电子商务安全-第8章.pptVIP

8.1.4 PKI体系结构(续) 8.8 PKI解决方案 8.8.1中国金融认证中心（CFCA）的CA解决方案 8.8.2美国联邦PKI解决方案 8.8.3中国PKI解决方案 8.8.1中国金融认证中心（CFCA）的CA解决方案 中国金融认证中心( China Finance Certification Authority 缩写 CFCA )，是由中国人民银行牵头，联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的。 中国金融认证中心(CFCA---China Finance Certificate Authority )作为一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。 CFCA的目标 金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，其宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。 金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放15万张Non-SET证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张，个人8万张，SET证书支持SET 1.0扩充版功能，既支持信用卡，又支持借记卡及PIN的处理。当CA完善后，扩大其应用范围，可发放S/MIME、VPN及特制X.509 证书等。还将发放支持无线WAP协议的证书。 中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持B to C、B to B以及B to G (Government)的模式。 CFCA的体系结构 CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构(如图8-5所示)，第一层为根CA；第二层为政策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发放证书。运营CA由CA系统和证书注册审批机构（RA）两大部分组成。 CA系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定，CA系统设在CFCA本部，不直接面对用户； RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点（LRA）设置在商业银行的分/支行、证券、保险营业部及其它应用证书机构的分支机构，RA系统可方便集成到其业务应用系统。 CFCA的体系结构（续） CFCA的功能 CFCA是采用目前国内外先进技术，按国际通用标准开发建设的，它具有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能。证书符合ITU的X.509国际标准。提供具有世界先进水平的CA认证中心的全部需求。归纳起来有以下几个方面。 （1）证书的申请（有离线申请方式和在线申请方式两种）； （2）证书的审批（有离线审核方式和在线审核方式两种）； （3）证书的发放（有离线方式发放和在线方式发放）； （4）证书的归档； （5）证书的撤销； （6）证书的更新（有人工密钥更新和自动密钥更新两种形式）； （7）证书废止列表的管理功能； （8）CA的管理功能； （9）CA自身密钥的管理功能。 CFCA证书的类型及用途 目前CFCA共发放四类证书：个人高级证书、个人普通证书、企业高级证书以及服务器站点证书。 （1）个人普通证书主要是个人用户在做B2C网上交易时使用的。它的安全级别较低，主要用于小额交易。 （2）个人高级证书主要用于个人做B2B网上交易时使用的。它的安全级别较高，主要用于金额较大的交易。 （3）企业高级证书主要用于企业做B2B网上交易时使用的。它的安全级别较高，主要用于金额较大的交易。 （4）服务器站点证书发放给提供B2C交易的网站服务器使用，主要应用于小额的B2C业务中。若一个网站要提供B2B电子交易时，应申请企业高级证书，并配合Direct Server 来保证它的安全性。 证书可以存放在计算机硬盘、随身软盘、IC卡或CUP卡中。 CFCA应用实例 CFCA经过半年多的建设于2000年3月初步发放了试验证书，主要用于商业银行的网上银行和网上购物的B to B 应用模式。目前CFCA已在国内十余家核心商业银行、近20家券商建成覆