CFCA技術(shù)培訓(xùn)

1、CFCA技術(shù)、應(yīng)用介紹技術(shù)、應(yīng)用介紹中國金融認(rèn)證中心何小航介紹內(nèi)容1 1 CFCACFCA介紹介紹2 2 CFCACFCA技術(shù)架構(gòu)及技術(shù)架構(gòu)及PKIPKI基本知識基本知識3 CFCA3 CFCA的業(yè)務(wù)拓展及典型應(yīng)用案例的業(yè)務(wù)拓展及典型應(yīng)用案例4 4 A&QA&QCFCA介紹中國金融認(rèn)證中心（China Financial Certification Authority China Financial Certification Authority ，英文縮寫CFCACFCA）是國內(nèi)全面支持電子商務(wù)安全支付業(yè)務(wù)的國家級網(wǎng)上信任服務(wù)機構(gòu)。作為金融界唯一的、權(quán)威的、第三方認(rèn)證機構(gòu)，C

2、FCA致力于保障網(wǎng)上跨行支付安全，通過以數(shù)字證書為核心的信任和安全服務(wù)，實現(xiàn)互聯(lián)網(wǎng)上各方身份真實性、信息保密性和完整性、網(wǎng)上交易行為的不可否認(rèn)性，為網(wǎng)上銀行、電子商務(wù)提供安全保障。CFCA認(rèn)證體系基于雙密鑰機制，具有完善的證書管理功能，能夠提供證書申請、審核、生成、頒發(fā)、存儲、查詢、廢止等全程自動審計服務(wù)，并已通過了國家信息安全產(chǎn)品測評認(rèn)證中心的安全評測。 目前CFCA已在銀行、證券公司、政府機構(gòu)建成覆蓋全國的認(rèn)證服務(wù)體系，同時針對企業(yè)、個人提供包括普通、高級、Web站點、手機證書等在內(nèi)的15種證書和多種信息安全服務(wù)，以滿足社會各界用戶的應(yīng)用需求，證書應(yīng)用遍及銀行、證券、稅務(wù)、保險、政府機構(gòu)、

3、企業(yè)集團等金融和非金融領(lǐng)域。建立與建設(shè)地位與影響技術(shù)與設(shè)施證書應(yīng)用關(guān)于電子簽名法CFCA介紹建立與建設(shè)CFCA: China Financial Certification Authorityn中國金融認(rèn)證中心（銀聯(lián)認(rèn)證中心有限公司）n經(jīng)人民銀行和國家信息安全管理機構(gòu)審批成立n以PKI技術(shù)為基礎(chǔ)的信息安全服務(wù)機構(gòu)n通過數(shù)字證書為網(wǎng)上銀行、電子商務(wù)等提供信息安全保障建立與建設(shè)成立背景n1999 人民銀行聯(lián)合14家全國性商業(yè)銀行共同建立n2000.6 正式開通運行提供服務(wù)n2004.3 并入中國銀聯(lián)，獨立二級法人 建立與建設(shè)nChina unionpayn背景：國內(nèi)80多家金融機構(gòu)共同發(fā)起設(shè)立的

4、股份制金融機構(gòu)，注冊資本￥16.5億元n2002.3 正式成立，總部上海n宗旨：建立和運營中國銀行卡跨行交換網(wǎng)絡(luò) n中國的“VISA 建立與建設(shè)并入銀聯(lián)后的CFCAn業(yè)務(wù)上接受人民銀行的領(lǐng)導(dǎo)和監(jiān)管n股東增多，名副其實的“行業(yè)共建”n仍然使用 等品牌名稱n數(shù)字證書和銀行卡結(jié)合具有廣闊發(fā)展空間，為CFCA的發(fā)展帶來新的機遇地位與影響CFCA金融行業(yè)統(tǒng)一的CAn金融統(tǒng)一CA的模式在國際上是一種創(chuàng)新w對亞洲和周邊地區(qū)產(chǎn)生積極影響w例如 臺灣的TFCAw2001年聯(lián)合國發(fā)展報告亞洲部分中就CFCA進行了專門的描述n國家高度重視w國家金融信息安全的重點基礎(chǔ)設(shè)施w國家863科技成果重點推廣項目專項資金支持國

5、產(chǎn)PKI/CA系統(tǒng)w領(lǐng)導(dǎo)機關(guān)大力支持：人民銀行 國家科技部 國密辦 銀監(jiān)會地位與影響CFCA國內(nèi)CA領(lǐng)域的典范 已是國內(nèi)知名品牌n資質(zhì)齊備w人民銀行和國家信息安全管理機構(gòu)審批成立w獲得國家信息安全產(chǎn)品測評認(rèn)證中心的認(rèn)證w通過國家商密局的安審和鑒定n應(yīng)用廣泛w累計發(fā)放總量達到50萬張w應(yīng)用范圍涉及：網(wǎng)上銀行 網(wǎng)上證券 網(wǎng)上稅務(wù) 企業(yè)集團等技術(shù)與設(shè)施通過國際招標(biāo)建立領(lǐng)先的CA認(rèn)證系統(tǒng)通過國家863項目建立自主產(chǎn)權(quán)的PKI/CA系統(tǒng)n作為國家金融信息安全基礎(chǔ)設(shè)施，列入國家863重點示范項目n國家科技部、人民銀行組織，CFCA具體實施n已經(jīng)通過國家科技部中期檢查n完成了多輪嚴(yán)格的壓力、性能測試n多個應(yīng)

6、用項目正在實施技術(shù)與設(shè)施安全設(shè)施n符合國際標(biāo)準(zhǔn)的CA安全運行環(huán)境w國際水準(zhǔn)的認(rèn)證大樓w機房雙指紋多層門禁w安全區(qū)內(nèi)六面體鋼板焊接w24小時錄像監(jiān)控系統(tǒng)等n同城、異地的備份中心正在建立之中CFCA公司介紹CFCA公司介紹作為國家級專業(yè)第三方信任機構(gòu)，CFCA在力求卓越與創(chuàng)新的同時，以貼近客戶的專業(yè)化定制服務(wù)，不斷強化著她業(yè)已樹立的品牌，使CFCA在所涉及的各個領(lǐng)域始終保持著生生不息的活力。目前CFCA已在國內(nèi)十余家核心商業(yè)銀行、近20家券商建成覆蓋全國的認(rèn)證服務(wù)體系，業(yè)務(wù)領(lǐng)域已延伸至銀行、證券、稅務(wù)、保險、企業(yè)集團、政府機構(gòu)、電子商務(wù)平臺等金融和非金融行業(yè)。CFCA公司介紹銀行銀行中國工商銀行、

7、中國農(nóng)業(yè)銀行、中國建設(shè)銀行、交通銀行、中信實業(yè)銀行、中國光大銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、中國民生銀行、福建興業(yè)銀行、華一銀行（合資銀行）等12家銀行B-B/B-C網(wǎng)上銀行系統(tǒng)證券證券 港澳證券、蔚深證券、中信證券、山西證券、黃河證券、閩發(fā)證券、江門證券、湘財證券、華鑫證券、中富證券、國都證券、金信證券、興業(yè)證券、新華證券等14家券商的網(wǎng)上證券交易系統(tǒng)；華安、華夏、國泰、長盛、中融、博時等6家開放式基金的網(wǎng)上數(shù)據(jù)管理系統(tǒng)其它金融機構(gòu)其它金融機構(gòu)中央國債登記系統(tǒng)；中國銀聯(lián)網(wǎng)上差錯查詢系統(tǒng)；廈門卡中心網(wǎng)上認(rèn)證系統(tǒng)；大連市信用卡中心/大連市信息產(chǎn)業(yè)局網(wǎng)上認(rèn)證系統(tǒng)；北京票據(jù)清算中心數(shù)據(jù)管

8、理系統(tǒng)；深圳金融電子結(jié)算中心網(wǎng)上認(rèn)證系統(tǒng)；中國人民銀行武漢分行國庫系統(tǒng)稅務(wù)稅務(wù)北京國稅、無錫國稅、大連地稅（網(wǎng)上申報繳稅系統(tǒng)）電子政務(wù)電子政務(wù) 人民銀行天津分行金融監(jiān)管；上海外匯管理局網(wǎng)上外匯申報系統(tǒng)企業(yè)集團企業(yè)集團攀鋼、鞍鋼、中石油、聯(lián)想、一汽、萬向、用友等企業(yè)集團財務(wù) 幾種安全措施的比較SSL安全協(xié)議用戶ID+口令SSL協(xié)議 動態(tài)口令SSL協(xié)議 數(shù)字證書機制 幾種安全措施的比較SSL安全協(xié)議nSecure Socket Layer的簡稱，安全套接協(xié)議 n保護信息交易安全的最基本措施n特點：“管道式安全”w管道是保密的 w管道是認(rèn)證過的 w管道是可靠的 nSSL的遺憾：w不檢查客戶端的身份w

9、不能保證通道轉(zhuǎn)接點的安全w不能保證交易不可否認(rèn)性幾種安全措施的比較用戶ID+口令SSL協(xié)議nSSL的加強n用戶ID口令來判斷用戶的身份n缺陷w用戶口令容易被泄漏和攻擊（弱身份鑒別），后果嚴(yán)重w不能保證交易不可否認(rèn)性幾種安全措施的比較動態(tài)口令SSL協(xié)議n后臺生成隨機的數(shù)字n通過手機或座機方式提供給用戶n一次性使用，降低口令遺失的可能性n缺陷w仍然不能解決不可否認(rèn)性問題幾種安全措施的比較數(shù)字證書機制nSSL機制和數(shù)字證書的結(jié)合n通過數(shù)字證書進行強身份鑒別w登錄的口令不需要在網(wǎng)上傳輸w即使口令遺失，沒有數(shù)字證書也是不能冒充合法身份n特別的優(yōu)勢w通過數(shù)字簽名實現(xiàn)不可否認(rèn)性w簽名可以長期保存，以備查找P

10、KI的基本概念PKI的概念（Public Key Infrastructure）n是基于非對稱密碼學(xué)，利用公鑰證書機制來實施和提供信息安全服務(wù)的普適性基礎(chǔ)設(shè)施n非對稱密碼學(xué)n為網(wǎng)上通信提供通用安全服務(wù)的基礎(chǔ)設(shè)施PKI的主要組成證書管理機構(gòu)（CA） 證書公布機制或目錄服務(wù)機制（LDAP）證書廢止發(fā)布機制（CRL）證書注冊審批機構(gòu)(RA) 安全應(yīng)用軟件 證書策略(CP)與認(rèn)證運作規(guī)范(CPS)PKI提供的服務(wù)認(rèn)證：認(rèn)證：身份識別與鑒別，確認(rèn)實體是他自己所申明的數(shù)據(jù)完整性服務(wù)：數(shù)據(jù)完整性服務(wù)：防篡改 ，確認(rèn)沒有被修改、缺損、防偽造數(shù)據(jù)保密性服務(wù)：數(shù)據(jù)保密性服務(wù)：確保數(shù)據(jù)的機密，非授權(quán)沒法讀出 不可否

11、認(rèn)性服務(wù)：不可否認(rèn)性服務(wù)：保證實體對其行為的誠實，防抵賴CA的相關(guān)概念CA是認(rèn)證中心的英文Certification Authority的縮寫CA是PKI 的核心執(zhí)行機構(gòu)CA是PKI的主要組成實體 CA由CA簽發(fā)服務(wù)器、RA、LDAP等組成為電子商務(wù)環(huán)境中各個實體頒發(fā)電子證書負(fù)責(zé)在交易中檢驗和管理證書電子商務(wù)和網(wǎng)上銀行交易的權(quán)威性、可信賴性及公正性的第三方機構(gòu)CFCA技術(shù)架構(gòu)及技術(shù)架構(gòu)及PKI基本知識基本知識 金融專網(wǎng)金融專網(wǎng) 或或 Internet 加密機 加密機 加密機 根 CA 防火墻 證書用戶 城市分行 LRA 受理點 商業(yè)銀行總行 RA CA 服務(wù)器 政策 CA CFCA 系統(tǒng)體系結(jié)

12、構(gòu)示意系統(tǒng)體系結(jié)構(gòu)示意 PKI公共密鑰基礎(chǔ)結(jié)構(gòu)是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺，它能夠為所有的網(wǎng)絡(luò)應(yīng)用透明的提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，它是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。CA可以為多層或單層結(jié)構(gòu)，一般包括CA中心和證書注冊審批機構(gòu)（RA）兩大部分。 CACA系統(tǒng)：系統(tǒng)：承擔(dān)證書簽發(fā)、審批、廢止、查詢、數(shù)字簽名、證書/黑名單發(fā)布、密鑰恢復(fù)與管理、證書認(rèn)定和政策制定，不直接面對用戶 RARA系統(tǒng)：系統(tǒng)：直接面向用戶，負(fù)責(zé)用戶身份申請審核，并向CA申請為用戶轉(zhuǎn)發(fā)證書；一般可以設(shè)置在直接面對最終用戶的柜臺、營業(yè)點、分公司等等。CA認(rèn)證系統(tǒng)要在滿足安全性、易用

13、性、擴展性等需求的同時，從物理安全、環(huán)境安全、網(wǎng)絡(luò)安全、CA產(chǎn)品安全以及密鑰管理和操作運營管理等方面按嚴(yán)格標(biāo)準(zhǔn)制定相應(yīng)的安全策略；要有專業(yè)化的技術(shù)支持力量和完善的服務(wù)系統(tǒng)，保證系統(tǒng)7X24小時高效、穩(wěn)定運行。CFCA技術(shù)架構(gòu)及技術(shù)架構(gòu)及PKI基本知識基本知識PKI完善的服務(wù) PKI完善的服務(wù)一個典型完整的PKI是由一系列服務(wù)和組件所組成： PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施。是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書，核心執(zhí)行者是CA認(rèn)證機構(gòu)。 -實體鑒別、數(shù)據(jù)的保密性、數(shù)據(jù)的真實性和完整性、不可否認(rèn)性、證書審批發(fā)放、 -密

14、鑰歷史記錄、時間戳、密鑰備份與恢復(fù)、密鑰自動更新、黑名單實時查詢、支持交叉認(rèn)證常用PKI名詞說明1 1：PKIPKIPublic Key Infrastructure Public Key Infrastructure 公鑰基礎(chǔ)設(shè)施是一種遵循標(biāo)準(zhǔn)遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)公鑰加密技術(shù)為電子商務(wù)提供一套安全基礎(chǔ)平臺的技術(shù)安全基礎(chǔ)平臺的技術(shù)和規(guī)規(guī)范。范。當(dāng)前互聯(lián)網(wǎng)上的安全認(rèn)證解決方案廣泛采用安全先進的PKI技術(shù)和規(guī)范。2 2：CACACertificate Authority 證書管理和認(rèn)證的機構(gòu)，即認(rèn)證中心3 3：RARARegistration Authority 證書注冊審批機構(gòu) 4 4：數(shù)

15、字證書數(shù)字證書CA用其私鑰進行了數(shù)字簽名的包含用戶身份、公開密鑰、有效期等許多相關(guān)信息的權(quán)威性的電子文件，是各實體在網(wǎng)上的電子身份證。5 5：公鑰：公鑰/ /私鑰私鑰可以認(rèn)為是一種加密/解密的算法憑證，公鑰可以公開獲得，私鑰是私密的保存6 6：數(shù)字簽名：數(shù)字簽名基于數(shù)字證書的一種信息技術(shù)處理，類似與傳統(tǒng)的手寫簽名保證信息的不可抵賴性常用PKI名詞說明7：SSLSecure Socket Layer 安全套接字層(SSL)是一個工業(yè)標(biāo)準(zhǔn)協(xié)議， 對應(yīng)于七層網(wǎng)絡(luò)模型中的會話層，它使得公開密鑰技術(shù)在其中發(fā)揮了重要作用。 8：SET是由Visa國際組織和萬事達組織共同制定的一個能保證通過開放網(wǎng)絡(luò)(包括I

16、nternet)進行安全資金支付的技術(shù)標(biāo)準(zhǔn) 。9 9：對稱加密算法對稱加密算法對稱加密算法中解密和解密使用的是同一個密鑰。對稱密鑰密碼體制是從傳統(tǒng)的簡單置換、替代密碼發(fā)展而來的，對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類：常用的對稱加密算法有：RC4、RC2、IDEA、CAST。 1010：非對稱加密算法非對稱加密算法非對稱加密算法又被稱之為公開密鑰算法，因為算法要求公開公私鑰對中的公鑰給他人。它要求密鑰成對出現(xiàn)，一個為公開密鑰，一個為私有密鑰，而且不可能從公開密鑰推導(dǎo)出私有密鑰，用公開密鑰加密的信息只能用私有密鑰解密，反之亦然。除加密功能之外，公鑰系統(tǒng)還可提供數(shù)字簽名。公鑰加

17、密算法主要有：RSA、Fertezza、ECC(橢圓曲線)等。證書相關(guān)知識數(shù)字證書的概念數(shù)字證書的內(nèi)容數(shù)字證書的存放方式公鑰證書（數(shù)字證書）公鑰證書的概念n將特定實體的身份（名稱及其他有關(guān)該實體的屬性）與相應(yīng)公鑰綁定（暗含與私鑰綁定）的被簽名的數(shù)據(jù)文件 公鑰證書由CA簽發(fā)證書用CA的公鑰驗證證書，通過證書驗證，確認(rèn)證書的信任關(guān)系證書可用來確定身份，傳遞信任關(guān)系和傳送公鑰 數(shù)字證書的內(nèi)容序列號序列號頒發(fā)者唯一識別名頒發(fā)者唯一識別名有效期有效期主體唯一識別名主體唯一識別名主體公鑰主體公鑰密鑰密鑰/證書用途證書用途擴展域擴展域CA簽名簽名數(shù)字摘要數(shù)字摘要CA私鑰私鑰數(shù)字簽名數(shù)字簽名身份證與數(shù)字證書的

18、比較Distinguished Name: Brian LiuSerial number:484865Issued by:ABC corp CAIssue date:1997 01 02Expiration date: 1999 01 02Public key: 38ighwejb38ighwejbDigital Signature: hwefdsafhwefdsaf證書存放方式的介紹硬盤軟盤存儲卡智能卡PKI基本技術(shù)手段標(biāo)準(zhǔn)信息： 證書的版本號證書的序列號簽名算法標(biāo)識符發(fā)證機關(guān)信息：（略） 證書有效期 開始日期 終止日期申請人信息：（略） 申請人公鑰發(fā)證機關(guān)簽名 申請人公鑰發(fā)證機關(guān)簽名擴充信

19、息：證書專門用途、種類、等級等。注解： 申請人公鑰包括兩部分： l 公鑰算法l 公鑰信息 機關(guān)簽名包括兩部分 l 簽名算法l 簽名文件證書版本號證書版本號，用來指定證書采用的標(biāo)準(zhǔn)格式（如X.509）的版本號。證書序列號證書序列號，用來指定證書的唯一序列號，標(biāo)識CA（認(rèn)證中心）發(fā)出的所有公鑰證書序列。簽名算法標(biāo)識簽名算法標(biāo)識，根據(jù)現(xiàn)代密碼學(xué)的“算法公開，密鑰保密”的基本原則，這里列出該CA（認(rèn)證中心）所使用的簽名算法標(biāo)識名。證書有效期、起始日期、終止日期證書有效期、起始日期、終止日期，用來指定證書的起始日期和終止日期。用戶信息用戶信息，用來指定證書用戶的唯一標(biāo)識名DN用戶公鑰信息用戶公鑰信息，用

20、來指定公鑰使用的算法和本證書擁有的公鑰信息本身。發(fā)證機關(guān)簽名發(fā)證機關(guān)簽名，CA（認(rèn)證中心）用自己的密鑰和本證書的信息通過上述簽名算法獲得的數(shù)字簽名信息。PKI基本技術(shù)手段 加密是指使用密碼算法密碼算法對數(shù)據(jù)做變換，使得只有密碼持有人才能恢復(fù)數(shù)據(jù)面貌，其目的是防止信息的非授權(quán)泄露 。 對稱加密算法對稱加密算法對稱密碼算法是加密密鑰和解密密鑰相同，其優(yōu)點是保密強度高、計算開銷小、處理速度快，但密鑰管理困難。對稱密鑰密碼體制是從傳統(tǒng)的簡單置換、替代密碼發(fā)展而來的，對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類，常用的對稱加密算法有：RC4、RC2、IDEA、CAST。 非對稱加密算法非對

21、稱加密算法非對稱密碼算法是加密密鑰和解密密鑰不同，它要求密鑰成對出現(xiàn)，每個用戶都有兩個密鑰，一個為公開密鑰，一個為私有密鑰，因為算法要求公開公私鑰對中的公鑰給他人，而且不可能從公開密鑰推導(dǎo)出私有密鑰，用公開密鑰加密的信息只能用私有密鑰解密，反之亦然。該算法的計算開銷大、處理速度慢，但其優(yōu)點是便于密鑰的分發(fā)和管理，便于數(shù)字簽名（用公鑰加密，用私鑰解密，可實現(xiàn)多個用戶的加密信息只能由一個用戶解讀，這用于保密通信；若以私鑰加密，公鑰解密，可實現(xiàn)一個用戶的加密信息而由多個用戶解密，是用于數(shù)字簽名）。公鑰加密算法主要有：RSA、Fertezza、ECC(橢圓曲線)等 摘要算法摘要算法也稱雜湊（HASH）

22、算法，特點是很容易把明文變成密文，但很難把密文轉(zhuǎn)成明文，該密文稱HASH值，或稱“數(shù)據(jù)摘要”。摘要算法的核心是單向散列函數(shù)，這種函數(shù)可以將任意長度的信息轉(zhuǎn)變?yōu)楣潭ㄩL度的散列值，而通過輸出的信息求取輸入的信息是辦不到的。單向散列函數(shù)除了不可逆性之外，還具有無碰撞性，任意兩個信息的散列值幾乎不可能一樣。摘要算法主要運用在保護信息的完整性上，常用的摘要算法有MD2、 MD5、SHA等。PKI基本技術(shù)手段應(yīng)用門戶應(yīng)用門戶口令信息簽名驗證簽名身份認(rèn)證：身份認(rèn)證：即確認(rèn)實體為自己所聲明的身份，鑒別身份的真?zhèn)巍Ｈ缟蠄D，雙方建立安全連接，互換證書，彼此去CA公開的目錄服務(wù)器驗證證書的有效性，確認(rèn)后，用戶將自己

23、的用戶名、密碼等用自己的私鑰簽名送給保險門戶，保險門戶用獲得的用戶的證書所含的公鑰來驗證用戶的數(shù)字簽名，如果該簽名談過驗證，則證明用戶所聲明的身份是確實無誤的。PKI基本技術(shù)手段 數(shù)據(jù)完整性：數(shù)據(jù)完整性：就是確保數(shù)據(jù)在傳輸或者存儲的過程中沒有別修改，利用摘要算法數(shù)字簽名來實現(xiàn)。先對信息進行摘要處理，然后對摘要的值作數(shù)字簽名附在原始數(shù)據(jù)后面一起發(fā)送。如果數(shù)據(jù)被篡改，驗證就會失敗，反之則說明數(shù)據(jù)完整。數(shù)據(jù)保密性：數(shù)據(jù)保密性：數(shù)據(jù)保密性服務(wù)目標(biāo)是除了指定的實體外，其它沒有經(jīng)過授權(quán)的人不能讀出或者看得懂該數(shù)據(jù)。這里采用的“數(shù)字信封”機制，特點是講對稱加密的快速和非對稱加密的方便很好的結(jié)合了起來。發(fā)送方

24、先產(chǎn)生一個對稱密鑰，并利用該對稱密鑰加密敏感數(shù)據(jù)，同時，發(fā)送方利用接受方的公鑰加密此對稱密鑰，好像裝入了一個“數(shù)字信封”里面，然后將被加密的對稱密鑰和被此對稱密鑰加密的敏感數(shù)據(jù)一起發(fā)送給接受方，接受方先用自己的私鑰解開數(shù)字信封得到對稱密鑰，然后在用對稱密鑰解開加密的數(shù)據(jù)，其它沒有授權(quán)的人沒有拆開數(shù)字信封的私鑰所以看不見或者讀不懂?dāng)?shù)據(jù)，這就起到了數(shù)據(jù)保密性的作用。PKI基本技術(shù)手段數(shù)字簽名技術(shù)：數(shù)字簽名技術(shù)：一般A用HASH算法對一段信息進行加工產(chǎn)生HASH值（即摘要信息），再用數(shù)字簽名規(guī)定的算法進行私鑰加密形成數(shù)字簽名，將該段信息原文與數(shù)字簽名一起傳到B，B用A的公鑰對A的數(shù)字簽名進行解密產(chǎn)生

25、原文的HASH值，B同時用HASH算法對傳送過來的原文求HASH值（即摘要信息），用兩個HASH值進行比較驗證數(shù)字簽名；另一種數(shù)字簽名方法是對需保密的短信息，A用私鑰對原文通過簽名規(guī)定的加密算法產(chǎn)生數(shù)字簽名信息和時間戳一起傳到B，B用A的公鑰解密，加上時間戳來驗證數(shù)字簽名。從上可以看出，每次數(shù)字簽名都與該次信息結(jié)合，不能移到另一段信息上 。需要注意的是，數(shù)字簽名能保證數(shù)據(jù)來源的不可抵賴，保證了數(shù)據(jù)沒有被未經(jīng)授權(quán)的人修改過，但是不能夠保證數(shù)據(jù)不被未經(jīng)授權(quán)的人閱讀。PKI基本技術(shù)手段 SSL是被設(shè)計用來保證信息安全的一個協(xié)議，它依賴于可靠的TCP協(xié)議來傳輸數(shù)據(jù)。它的特點之一是獨立于上層的應(yīng)用層協(xié)議

26、(如：HTTP，F(xiàn)TP，TELNET等)，這些應(yīng)用層協(xié)議可以透明使地用SSL協(xié)議。SSL協(xié)議可以協(xié)商一個對稱加密算法和會話密鑰，同時可以在通信之前認(rèn)證服務(wù)器的合法性。SSL協(xié)議提供了一種“管道式安全”，它具有三個特征： l 管道是保密的，保密性是通過使用加密技術(shù)來保證的，在通過一個簡單的握手過程之后獲得一個共同的密鑰，作為對稱加密算法的密鑰。 l 管道是認(rèn)證過的，服務(wù)器端總是需要把自己的證書遞交給客戶端，以便客戶端對服務(wù)器進行認(rèn)證。服務(wù)器可以選擇是否需要客戶端遞交證書。 l 管道是可靠的，消息的傳輸包含了消息完整性檢查。 SSL協(xié)議實際上由兩個協(xié)議構(gòu)成，位于下面的一層為SSL記錄協(xié)議（SSL

27、Record Protocol），其上為SSL控制協(xié)議(SSL Control Protocols)，SSL記錄協(xié)議用于封裝上層發(fā)送和接收的所有數(shù)據(jù)，當(dāng)然包括 SSL控制協(xié)議的數(shù)據(jù)， SSL控制協(xié)議包含： SSL握手協(xié)議(SSL Handshake Protocol) SSL密鑰交換協(xié)議(SSL Change Ciphers Specification) SSL報警協(xié)議(SSL Alert Protocol) PKI基本技術(shù)手段SSL的握手過程是建立SSL的主要加密和安全參數(shù)的過程，它是SSL的控制協(xié)議執(zhí)行的控制功能。握手過程體現(xiàn)在瀏覽器使用HTTPS訪問WEB服務(wù)器時，包括以下步驟： 1 瀏

28、覽器向安全WEB服務(wù)器發(fā)出一個HTTPS的請求，比如：https:/。 2 該WEB服務(wù)器將它的證書遞交給瀏覽器的SSL模塊。 3 瀏覽器檢查服務(wù)器遞交的證書的有效性，比如有效日期和證書的簽名等。如果該證書不是被一個瀏覽器已經(jīng)信任的發(fā)證結(jié)構(gòu)（CA）簽發(fā)的證書，瀏覽器將彈出一個對話框來提示用戶是否信任該WEB站點證書。如果用戶選擇不信任該證書，瀏覽器會選擇自動中止該連接。 4 瀏覽器將把從WEB站點證書里取得的站點名稱和瀏覽器的URL 里的域名相對照，如果相符，瀏覽器將認(rèn)為站點為真正的站點。 5 瀏覽器將自己支持的一系列算法發(fā)送給服務(wù)器。 6 如果服務(wù)器需要客戶端遞交證書，瀏覽器將把自己的證書發(fā)

29、送給服務(wù)器，服務(wù)器檢查遞交的證書，并且檢查該證書是否為自己已經(jīng)信任的發(fā)證機構(gòu)（CA）發(fā)放的證書。如果不是，服務(wù)器將自動中止該次連接。 7 7 服務(wù)器端選擇自己和客戶端共同支持的加密算法，然后發(fā)送給客戶端。 8 瀏覽器產(chǎn)生一個會話密鑰，然后把該密鑰通過服務(wù)器的公鑰加密后傳給服務(wù)器。 9 服務(wù)器接收到該加過密的會話密鑰后用自己的私鑰解密，得到會話密鑰的明文。1010 客戶端和服務(wù)器使用剛才協(xié)商的會話密鑰對應(yīng)用層的數(shù)據(jù)進行加解密，對傳輸?shù)臄?shù)據(jù)進行安全保護。CFCA的特點：第三方的權(quán)威的CA，立足于銀行，為社會各界提供PKI服務(wù)：技術(shù)水平領(lǐng)先，國際主流技術(shù)，核心加密模塊本地化：靈活多樣的證書和應(yīng)用支持

30、普通證書/高級證書等適應(yīng)不同的應(yīng)用環(huán)境高級證書的安全代理Direct應(yīng)用完全基于瀏覽器和SSL協(xié)議基礎(chǔ)上改進的Truepass應(yīng)用方便用戶開放集成的Toolkits工具提供各種環(huán)境的證書應(yīng)用API 合作伙伴眾多完善的PKI服務(wù)支持：較好的解決了電子商務(wù)中的安全問題和支付問題：良好的背景和用戶群CFCA典型應(yīng)用案例CFCA典型應(yīng)用案例網(wǎng)上銀行業(yè)務(wù)是指商業(yè)銀行將其傳統(tǒng)的柜臺業(yè)務(wù)拓展到INTERNET上，用戶訪問其Web Server進行在線的實現(xiàn)查詢、轉(zhuǎn)帳、匯款、支付等業(yè)務(wù)。 用戶對其發(fā)出的指令用其簽名私鑰進行簽名，銀行校驗簽名，并且保存此次簽名，從而使銀行用戶所發(fā)出的指令具有不可抵賴性，簽名及校

31、驗的過程保證了用戶指令的真實性和完整性；用戶發(fā)出的交易內(nèi)容用指定銀行的公鑰進行加密，銀行用銀行私鑰才能解秘，此環(huán)節(jié)保證了銀行指令信息的私密性。這樣在整個交易的過程中確保了網(wǎng)上信息安全。 網(wǎng)銀的證書應(yīng)用也分證書管理和證書應(yīng)用兩部分 RA一般設(shè)立在銀行的總部，也是多層的結(jié)構(gòu)，其證書管理使用操作員證書進行證書相關(guān)的管理操作。 證書應(yīng)用是和其網(wǎng)銀應(yīng)用結(jié)合在一起，將安全部分嵌入到網(wǎng)銀中，這中間包括互相交換證書、驗證身份、建立安全通道、加密、數(shù)字簽名等等應(yīng)用操作 在網(wǎng)上銀行的證書應(yīng)用模式當(dāng)中，大同小異，真正的差別還是在于其業(yè)務(wù)的應(yīng)用CFCA典型應(yīng)用案例n客戶端和銀行服務(wù)器端各自自動進行黑名單（CRL）查詢

32、，減少交易風(fēng)險。n雙重密鑰（加密密鑰、簽名密鑰），支持?jǐn)?shù)字簽名的不可否認(rèn)性n高強度加密機制（對稱128位，非對稱1024位），數(shù)據(jù)傳輸保密性強。n具有完善的密鑰和證書生命周期管理，客戶端證書到期前，可自動進行更新，不需人工辦理任何手續(xù)，極大的方便了用戶。n客戶端、服務(wù)器端操作簡便，透明性強。CFCA典型應(yīng)用案例CFCA典型應(yīng)用案例證書簽發(fā)中心CA與國稅系統(tǒng)的網(wǎng)絡(luò)連接采用DDN專線的方式 證書發(fā)放管理由操作員(LRA)來進行，只要具有操作員證書及可以上網(wǎng)的條件就可以安全的連接到RA系統(tǒng)大致的制證流程如下操作員安全登錄到RA系統(tǒng)輸入需要制作證書的納稅人識別號RA系統(tǒng)將相關(guān)的請求發(fā)送到國稅發(fā)行平臺查

33、詢并返回相關(guān)信息CA系統(tǒng)接收制證請求并簽發(fā)證書操作員獲得證書存放到軟盤中封裝并準(zhǔn)備分發(fā) CFCA典型應(yīng)用案例CFCA典型應(yīng)用案例認(rèn)證中心子系統(tǒng)：實現(xiàn)數(shù)字證書的發(fā)放與管理證書管理系統(tǒng)（RA）：負(fù)責(zé)定制認(rèn)證中心的全部或部分安全策略、證書管理流程等關(guān)鍵部分，是最終用戶、管理員和CA系統(tǒng)交流的紐帶。證書應(yīng)用平臺（NetSafe/NetSign）：實現(xiàn)通信中的身份認(rèn)證、加密和數(shù)字簽名 CFCA提供一整套基于PKI體系的應(yīng)用安全解決方案，使用戶能夠使用硬件存儲方式的證書（USB KEY或IC卡等）實現(xiàn)身份認(rèn)證、訪問控制、信息通信的保密性、信息的完整性和抗抵賴性，并支持常用的瀏覽器，B/S架構(gòu)，與業(yè)務(wù)無縫結(jié)

34、合，操作簡單、透明。 身份認(rèn)證、訪問控制、信息通信的保密性通過CFCA的SSL安全代理通道產(chǎn)品NetSafe Server來實現(xiàn)，而信息的完整性和抗抵賴性則通過CFCA的數(shù)字簽名產(chǎn)品NetSign來實現(xiàn)的。何為電子簽名電子簽名：（Electronic Signature）以電子形式存在，依附于文件并與其具有邏輯相關(guān)性，可以用來辨認(rèn)電子文件簽署人的身份 。電子簽名有多種技術(shù)實現(xiàn)手段，以PKI/CA技術(shù)為基礎(chǔ)的數(shù)字簽名是目前電子簽名的主要應(yīng)用形式。數(shù)字簽名：（Digital Signature）專指使用非對稱性（asymmetric）即公開密鑰密碼技術(shù)所制作的電子簽名。 電子簽名的有效性電子簽名有

35、效性的法律保障n電子簽名是否具有法律效力？n簽名人具有怎樣的權(quán)利和義務(wù)？n出現(xiàn)糾紛是能否作為舉證依據(jù)？n電子簽名的安全性和可靠性有無法律保障？關(guān)于電子簽名法2004年8月26日 電子簽名法正式頒布n確立了電子簽名的法律效力n規(guī)范電子簽名的行為n明確CA認(rèn)證機構(gòu)的法律地位及認(rèn)證程序n規(guī)定電子簽名的安全保障措施n規(guī)定于2005年4月1日起施行電子簽名的法律效力和簽名行為確認(rèn)電子簽名的合法性、有效性n“可靠的電子簽名與手寫簽名或者蓋章具有同能的法律效力”何為“可靠的電子簽名”n電子簽名制作數(shù)據(jù)（簽名私鑰）用于電子簽名時，屬于電子簽名人專有n簽署時電子簽名制作數(shù)據(jù)（簽名私鑰）僅由電子簽名人控制n簽署后

36、對電子簽名的任何改動能夠被發(fā)現(xiàn)n簽署后對數(shù)據(jù)電文內(nèi)容（所簽署內(nèi)容）和形式的任何改動能夠被發(fā)現(xiàn)關(guān)于電子簽名法電子簽名法中對電子簽名效力的規(guī)定n確立的電子簽名的法律地位n何為可靠的電子簽名？w簽名私鑰屬于簽名人專有w簽名私鑰僅由簽名人控制w簽署后的對電子簽名的任何改動能夠被發(fā)現(xiàn)w簽署后對所簽署電子文檔的內(nèi)容、形式的改動能夠被發(fā)現(xiàn)關(guān)于電子簽名法電子簽名法中對C A的規(guī)定n國際上對CA的三種管理方式w行業(yè)自律w政府管制行業(yè)自律w政府管制n中國采取完全的方式wCA機構(gòu)應(yīng)獲得國家信息主管部門的許可證wCA機構(gòu)應(yīng)到工商部門辦理企業(yè)登記手續(xù)CPS、電子簽名法、爭議處理電子簽名法、爭議處理 證書使用各方和CFC

37、A的責(zé)任及義務(wù)，在CFCA發(fā)布的CPS中已有明確的定義， CPS的描述，視為CFCA對證書運作規(guī)則（包含電子簽名合法性）的申明。視為CFCA對證書運作規(guī)則（包簽名合法性）的申明。發(fā)生否認(rèn)性糾紛時，證書應(yīng)用單位向客戶發(fā)生否認(rèn)性糾紛時，證書應(yīng)用單位向客戶和仲裁及執(zhí)法部門出示的證據(jù)應(yīng)包括：和仲裁及執(zhí)法部門出示的證據(jù)應(yīng)包括： 1 1、客戶對此次交易進行確認(rèn)的數(shù)字簽名、 交易時間戳。 2 2、該客戶的數(shù)字證書。 3 3、應(yīng)用單位對該客戶的數(shù)字證書申請和審核的原始材料。 4 4、如果客戶的證書已被注銷，應(yīng)用單位提供對該張客戶證書注銷的原始材料（含注銷時間）。 5 5、仲裁及執(zhí)法部門要求出示的其它證據(jù) CA

38、CA應(yīng)提供的資料應(yīng)提供的資料: :1 1、簽發(fā)該張客戶證書的CA證書。2 2、該張證書在交易發(fā)生時，在或不在CFCA 發(fā)布的證書廢止列表內(nèi)的證明。3 3、為交易提供時間戳服務(wù)的時間服務(wù)器證書CFCACFCA應(yīng)承擔(dān)的技術(shù)義務(wù)應(yīng)承擔(dān)的技術(shù)義務(wù): :1 1、協(xié)助使用單位對證書、數(shù)字簽名、時間戳的真實性、有效性進行技術(shù)確認(rèn)2 2、為仲裁及執(zhí)法部門提供第1點所述的技術(shù)義務(wù)3 3、為仲裁及執(zhí)法部門提供其所需且應(yīng)由CFCA承擔(dān)的其它技術(shù)義務(wù)。CPS、電子簽名法、爭議處理電子簽名法、爭議處理每一張數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的并被廣泛認(rèn)可的根認(rèn)證中心（根CA）。各級CA

39、認(rèn)證機構(gòu)的存在組成了整個電子商務(wù)的信任鏈 。CA的權(quán)威性、公正性和可信賴性保證用戶證書的合法性CFCA具有權(quán)威性、公正性和可信賴性 電子簽名法的通過將使CFCA的權(quán)威性將得到進一步的法律保障 CPS、電子簽名法、爭議處理電子簽名法、爭議處理證書本身的唯一性 證書和用戶應(yīng)用系統(tǒng)ID綁定 查黑名單消除懷疑認(rèn)證建立的過程防止了認(rèn)證錯誤私鑰保護CPS、電子簽名法、爭議處理電子簽名法、爭議處理 證書使用各方的權(quán)利義務(wù)關(guān)系 圍繞證書的使用，本項目中主要涉及三方當(dāng)事人：CFCA、應(yīng)用提供者及最終用戶。其中，CFCA是一個權(quán)威、可信的第三方，負(fù)責(zé)提供證書服務(wù)。對于應(yīng)用提供者有兩個角色，一是作為CFCA證書的申

40、請審批機構(gòu)，即RA，主要負(fù)責(zé)核實最終用戶的身份，并向CFCA提交證書申請；二是作為證書用戶，申請服務(wù)器證書保證應(yīng)用提供者網(wǎng)站安全。對于最終用戶，是一般證書用戶，要保證提交真實的證書申請信息，在拿到證書后應(yīng)保護好證書口令并通過證書進行網(wǎng)上交易 CFCA和應(yīng)用提供者RA，除了通過有關(guān)RA的申請、建設(shè)、驗收等規(guī)范來保證證書發(fā)放的安全性外，雙方的權(quán)利義務(wù)關(guān)系是在CPS基礎(chǔ)上通過簽定CFCA RA協(xié)議（見7.3）來確定的。CFCA和證書最終用戶之間也有一系列申請、使用、撤消、恢復(fù)等標(biāo)準(zhǔn)流程，雙方的權(quán)利義務(wù)關(guān)系也是在遵循CPS基礎(chǔ)上通過CFCA數(shù)字證書責(zé)任書（7.5）來規(guī)定的。如果三方之間就證書使用出現(xiàn)爭

41、議，解決辦法參見5.3.6爭議解決及賠償。 CFCA相關(guān)附件數(shù)字證書責(zé)任書數(shù)字證書責(zé)任書銀聯(lián)金融認(rèn)證中心有限公司（以下簡稱CFCA）作為權(quán)威的第三方數(shù)字證書認(rèn)證機構(gòu)，通過設(shè)在CFCA的數(shù)字證書審批受理點為用戶發(fā)放數(shù)字證書。數(shù)字證書是一個包含用戶身份信息以及公開密鑰等相關(guān)信息的電子文件，是各實體在網(wǎng)上進行信息交流及商務(wù)活動的電子身份證。CFCA通過對數(shù)字證書進行數(shù)字簽名保證其正確性與唯一性，并通過基于數(shù)字證書的密碼機制為各種網(wǎng)上交易提供信息安全保障。使用CFCA數(shù)字證書的用戶應(yīng)遵守并享有下述義務(wù)和權(quán)利：一、用戶在申請數(shù)字證書時請遵照CFCA的規(guī)程辦理手續(xù)。用戶一旦接受數(shù)字證書，即表明用戶同意本責(zé)

42、任書的所有規(guī)定。二、用戶應(yīng)遵循誠實、信用原則，提供真實的資料。因故意或過失提供不真實資料，即用戶未能公開實質(zhì)性的事實，導(dǎo)致CFCA簽發(fā)的數(shù)字證書不實，由此造成的損失CFCA不承擔(dān)相關(guān)責(zé)任。三、在經(jīng)過CFCA的證書受理人員審核、錄入后，用戶即可獲得供數(shù)字證書下載用的密碼信封。用戶應(yīng)妥善保管密碼信封，親自打開并用其中的密碼從CFCA下載數(shù)字證書。四、用戶獲得的供數(shù)字證書下載用的密碼信封中，密碼的有效期為14天。如果在規(guī)定時間內(nèi)沒有下載數(shù)字證書，用戶需要到CFCA重新辦理。五、申請數(shù)字證書的用戶須使用經(jīng)合法途徑獲得的應(yīng)用軟件。否則因此引起的后果，CFCA不承擔(dān)相關(guān)責(zé)任。 六、CFCA發(fā)放的數(shù)字證書只能用于授權(quán)的和合法的目的，若用戶的數(shù)字證書用于其它用途，CFCA不承擔(dān)相關(guān)的任何責(zé)任。CFCA相關(guān)附件 七、 用戶應(yīng)當(dāng)妥善保管CFCA中心所簽發(fā)的數(shù)字