认证机构CA系统
?
一、 什么叫CA
CA是認證中心的英文Certification Authority的縮寫。它為電子商務環境中各個實體頒發數字證書,以證明各實體身份的真實性,并負責在交易中檢驗和管理證書;它是電子商務和網上銀行 交易的權威性、可信賴性及公正性的第三方機構。
二、 中國金融認證中心的建設
中國金融認證中心( China Finance Certification Authority 縮寫 CFCA ),是由中國人民銀行牽頭,聯合中國工商銀行、中國銀行、中國農業銀行、中國建設銀行、交通銀行、招商銀行、中信實業銀行、華夏銀行、廣東發展銀行、深圳 發展銀行、光大銀行、民生銀行等十二家商業銀行參加建設,由銀行卡信息交換總中心承建的。
為了保證互聯網上電子交易的安全性(保密性、真實完整性和不可否認性),防 范交易及支付過程中的欺詐行為,除了在信息傳輸過程中采用更強的加密算法等措施之外,還必須在網上建立一種信任及信任驗證機制,使交易及支付各方能夠確認 其他各方的身份,這就要求參加電子商務的各方必須有一個可以被驗證的身份標識,即數字證書。數字證書是各類實體(個人/持卡人、企業/商戶、銀行/網關 等)在網上進行信息交流及商務活動的身份證明,在電子交易的各個環節,交易的各方都需驗證對方數字證書的有效性,從而解決相互間的信任問題。中國金融認證 中心(CFCA---China Finance Certificate Authority )作為一個權威的、可信賴的、公正的第三方信任機構,專門負責為金融業的各種認證需求提供證書服務,包括電子商務、網上銀行、支付系統和管理信息系統等, 為參與網上交易的各方提供安全的基礎,建立彼此信任的機制。并且在中國電子商務發展中,組織并參與有關網上交易規則的制定,以及確立相應的技術標準等。
金融認證中心為了滿足金融業在電子商務方面的多種需求,采用PKI技術,建立了SET和Non-SET兩套系統,提供多種證書來支持各成員行有關電子商務 的應用開發以及證書的使用。
三、 中國金融認證中心的目標
中國金融CA建立了SET CA及Non-SET CA兩大體系。Non-SET CA 體系亦稱PKI CA 系統。其宗旨是向各種用戶頒發不同種類的數字證書,以金融行業的可信賴性及權威性支持中國電子商務的應用、網上銀行業務的應用及其他安全管理業務的應用。
金融CA建設初期尚屬試點工程,規模不大,但功能齊全,近期預計每年發放 15萬張Non-SET證書(其中企業證書3萬張,其余為WEB、SSL證書等);SET證書10萬張,企業2萬張,個人8萬張,SET證書支持SET 1.0 擴充版功能,既支持信用卡,又支持借記卡及PIN的處理。當CA完善后,擴大其應用范圍,可發放S/MIME、VPN及特制X.509 證書等。還將發放支持無線WAP協議的證書。
中國金融CA所適應的業務應用模式,無論是網上銀行或是網上購物都支持B to C、B to B以及B to G (Government)的模式。
四、 中國金融CA的結構
1、 Non-SET 系統
Non-SET 對于業務應用的范圍沒有嚴格的定義,結合電子商務具體的、實際的應用,根據每個應用的風險程度不同可分為低風險值和高風險值這兩類證書(即個人/普通證書 和高級/企業級證書),Non-SET 系統分為兩部分。
Non-SET -CA 系統分為三層結構,第一層為根CA ,第二層為政策CA ,第三層為運營CA 。Non-SET-CA , 系統架構圖如下:
2、 RA 系統
系統分為CA本地RA和CA遠程RA。本地 RA審批有關CA一級的證書、接受遠程RA提交的已審批的資料。遠程RA根據商業銀行的體系架構分為三級結構,即總行、分行、受理點。RA系統架構圖如 下:
五、 CFCA的功能
CFCA是采用目前國內外先進技術,按國際通用標準開發建設的,它具有對用戶證書的申請、審核、批準、簽發證書及證書下載、證書注銷、證書更新等證書管理 功能。證書符合ITU的X.509國際標準。提供具有世界先進水平的CA認證中心的全部需求。歸納起來有以下幾個方面:
1. 證書的申請
·申請方式:
- 離線申請方式
- 在線申請方式
2. 證書的審批
- 離線審核方式
- 在線審核方式
3. 證書的發放
- 離線方式發放
- 在線方式發放
4. 證書的歸檔
5. 證書的撤銷
6. 證書的更新
- 人工密鑰更新
- 自動密鑰更新
7.證書廢止列表的管理功能( CRL )
- 證書廢止原因編碼
- CRL的產生及其發布
- 企業證書及CRL的在線服務功能
8.CA的管理功能
9.CA 自身密鑰的管理功能
六、 應用實例
? ?
七、 PKI Non-SET 證書的優勢
CFCA的non-SET CA,是基于PKI機制建立的,在當前是具有世界領先水平的CA系統。它的優勢在于:
1. 技術優勢
(1) CFCA的Non-SET CA 系統是引入當今世界先進水平的加拿大Entrust 公司的產品。Entrust 公司具有十五年的PKI開發經驗,經過激烈競爭,是目前世界僅存的三家實力雄厚的CA公司( Entrust、Verisign、Baltimore )之-,CFCA采用的Entrust公司的高級/企業級證書是目前世界領先的工具。
(2) Direct高級/企業級證書具有雙密鑰機制,具有數字簽名和加解密兩對密鑰;
(3) 在瀏覽器與服務器間實現雙方認證,提高身份認證的安全性,為訪問控制提供了可能;
(4) 增強了瀏覽器與服務器之間數據傳輸加密強度, 由原本40位對稱算法加密提高到了128位。并且提供了改變算法 的函數庫。
(5) 具有數字簽名功能,實現了傳送者對信息的簽名, 提供了抗否認性;
(6) 瀏覽器與客戶代理之間,服務器與服務器代理之 間采用HTTP連接,而兩個代理之間的通信采用了SPKM(簡單公鑰 機制)。實現了瀏覽器服務器與代理之間的無縫連接,提高了數據傳輸的安全性。SPKM協議現已成為國際標準;
(7) 客戶端、服務器端實現自動在線CRL查詢。CRL 是證書作廢列表,為了減少交易或傳輸的風險,在交易之前,能自動 查詢各自的證書是否上了作廢的黑名單,如果證書已無效,則系統自動拒絕交易,以保證交易的安全性;
(8) 簽字公鑰可自動置于目錄服務器中,實現用戶自 動檢索。
(9) 完整的證書管理功能。提供證書的有效期管理、密鑰更新管理等功能;
(10) 存儲歷史文檔,支持全程的審計功能。對每次交易,傳輸都留有記錄,特別是歷次數據簽名都存有歷史文檔,以備 審計查詢;
(11) 提供時間戳功能。在數據簽名或加信息等操作時,使用時間服務,以保證所有用戶的時間一致;
(12) 證書除存放在機器硬盤、隨身軟盤而外,也可存 放于IC卡(CPU卡)中,以保證證書的本身的安全性;
以上列出的這些CFCA Entrust/Direct 證書及其代理軟件(DIRECT PROXY)的優點,這些特點是與國內其他同類產品相對 比較得出的。國內有些公司開發的代理軟件其功能各異,一般瀏覽 器/服務器的代理軟件只是解決了128位對稱加密強度問題,而沒有 數字簽名功能,沒有證書管理以及在線CRL查詢功能等等。因此,解決網上銀行和電子商務應用中的 B to B 模式, 而采用中國金融認證中心的高級/企業級證書,是最好的選擇,在技 術上不但具有可能性而且具有可行性。
2. 政策保證方面的優勢
(1)中國金融CA(CFCA)是人民銀行牽頭,十二家商業銀行(工、農、 中、建、交、中信、光大、華夏、招商、廣發、深發、民生)參加聯合共建的中國金融認證中心。遵循了"統一規劃聯合共建,先作試點逐步發展,技術先進功能全 面,落實應用快字當先"的原則。建設金融CA是中國電子商務的基礎建設,其宗旨是:為中國的電子商務服務,兼顧網上銀行和信息安全管理提供服務。因而 CFCA具有很高的權威性。
(2)證書是一種權威性的電子文檔。它應由公認的、 被授權的權威機構所頒發,是網上交易、傳輸業務的身份證明,用于證明某個應用環境中某一主體(人或機器)的身份及其公開密鑰的合 法性。要想使證書獲得這種可信賴和權威性,就必須擁有一個可信 賴的權威的機構來頒發證書,作為認證的第三方。
(3)建立CFCA也包括制定"證書運作管理規范"(CPS),它應由人民 銀行支付科技司批準,在中國目前電子商務法律環境尚不健全的情況下,CPS的制定就顯得異常重要,CPS實際上 是認證中心的法規。
(4)CFCA在安全方面也具有突出優勢。為了保證認 證中心的安全,金融認證中心專門建了一幢獨立的建筑;CFCA的機 房采取了嚴格的符合國際標準的措施。機房六面墻體(四面墻和天花 板、地板)都采用無縫鋼板進行屏蔽,安裝了高級監控設備,裝置了 嚴格的門禁設備,制定了完善的安全制度。另外,在CFCA的網絡 安全策略上。將整個CFCA系統劃分成不同安全等級的區域,有些可以由外界通過公網進行訪問,有些則只能由特許人員訪問,以確保系統 的安全性。網絡系統中還安裝了世界先進的黑客入侵檢測預警系統,以抵御黑客的攻擊。
總結
- 上一篇: 【mysql】mysql优化
- 下一篇: Windows下安装Telnet工具