次审核完成申请，密钥对由RA中心产生，长1024位。4，服务器证书：通过业务申请。密钥对由RA中心产生，长1024位。5，SSL服务器证书：是WebServer与浏览器用户建立安全连接时所必须具备的证书。申请不需要通过业务受理点，用户的密钥对由相应的WebServer自己产生和管理，长512位。2023/2/111.3上海市电子商务安全证书管理中心（SHECA）11.3.1SHECA简介上海市电子商务安全证书管理中心有限公司（简称SHECA），是信任服务和安全认证服务的专业提供商，通过提供在线的信任服务，为电子商务和网上作业保驾护航。SHECA是国内较早建立的CA认证中心，创建于1998年。SHECA提供了两种证书系统：1，SET证书系统。该系统符合SET协议，其特点是交易和信用卡绑定。2，通用证书系统。该系统是结合国情自行设计开发的，其特点是人或实体绑定，不仅可用于支付型的电子商务，也可用于政府办公网上作业。11.3.2SHECA证书简介1SHECA的安全电子商务解决方案既拥有与国际接轨的、符合SET协议的SET证书系统，又拥有结合国内特点自行设计开发的通用证书系统。SHECA提供的数字证书按业务类型可分为SET证书（符合SET协议）和Universal证书（符合X.509标准，如SSL,S/MIME等）证书及特殊证书。数证书根据应用对象可将其分为：个人用户证书、企业用户证书、服务器证书和代码证书。2023/2/111.3上海市电子商务安全证书管理中心（SHECA）211.3.2SHECA证书简介21,证书结构和内容证书的结构编码严格遵从X.509标准，它包含以下内容：（1）版本号（2）序列号（3）签名算法（4）签发机构（CA）信息。（5）证书有效期信息（起用和失效日期）（6）证书中公钥信息（7）证书持有人信息（8）扩展项。E-MAIL地址、密钥用途等。2，SHECA证书的ASN.1定义3，证书存放的介质：硬盘、软盘、IC卡或加密卡加密机。4，证书兼容性检测通过的软件（1）WebServer（2）S/MIME5，证书相关技术标准对称加密算法：128位非对称加密算法1024位2023/2/111.3上海市电子商务安全证书管理中心（SHECA）311.3.3SHECA证书管理器的功能SHECA证书管理器是帮助用户管理和使用数字证书的一个重要工具。它可以管理包括数字证书的申请、使用、存储、读写等功能，同时还包括了基本的加密算法，以便供程序开发者使用。主要有如下功能：（1）支持用户自己证书的申请、下载、查询、更新、废除，同时能对他人证书进行查询及下载。支持其他中级证书的加入和根证书的更新及加入。（2）提供对所有数据或单个数据的导入或导出。（3）用户自己证书的导入导出支持PKICS12，能和IE和Netscape交换证书密钥。（4）支持证书验证包括黑名单验证、OCSP验证，以及证书链的验证。（5）支持一些缓存功能，减少网络的操作，如黑名单缓存、证书链缓存等。（6）提供给应用程序的接口有良好的说明，并且能确实访问到每一个证书。确保私钥不被非法使用（必须要口令，不出接口）。2，证书管理器的特点：（1）方便管理用户个人及他人证书，存储介质多样化。（2）同时SET证书和通用证书。（3）支持多种加密技术（如对称加密、数字签名等）（4）支持版本的自动升级（或提醒）。（5）具有良好的使用及安装界面。3，证书管理器使用简介证书管理将证书分为个人证书、他人证书和根证书，主要有如下操作：（1）个人证书睥操作：申请证书、添加个人证书、导出证书、导入证书、删除证书、验证证书、修改证书私钥密码、查看详细信息、设置验证方式等。（2）对他人证书的操作：添加他人证书、导出证书、导入证书、删除证书、验证证书、查看详细信息、设置验证方式、查找他人证书。（3）对根证书的操作：查看详细信息、验证证书、查找根证书。2023/2/111.4中国金融认证中心（CFCA）金融认证服务相关业务规则CFCA金融认证服务相关业务规则按电子商务中的角色不同可划分为：网关（银行）业务规则、商务（企业）业务规则、持卡人（个人）业务规则和中介机构业务规则。11.4.1网关（银行）业务规则网关（银行）业务规则根据其使用的证书以及在网上交易是否遵循SETCo标准分为SET标准支付网关业务规则和Non-SET标准银行业务规则。11.4.2商户（企业）业务规则商户（企业）业务规则根据其使用的证