认证机构CA系统

 

一、 什么叫CA　　　　　

　　CA是认证中心的英文Certification Authority的缩写。它为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；它是电子商务和网上银行 交易的权威性、可信赖性及公正性的第三方机构。

二、 中国金融认证中心的建设　　　　　

　　中国金融认证中心( China Finance Certification Authority 缩写 CFCA )，是由中国人民银行牵头，联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳 发展银行、光大银行、民生银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的。

　　为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性)，防 范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措施之外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认 其他各方的身份，这就要求参加电子商务的各方必须有一个可以被验证的身份标识，即数字证书。数字证书是各类实体(个人/持卡人、企业/商户、银行/网关 等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。中国金融认证 中心(CFCA---China Finance Certificate Authority )作为一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等， 为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。

　　 金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行有关电子商务 的应用开发以及证书的使用。

三、 中国金融认证中心的目标　　　　　

　　中国金融CA建立了SET CA及Non-SET CA两大体系。Non-SET CA 体系亦称PKI CA 系统。其宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。

　　金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放 15万张Non-SET证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张,个人8万张,SET证书支持SET 1.0 扩充版功能，既支持信用卡,又支持借记卡及PIN的处理。当CA完善后，扩大其应用范围，可发放S/MIME、VPN及特制X.509 证书等。还将发放支持无线WAP协议的证书。

　　中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持B to C、B to B以及B to G (Government)的模式。

四、 中国金融CA的结构　　　　　

1、 Non-SET 系统

　　Non-SET 对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书 和高级/企业级证书)，Non-SET 系统分为两部分。

　　Non-SET -CA 系统分为三层结构，第一层为根CA ，第二层为政策CA ，第三层为运营CA 。Non-SET-CA , 系统架构图如下：

2、 RA 系统

　　系统分为CA本地RA和CA远程RA。本地 RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。远程RA根据商业银行的体系架构分为三级结构，即总行、分行、受理点。RA系统架构图如 下：

五、 CFCA的功能　　　　　

　　 CFCA是采用目前国内外先进技术，按国际通用标准开发建设的，它具有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理 功能。证书符合ITU的X.509国际标准。提供具有世界先进水平的CA认证中心的全部需求。归纳起来有以下几个方面：

1． 证书的申请

·申请方式：

• 离线申请方式
• 在线申请方式

2． 证书的审批

• 离线审核方式
• 在线审核方式

3． 证书的发放

• 离线方式发放
• 在线方式发放

4． 证书的归档

5． 证书的撤销

6． 证书的更新

• 人工密钥更新
• 自动密钥更新

7．证书废止列表的管理功能( CRL )

• 证书废止原因编码
• CRL的产生及其发布
• 企业证书及CRL的在线服务功能

8．CA的管理功能

9．CA 自身密钥的管理功能

六、 应用实例

   

七、 PKI Non-SET 证书的优势

　　CFCA的non-SET CA，是基于PKI机制建立的，在当前是具有世界领先水平的CA系统。它的优势在于：

1. 技术优势

（1） CFCA的Non-SET CA 系统是引入当今世界先进水平的加拿大Entrust 公司的产品。Entrust 公司具有十五年的PKI开发经验，经过激烈竞争，是目前世界仅存的三家实力雄厚的CA公司( Entrust、Verisign、Baltimore )之－，CFCA采用的Entrust公司的高级/企业级证书是目前世界领先的工具。

（2） Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥;

（3） 在浏览器与服务器间实现双方认证，提高身份认证的安全性,为访问控制提供了可能；

（4） 增强了浏览器与服务器之间数据传输加密强度， 由原本40位对称算法加密提高到了128位。并且提供了改变算法 的函数库。

（5） 具有数字签名功能，实现了传送者对信息的签名， 提供了抗否认性；

（6） 浏览器与客户代理之间，服务器与服务器代理之 间采用HTTP连接，而两个代理之间的通信采用了SPKM（简单公钥 机制）。实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的安全性。SPKM协议现已成为国际标准；

（7） 客户端、服务器端实现自动在线CRL查询。CRL 是证书作废列表，为了减少交易或传输的风险，在交易之前，能自动 查询各自的证书是否上了作废的黑名单，如果证书已无效，则系统自动拒绝交易，以保证交易的安全性；

（8） 签字公钥可自动置于目录服务器中，实现用户自 动检索。

（9） 完整的证书管理功能。提供证书的有效期管理、密钥更新管理等功能；

（10） 存储历史文档，支持全程的审计功能。对每次交易，传输都留有记录，特别是历次数据签名都存有历史文档，以备 审计查询；

（11） 提供时间戳功能。在数据签名或加信息等操作时，使用时间服务，以保证所有用户的时间一致；

（12） 证书除存放在机器硬盘、随身软盘而外，也可存 放于IC卡（CPU卡）中，以保证证书的本身的安全性；

　　以上列出的这些CFCA Entrust/Direct 证书及其代理软件（DIRECT PROXY）的优点，这些特点是与国内其他同类产品相对 比较得出的。国内有些公司开发的代理软件其功能各异，一般浏览 器/服务器的代理软件只是解决了128位对称加密强度问题，而没有 数字签名功能，没有证书管理以及在线CRL查询功能等等。因此，解决网上银行和电子商务应用中的 B to B 模式， 而采用中国金融认证中心的高级/企业级证书，是最好的选择，在技 术上不但具有可能性而且具有可行性。

2. 政策保证方面的优势

（1）中国金融CA（CFCA）是人民银行牵头，十二家商业银行（工、农、 中、建、交、中信、光大、华夏、招商、广发、深发、民生）参加联合共建的中国金融认证中心。遵循了"统一规划联合共建，先作试点逐步发展，技术先进功能全 面，落实应用快字当先"的原则。建设金融CA是中国电子商务的基础建设，其宗旨是：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。因而 CFCA具有很高的权威性。

（2）证书是一种权威性的电子文档。它应由公认的、 被授权的权威机构所颁发，是网上交易、传输业务的身份证明，用于证明某个应用环境中某一主体（人或机器）的身份及其公开密钥的合 法性。要想使证书获得这种可信赖和权威性，就必须拥有一个可信 赖的权威的机构来颁发证书，作为认证的第三方。

（3）建立CFCA也包括制定"证书运作管理规范"（CPS），它应由人民 银行支付科技司批准，在中国目前电子商务法律环境尚不健全的情况下，CPS的制定就显得异常重要，CPS实际上 是认证中心的法规。

（4）CFCA在安全方面也具有突出优势。为了保证认 证中心的安全，金融认证中心专门建了一幢独立的建筑；CFCA的机 房采取了严格的符合国际标准的措施。机房六面墙体(四面墙和天花 板、地板)都采用无缝钢板进行屏蔽，安装了高级监控设备，装置了 严格的门禁设备，制定了完善的安全制度。另外，在CFCA的网络 安全策略上。将整个CFCA系统划分成不同安全等级的区域，有些可以由外界通过公网进行访问，有些则只能由特许人员访问，以确保系统 的安全性。网络系统中还安装了世界先进的黑客入侵检测预警系统,以抵御黑客的攻击。