CFCA-技术介绍以及应用案例

CFCA中国金融认证中心〔ChinaFinancialCertificationAuthority〕，简称CFCA，是经中国人民银行和国家信息平安管理机构批准成立的国家级权威的平安认证机构，是重要的国家金融信息平安根底设施之一。中国金融认证中心的售后效劳宗旨是：“帮助客户保证系统的运行，成为客户的技术支持合作伙伴，在客户需要的时候随时提供适当的效劳”。CFCA的技术支持效劳远远超出了传统的针对故障排除的响应支持概念，而是依据整个系统的情况及客户的需求，从支持客户的日常运作维护、系统预防性检查、系统功能升级，到客户的培训效劳，帮助用户更好地掌握系统维护的知识和了解相关的最新技术。CFCA技术及应用介绍中国金融认证中心何小航介绍内容1CFCA介绍2CFCA技术架构及PKI根本知识3CFCA的业务拓展及典型应用案例4当前纠纷处理、电子签名法5A&QCFCA公司介绍CFCA背景中国金融认证中心〔ChinaFinancialCertificationAuthority，英文缩写CFCA〕是国内全面支持电子商务平安支付业务的国家级网上信任效劳机构。作为金融界唯一的、权威的、第三方认证机构，CFCA致力于保障网上跨行支付平安，通过以数字证书为核心的信任和平安效劳，实现互联网上各方身份真实性、信息保密性和完整性、网上交易行为的不可否认性，为网上银行、电子商务提供平安保障。CFCA认证体系基于双密钥机制，具有完善的证书管理功能，能够提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计效劳，并已通过了国家信息平安产品测评认证中心的平安评测。目前CFCA已在银行、证券公司、政府机构建成覆盖全国的认证效劳体系，同时针对企业、个人提供包括普通、高级、Web站点、证书等在内的15种证书和多种信息平安效劳，以满足社会各界用户的应用需求，证书应用普及银行、证券、税务、保险、政府机构、企业集团等金融和非金融领域。CFCA公司介绍合格的资质CFCA公司介绍作为国家级专业第三方信任机构，CFCA在力求卓越与创新的同时，以贴近客户的专业化定制效劳，不断强化着她业已树立的品牌，使CFCA在所涉及的各个领域始终保持着生生不息的活力。目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证效劳体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业。广泛的客户群CFCA公司介绍银行－中国工商银行、中国农业银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、广东开展银行、深圳开展银行、中国民生银行、福建兴业银行、华一银行〔合资银行〕等12家银行B-B/B-C网上银行系统证券

－港澳证券、蔚深证券、中信证券、山西证券、黄河证券、闽发证券、江门证券、湘财证券、华鑫证券、中富证券、国都证券、金信证券、兴业证券、新华证券等14家券商的网上证券交易系统；华安、华夏、国泰、长盛、中融、博时等6家开放式基金的网上数据管理系统其它金融机构－中央国债登记系统；中国银联网上过失查询系统；厦门卡中心网上认证系统；大连市信用卡中心/大连市信息产业局网上认证系统；北京票据清算中心数据管理系统；深圳金融电子结算中心网上认证系统；中国人民银行武汉分行国库系统税务－北京国税、无锡国税、大连地税〔网上申报缴税系统〕电子政务

－人民银行天津分行金融监管；上海外汇管理局网上外汇申报系统企业集团－攀钢、鞍钢、中石油、联想、一汽、万向、用友等企业集团财务广泛的客户群CFCA技术架构及PKI根本知识灵活的构架PKI公共密钥根底结构是一种遵循标准的密钥管理平台，它能够为所有的网络应用透明的提供采用加密和数字签名等密码效劳所必需的密钥和证书管理，它是信息平安技术的核心，也是电子商务的关键和根底技术。CA可以为多层或单层结构，一般包括CA中心和证书注册审批机构〔RA〕两大局部。CA系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定，不直接面对用户RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般可以设置在直接面对最终用户的柜台、营业点、分公司等等。CA认证系统要在满足平安性、易用性、扩展性等需求的同时，从物理平安、环境平安、网络平安、CA产品平安以及密钥管理和操作运营管理等方面按严格标准制定相应的平安策略；要有专业化的技术支持力量和完善的效劳系统，保证系统7X24小时高效、稳定运行。完善的PKI效劳CFCA技术架构及PKI根本知识PKI完善的效劳支持不可否认性

双密钥对

时间戳

证书查询

交叉认证证书的注册审批发放

密钥自动更新

证书废止列表查询

密钥备份与恢复

密钥历史记录

PKI完善的效劳

一个典型完整的PKI是由一系列效劳和组件所组成：PKI是基于公钥算法和技术，为网上通信提供平安效劳的根底设施。是创立、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。---实体鉴别、数据的保密性、数据的真实性和完整性、不可否认性、证书审批发放、---密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证从技术路线上来区分CFCA证书及应用分为高级和普通两大类高级证书：指的双密钥对证书及其应用普通证书：标准的x.509证书及其应用证书密钥协议管理功能自动更新CA管理普通单对ssl密钥不托管没有不完善高级双对spkm加密密钥对托管自动更新比较完善CFCA技术架构及PKI根本知识常用PKI名词说明1：PKI－PublicKeyInfrastructure公钥根底设施是一种遵循标准的利用公钥加密技术为电子商务提供一套平安根底平台的技术和标准。当前互联网上的平安认证解决方案广泛采用平安先进的PKI技术和标准。2：CA－CertificateAuthority证书管理和认证的机构，即认证中心3：RA－RegistrationAuthority证书注册审批机构4：数字证书－CA用其私钥进行了数字签名的包含用户身份、公开密钥、有效期等许多相关信息的权威性的电子文件，是各实体在网上的电子身份证。5：公钥/私钥－可以认为是一种加密/解密的算法凭证，公钥可以公开获得，私钥是私密的保存6：数字签名－基于数字证书的一种信息技术处理，类似与传统的手写签名保证信息的不可抵赖性常用PKI名词说明7：SSL－SecureSocketLayer平安套接字层(SSL)是一个工业标准协议，对应于七层网络模型中的会话层，它使得公开密钥技术在其中发挥了重要作用。8：SET－是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行平安资金支付的技术标准。9：对称加密算法－对称加密算法中解密和解密使用的是同一个密钥。对称密钥密码体制是从传统的简单置换、替代密码开展而来的，对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类：常用的对称加密算法有：RC4、RC2、IDEA、CAST。10：非对称加密算法－非对称加密算法又被称之为公开密钥算法，因为算法要求公开公私钥对中的公钥给他人。它要求密钥成对出现，一个为公开密钥，一个为私有密钥，而且不可能从公开密钥推导出私有密钥，用公开密钥加密的信息只能用私有密钥解密，反之亦然。除加密功能之外，公钥系统还可提供数字签名。公钥加密算法主要有：RSA、Fertezza、ECC(椭圆曲线)等。PKI根本技术手段标准信息：

证书的版本号证书的序列号签名算法标识符发证机关信息：（略）

证书有效期开始日期终止日期申请人信息：（略）

申请人公钥发证机关签名

申请人公钥发证机关签名扩充信息：证书专门用途、种类、等级等。注解：

申请人公钥包括两部分：

l

公钥算法l

公钥信息

机关签名包括两部分

l

签名算法l

签名文件数字证书的格式〔X.509v3标准〕证书版本号，用来指定证书采用的标准格式〔如X.509〕的版本号。证书序列号，用来指定证书的唯一序列号，标识CA〔认证中心〕发出的所有公钥证书序列。签名算法标识，根据现代密码学的“算法公开，密钥保密”的根本原那么，这里列出该CA〔认证中心〕所使用的签名算法标识名。证书有效期、起始日期、终止日期，用来指定证书的起始日期和终止日期。用户信息，用来指定证书用户的唯一标识名DN用户公钥信息，用来指定公钥使用的算法和本证书拥有的公钥信息本身。发证机关签名，CA〔认证中心〕用自己的密钥和本证书的信息通过上述签名算法获得的数字签名信息。PKI根本技术手段加密算法加密是指使用密码算法对数据做变换，使得只有密码持有人才能恢复数据面貌，其目的是防止信息的非授权泄露。对称加密算法－对称密码算法是加密密钥和解密密钥相同，其优点是保密强度高、计算开销小、处理速度快，但密钥管理困难。对称密钥密码体制是从传统的简单置换、替代密码开展而来的，对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类，常用的对称加密算法有：RC4、RC2、IDEA、CAST。非对称加密算法－非对称密码算法是加密密钥和解密密钥不同，它要求密钥成对出现，每个用户都有两个密钥，一个为公开密钥，一个为私有密钥，因为算法要求公开公私钥对中的公钥给他人，而且不可能从公开密钥推导出私有密钥，用公开密钥加密的信息只能用私有密钥解密，反之亦然。该算法的计算开销大、处理速度慢，但其优点是便于密钥的分发和管理，便于数字签名〔用公钥加密，用私钥解密，可实现多个用户的加密信息只能由一个用户解读，这用于保密通信；假设以私钥加密，公钥解密，可实现一个用户的加密信息而由多个用户解密，是用于数字签名〕。公钥加密算法主要有：RSA、Fertezza、ECC(椭圆曲线)等摘要算法－也称杂凑〔HASH〕算法，特点是很容易把明文变成密文，但很难把密文转成明文，该密文称HASH值，或称“数据摘要”。摘要算法的核心是单向散列函数，这种函数可以将任意长度的信息转变为固定长度的散列值，而通过输出的信息求取输入的信息是办不到的。单向散列函数除了不可逆性之外，还具有无碰撞性，任意两个信息的散列值几乎不可能一样。摘要算法主要运用在保护信息的完整性上，常用的摘要算法有MD2、MD5、SHA等。PKI根本技术手段身份认证保险门户口令信息签名验证签名用户的私钥用户的公钥CA认证中心用户门户对用户身份的识别身份认证：即确认实体为自己所声明的身份，鉴别身份的真伪。如上图，双方建立平安连接，互换证书，彼此去CA公开的目录效劳器验证证书的有效性，确认后，用户将自己的用户名、密码等用自己的私钥签名送给保险门户，保险门户用获得的用户的证书所含的公钥来验证用户的数字签名，如果该签名谈过验证，那么证明用户所声明的身份是确实无误的。PKI根本技术手段数据完整性和数据保密性数据完整性：就是确保数据在传输或者存储的过程中没有别修改，利用摘要算法＋数字签名来实现。先对信息进行摘要处理，然后对摘要的值作数字签名附在原始数据后面一起发送。如果数据被篡改，验证就会失败，反之那么说明数据完整。数据保密性：数据保密性效劳目标是除了指定的实体外，其它没有经过授权的人不能读出或者看得懂该数据。这里采用的“数字信封”机制，特点是讲对称加密的快速和非对称加密的方便很好的结合了起来。发送方先产生一个对称密钥，并利用该对称密钥加密敏感数据，同时，发送方利用接受方的公钥加密此对称密钥，好似装入了一个“数字信封”里面，然后将被加密的对称密钥和被此对称密钥加密的敏感数据一起发送给接受方，接受方先用自己的私钥解开数字信封得到对称密钥，然后在用对称密钥解开加密的数据，其它没有授权的人没有拆开数字信封的私钥所以看不见或者读不懂数据，这就起到了数据保密性的作用。PKI根本技术手段数字签名技术－不可抵赖性数字签名技术：一般A用HASH算法对一段信息进行加工产生HASH值〔即摘要信息〕，再用数字签名规定的算法进行私钥加密形成数字签名，将该段信息原文与数字签名一起传到B，B用A的公钥对A的数字签名进行解密产生原文的HASH值，B同时用HASH算法对传送过来的原文求HASH值〔即摘要信息〕，用两个HASH值进行比较验证数字签名；另一种数字签名方法是对需保密的短信息，A用私钥对原文通过签名规定的加密算法产生数字签名信息和时间戳一起传到B，B用A的公钥解密，加上时间戳来验证数字签名。从上可以看出，每次数字签名都与该次信息结合，不能移到另一段信息上。需要注意的是，数字签名能保证数据来源的不可抵赖，保证了数据没有被未经授权的人修改正，但是不能够保证数据不被未经授权的人阅读。PKI根本技术手段SSL简要介绍SSL是被设计用来保证信息平安的一个协议，它依赖于可靠的TCP协议来传输数据。它的特点之一是独立于上层的应用层协议(如：HTTP，FTP，TELNET等)，这些应用层协议可以透明使地用SSL协议。SSL协议可以协商一个对称加密算法和会话密钥，同时可以在通信之前认证效劳器的合法性。SSL协议提供了一种“管道式平安”，它具有三个特征：l

管道是保密的，保密性是通过使用加密技术来保证的，在通过一个简单的握手过程之后获得一个共同的密钥，作为对称加密算法的密钥。l

管道是认证过的，效劳器端总是需要把自己的证书递交给客户端，以便客户端对效劳器进行认证。效劳器可以选择是否需要客户端递交证书。l

管道是可靠的，消息的传输包含了消息完整性检查。SSL协议实际上由两个协议构成，位于下面的一层为SSL记录协议〔SSLRecordProtocol〕，其上为SSL控制协议(SSLControlProtocols)，SSL记录协议用于封装上层发送和接收的所有数据，当然包括SSL控制协议的数据，SSL控制协议包含：SSL握手协议(SSLHandshakeProtocol)SSL密钥交换协议(SSLChangeCiphersSpecification)SSL报警协议(SSLAlertProtocol)PKI根本技术手段SSL简要介绍SSL的握手过程是建立SSL的主要加密和平安参数的过程，它是SSL的控制协议执行的控制功能。握手过程表达在浏览器使用HTTPS访问WEB效劳器时，包括以下步骤：1浏览器向平安WEB效劳器发出一个HTTPS的请求，比方：。2该WEB效劳器将它的证书递交给浏览器的SSL模块。3浏览器检查效劳器递交的证书的有效性，比方有效日期和证书的签名等。如果该证书不是被一个浏览器已经信任的发证结构〔CA〕签发的证书，浏览器将弹出一个对话框来提示用户是否信任该WEB站点证书。如果用户选择不信任该证书，浏览器会选择自动中止该连接。4浏览器将把从WEB站点证书里取得的站点名称和浏览器的URL里的域名相对照，如果相符，浏览器将认为站点为真正的站点。5

浏览器将自己支持的一系列算法发送给效劳器。6

如果效劳器需要客户端递交证书，浏览器将把自己的证书发送给效劳器，效劳器检查递交的证书，并且检查该证书是否为自己已经信任的发证机构〔CA〕发放的证书。如果不是，效劳器将自动中止该次连接。7效劳器端选择自己和客户端共同支持的加密算法，然后发送给客户端。8

浏览器产生一个会话密钥，然后把该密钥通过效劳器的公钥加密后传给效劳器。9

效劳器接收到该加过密的会话密钥后用自己的私钥解密，得到会话密钥的明文。10客户端和效劳器使用刚刚协商的会话密钥对应用层的数据进行加解密，对传输的数据进行平安保护。不同CA及产品的特点国内的CA现状国内CA开展过热，大小建设有70多家，有实在应用的也就１０家左右全国性的CA有金融ＣＡ、电信ＣＡ、海关ＣＡ等；地方性的ＣＡ有北京ＣＡ、上海ＣＡ、福建ＣＡ、山东ＣＡ等；各自的应用领域不尽相同多数ＣＡ采用的都是国内厂商的技术，CFCA采用的是加拿大Entrust公司的技术，核心加密局部是国产化；目前来看国外的平安技术依然高出国内相当水平多数ＣＡ目前所发放的都是单密钥对的证书，以SSL平安协议为根底的较多CA开展过热的原因：１：高估了电子商务开展的速度２：误解了CA〔认证中心〕的作用３：低估了CA〔认证中心〕运行的难度不同CA及产品的特点国内的CA现状CA的共同点：１：证书根本都是采用X.509v3的标准，但证书的ＤＮ等的定义格式没有标准２：普通证书和基于SSL平安协议的使用为多３：根本上都采用的CA/RA结构，证书的审核发放都是通过RA来完成的４：目前所有的CA互相都不能够实现交叉认证，有技术和市场的两种因素５：普遍规模较小，效劳不够完善一些CA的特点：海关CA：相对封闭的系统，开放性灵活性缺乏，需要专用的IC卡读卡器等，主要为海关各应用系统效劳，严格意义应该说不是个独立的第三方CA电信CA：建设的非常早，原来除了给电信提供效劳还给证券等提供效劳，现在主要是系统内部应用，其采用的是国内的技术，提供效劳的方式不够灵活上海CA：相对成熟的CA，国内的技术，可以满足证券、一般企业应用、网上税务申报等平安性要求不高的领域金融CA：权威的第三方CA，国外的技术，有高级和普通证书两类产品，支持的应用范围广泛

不同CA及产品的特点CA应用相关的产品产品产品简介特点邮安通（MailSafe）运行在Windows桌面系统的应用软件，专门用于保护电子邮件的安全完全的端到端安全，传输过程中没有第三方能得到明文嵌入浏览器，使用十分方便嵌入Outlook邮件编辑器自动获得邮件接收者的数字证书灵活控制的安全应用政策安全代理服务器用于服务器端的建立安全通信信道的软件良好的开放性对Web应用透明多种访问控制模式多证书链和CRL的支持强大的审计功能数字签名系统提供基于Web浏览器和Web服务器的数字签名解决方案，实现了对Web页面中的指定内容和文件进行数字签名和验证双向的数字签名/验证支持IC卡形式的证书介质强大的证书状态检验功能多证书链和CRL的支持灵活而且便于使用智能钥匙电脑安全和信息控制上有广泛用途的安全产品介质具有普通SmartCard和加密卡安全、可靠、易用等特点不同CA及产品的特点产品产品简介特点强双因子安全身份认证系统Gefon™SID-LASA：

局域网强双因子安全身份认证产品Gefon™SID-RASA：

远程拨号强双因子身份认证产品用强双因子身份认证的机制，将系统安全判别因子分离成两部分，即用户口令和存于SKey/IC卡/软盘中的用户个人秘密信息。当需要用户与服务器在网络上交换信息时，系统利用CHAP协议保证了用户的口令信息不在网上传输，并针对每次身份认证采用一次性加密口令，保证信息的安全性电子签证中心（CA/RA）利用PKI技术体系，采用X.509等国际标准，结合国密办认可PKI加密卡和PKI加密机推出的具有全部自主知识产权的电子数字证书和密钥管理系统为用户提供跨系统、跨业务的统一的身份认证与访问控制，广泛地用在VPN、SSL、安全电子邮件、Domino/Notes等系统中认证授权系统在PKICA等技术基础上研制开发的面向角色的资源权限分配和统一的身份认证访问控制系统，是基于用户证书和角色的认证、授权系统该系统通过对资源（应用程序模块）的划分，以及角色（具有不同访问权限的用户集合）的定义，把资源的权限赋予其对应的角色来实现用户对资源的访问和控制CA应用相关的产品CFCA的特点１：第三方的权威的CA，立足于银行，为社会各界提供PKI效劳２：技术水平领先，国际主流技术，核心加密模块本地化３：灵活多样的证书和应用支持普通证书/高级证书等适应不同的应用环境高级证书的平安代理Direct应用完全基于浏览器和SSL协议根底上改进的Truepass应用方便用户开放集成的Toolkits工具提供各种环境的证书应用API合作伙伴众多完善的PKI效劳支持４：较好的解决了电子商务中的平安问题和支付问题５：良好的背景和用户群CFCA的特点CFCA典型应用案例网上银行应用CFCA典型应用案例网上银行应用网上银行业务是指商业银行将其传统的柜台业务拓展到INTERNET上，用户访问其WebServer进行在线的实现查询、转帐、汇款、支付等业务。用户对其发出的指令用其签名私钥进行签名，银行校验签名，并且保存此次签名，从而使银行用户所发出的指令具有不可抵赖性，签名及校验的过程保证了用户指令的真实性和完整性；用户发出的交易内容用指定银行的公钥进行加密，银行用银行私钥才能解秘，此环节保证了银行指令信息的私密性。这样在整个交易的过程中确保了网上信息平安。网银的证书应用也分证书管理和证书应用两局部RA一般设立在银行的总部，也是多层的结构，其证书管理使用操作员证书进行证书相关的管理操作。证书应用是和其网银应用结合在一起，将平安局部嵌入到网银中，这中间包括互相交换证书、验证身份、建立平安通道、加密、数字签名等等应用操作在网上银行的证书应用模式当中，大同小异，真正的差异还是在于其业务的应用CFCA典型应用案例网上银行应用客户端和银行效劳器端各自自动进行黑名单〔CRL〕查询，减少交易风险。双重密钥〔加密密钥、签名密钥〕，支持数字签名的不可否认性高强度加密机制〔对称128位，非对称1024位〕，数据传输保密性强。具有完善的密钥和证书生命周期管理，客户端证书到期前，可自动进行更新，不需人工办理任何手续，极大的方便了用户。客户端、效劳器端操作简便，透明性强。CFCA典型应用案例网上证券交易CFCA典型应用案例网上证券交易网上证券交易可分为网上炒股和网上银证转帐，网上炒股是股民和证券公司之间发生的两方交易。网上银证转帐是指股民通过INTERNET将资金在银行股民帐户和证券公司帐户之间划入或划出，是涉及到股民、证券公司、银行的三方交易。股民在使用证书进行网上交易时，对其网上交易指令也要进行加密和签名，以确保交易数据的有效性、机密性、完整性和不可抵赖性。网上证券交易对交易的实时性和方便性要求比较高，应用CFCA证书可以较好的解决平安和效率之间的矛盾。实际的做法是在证券公司总部设立RA,将证书的申请、使用、管理等功能集成到客户端软件中去。客户申请开通网上交易并下载使用证书后，在一定的时间去签署一份书面的协议即可正常使用。

CFCA典型应用案例税务网上申报缴税CFCA典型应用案例税务网上申报缴税证书签发中心CA与国税系统的网络连接采用DDN专线的方式²

证书发放管理由操作员(LRA)来进行，只要具有操作员证书及可以上网的条件就可以平安的连接到RA系统大致的制证流程如下①操作员平安登录到RA系统②输入需要制作证书的纳税人识别号③RA系统将相关的请求发送到国税发行平台查询并返回相关信息④CA系统接收制证请求并签发证书⑤操作员获得证书存放到软盘中封装并准备分发CFCA典型应用案例企业集团内部电子结算平台CFCA典型应用案例企业集团内部电子结算平台认证中心子系统：实现数字证书的发放与管理证书管理系统〔RA〕：负责定制认证中心的全部或局部平安策略、证书管理流程等关键局部，是最终用户、管理员和CA系统交流的纽带。证书应用平台〔NetSafe/NetSign〕：实现通信中的身份认证、加密和数字签名CFCA提供一整套基于PKI体系的应用平安解决方案，使用户能够使用硬件存储方式的证书〔USBKEY或IC卡等〕实现身份认证、访问控制、信息通信的保密性、信息的完整性和抗抵赖性，并支持常用的浏览器，B/S架构，与业务无缝结合，操作简单、透明。身份认证、访问控制、信息通信的保密性通过CFCA的SSL平安代理通道产品NetSafeServer来实现，而信息的完整性和抗抵赖性那么通过CFCA的数字签名产品NetSign来实现的。CPS、电子签名法、争议处理证书运作策略-CPS为了标准金融认证中心的管理，保障认证体系的可靠，维护金融认证的权威性，有效地防范金融平安风险，金融认证策略管理委员会〔FPMC〕制订了证书策略〔CP〕，对金融认证体系，管理要求，运行要求和系统与设施要求等内容作出了相关的规定。金融认证策略管理委员会〔FPMC〕制订的证书策略〔CP〕不对注册审批机构的职能与运作模式、交叉认证策略、证书的格式与证书撤销列表的格式作具体规定，具体由中国金融认证中心〔CFCA〕制定的CPS〔CertificatePracticeStatement，即证书实施说明〕规定。第三方认证机构〔CFCA〕保存有证书用户的状态和证书废止列表等信息可以供用户查询。交易双方在交易之前需要验证各自身份，通过查CFCA的CRL和验证用户使用自己证书和私钥的密码的方式来证明用户的身份和资格。关于“CA对证书主体的鉴证和操作策略、平安控制手段”等内容参见CPS中3.2证书管理、4.1-4.3证书效劳业务规那么、6.1-6.7平安策略；关于“证书主体的义务”等内容参见CPS中2.2证书效劳对象的权利和义务、证书用户的责任；关于“CA中心的义务”等内容参见CPS中2.1金融CA系统内部的权利和义务；CPS、电子签名法、争议处理依据CFCA的CPS即证书运作标准参考相关的法律法规CPS大致包括以下内容：金融认证中心概况金融认证中心证书管理策略金融认证效劳相关业务规那么金融认证中心密钥平安管理策略平安策略CPS的管理法律责任及争议的解决纠纷处理机制参考材料：《电子签名法〔征求意见稿〕》数据电文及电子签名的内容第三方认证的要求电子商务中的消费者权益保护网络效劳提供者的特别规定法律责任附那么这其中特别规定了第三方CA应具有的合法资格和各方的责任，以及电子签名的法律效力CPS、电子签名法、争议处理证书使用各方和CFCA的责任及义务，在CFCA发布的CPS中已有明确的定义，CPS的描述，视为CFCA对证书运作规那么〔包含电子签名合法性〕的申明。视为CFCA对证书运作规那么〔包签名合法性〕的申明。发生否认性纠纷时，证书应用单位向客户和仲裁及执法部门出示的证据应包括：1、客户对此次交易进行确认的数字签名、交易时间戳。2、该客户的数字证书。3、应用单位对该客户的数字证书申请和审核的原始材料。4、如果客户的证书已被注销，应用单位提供对该张客户证书注销的原始材料〔含注销时间〕。5、仲裁及执法部门要求出示的其它证据CA应提供的资料:1、签发该张客户证书的CA证书。2、该张证书在交易发生时，在或不在CFCA发布的证书废止列表内的证明。3、为交易提供时间戳效劳的时间效劳器证书CFCA应承担的技术义务:1、协助使用单位对证书、数字签名、时间戳的真实性、有效性进行技术确认2、为仲裁及执法部门提供第1点所述的技术义务3、为仲裁及执法部门提供其所需且应由CFCA承担的其它技术义务。纠纷处理机制CPS、电子签名法、争议处理每一张数字证书都与上一级的数字签名证书相关联，最终通过平安链追溯到一个的并被广泛认可的根认证中心〔根CA〕。各级CA认证机构的存在组成了整个电子商务的信任链。CA的权威性、公正性和可信赖性保证用户证书的合法性CFCA具有权威性、公正性和可信赖性《电子签名法》的通过将使CFCA的权威性将得到进一步的法律保障CA的合法性及认证权利CPS、电子签名法、争议处理证书本身的唯一性证书和用户应用系统ID绑定查黑名单消除疑心认证建立的过程防止了认证错误私钥保护认证的唯一性及防止错误CPS、电子签名法、争议处理证书使用各方的权利义务关系围绕证书的使用，本工程中主要涉及三方当事人：CFCA、应用提供者及最终用户。其中，CFCA是一个权威、可信的第三方，负责提供证书效劳。对于应用提供者有两个角色，一是作为CFCA证书的申请审批机构，即RA，主要负责核实最终用户的身份，并向CFCA提交证书申请；二是作为证书用户，申请效劳器证书保证应用提供者网站平安。对于最终用户，是一般证书用户，要保证提交真实的证书申请信息，在拿到证书后应保护好证书口令并通过证书进行网上交易CFCA和应用提供者RA，除了通过有关RA的申请、建设、验收等标准来保证证书发放的平安性外，双方的权利义务关系是在CPS根底上通过签定《CFCARA协议》〔见7.3〕来确定的。CFCA和证书最终用户之间也有一系列申请、使用、撤消、恢复等标准流程，双方的权利义务关系也是在遵循CPS根底上通过《CFCA数字证书责任书》〔7.5〕来规定的。如果三方之间就证书使用出现争议，解决方法参见5.3.6争议解决及赔偿。

各方的权利义务CFCA相关附件证书责任书数字证书责任书银联金融认证中心〔以下简称CFCA〕作为权威的第三方数字证书认证机构，通过设在CFCA的数字证书审批受理点为用户发放数字证书。数字证书是一个包含用户身份信息以及公开密钥等相关信息的电子文件，是各实体在网上进行信息交流及商务活动的电子身份证。CFCA通过对数字证书进行数字签名保证其正确性与唯一性，并通过基于数字证书的密码机制为各种网上交易提供信息平安保障。使用CFCA数字证书的用户应遵守并享有下述义务和权利：一、 用户在申请数字证书时请遵照CFCA的规程办理手续。用户一旦接受数字证书，即说明用户同意本责任书的所有规定。二、 用户应遵循老实、信用原那么，提供真实的资料。因成心或过失提供不真实资料，即用户未能公开实质性的事实，导致CFCA签发的数字证书不实，由此造成的损失CFCA不承担相关责任。三、 在经过CF