電子商務安全導論11

2023/2/1第11章國內CA認證中心及CFCA金融認證服務相關業(yè)務規(guī)則2023/2/111.1中國金融認證中心（CFCA）111.1.1CFCA簡介中國金融認證中心（ChinaFinancialCertificationAuthority，CFCA）是由中國人民銀行牽頭，聯合中國工商銀行、中國農業(yè)銀行、中國銀行、中國建設銀行、交通銀行、中信實業(yè)銀行、光大銀行、招商銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、民生銀行、福建興業(yè)銀行、上海浦東發(fā)展銀行等14家全國性商業(yè)銀行共同建立的國家級權威金融認證機構，是國內惟一一家能夠全面支持電子商務安全支付業(yè)務的第三方網上信任服務機構。中國金融認證中心專門負責為電子商務的各種認證需求提供數字證書服務，采用基于PKI（公鑰基礎設施）技術的雙密鑰機制。中國金融認證中心的建立是我國電子商務走向成熟的重要里程碑，尤其是對我國網上銀行、電子商務的深入發(fā)展起著巨大的推動作用。11.1中國金融認證中心（CFCA）211.1.2CFCA體系結構CFCA認證系統采用國際領先的PKI技術，總體為三層CA結構，第一層為根CA；第二層為政策CA，可向不同行業(yè)、領域擴展信用范圍；第三層為運營CA，根據證書運作規(guī)范（CPS）發(fā)放證書。運營CA由CA系統和證書注冊審批機構（BA）兩大部分組成。CA系統：承擔證書簽發(fā)、審批、廢止、查詢、數學簽名、證書/黑名單發(fā)布、密鑰恢復與管理、證書認定和政策制定。CA系統設在CFCA本部，不直接面對用戶。RA系統：直接面向用戶，負責用戶身份申請審核，并向CA申請為用戶轉發(fā)證書。RA系統一般設置在商業(yè)銀行的總行、證券公司、保險公司總部及其它應用證書的機構總部，受理點（LRA）設置在商業(yè)銀行的分/支行、證券、保險營業(yè)部及其他應用證書機構的分支機構。RA系統可方便集成到其業(yè)務應用系統。CFCA認證系統在滿足高安全性、開放性、實用性、高擴展性、交叉認證等需求的同時，從物理安全、環(huán)境安全、網絡安全、CA產品安全以及密鑰管理和操作運營管理等方面均按國際標準制定了相應的安全策略；專業(yè)化的技術隊伍和完善運營服務體系，確保系統7*24小時安全高效、穩(wěn)定運行。11.1.3CFCA數字證書服務1，CFCA數字證書：是CFCA用其私鑰進行了數字簽名的包含用戶身份、公開密鑰、有效期等許多相關信息的權威性的電子文件，是各實體在網上的電子身份證。它遵循ITUX.509V3國際標準規(guī)范，采用雙密鑰和高強度雙向認證機制，具有證書自動更新、密鑰備份、黑名單在線自動查詢等功能。2，CFCA證書種類：企業(yè)高級證書、個人高級證書、企業(yè)普通證書、個人普通證書、服務器證書、手機證書、安全E-MAIL證書、VPN設備證書、代碼簽名證書。3，PKI服務：PKI是基于公鑰算法和技術，為網上通信提供安全服務的基礎設施。是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心元素是數字證書，核對執(zhí)行者是CA認證機構。實體鑒別、數據的保密性、數據的真實性和完整性、不可否認證、證書審批發(fā)放、密鑰歷史記錄、時間戳、密鑰備份與恢復、密鑰自動更新、黑名單實時查詢、支持交叉認證。4，企業(yè)、個人如何獲得CFCA證書用戶可以到所有CFCA授權的證書審批機構（RA）申請證書，申請者一般需提供有關開戶賬號、身份證/組織機構代碼，郵件地址等有效信息，RA審核通過后給用戶參考號、授權碼作為獲得證書的憑據。用戶在得到參考號授權碼后，可以自行登錄CFCA網站獲得證書，也可以使用RA提供的其他更為簡便的方式獲得證書。證書的存儲介質可以是軟盤、硬盤，但更為安全的方式是使用智能卡或USB-KEY存放。2023/2/111.1中國金融認證中心（CFCA）311.1.4主要應用項目目前CFCA已在國內十余家核心商業(yè)銀行、近20家券商建成覆蓋全國的認證服務體系，業(yè)務領域已延伸至銀行、證券、稅務、保險、企業(yè)集團、政府機構、電子商務平臺等金融和非金融行業(yè)。11.1.5發(fā)展歷程11.1.6CFCA證書注冊審批機構（RA)銀行系統：中國工商銀行、中國農業(yè)銀行、中國建設銀行、交通銀行、中信實業(yè)銀行、中國光大銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、中國民生銀行、興業(yè)銀行、上海浦發(fā)銀行、華一銀行（合資銀行）、中國人民銀行上海分行、武漢市商業(yè)銀行、寧波市商業(yè)銀行、溫州市商業(yè)銀行、柳州市商業(yè)銀行。證券系統：山西證券公司、黃河證券公司、福建省閩發(fā)證券公司、江門證券有限公司、蔚深證券公司、海南港海岸國際信托投資有限公司、湘財證券有限責任公司、華鑫證券有限責任公司、中富證券有限責任公司、國都證券有限責任公司、金信證券有限責任公司、興業(yè)證券股份有限公司、中信證券公司、新華證券有限責任公司、新時代證券有限責任公司、興安證券有限公司。其他：深圳金融電子結算中心、中國銀聯股份有限公司大連分公司、中國銀聯股份有限公司夏門分公司。11.1.7典型應用1，網上銀行2，網上證券3，網上申報與繳稅4，網上企業(yè)購銷5，安全移動商務（WAP/短信息）6，企業(yè)級VPN部署7，基于數字簽名的安全E-MAIL、安全文檔管理系統8，基于數字簽名的TruePass系統9，CFCA時間戳服務2023/2/111.2中國電信CA安全認證系統（CTCA）111.2.1CTCA概況中國電信CA安全認證系統（簡稱CTCA）于2000年5月12日正式向社會發(fā)放CA證書，并向社會免費公布CTCA安全認證系統的接口標準。系統可以為應用系統提供兩種黑名單查詢方式，即OCSP方式和CRL方式，其中OCSP方式為用戶提供實時的證書狀態(tài)查詢服務，而CRL方式定期為用戶提供證書黑名單列表。中國電信CFCA系統有一套完善的證書發(fā)放體系和管理制度。體系采用三級管理結構：全國CA安全認證中心（包括全國CTCA中主、CTCA湖南備份中心）、省級RA中心，以及地市業(yè)務受理點。11.2.2CTCA的組成及功能組成：全國CA中心、省RA中心系統、地市級業(yè)務受理點。CA中心的功能是：（1）簽發(fā)自簽名的根證書；（2）審核和簽發(fā)其他CA系統的交叉認證證書；（3）向其他CA系統申請交叉認證證書；（4）受理和審核各RA機構的申請；（5）為RA機構簽發(fā)證書；（6）潤滑處理各RA服務器的證書業(yè)務請求；（7）簽發(fā)業(yè)務證書和證書作廢表；（8）管理全系統的用戶和證書資料；（9）維護全系統的OCSP查詢數據。2023/2/111.2中國電信CA安全認證系統（CTCA）211.2.2CTCA的組成及功能2RA中心的功能是：（1）受理用戶證書業(yè)務；（2）審核用戶身份；（3）為審核通過的用戶生成密鑰對；（4）向CA中心申請簽發(fā)證書；（5）將證書和私鑰灌入IC卡后分發(fā)給受理中心、受理點或用戶；（6）管理本地OCSP服務器，并提供證書狀態(tài)的實時查詢；（7）管理本地用戶資料。受理點的功能是：（１）管理所轄受理點用戶資料；（２）受理用戶證書業(yè)務；（３）審核用戶身份；（４）向受理中心或ＲＡ中心申請簽發(fā)證書；（５）將ＲＡ中心或受理中心制作的證書介質分發(fā)給用戶。11.2.3CTCA數字證書業(yè)務簡介1，安全電子郵件證書：是指個人用戶收發(fā)電子郵件時采用證書機制保證安全所必須具備的證書。它的申請不需要通過業(yè)務受理點，由用戶直接通過自己的瀏覽器完成。用戶的密鑰對由瀏覽器產生和管理，密鑰長512位。2，個人數字證書：是指個人使用電子商務應用系統應具備的證書。一般個人證書通過業(yè)務受理點申請，用戶的密鑰對由RA中心產生，長1024位。3，企業(yè)數字證書：是指單位、團體、企業(yè)作為被服務者，參與電子商務應用系統時應具備的證書。一般企業(yè)證書通過業(yè)務受理點申請，經業(yè)務受理點的審核操作員一次審核完成申請，密鑰對由RA中心產生，長1024位。4，服務器證書：通過業(yè)務申請。密鑰對由RA中心產生，長1024位。5，SSL服務器證書：是WebServer與瀏覽器用戶建立安全連接時所必須具備的證書。申請不需要通過業(yè)務受理點，用戶的密鑰對由相應的WebServer自己產生和管理，長512位。2023/2/111.3上海市電子商務安全證書管理中心（SHECA）11.3.1SHECA簡介上海市電子商務安全證書管理中心有限公司（簡稱SHECA），是信任服務和安全認證服務的專業(yè)提供商，通過提供在線的信任服務，為電子商務和網上作業(yè)保駕護航。SHECA是國內較早建立的CA認證中心，創(chuàng)建于1998年。SHECA提供了兩種證書系統：1，SET證書系統。該系統符合SET協議，其特點是交易和信用卡綁定。2，通用證書系統。該系統是結合國情自行設計開發(fā)的，其特點是人或實體綁定，不僅可用于支付型的電子商務，也可用于政府辦公網上作業(yè)。11.3.2SHECA證書簡介1SHECA的安全電子商務解決方案既擁有與國際接軌的、符合SET協議的SET證書系統，又擁有結合國內特點自行設計開發(fā)的通用證書系統。SHECA提供的數字證書按業(yè)務類型可分為SET證書（符合SET協議）和Universal證書（符合X.509標準，如SSL,S/MIME等）證書及特殊證書。數證書根據應用對象可將其分為：個人用戶證書、企業(yè)用戶證書、服務器證書和代碼證書。2023/2/111.3上海市電子商務安全證書管理中心（SHECA）211.3.2SHECA證書簡介21,證書結構和內容證書的結構編碼嚴格遵從X.509標準，它包含以下內容：（1）版本號（2）序列號（3）簽名算法（4）簽發(fā)機構（CA）信息。（5）證書有效期信息（起用和失效日期）（6）證書中公鑰信息（7）證書持有人信息（8）擴展項。E-MAIL地址、密鑰用途等。2，SHECA證書的ASN.1定義3，證書存放的介質：硬盤、軟盤、IC卡或加密卡加密機。4，證書兼容性檢測通過的軟件（1）WebServer（2）S/MIME5，證書相關技術標準對稱加密算法：128位非對稱加密算法1024位2023/2/111.3上海市電子商務安全證書管理中心（SHECA）311.3.3SHECA證書管理器的功能SHECA證書管理器是幫助用戶管理和使用數字證書的一個重要工具。它可以管理包括數字證書的申請、使用、存儲、讀寫等功能，同時還包括了基本的加密算法，以便供程序開發(fā)者使用。主要有如下功能：（1）支持用戶自己證書的申請、下載、查詢、更新、廢除，同時能對他人證書進行查詢及下載。支持其他中級證書的加入和根證書的更新及加入。（2）提供對所有數據或單個數據的導入或導出。（3）用戶自己證書的導入導出支持PKICS12，能和IE和Netscape交換證書密鑰。（4）支持證書驗證包括黑名單驗證、OCSP驗證，以及證書鏈的驗證。（5）支持一些緩存功能，減少網絡的操作，如黑名單緩存、證書鏈緩存等。（6）提供給應用程序的接口有良好的說明，并且能確實訪問到每一個證書。確保私鑰不被非法使用（必須要口令，不出接口）。2，證書管理器的特點：（1）方便管理用戶個人及他人證書，存儲介質多樣化。（2）同時SET證書和通用證書。（3）支持多種加密技術（如對稱加密、數字簽名等）（4）支持版本的自動升級（或提醒）。（5）具有良好的使用及安裝界面。3，證書管理器使用簡介證書管理將證書分為個人證書、他人證書和根證書，主要有如下操作：（1）個人證書睥操作：申請證書、添加個人證書、導出證書、導入證書、刪除證書、驗證證書、修改證書私鑰密碼、查看詳細信息、設置驗證方式等。（2）對他人證書的操作：添加他人證書、導出證書、導入證書、刪除證書、驗證證書、查看詳細信息、設置驗證方式、查找他人證書。（3）對根證書的操作：查看詳細信息、驗證證書、查找根證書。2023/2/111.4中國金融認證中心（CFCA）金融認證服務相關業(yè)務規(guī)則CFCA金融認證服務相關業(yè)務規(guī)則按電子商務中的角色不同可劃分為：網關（銀行）業(yè)務規(guī)則、商務（企業(yè)）業(yè)務規(guī)則、持卡人（個人）業(yè)務規(guī)則和中介機構業(yè)務規(guī)則。11.4.1網關（銀行）業(yè)務規(guī)則網關（銀行）業(yè)務規(guī)則根據其使用的證書以及在網上交易是否遵循SETCo標準分為SET標準支付網關業(yè)務規(guī)則和Non-SET標準銀行業(yè)務規(guī)則。11.4.2商戶（企業(yè)）業(yè)務規(guī)則商戶（企業(yè)）業(yè)務規(guī)則根據其使用的證