华联学院电子商务支付与安全课件07认证中心CA

1、认证中心CA 技能精通，基础先行，要成为高水平的电子商务人才，必须要精通电子支付与安全。模块7学习目标知识目标：了解认证中心（CA）的概念、特征、作用等了解中国金融认证中心（CFCA）的概念、结构、功能等 掌握国内外主要认证中心（CA）及其特征能力目标： 能运用认证技术解决电子商务交易中的安全问题能使用电子商务认证技术维护自身合法权益素质目标： 进一步提高互联网道德修养 认真履行证书持有人义务第1单元 认证中心情景案例 愉快的暑期实习生活即将结束，张丽艳作为实习一组的组长这些天一直忙于本组同学实习报告的收集工作，即通过电子邮件方式接收同学发来的实习报告，以协助老师做后期的汇报交流。大量而繁琐的

2、文字与数据统计令张艳丽焦头烂额，更令人气愤是大量的来历不明的邮件和垃圾邮件严重影响了张艳丽的工作效率与工作的热情。相信大家也面临过类似的问题，张艳丽同学利用上个模块的知识，下载了数字证书，使用了电子邮件系统应用安全的方法解决了问题。任务思考 前面学习了如何借助安全电子邮件证书解决邮件安全性的问题，那么数字证书是谁颁发的？颁发机构认证中心的作用是什么呢？都有哪些认证机构？用户和认证中心的权利义务是什么？认证中心是如何管理数字证书的？任务分析 安全电子邮件证书是认证中心专门为邮件用户发放的数字证书，邮件用户使用数字证书发送加密和签名邮件，可以让用户在所发电子邮件上签署独特的标识，这样接收方就可以确

3、认邮件的发送者，并且邮件在传送过程中未被篡改；而对所发邮件进行加密有助于确保只有预定接收人才能在传送过程中读取该邮件。 针对上述张艳丽及同学所遇的问题，考虑大家的使用习惯，现提供两种不同的解决方案：一是在采用传统的邮件客户端软件（如Outlook、Outlook Express、Netscape messenger 和 Notes 等）收发电子邮件时，邮件客户端已经集成了安全邮件的应用，则只要用户获取了认证中心签发的数字证书并对邮件客户端进行安全设置，便能够发送安全电子邮件。 二是对于通过Web方式收发邮件，认证中心提供的安全邮件保障系统，在电子邮件系统配置安全保障系统后，将为Web邮件系统增

4、加安全邮件的功能，用户通过Web方式就能够收发加密签名邮件。 无论采取何种方式，都要涉及到数字证书的使用，而数字证书又是认证中心颁发和管理的，下面对认证中心的相关内容进行阐述。相关知识 1认证中心概述 （1）认证中心的概念与作用 认证中心（Certification Authority，CA）：也称数字证书认证中心，类似于公证人的角色。是基于Internet平台建立的一个公正的、有权威的、独立的（第三方的）广泛信赖的组织机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，主要负责数字证书的发行、管理以及认证服务，以保证电子交易支付安全可靠的运行。 认证中心作用主要表现

5、在两个方面：对外防止欺诈，对内防止否认。防止欺诈，就是防范交易当事人以外的人，故意入侵而造成的危害；而防止否认，则是针对交易当事人之间可能产生的误解或抵赖而设置的，其目的是预防纠纷，降低风险。认证中心具有以下特征： 它是一个独立的法律实体，负有对资料保密和存储的法定的义务，对未发出通知、通知有误、认证人虚假认证等承担相应的民事法律责任。 它是一个具有中立性与可靠性的服务机构。 它是用户数据电文的传递中心，被交易的当事人所接受。 其营业的目的是提供安全、公正的交易环境。（2）认证中心的功能 认证中心是一个负责发放和管理数字证书的权威机构。CA认证的重要工具是认证中心为网上交易主体颁发的数字证书，

6、因此CA的功能主要围绕其展开。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。认证中心的功能一般包括：证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档。（3）认证中心的架构 CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等。从CA的层次结构来看，可以分为认证中心（根CA）、密钥管理中心（KMC）、认证下级中心（子CA）、证书审批中心（RA中心）、证书审批受理点（RAT）等；从业务流程涉及的角色看，可以分为认证机构、数字证书库和黑名单库、密钥托管处

7、理系统、证书目录服务、证书审批和作废处理系统。另外CA在安全审计、运行监控、容灾备份、事故快速反应等方面也有完善的实施措施，在身份认证、访问控制、防病毒防攻击等方面更有强大的工具支撑。图7-1为CA系统架构示意图。以下为CA系统架构示意图（4）认证中心的技术基础 CA的技术基础是PKI（Public Key Infrastructure）体系。PKI是一套通过公钥密码算法原理与技术提供安全服务的具有通用性的安全基础设施，是能够为电子商务提供一套安全基础平台的技术规范。它通过数字证书管理公钥，通过第三方的可信机构CA把用户的公钥与用户的其他标识信息捆绑在一起，实现互联网上的用户身份验证。PKI的

8、基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个完整的PKI系统的基本构成包括权威的认证中心CA、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等。PKI弥补了SSL协议缺少数字签名、授权、存取控制和不支持不可抵赖性等功能的缺陷。目前，它已初步形成一整套的Internet安全解决方案，成为信息安全技术的核心和电子商务的安全基础。 （5）国内外主要认证机构 国外著名的认证机构 美国的Verisign公司 国内主要认证中心北京数字证书认证中心（BJCA）中国金融认证中心 上海电子商务安全证书管理中心广东省电子商务认证中心山西省电子商务安全认证中心 当前比较知名的认

9、证中心：北京数字证书认证中心： 深圳市电子商务认证中心：http:/广东省电子商务认证中心：http:/海南省电子商务认证中心：http:/湖北省电子商务认证中心：http:/上海电子商务安全证书管理中心：http:/中国数字认证网：山西省电子商务安全认证中心：http:/中国金融认证中心：http:/天津电子商务运作中心：http:/ca天威诚信CA认证中心：http:/2证书订户的权利和义务 以中国金融认证中心CFAC为例，说明证书订户的权利和义务： （1）订户应遵循诚实、信用原则，在向数字证书注册机构（以下简称RA）申请数字证书时，应当提供真实、完整和准确的信息和资料，并在这些信息、资料

10、发生改变时及时通知原RA。如因订户故意或过失提供的资料不真实或资料改变后未及时通知CFCA或原RA，造成的损失由订户自己承担。 （2）在通过RA的审核、录入后，订户即可获得数字证书的下载凭证，订户应妥善保管下载凭证，亲自用其中的密码从相关网站下载数字证书。订户获得下载凭证密码为一次性使用，有效期为14天。如果在14天内没有下载数字证书，订户需要到RA重新办理。 （3）订户须使用经合法途径获得的相关软件。 （4）订户应合法使用CFCA发放的数字证书，并对使用数字证书的行为负责。（5）订户应当妥善保管与数字证书关联的私钥和密码，不得泄漏或交付他人。如因故意或过失导致他人盗用、冒用数字证书私钥和密码

11、时，订户应承担由此产生的责任。（6）如订户使用的数字证书私钥和密码泄漏、丢失，或者订户不希望继续使用数字证书，或者订户主体不存在，订户或法定权利人应当立即到原RA申请废止该数字证书，相关手续遵循RA的规定。CFCA收到RA的废止请求后，应在4小时之内废止该订户的数字证书。（7）由于以下情况，订户损害CFCA利益的，订户须向CFCA赔偿全部损失。这些情况是： 订户在申请数字证书时没有提供真实、完整、准确信息，或在这些信息变更时未及时通知RA； 订户知道自己的私钥已经失密或者可能已经失密未及时告知有关各方、并终止使用；订户有其他过错或未履行本协议的相关约定。 （8）订户有按期缴纳数字证书服务费的义

12、务，费用标准请咨询RA。 （9）随着技术的进步，CFCA有权要求订户更换数字证书。订户在收到数字证书更换通知后，应在规定的期限内到原RA更换3证书管理 CA的主要任务是管理证书，具体表现在生成密钥对及证书、证书颁发、密钥备份与恢复、证书查询、证书更新、证书的撤销、证书归档等以下几个方面：（1）生成密钥对及证书。（2）证书颁发。（3）密钥备份与恢复。（4）证书查询。（5）证书更新。（6）证书的撤销。（7）证书归档。（8）制定相关的政策。（9）保障证书的安全。实践训练 1课堂讨论（1）认证中心（CA）的作用与分类。（2）证书订户都有哪些权利和义务？（3）认证中心（CA）的主要任务是管理证书，具体表

13、现在哪些方面？2案例分析 网上炒股最好配“身份证” 随着股市热潮的兴起，许多新股民加速进入股市，据有关部门统计，目前每13个中国人中就有1个人在炒股，每天A股开户数新增30万户，我国已进入“全民皆股”时代。而网上炒股以其交易方便快捷、信息量大、紧跟行情、辅助分析系统强大等特点成为股民炒股的首选方式，同时使用银证通系统进行网络转帐的交易量也大大增长。 网上炒股和网上银证转帐是网上证券交易的常见方式，网上炒股是股民和证券公司之间发生的两方交易。网上银证转帐是指股民通过Internet将资金在银行股民帐户和证券公司帐户之间的划入或划出，通常要涉及到股民、证券公司、银行三方交易。股民在使用证书进行网上

14、交易时，由于需要多次频繁地进行网上交易操作，通常会采用第三方安全认证机构颁发的数字证书。数字证书是包含个人身份信息的电子文件，是用户的“网络身份证”，能保证交易信息不被非法窃取和篡改，以确保交易数据的有效性、机密性、完整性和不可抵赖性。另一方面，网上证券交易对交易的实时性和方便性要求比较高，应用数字证书可以较好的解决安全和效率之间的矛盾。随着股市热潮的持续，股民网上炒股最好配“身份证”。如果用户不做好相应的防范工作，甚至可能给整个股市和网络银行系统的安全运行带来严重隐患。 讨论与分析：（1）文中提到的股民“身份证”是指什么？有何作用？（2）股民网络炒股应做好哪些风险防范措施？3实务训练 访问我

15、国各CA认证机构网站，浏览CA的相关介绍，选择一家CA中心，参考网站流程，申请个人数字证书。 实训说明：（1）教师课堂现场演示。 （2）课后学生集中或者分散实训。4课后拓展（1）上网访问广东CA及“网证通”（NETCA）系统，了解其服务对象及技术产品。（1）上网查找电子支付工具，比较各种电子工具的优缺点。（2）登陆/申请个人数字证书。（3）网上了解认证机构设立的资质条件。第2单元 中国金融认证中心情景案例 第1单元以中国金融认证中心CFAC为例，说明了证书订户的权利和义务。张丽艳同学课后对CFAC进行了预习，CFCA主要服务于金融领域，对电子商务、网上银行、支付系统和管理信息系统等，提供证书服

16、务，了解了CFCA的功能、证书和证书的内容及用途。任务思考 与电子商务支付最为密切相关的CFCA的功能、证书和证书的内容及用途是什么呢？ 任务分析 中国金融认证中心CFCA是国内全面支持电子商务安全支付业务的第三方网上专业信任服务机构。CFCA作为国家级权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等。为参与网上交易的各方建立相互信的机制，提供安全的保障，以实现互联网上电子交易信息传递的保密性、真实性、完整性和不和否认性。同时组织参与相关网上安全交易规则的制定，确立相应技术、运作等标准，特别是网上跨行支付的相互

17、认证等服务。CFCA的目标是要建立SET CA及Non-SET CA两大体系，发放SET和Non-SET两大类电子证书，以金融行业的权威性、可信赖性及公正性支持中国电子商务、网上银行业务及其他安全管理业务的应用。 CFCA认证体系基于PKI（公钥基础设施）技术的双密钥机制，具有完善的证书管理功能，主要提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务。并已经通过国家信息安全产品测评认证中心的安全测评。CFCA证书全面支持电子商务的各种业务运作模式。目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证服务体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政

18、府机构、电子商务平台等金融和非金融行业。同时CFCA针对企业、个人提供还包括普通、高级、Web站点、手机证书等在内的15中证书和多种的信息安全服务，以满足金融领域及其他各界用户的应用需求。此外CFCA证书实现了不同银行之间、银行与客户之间信任关系的连接与传递，为全面解决网上安全支付提供了有力支持。目前，CFCA证书又实现了网上银行业务的跨行身份认证，用户只需持有一张CFCA证书，即可在多个银行的网银系统中进行身份鉴别。相关知识1中国金融CA的结构 中国金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行相关电子商务

19、的应用开发以及证书的使用。（1）SET系统是为在网上购物时用银行卡来进行结算的业务而建立的。SET系统为三层结构，第一层为根CA，简称RCA；第二层为品牌CA，简称BCA；第三层为终端用户CA,简称ECA；根据证书使用者的不同分为CCA（持卡人CA）、MCA（商户CA）、PCA（网关 CA）。结合今后的发展可在第二层CA和第三层CA之间扩展出GCA（地区CA）。 SET-CA系统结构如图7-3所示（2）Non-SET系统。Non-SET CA 体系亦称PKI CA系统。其服务宗旨是向各种用户颁发不同类型的数字证书，以金融行业的可信赖性及权威性支持中国电子商务、网上银行业务及其他安全管理业务的应

20、用。Non-SET对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值两类证书（即个人/普通证书和高级/企业级证书），以支持B2C，B2B模式的应用。Non-SET CA系统分为三层结构，第一层为根CA，第二层为政策CA，第三层为运营CA。其中第三层运营CA直接为各商业用户发证并与RA连接。Non-SET CA系统结构如图7-4所示。（3）RA系统。RA（Registration Authority）是CA的延伸，是CA的组成部分。RA分为本地RA和远程RA。本地RA审批有关CA一级的证书、接收远程RA提交的已审批的资料。远程RA

21、根据商业银行的管理体系可分为三级结构，即总行分行受理点。RA系统结构如图所示。RA系统结构如图所示2CFCA的证书（1）CFCA证书的分类。中国金融认证中心（CFCA）采用国际主流的PKI（Public Key Infrastructure，公钥基础设施）技术，能够提供多种证书及信息安全服务。其发布的证书除了根CA、政策CA、运营CA等各级CA的证书外，对于最终用户，按照证书使用对象及功能的不同，又可以分为以下类型： 个人证书：也称客户数字证书，主要用于标识数字证书持有人的身份，证书中包含了个人的身份信息和个人的公钥，如用户姓名、证件号码、身份类型等，用于个人网上安全交易操作，如合同签定、定单

22、、录入审核、操作权限、支付信息等活动。企业或机构证书：主要用于标识数字证书机构所有人的身份，包含企业的相关信息及其公钥，如：企业名称、组织机构代码等，用于企业在电子商务、电子政务应用中进行合同签定、网上支付、行政审批、网上办公等各类活动。在SET中，企业可以持有一个或多个数字证书。网关证书：是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(Internet上各种安全协议与银行现有网络数据格式的转换）。该证书只能在有效状态下使用，通常不可被申请者转让。服务器证书：主要用于网站交易服务器的身份识别，使得连接到

23、服务器的用户确信服务器的真实身份。证书中包含服务器信息和服务器的公钥。证书主要颁发给Web站点或其他需要安全鉴别的服务器，证明服务器的真实身份信息。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。安全E-mail证书：用于安全电子邮件或向需要客户验证的Web服务器表明身份。安全电子邮件证书可以确保邮件的真实性和保密性。申请后通常是安装在客户的浏览器中使用，可以用它来发送签名或加密的安全电子邮件。代码签名证书：又称代码数字证书，包含了软件提供者的身份信息及其公钥，主要用于证明软件发布者所发行的软件代码来源于一个真实软件发布者，可以有效防止软件代码被篡改。

24、（2）证书的等级 在证书业务中，CFCA会根据客户的需要提供不同等级的数字证书，即根据证书的等级、证书的政策等向其提供不同的服务。例如在向企业和个人提供的数字证书中就分别设置了高级证书和普通证书两种不同级别的证书，由于证书级别的不同，证书使用的安全级别和适用范围也有所不同。高级证书，适用于企业或个人进行较大金额的网上交易，安全级别较高；而普通证书则适用于企业或个人较小金额的网上交易，安全级别较低。在认证机构框架范围内，一般存在着多重或多个认证机构，每个机构都支持一种或多种程度的服务，CFCA也是如此。通常证书的等级与认证机构所承担的责任范围有紧密的联系。 3CFCA的功能 CFCA采用目前国内

25、外先进技术，按国际通用标准开发建设，能够提供具有世界先进水平认证中心的全部服务，以满足不同客户的需求。它具有对CA系统的管理功能、对CA自身密钥的管理功能以及对用户证书的管理功能。以上功能中最重要的是对用户证书的管理功能，具体表现如下。 （1）实体鉴别与验证。 （2）确保电子交易中信息的保密性。 （3）保证电子交易中数据真实性和完整性。 （4）支持不可否认性。（5）密钥历史记录。（6）密钥的备份与恢复。（7）密钥的自动更新。（8）CRL查询。（9）时间戳。（10）交叉认证。4CFCA证书的内容及用途CFCA所发放的证书均遵循X.509V3标准，其基本内容及用途如下。（1）Certificate

26、 Format Version：证书版本号。用来指定证书格式用的X509版本号，用于目录查询。（2）Certificate Serial Number：证书序列号。证书颁发者指定证书唯一序列号，以标识CA发出的所有证书，用于目录查询。（3）Signature Algorithm Identifier：签名算法标识。用来指定本证书所用的签名算法（如：SHA-1、RSA）。（4）Issuer：签发此证书的CA名称。用来指定签发证书的CA的可识别的唯一名称（DN，Distinguished Name），用于认证。（5）Validity Period：证书有效期。指定证书起始日期（not Before

27、）和终止日期（not After），用于校验证书的有效性。（6）Subject：用户主体名称。用来指定证书用户的X.500唯一名称（DN，Distinguished Name），用于认证。（7）Subject Public Key Information：用户主体公钥信息。Algorithm Algorithm Identifier：算法标识。用来标识公钥使用的算法。Subject Public Key：用户主体公钥。用来标识公钥本身，用于加/解密和数字签名。（8）Issuer Unique ID：颁发者可选唯一标识。 很少用。（9）Subject Unique ID：主体证书拥有者唯一标识。

28、很少用。（10）Extensions：证书扩充部分（扩展域）。用来指定额外信息。 (11) Signature Algorithm：CA签名算法标识。（12）CA Signature：CA签名。实践训练1课堂讨论（1）当前中国金融认证中心（CFCA）所涉及的业务领域有哪些？（2）中国金融认证中心(CFCA)的特色表现在哪些方面？（3）中国金融认证中心（CFCA）的发展前景如何？2案例分析 银企互联数据安全传输平台的建立讨论与分析： 中国金融认证中心（CFCA）可以向银行和企业提供哪些技术帮助，以满足银企电子交易安全的需要？3实务训练（1）访问山西省电子商务证书认证中心：（），了解分析该认证中心的成功案例，进一步认知CA认证的过程。 （2）访问美国加利福尼亚州verisign公司（http:/）的核心业务以及数字证书产品，进一步了解这个世界上著名的CA认证机构的主要服务内容、对象等。 实训说明：（1）本部分实训在课后进行。（2）实训之后进行讨论与交流。4课后拓展 了解中国协卡认证体系（http:/default.aspx）作为全国第一家CA中心试点单位的发展过程、现状以及其提出的跨地区、跨行业的协卡体系的内容、服务范围和产生的意义。知识小