《认证中心》PPT课件.ppt

网上支付结算,10 认证中心,1.数字证书2.认证中心（CA）3.中国金融认证中心（CFCA）4.证书格式标准5.认证管理及相关法规,在传统商务与电子商务中，均存在对贸易伙伴身份的确定与认证问题。只有清楚贸易伙伴的真实身份，商务才有进一步开展的基础。特别是在电子商务中，由于网络上是非面对面的交易，那么验证贸易对方的身份就显得十分必要。比如在网上支付中对收款人或付款人身份的认证，若客户把钱付给了一个假冒的工商银行，自己还不知道被骗了，就会带来损失。如何在Internet上识别对方身份，是电子商务交易中重要的一环，更是网上支付安全开展的首要问题。,网络诈骗,资料网上订票 谨防钓鱼网站.mp4资料网络购物小心“钓鱼”网站.f4v资料钓鱼网站视频.mp4,1.数字证书,1.1.数字证书的定义与工作原理传统的个人身份证明一般通过检验“物理物品”的有效性来确认持有者的身份。这类“物理物品”可以是身份证、护照、工作证、信用卡、驾驶执照、徽章等，其上往往含有与个人真实身份相关的易于识别的照片、指纹、视网膜影像等，并且具有权威机构（如公安机关）等发证机构的盖章。对于企业的身份，如在我国，则有工商局颁发的营业证书及印章等，只有通过工商局认定的企业才是合法经营者。,在电子商务中，网络业务是面向全球的，要求验证的对象数量以及区域范围也非常之大，因而增加了商务参与者身份验证的复杂性和实现的困难性。比如，在网络通信双方使用公开密钥加密之前，须先确认得到的公开密钥确实是对方的，也就是有一个身份确认的问题。最好的办法是双方面对面交换公开密钥，但这在实际中是不可行的，就像在前面的例子中，一个商家不可能和几百万个消费者都面对面地交换公开密钥。为能确认双方的身份，必须由网络上双方都信任的第三方机构（这个机构就是后面所述的数字证书认证中心CA）发行的一个特殊证书来认证。在电子商务中，通常是把传统的身份证书改成数字信息形式，由双方都信任的第三方机构发行和管理，以方便在网络社会上的传递与使用，进行身份认证，这就是数字证书。,所谓数字证书，英文为Digital Certification，是指利用电子信息技术手段，确认、鉴定、认证Internet上信息交流参与者的身份或服务器的身份，是一个担保个人、计算机系统或者组织（企业或政府部门）的身份，并且发布加密算法类别、公开密钥及其所有权的电子文档。可以说，数字证书是模拟传统证书（如个人身份证、企业营业证书等）的特殊数字信息文档。客户的数字证书可以证实该客户拥有一个特别的公钥，服务器证书则证实某个特定的公钥属于这个服务器。,数字证书的工作原理，就是信息接收方在网上收到发送方发来的业务信息的同时，还收到发送方的数字证书，这时通过对其数字证书的验证，可以确认发送方的真实身份。在发送方与接收方交换数字证书的同时，双方得到对方的公开密钥。由于公开密钥是包含在数字证书中的，且借助证书上数字摘要（缩略图）的验证，确信收到的公开密钥肯定是对方的。通过这个公开密钥，双方就可完成数据传送中的加/解密工作。数字证书由发证机构-数字证书认证中心（CA）发行。该机构负责在发行数字证书之前，证实个人或组织的身份和密钥所有权。一般情况下，证书要由社会上公认的公正的第三方的可靠组织发行。如果它签发的证书造成不恰当的信任关系，该组织就要承担责任。在网上支付结算中，必须认证结算各方的真实身份以及行为，否则会直接带来经济上的损失，因此数字证书在其中起着关键的作用。,1.2.数字证书的内容数字证书的具体内容与格式遵循国际流行的标准，其内容主要由基本数据信息和发行数据证书的CA签名与签名算法两部分组成。（1）数字证书的基本数据信息（8项）版本信息（Version）。用来区分X.509证书格式的版本。证书序列号（Serial Number）。每个由CA发行的数字证书必须有一个惟一的序列号，用于识别该证书。,CA使用的签名算法（Algorithm Identifier）。CA的数字摘要与公开密钥加密体制算法。证书颁发者信息（Issuer Unique Identifier）。发此证书者的CA信息。有效使用期限（Period of Validity）。本证书的有效期，包括起始、结束日期。证书主题或使用者（Subject）。证书与公钥的使用者的相关信息。公钥信息（Public Key Information）。公开密钥加密体制的算法名称、公钥的字符串表示（只适用于RSA加密体制）。其他额外的特别扩展信息。如增强型密钥用法信息、CRL分发点信息等。,（2）发行数字证书的CA签名与签名算法数字证书的内容还包括发行证书的CA机构的数字签名和用来生成数字签名的签名算法，即缩略图算法部分、缩略图。应用这个缩略图算法与缩略图数据，任何人收到这份数字证书后都能使用签名算法，验证数字证书是否是由该CA的签名密钥签署的，以保证证书的真实性与内容的真实性。,1.3.与网上支付相关的数字证书数字证书颁发机构（如认证中心CA）在检验确认申请用户的身份后，向用户（政府部门、企业、个人等）颁发数字证书，数字证书中包括上述用户基本数据信息，以及用户的公开密钥等重要信息，并由CA进行数字签名，以保证是真实的。目前网络上各种业务活动很多，数字证书几乎应用在所有的网上业务领域。这与网络业务与生活越来越普及、越来越被人们所接受相关，而数字证书是保证这些网络业务可以安全可靠进行的重要手段。例如，安全电子交易协议、电子邮件安全协议都是以数字证书为技术基础的。,在电子商务网上支付结算中，数字证书在保证网上支付安全中是不可缺少和不可替代的。像信用卡、电子支票、网络银行等这些网上支付方式的应用安全都需要数字证书的参与。下面简单介绍四种数字证书。（1）个人证书（客户证书）个人证书即客户证书，它主要证实客户（如一个使用IE浏览器进行支付的客户）的身份和密钥所有权。在网上支付时，服务器可能在建立SSL连接时，要求客户证书证实客户身份。为了取得客户证书，用户可向某个CA中心申请，CA经过审查后决定是否向客户颁发客户证书。例如，工商银行直接向自己的网络银行客户颁发客户证书，其证书中包含客户的身份信息、公开密钥及工商银行的签名，并可以存储在软盘、硬盘、IC卡、USB盘中。,（2）服务器证书服务器证书即网络站点证书，它主要证实银行或商家业务服务器的身份和公开密钥。例如，网络银行服务器在与客户建立SSL连接时，服务器就将它的证书传送给客户。当客户收到证书后，客户检查证书是由哪家CA中心发行的，这家CA是否被客户所信任。如果客户不信任这家CA，浏览器提示用户接受或拒绝这个证书。在IE浏览器里，客户可以设置总是接受某个站点的证书，如你的开户网络银行的证书。这样，该站点的证书被存放在客户计算机的数据库里，客户可以随时查看这些证书。,（3）支付网关证书如果在网上支付时利用第三方的支付网关，那么这个第三方要为支付网关申请一个数字证书，以证实自己的身份。如在SET协议机制中，必须有支付网关的证书。,（4）认证中心CA证书发行数字证书的认证中心CA是安全网上支付的核心，如果它不可靠，那问题就严重了。所以，认证中心CA一样需要拥有自己的数字证书，证实其CA的真实身份。在IE浏览器里，用户可以看到浏览器所接受的CA证书，也可选择是否信任这些证书。在服务器端，管理员可以看到服务器所接受的CA证书，也可选择是否信任这些证书。,1.4.数字证书的使用与有效性严格来讲，只有下列三个条件都为真实时，数字证书才是有效的。（1）证书没有过期。所有的证书都有期限，可用检查证书的期限来决定证书是否有效。（2）密钥没有被修改。如果密钥被修改，就不应该继续使用，密钥对应的证书应被视为无效。这可通过证书上的缩略图及其算法检验。（3）有可信任的相应的颁发机构CA及时管理与回收无效证书，并且发行无效证书清单。,有效的数字证书在使用前都要有认证的过程，即当颁发的数字证书传送给某人或某站点时，数字证书颁发机构将上面的相关内容信息用自己的私人密钥加密，以使接收者能用证书里的公钥证实颁发机构的真实身份，判断证书的有效性。数字证书通常需要写入一定的存储介质内，确保用户信息不被非法读取及篡改，如安全性较强的IC卡等。现在商业银行的网络银行服务，如招商银行的企业网络银行以及个人网络银行专业版的数字证书就采用了IC卡方式，它需要配置专门的读卡设备，并且另设密码控制，因而是相当安全的。目前，由于数字证书采用高精尖的加密技术，因此非常安全。截至2003年，国内外银行、网络银行（包括电子商务），还没有一例由于数字证书被攻破而让不法分子得逞的案例发生。,的定义在传统商务中，用来认证商家或客户身份的认证证书大多是被认为公正的第三方机构（如政府部门）颁发的。为了保证传统商务中每个商务实体的合法性，做到有证可循，中国国家工商行政管理总局作为一个政府组织部门，是商务的第三方并且是公正的，它发行并且管理着营业证书。而作为电子商务平台的Internet上是没有“政府”的，那该由谁来管理并认证、规范Internet上的电子商务参与者的行为呢？这就需要在网上建立一个类似中国国家工商行政管理总局职能的第三方公正的认证中心机构，负责颁发数字证书和检验网上商家身份真实的工作。这个就是网上认证中心。,2.认证中心（CA）,所谓认证中心，也称数字证书认证中心，英文为Certification Authority，简称CA，是基于Internet平台建立的一个公正的、有权威性的、独立的（第三方的）和广受信赖的组织机构，主要负责数字证书的发行、管理以及认证服务，以保证网上业务安全可靠地进行。一个完整安全的电子商务活动，如在网上支付结算中，必须要有CA的参与，这在网上支付体系构成中有所阐述。为了促进网上支付结算的发展，在社会上必须建立具有绝对权威性的认证中心CA，由电子商务的参与各方（客户、商家、银行、政府机构等）实体上网注册，加入已有的认证中心，如此，认证中心就能确保所有网上支付与结算过程以及各方的安全性，从而开展安全的网上支付。,2.2.的技术基础CA的角色是重要的，但并不是任何一个组织想建立就能建立起来的。除了上述的第三方要求并且保持公正、具备良好信誉之外，关键是CA的建立与运作需要强大的技术支撑，因为它涉及许多先进的密码技术。比如，CA提供的公开密钥与数字摘要机制等必须是先进的，密钥的位数必须达到一定长度，以保证CA及其发行的证书的安全可靠，并且在服务质量与认证速度、管理机制上均需达到很高的水平。,CA的技术基础是PKI体系。PKI就是利用公钥理论和技术建立的提供网络安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务交易与网上支付的关键和基础技术。PKI的基础技术包括加密、数字签名、数字摘要、数字信封、双重数字签名等。一个完整的PKI系统的基本构成包括权威的认证中心CA、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等。,其中，CA作为数字证书的签发与管理机构，公开密钥的承载者，是PKI的核心部分。构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及一对密钥，私人密钥只由用户独立掌握，无需在网上传输；而公开密钥则是公开的，需要在网上传送。故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书这种密钥管理媒介。PKI的详细内容既可在“电子商务安全”相关教材中学习，也可在相关密码技术的专业书籍中查看，这是开发一个安全网上支付体系的基础。,CA认证数字证书采用一种树形验证结构。在双方通信时，通过出示由某个CA签发的证书证明自己的身份。如果对签发证书的CA本身不信任，则可验证CA的真实身份，依此类推，一直到公认的权威CA处，才可确信证书的有效性。SET安全交易协议中商务各方的数字证书正是通过这种信任层次逐级验证的。每个证书均与数字化签发证书的实体签名证书相关联。沿着信任树直到一个公认的信任组织，就可确认该证书是有效的。例如，C的证书是由名称为B的CA签发的，而B的证书又由名称为A的CA签发的，A是权威的机构，通常称为Root CA。验证到了Root CA处，就可确信C的证书是合法的。,2.3.的功能概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下：（1）生成密钥对及CA证书CA要向交易各方颁发证书，必须生成公钥体系中自己的密钥对，并对私钥进行有效的保护，以利于签名的使用。作为自成体系的、封闭的CA系统，CA必须生成自己的根密钥对，且在此基础上生成根证书，就可以为各级CA以及客户生成证书，保证证书持有者有不同的密钥对。,（2）验证申请人身份网上支付的交易各方，如持卡人、商家、支付网关等，在向CA申请数字证书时，CA必须对其真实的身份进行认证，防止数字证书被冒领。因此CA必须建立一套严密的身份认证流程。,（3）颁发数字证书CA系统的主要任务就是向网上交易各方颁发数字证书。CA系统必须能在Internet上接收交易各方的证书申请，在签名验证申请者的真实身份并且通过资格检查后，有CA签名的申请者的数字证书将在线发送给申请者。证书的发放也有通过离线方式的，比如CA将申请者的数字证书加密后放入软盘或IC卡等载体，由证书申请者亲自到CA机构领取，再用特定的方法，将数字证书装入自己的计算机应用系统中。如招商银行的企业网络银行目前采用的IC卡证书方式就非常不错。,（4）证书以及持有者身份认证查询借助CA服务器，可在线查询证书的生成情况，也可在线认证证书持有者，CA必须保证24（小时）365（天）的跨区域服务，且需拥有足够的带宽，以保证较快的查询速度。（5）证书管理及更新及时记录所有颁发的证书以及所有被吊销的证书，使得能在交易各方的证书失效以后，及时更新数字证书。,（6）吊销证书CA根据证书持有者的应用情况，可在数字证书有效期内使其无效，并且公布于众。CA系统必须具有证书黑名单的生成与管理功能，证书黑名单中只包括废除的分支CA和网关的数字证书。这些证书黑名单和黑名单管理文件通过各级CA及网关，在与商家及客户交换消息时分发出去。（7）制定相关政策CA的政策越公开越好，信息发布越及时越好。普通用户信任一个CA，除了拥有先进的技术和雄厚的实力这些因素之外，另一个极为重要的因素就是CA的政策。CA的政策是指CA必须对信任它的事务各方负责，它的责任大部分体现在政策的制定和实施上。,（8）有能力保护数字证书服务器的安全数字证书服务器必须是十分安全的，CA应当采取相应措施保证其安全性，如加强对系统管理员的管理，加强对防火墙的保护等。否则，连CA都不安全了，由其提供的数字证书服务的安全就无从说起。,2.4.CA认证中心功能的实现认证中心主要通过以下三个组成部分实现其功能：（1）注册服务器通过Web Server建立的站点，可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，没有排队等候等烦恼，而且方便快捷，可以免去在办理手续过程中因人为疏忽或误会造成的损失。（2）证书申请受理和审核机构负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核，确认接受或拒绝证书申请。（3）认证中心服务器是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。,2.5.的组成框架与数字证书的申请流程证书的发放过程实际上由两大部分组成:一部分是证书的申请、制作、发放；另一部分是用户的身份认证。这两部分工作实际上是由CA中两个不同的部门来完成的。这样，就将CA分成CA（证书服务中心）和RA（审核受理处）两部分，由CA完成接收证书请求及发证的工作，而由RA完成身份认定工作，CA与RA之间一般通过专线连接。,RA一般由能够认定用户身份的单位来担任（如持卡人RA由发卡银行担任，商家的RA由收单银行担任）。CA收到用户的证书请求后，向RA要求证明用户的合法与真实性；得到证明后，CA向用户颁发证书。也可以让用户先到RA当面申请填表，RA批准后，将信息传送到CA；CA在收到用户的证书请求后，就能立即给予答复。,CA还能进一步分成RS（证书业务受理中心）与CP（证书制作中心）两部分。由RS负责接收用户的证书申请、发放等与用户打交道的工作，CP则进行证书的制作、记录等内部工作。用户为获得数字证书，必须上网，进入CA网站，实际就是进入了RS网站，向RS申请证书；RS与用户对话后，可以获得用户的申请信息，然后传送给CP；CP与RA进行联系，并从RA处获得用户的身份认证信息后，由CP为用户制作证书，交给RS；当用户再上网要求获取证书时，RS将制作好的证书传送给用户。,在SET安全网上支付中，参与的每家银行都要建立自己的RA。面对众多的用户，光有一个RA是无法完成任务的。RA下必须设立许多业务受理点，接待用户，进行申请登记工作。RA作为身份认证与审核部门，通过专线与各业务受理点连接。各业务受理点接收用户的申请，审查用户的身份证件，通过专线与RA交换信息，完成用户的身份认证工作。,（1）CA的组成框架基于以上的业务过程，一个功能较为完整的CA组成框架如下图所示。借助各地的业务受理点以及Internet，CA公司可以跨区域为用户提供数字证书服务。例如，CA收到外地区用户的证书请求后，通过网络专线到当地的RA获得身份认定，就可以向申请用户颁发数字证书。当然，CA本身还可作为世界上更加权威的CA中心如VeriSign的分支CA，CA本身需要一个由上级CA颁发的数字证书。例如，北京天威诚信电子商务服务有限公司，作为成立于2000年9月且经信息产业部批准的第一家开展商业性PKI/CA服务的试点企业，其证书就是由VeriSign颁发的数字证书，因而成为VeriSign在中国的业务合作伙伴。,（2）数字证书的申请流程基于上述的CA组成框架，一般数字证书的申请操作流程如下:用户带相关证明到证书业务受理中心RS申请证书；用户在线填写证书申请表格和证书申请协议书；RS业务人员取得用户申请数据后，与RA中心联系，要求用户身份认证；RA下属的业务受理点审核员通过离线方式（面对面）审核申请者的身份、能力和信誉等；,审核通过后，RA中心向CA中心转发证书的申请请求；CA中心响应RA中心的证书请求，为该用户制作、签发证书，并且交给RS；当用户再次上网要求获取证书时，RS将制作好的证书传送给用户；如果证书介质是IC卡方式，则RS业务人员打印好相关密码信封传递给用户，通知用户到相关业务受理点领取；用户根据收到的用户应用指南，使用相关的证书业务。,功能较为完整的CA组成框架图,3.中国金融认证中心CFCA,3.1.CFCA的建设 中国金融认证中心（China Financial Certification Authority英文简称CFCA），是由中国人民银行牵头14家商业银行共同建立的国家级权威金融认证机构。于 2000年6月29日竣工投产，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。,CFCA,资料CFCA.mpg,中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务，为参与网上交易的各方提供信息安全保障，建立彼此信任的机制，实现互联网上电子交易的保密性、真实性、完整性和不可否认性。同时参与制定有关网上安全交易规则，确立相应技术规范和运作规范，提供网上支付，特别是网上跨行支付的相互认证等服务。,中国金融认证中心认证系统采用基于PKI（公钥基础设施）技术的双密钥机制，在保证核心加密模块国产化的前提下，通过国际招标建立了具有世界先进水平的认证系统，并通过了国家信息安全产品测评认证中心的安全评测。CFCA认证系统具有完善的证书管理功能，提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务。目前CFCA具有覆盖全国的认证服务体系，提供多种用途的证书和信息安全服务，支持金融领域及其他各界用户的应用需求，包括网上购物、网上银行、网上证券、网上保险、网上申报缴税、网上购销和其他安全业务（OA、MIS）等等，CFCA证书全面支持电子商务的各种业务运作模式。,中国金融认证中心的突出特点是其金融特色，CFCA证书发放前须经过金融机构审批以规避交易中可能发生的支付风险，证书申请者必须具备合格的金融资信和支付能力才能获得CFCA证书。此外，CFCA证书实现了不同银行之间、银行与客户之间信任关系的连接与传递，为全面解决网上安全支付提供了有力支持。目前，CFCA证书已实现了网上银行业务的跨行身份认证，用户只需持有一张CFCA证书，即可在多个银行的网银系统中进行身份鉴别。不久的将来，在CFCA与联合共建银行的努力下，使用一张CFCA证书即可进行网上跨行查询、转账、支付等业务，这将极大地促进网上银行和电子商务支付业务的蓬勃发展。,中国金融认证中心的建立是我国电子商务走向成熟的重要里程碑，尤其是对我国网上银行、电子商务的深入发展起着巨大的推动作用。面对网络经济新浪潮，中国金融认证中心立足于技术、市场、管理、服务创新的基础上，积极为用户营造与国际接轨的安全高效的网络信用平台。,3.2.CFCA的目标中国金融CA建立了SET CA及Non-SET CA两大体系。Non-SET CA体系亦称PKI CA系统。中国金融认证中心的售后服务宗旨是：“帮助客户保证系统的运行，成为客户的技术支持合作伙伴，在客户需要的时候随时提供适当的服务”。CFCA的技术支持服务远远超出了传统的针对故障排除的响应支持概念，而是依据整个系统的情况及客户的需求，从支持客户的日常运作维护、系统预防性检查、系统功能升级，到客户的培训服务，帮助用户更好地掌握系统维护的知识和了解相关的最新技术。,3.3.CFCA的体系结构CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构:第一层为根CA；第二层为政策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发放证书。运营CA由CA系统和证书注册审批机构（RA）两大部分组成。,CA系统:承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定；CA系统设在CFCA本部，不直接面对用户。RA系统:直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般设置在商业银行的总行、证券公司、保险公司总部及其他应用证书的机构总部，受理点（LRA）设置在商业银行的分/支行、证券、保险营业部及其他应用证书机构的分支机构。RA系统可方便集成到其业务应用系统。,CFCA认证系统在满足高安全性、开放性、实用性、高扩展性、交叉认证等需求的同时，从物理安全、环境安全、网络安全、CA产品安全到密钥管理和操作运营管理等方面均按国际标准制定了相应的安全策略；专业化的技术队伍和完善的运营服务体系，确保系统724小时安全高效、稳定运行。,CFCA系统体系结构示意图,3.4.CFCA证书种类除了根CA、政策CA、运营CA等各级CA的证书外，对于最终用户，按照证书的功能不同，证书有不同的分类（6种）:1）企业高级证书适用于企业作金额较大时的BtoB网上交易，安全级别较高，可用于数字签名和信息加密。2）企业普通证书适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别较低，建议用于金额较小的网上交易。3）个人高级证书适用于个人作金额较大的网上交易，安全级别较高，可用于数字签名和信息加密。,4）个人普通证书适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别较低，建议用于小额的网上银行和网上购物。5）Web Server证书适用于站点服务器提供金额较小的BtoC网上交易，若一个网站要提供BtoB交易时，应申请Direct Server证书，并配合Direct Server软件来保证它的安全性。6）Direct Server证书用于数字签名和信息加密。Direct Server证书主要用于企业从事BtoB交易时对Web Server的保护使用。,3.5.CFCA证书功能（10项）1）实体的鉴别通过CFCA签发的数字证书，使电子交易的各方都拥有合法的身份，在交易的各个环节，交易的各方都可验证对方数字证书的有效性，从而解决相互信任问题。2）保证电子交易中信息的保密性信息泄漏主要指交易双方进行交易的内容被第三方窃取，或交易一方提供给另一方使用的文件被第三方非法使用，通过对信息进行加密，从而解决了这方面的问题。,3）保证电子交易中数据的真实性和完整性电子交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放（指只能使用一次的信息被多次使用），这方面的安全性是由身份认证和信息的加密来保证的。4）支持不可否认性CFCA的高级证书中使用了一套专门用来进行签名/验证的密钥对，以保证签名密钥与加密密钥的分隔使用。对签名/验证密钥对中用来签名的私有密钥而言，其产生、存储和使用过程必须安全，且只能由用户独自控制。,5）密钥历史记录CFCA能无缝地管理密钥历史记录，并在检索以前加密的数据时，能透明地使用其相应的密钥进行解密，因此，企业和用户就再也不用担心无法访问其历史数据。6）密钥备份与恢复CFCA的Non-SET高级证书系统提供了备份与恢复解密密钥的机制。需注意的是，密钥备份与恢复只能针对解密密钥，而签名私钥不能够作备份。,7）密钥的自动更新CFCA的Non-SET高级证书系统能实现完全透明的、自动的（无须用户干预）密钥更换以及新证书的分发工作。8）CRL查询证书目录服务器中，提供客户端-服务器端自动在线证书撤销列表（CRL）的实时查询和自动检索。,9）时间戳支持时间戳功能，确保所有用户的时间一致。10）交叉认证CFCA的Non-SET系统中所采用的网络信任域模型，使得单位除了可完全控制自己的信任域外，也可通过接纳其他单位而扩展自己的信任域。,3.6.CFCA证书申请审批下载流程1）证书申请CFCA授权的证书注册审核机构（Registration Authority，简称RA，为各商业银行、证券公司等机构），面向最终用户，负责接受各自的持卡人和商户的证书申请并进行资格审核，具体的证书审批方式和流程由各授权审核机构规定。证书申请表直接到RA处领取。,2）证书审批经审批后，RA将审核通过的证书申请信息发送给CFCA，由CFCA签发证书。（1）Non-SET系统-CFCA将同时产生的两个码（参考号、授权码）发送到RA系统。为安全起见，RA采用两种途径将以上两个码交到证书申请者手中:RA管理员将其中的授权码打印在密码信封里，当面交给证书申请者；将参考号发送到证书申请者的电子邮箱里。（2）SET系统-持卡人/商户到RA各网点直接领取专用密码信封。,3）证书发放/下载CA签发的证书格式符合X.509v3标准。具体的证书发放方式各个RA的规定有所不同。可以登陆CFCA网站联机下载证书或者到银行领取。4）证书生成证书在本地生成，证书由CFCA颁发，用户私钥由客户自己保管。5）证书存放介质有硬盘、软盘、IC卡、CPU卡和SIM卡等。,4.1.证书标准电子商务活动中，为保证商务、交易、支付活动的安全可靠，需要有一种机制来验证活动中各方的真实身份。目前最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书发放涉及信息加密、证书标准、证书验证、相关信息发布等技术要求，也要求法律法规上的保障。数字证书作为网上交易双方真实身份证明的依据，是一个经证书授权中心数字签名的、包含证书申请者个人信息及其公开密钥的文件，基于公开密钥体系的数字证书是电子商务安全体系的核心。数字证书是特定标准的。,4.证书格式标准,下面介绍一下目前广泛使用的X.509标准。X.509标准是保证在互联网及内部网上传送数据的安全认证标准，用于通用的网络安全工具如公开密钥加密系统中，已用于许多网络安全应用程序。证书由CA根据X.509协议产生，应具备下列信息。（1）版本号用来区分X.509的不同版本。（2）序列号认证中心给予每一份证书的特殊编码。（3）签名算法用于产生证书所用的方法以及每一个参数。（4）发证机构CA的识别名字。（5）有效期限包括两个日期，在所指定的两个时间内有效。（6）主题信息证书持有人的姓名、服务处所等信息。（7）公钥信息被证明的公钥值，加上使用这个公钥的方法名称。（8）认证机构的数字签名。目前，国际标准化组织正在拟定一系列证书管理标准，这些标准将逐渐取代X.509标准。,4.2.报文格式证书格式定义在X.509标准里，根据这项标准，证书包括：申请证书个人的信息和发行证书的认证中心的信息。证书由以下两部分组成：1）证书数据证书数据包括以下信息：（1）版本信息，用来与X.509的将来版本兼容。（2）证书序列号，每一个由认证中心发行的证书必须有一个惟一的序列号。（3）CA所使用的签名算法。（4）发行证书CA的名称。（5）证书的有效期限。（6）证书主体名称。（7）被证明的公钥信息，包括公钥算法和公钥的位字符串表示。（8）包含额外信息的特别扩展。,2）发行证书的CA签名证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是不是由CA的签名密钥签署的。,4.3.安全处理为防止证书被假冒或出现证书过期后仍然使用等兼容性问题，只有满足下列几个条件后，证书才被认为有效：（1）证书没有过期。（2）密钥没有修改，不论出于何种理由，被修改的密钥均无效。（3）用户仍然有权使用此密钥。（4）CA负责回收证书，发行无效证书清单，证书必须不在CA发行的无效证书清单中。,人们实践经验告诉我们，开展电子商务要解决好两方面的问题，一是信用问题（即安全问题）；一是配送问题，其中最重要的是解决网上购物、交易和结账的安全问题。5.1.电子交易中认证机构的作用及管理企业进行电子商务求得的最大希望就是为了“安全”，而企业从事电子商务求得CA认证（Certificate Authority）也是为了“安全”，所以认证机构的建立、认证机构的工作内容及其规范程度直接影响电子商务的进程和兴衰。,5.认证管理及相关法规,我国参考国际经验，建立了两种模式安全认证体系：金融认证和非金融认证。在2000年6月29日中国第一家金融认证中心CFCA正式建成，标志着中国正式开始了CA的认证工作。仅半年时间，全国就出现了32家CA认证中心，其中有行业性的（中国认证中心、中国电信认证中心CTCA、中国邮政认证中心、外经贸委CA等），也有区域性的，大多以地方为背景，以公司机制运作（如上海、广东、海南、大连、山西等CA认证中心）。据了解，目前这两类CA中心还在不断增长。该现象应引起国家有关部门的关注，要注意规范市场、加强管理、制定标准、完善产品、防止过热或“泡沫”现象，保证CA的健康发展。与此同时，国外的厂商也积极进入中国市场，有Entrust、IBM、Sum等。,（一）电子交易过程及安全保证要完成一手电子交易，涉及到买卖双方的认同、签订销售协议或合同、合法的认证、支付网关、收单机构、发卡机构，实际上每一手交易都需要运行一完整的互联网、银行网、企业网，这一电子商务的系统运作环境。可见，电子商务中信息及传输，不仅涉及到信息的制造及传输技术，同时涉及数据的加密、身份的认证和电子签名技术等。认证机构就是为保证网上交易的安全而设立的权威机构。消费者要在网上终端得到认证中心的认证后，才能进行网上的具体交易，如付费等。,显然，认证机构作为第三方，其职责是监督、管理交易过程中的合法性和顺序性的权威机构，即认证机构，它是一个多用户共同信任、具有权威性、带有半官方性的重要的组织实体。下面就以网上交易的一般过程透视CA的作用与管理。1）网上交易的一般过程如果买卖双方采用公开密钥（PKI）密码体系的电子商务中对文件加密，传输过程一般为以下六步，它们是：（1）消费者在网上浏览、查询商品，确定了销售商后，从认证机构查询并获得公开密钥（PK），就好像得到惟一的姓名、地址、电话号码、电子邮件地址一样。（2）买方形成一个私有的密钥（SK），同时CA获得卖方公开密钥，用来对私有密钥加密，（SK与PK是成对出现的，但不能依据PK得到SK）之后，再通过网络传输通知卖方。,（3）卖方接到买方的传输通知后，用公开密钥解密，获得买方私有密钥。（4）买方再通过网络向卖方传输用私有密钥加密的自己的文件。（5）卖方接到买方发来的文件后，再使用买方的私有密钥解密而获得买方的文件明文信息。（6）卖方再向买方发送使用私人密钥加密的文件在完成了上述的信息传输和认证过程后，再完成物流的配送及相关服务，则完成一次电子交易。可见，在上述网上数字交易过程中，只有卖方和认证中心才有卖方的公开密钥，也只有买方和认证中心才有买方的私有密钥，所以网上传输时，即便他人获取了经加密后的双方文件，也不容易解密而打开文件看到文件内容。,在电子支付的过程中，也需要类似认证。消费团体或个人需持发卡机构（金融机构）颁发的付款卡（如信用卡等）进行结算。要使SET较好地保证账号不被泄露，还必须求得CA认证中心的认证，以保证商家的信用，它会将包含商家的公共密钥证书传给持卡人，同时能保证对每一笔交易的付款卡确认。,2）CA认证作用及管理从CA的实际工作去看，CA认证中心的任务实际是解决虚拟现实环境的身份确认问题、信息的保密制度和技术问题、审计制度等责任分割问题并做好CA服务。网络的出现给社会带来了勃勃生机，特别是电子商务近些年迅猛发展，网上交易不仅改变了传统贸易方式，也给管理行业的发展提出了新问题，如交易纠纷，应使用什么法律去解决？如司法权、税收、广告、债务、收益等这些全新的司法问题会随着商业实践的发展而出现，所以有必要制定相关法律法规。在网上交易起着重要作用的CA认证机构，在履行其职责时，就必须遵循相关的法律、法规，以对交易行为严格的管理和监督，确保电子交易的安全进行和电子商务的良性发展。,（二）CA的管理人们常说的“CA管理”，其实是指从事商务活动可信的运行环境。人们从事网上交易而无相互信任的可靠凭证，又无任何机构担当“安全员”的角色，所以CA就理所当然地成为这一角色，大家都相信一家，通过CA来确认。可见CA的工作不同于管理，也不同于法律，更接近于企业。尽管如此，它确实起到了控制和制约交易行为的作用，为此人们习惯称其为CA管理。,说它是企业，因为它有市场。CA的市场主要分为两个市场环节，一是产品市场，其产品是建立并向用户发放的“CA认证证书”；另一市场是对其所销售产品的服务市场。说它似管理，因为它有完善的管理制度和相关的技术支持，如：责任分割、访问控制、识别、鉴别能力和审计职能等。,为了进一步讨论CA的安全作用，我们有必要了解CA认证管理的特点（15项）：（1）CA认证中心所做的CA数字化证书是打破地域或部门限制的网络化工作。（2）CA认证中心是进行网上合法身份、合法交易的权威证明机构，它将依据国家相关的法律法规开展工作，坚持公平、公正原则，维护网上金融信誉，防止金融诈骗行为的产生。（3）CA认证中心是独立的业务部门，不允许商家、用户或检查方参与、证明网上交易的合法性及有效性。而认证中心本身也不准介入商业买卖和银行业务，是必须履行国家相关法律、法规指示和宏观管理下的一种接近企业的专门业务行为。,（4）认证机构可以是相关政府机构的部分实体，也可以是相关的事业单位，经政府管理部门审批而成立，一般资格审批依据以下几个方面。申请单位的条件。申请单位的内部管理机构组织情况。申请单位的注册资金。申请单位的技术保证。申请单位的技术力量及安全保障。,（5）CA认证中心必须规范、系统地开展工作，向用户颁发证书，以确立用户网上交易的合法性、安全性，严格履行自己的义务和职责，保证交易双方在CA证书的保障下，建立相互信任、安全顺畅的买卖关系，为双方营造安全、和谐的交易环境，确实发挥交易过程中的信用和控制作用。,（6）CA认证中心要为用户进行两种认证操作，一是信用认证，一是交易合法认证。这就需要用户经历“情况登记”、“资格审查”、“认证批准”、“认证发放”四个过程。过程（1）情况登记用户向CA中心提供认证申请时，必须向认证机构提供准确无误的姓名、出生日期等个人身份信息，或提供自身密码以核查其身份信息，认证中心将其保存，以备后用。过程（2）资格审查认证中心通过用户提供的个人信息，对其进