第4章金融安全认证4.1金融安全认证概述4.2安全认证技术--PKI4.3中国金融认证中心CFCA4.4CFCA支持的应用4.5金融认证中心的证书业务规则4.6电子商务参与方的法律关系第4章金融安全认证（一）电子商务对网上安全交易的要求❖身份鉴别：在交易前，首先要确认对方的身份，不能是假冒或伪装。

交易各方有商户、持卡人和银行。

❖机密性：对敏感信息要加密，获取后难以破解。

❖完整性：要求收方能验证接收的信息是完整的。

❖不可抵赖性：交易达成，发送方或接收方都不能否认其发送的信息或收到的信息。

❖在安全性上除采用加密措施外，还必须建立一种信任及信任验证机制，使交易一方可确认其他各方的身份。

可验证的身份标识。

❖是一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业务的各种认证需求提供证书服务。

❖包括电子商务、网上银行、支付系统和管理信息系统等。

❖组织参与网上交易规则的制定，确立相应的技术标准。

4.2安全认证技术—PKI❖1、PKI是利用公钥理论和技术建立的提供安全服务的基础设施，是信息安全技术的核心，是电子商务的关键和基础技术。

❖2、PKI的基本机制是定义和建立身份、认证和授权技术，然后分发、交换这些技术，在网络间解释和管理这些信息。

❖4、PKI的核心是信任关系的管理，为了解决信任关系问题，引入了第三方信任和数字证书概念。

2、PKI的理论基础❖密码体制：从原理上可分为单钥体制（One-key System）和公钥体制（Two-key System）❖对称加密¡ª¡ª单钥加密❖对称加密过程发送方用自己的私有密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文❖公钥体制：加密密钥和解密密钥不相同，是一种非对称加密体制。

❖1. 加密模式：加密模式过程❖发送方用接收方公开密钥对要发送的信息进行加密。

❖发送方将加密后的信息通过网络传送给接收方。

❖接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文。

❖2. 验证模式：验证模式过程❖发送方用自己的私有密钥对要发送的信息进行加密。

❖发送方将加密后的信息通过网络传送给接收方。

❖接收方用发送方公开密钥对接收到的加密信息进行解密，得到信息明文。

❖3. 加密与验证模式的结合❖保障信息机密性& 验证发送方的身份❖使用过程：❖4. 对称和非对称两种加密方法的联合使用❖两种密码体制的比较（2）数字签名❖（1）签名不同：手写签名是签署文件的物理组成部分；不是组成❖（2）验证不同：手写签名比对；公开验证算法❖（3）复制不同：手写签名不易复制；相反3、认证中心CA❖认证机构CA签发数字证书—网络用户电子身份证明，如同护照。

❖按照第三方信任原则，相信持有证明的用户。

❖CA要防伪造和篡改。

具有灵活性各种CA产品兼容，遵循通用的国际标准。

❖颁发证书：生成证书并签名，以适当方式发给用户。

❖管理证书：记录已颁发证书和撤消的证书。

❖用户管理：新提交的申请与现存标识名比较拒绝重复。

❖吊销证书：在证书有效期内使其无效，发布CRL （Certificate Revocation List）❖验证申请者身份：必要的身份验证❖保护证书服务器：证书服务器安全❖制定政策：公布制定CA的政策❖CA的证书验证是逐级进行，沿着信任树一直到公认的信任组织，确认证书是有效的。

4、数字证书❖证书是公开密钥体制的一种密钥管理媒介。

它是一种权威性的电子文档，形同网络环境中的一种身份证，用于证明某一主体的身份以及其公开密钥的合法性。

❖ITU（International Telecommunications Union，国际电信同盟）在1988年制定的X.500系列标准中的X.509就是被广泛采用的标准。

X.509标准与公钥基础设施密切相关，它定义了公开密钥与密钥主体的结合，由此实现通信实体鉴别机制，并规定了实体鉴别中所使用的方法和数据接口，即证书。

❖(１) 集中生成模式：密钥对全部由ＣＡ生成；生成的公钥提供给ＣＡ软件生成证书，生成的证书和私钥发给申请者；❖离线分发：以磁盘或IC卡形式提供给用户❖在线分发：用户使用浏览器与CA的Web服务器相连申请证书，生成后CA用电子邮件通知用户如何以安全方式取得证书。

❖(２)分布式生成模式：密钥对由申请者自己的客户端软件生成，然后将公钥和个人资料发给ＣＡ，由ＣＡ生成证书签名发给申请者；❖PKI的基本组成：❖1、证书申请者:（Subscriber）❖2、证书申请审核中心:❖3、认证中心:❖4、证书库:❖5、证书信任方:❖1、易用性：屏蔽密码服务的实现细节❖2、可扩展性：体系结构可扩展；发行证书可满足不同应用要求。

❖3、互操作性：不同企业单位的PKI实现可能不同。

❖4、支持多应用、多平台：各种应用和各种操作系统❖1、Baltmore公司的UniCERT：Baltmore公司主要从事网络安全领域的产品开发，总部在爱尔兰，UniCERT是目前世界最先进的PKI产品之一，是策略驱动、模块化的。

❖其特点：灵活；易用；策略支持；可扩展；开放；安全❖2、Entrust/PKI：Entrust公司总部在美国的得克萨斯，Entrust电子商务安全产品处于全球领先地位，占35% 市场份额。

❖其特点：灵活性；完善的数据库功能；安全性及易用性；无缝更新密钥对降低系统使用成本；完善密钥备份和恢复系统；不可否认性，策略选择自由；可扩展性；互用性。

❖3、VerSign公司的OnSite：VerSign公司不仅提供认证服务，还提供PKI产品。

❖OnSite被用来企业互联网、外部网、VPN及电子商务应用。

4.12 我国PKI体系❖1998年上海CA中心成立，国内有70多个电子认证服务机构，可分为区域型、行业型、商业型和企业型。

❖我国PKI处于起步阶段，有不少急待解决的问题。

❖服务于国家各级机构、组织和部门的内部电子政务业务。

❖由政务根中心、政务认证中心、注册机构组成。

❖服务于各种公众网上业务（包括电子商务业务、政府面向公众服务的电子政务业务和其他信息化应用）❖采用网状信任模型，由国家桥中心、地区桥中心、公众服务认证中心SCA和注册机构组成。

4.3中国金融认证中心（CFCA）❖99年2月启动，2000年6月投入运行。

❖根据电子商务发展需要，由人行牵头，十二家商行联合建设的一个权威的、可信赖的、公正的第三方信任机构。

专门为电子商务的各种认证需求提供证书服务。

❖组织并参与了有关网上交易规则的制定，相应的技术标准，提供网上支付和跨行网上支付的相互认证等。

❖建立了SET CA 和Non-Set CA两套系统，SET CA由IBM承建，Non-Set CA由Entrust/SUN/德达承建。

❖统一规划，联合共建。

❖试点先行，逐步扩展。

❖技术先进，功能全面。

❖落实应用，快字为先。

❖标准和开放：符合国际标准，支持多家公司的支付网关。

❖建立SET CA 和Non-Set CA 两大体系。

❖向各种用户颁发不同种类的电子证书，支持电子商务应用、网上银行及其他安全管理业务的应用。

SET CA 主要用于电子商务中的B2C业务模式的身份认证；Non-Set CA 可同时支持B2B和B2C两种模式的身份认证；❖每年发放Non-Set证书15万，SET 证书10万❖SET CA 和Non-Set CA 是两各不同的体系，但都基于PKI机制，两套系统设计均为三层结构。

❖第一层CA：❖根CA（RCA）设在中国人民银行总行它负责制定和审批总体政策，确定每层CA的功能和职责，给自己签发证书，并签发和管理第二层CA的证书及其他根CA的交叉认证。

❖第二层CA：（品牌CA或政策CA）❖对于Set CA 体系称为品牌CA，用来颁发地域CA、支付网关CA、商家CA、持卡人CA 的证书。

❖对于Non-Set CA 体系称为政策PCA，根据RCA的各种规定，制定具体政策、管理制度及各地规范，签发第三层CA的证书，管理其发放的证书及CRL。

❖第三层CA：（用户CA）❖根据CA制定的政策和第二层CA的具体规定，直接给最终用户（持卡人、商家、企业、支付网关）发放各种应用的数字证书，并管理其发放的证书及CRL。

❖Set CA 体系结构❖Non-Set CA 体系结构PKI CA系统❖中国金融CA系统分为证书操作子系统CA和业务受理审核子系统RA。

❖核心部分CA是集中管理，RA是分布在各银行管理。

❖RA按照RCA制定的政策和管理规范的规定对用户的资信进行审查；❖向第三层CA申请为用户签发证书，❖根据需要设置下一级审核机构LRA，并管理受理点LRA。

❖受理点LRA对用户提交的资料进行审核，决定是否发放证书。

❖功能有接收用户的申请，录入用户资料；审核用户申请资料，批准或否决；为用户发放证书介质。

❖SET证书类型：持卡人证书、商户证书、支付网关证书❖Non-SET证书类型：个人普通证书、个人高级证书、企业高级证书、服务器站点证书❖离线申请方式；❖在线申请方式；❖Entrust/PKI Web 证书申请：在线或离线❖Entrust/PKI 企业证书申请：面对面方式❖离线审核方式；将手工录入的用户信息进行人工审核❖在线审核方式；将手工录入的用户信息与银行原有信息进行自动审查核对。

❖用户的密钥及有关证书的所有数据信息，都要进行归档处理以便查询。

❖使用目录服务器系统存储证书和CRL，保存期为7年。

❖上级CA对下级CA的管理功能。

❖拥有完善的管理手段和管理界面。

❖具有远程管理和维护功能。

❖自身证书的查询。

❖CRL查询❖操作日志查询❖统计报表输出5 金融CA系统的安全体系❖金融CA系统的安全体系组成❖1.环境安全：是系统安全的基础，要选择适当设施位置，考虑水灾、地震、电磁干扰与辐射、人为因素、电源等因素。

❖2.物理安全：CA系统中微机和主机、LAN服务器等资源要严格管理，要授权和监控。

❖3.网络安全：根CA和第二层要离线操作，不连接互联网。

将网络划分为公共区、操作区和“军事区”，层层加防火墙和实时监控。

❖4.主机安全：在金融系统中，主机系统有CA服务器、目录服务器、Web服务器等。

有双机备份，自动恢复和检测。

❖5.CA产品安全：Entrust的PKI产品❖6.操作安全规则：制定相应CA规则对CA签发证书、RA审核证书的操作❖7.人员管理安全：直接威胁内部人员，操作不当或信息失密，管理员密码双登录。

❖8.安全策略：①管理安全策略：建立严格的管理规程。

②数据安全策略：最重要是CA 的私钥，其次是用户数据。

③系统安全策略：制定安全可靠的认证证书操作说明书（CPS）即认证实施说明，定义CA的政策和规范，出现争端时提供法律保护。