CA是认证中心的英文CertificationAuthority的缩写,在PKI中称“认证机构”。它为电子商务环境中的各个实体颁发电子证书,即对实体的身份信息和相应的公钥数据进行数字签名,用以捆绑实体的公钥和身份,以证明各实体在网上身份的真实性,并负责在交易中检验和管理证书。它是认证电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构,是电子商务的重要组成部分。
9.5.1 中国金融认证中心的概况中国金融认证中心(ChinaFinancialCertificationAuthority,简称CFCA),是由中国人民银行牵头,联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、福建兴业银行、上海浦东发展银行等十四家全国性商业银行共同建立的国家级权威金融认证机构,是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。
中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务,为参与网上交易的各方提供信息安全保障,建立彼此信任的机制,实现互联网上电子交易的保密性、真实性、完整性和不可否认性。同时参与制定有关网上安全交易规则,确立相应技术规范和运作规范,提供网上支付,特别是网上跨行支付的相互认证等服务。
中国金融认证中心认证系统采用基于PKI(公钥基础设施)技术的双密钥机制,在保证核心加密模块国产化的前提下,通过国际招标建立了具有世界先进水平的认证系统,并通过了国家信息安全产品测评认证中心的安全评测。CFCA认证系统具有完善的证书管理功能,提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务。目前CFCA具有覆盖全国的认证服务体系,提供多种用途的证书和信息安全服务,支持金融领域及其他各界用户的应用需求,包括网上购物、网上银行、网上证券、网上保险、网上申报缴税、网上购销和其他安全业务(OA、MIS)等等,CFCA证书全面支持电子商务的各种业务运作模式。
中国金融认证中心的突出特点是其金融特色,CFCA证书发放前须经过金融机构审批以规避交易中可能发生的支付风险,证书申请者必须具备合格的金融资信和支付能力才能获得CFCA证书。此外CFCA证书实现了不同银行之间、银行与用户之间信任关系的连接与传递,为全面解决网上安全支付提供了有力支持。目前,CFCA证书已实现了网上银行业务的跨行身份认证,用户只需持有一张CFCA证书,即可在多个银行的网银系统中进行身份鉴别。不久的将来,在CFCA与联合共建银行的努力下,使用一张CFCA证书即可进行网上跨行查询、转账、支付等业务,这将极大的促进网上银行和电子商务支付业务的蓬勃发展。
中国金融认证中心的建立是中国电子商务走向成熟的重要里程碑,尤其是对中国网上银行、电子商务的深入发展起着巨大的推动作用。中国金融认证中心立在足于技术、市场、管理、服务创新的基础上,积极为用户营造与国际接轨的安全高效的网络信任平台。
9.5.2 中国金融认证中心的目标CFCA要建立SETCA及Non-SETCA两大体系,发放SET和Non-SET两大类各种电子证书,以金融行业的权威性、可信赖性及公正性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。
CFCA工程建设具有相当规模,规模齐全,年发证量可达近百万张。Non-SET证书包括普通个人证书、Web证书、SSL证书及高级证书(高级个人证书、高级企业证书)等;SET证书支持SET1.0扩充版功能,即支持借记卡及PIN的处理。
CFCA二期工程将扩大其应用范围,可发放WAP、S/MIME、VPN等证书。
CFCA颁发的所有证书都遵循ITU-TX。509证书标准。
CFCA颁发的证书适应电子商务业务各种应用模式,无论是网上银行或是网上购物都支持B2C、B2B以及B2G(Government)的模式。
9.5.3 中国金融认证中心的结构CFCA建立了两大CA体系即SETCA及Non-SETCA系统,其结构如下:
1SETCA系统SETCA系统是为在网上购物时用银行卡进行结算的卡基业务建立的。系统为三层结构,第一层为根CA,简称RCA;第二层为品牌CA,简称BCA;第三层为终端用户CA,简称ECA,根据证书使用者的不同分为CCA(持卡人CA)、MCA(商户CA)、PCA(网关CA)。
根据今后的发展可在第二层CA和第三层CA之间扩展出GCA(地区ICA)。SETCA系统如图9-10所示。
2Non-SET系统Non-SET系统对于应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书及高级/企业证书),以支持B2C、B2B模式的应用。
Non-SETCA系统分为三层结构,第一层为根CA,第二层为政策CA,第三层为运营CA。Non-SETCA系统架构如图9-11所示。其中,第三层运营CA直接为各商业用户发证并与RA连接。
3RA系统RA(RegistrationAuthority,审核受理处)是CA的延伸,RA是CA的组成部分。RA分为本地RA和远程RA。本地RA审批有关CA一级的证书,接受远程RA提交的已审批的资料。
远程RA根据商业银行的管理体系可分为三级结构,即总行-分行-受理点。
RA系统其中,受理点LRA接受用户的证书申请,并进行审批,具有录入、审核、管理及制证等功能。RA集中各受理点的申请数据,上传给CA签发证书。
9.5.4 中国金融认证中心的功能与证书种类CFCA采用目前国内外先进技术,按国际通用标准开发建设,提供具有世界先进水平的认证中心的全部需求。它可具有对CA系统的管理功能和对CA自身密钥的管理功能,它还具有接受用户对证书的申请、证书的审批、签发证书、证书下载、证书归档与注销、证书更新等证书管理功能。CFCA签发的证书符合ITU的X。509国际标准。
CFCA证书产品是定位于互联网之上的应用类安全产品。证书应用在与用户各自的业务系统的无缝结合的基础上,能为用户提供身份识别、数据加密、访问控制等全方位安全信任服务,确保互联网上真实可信的网络应用,证书按用途可分为:企业高级证书、个人高级证书、企业普通证书、个人普通证书、服务器证书、手机证书、安全E-mail证书、VPN设备证书、代码签名证书。
9.5.5 中国金融认证中心的安全保障机制CFCA作为电子商务体系的基础环节之一,安全性是保证CFCA公正、可信赖、权威的基础。因此安全性是CFCA正常运行的基本要求,安全性目标主要在于维护系统信息的保密性、有效性和完整性。CFCA安全性是指系统安全、通信安全和数据安全,整个安全结构为以下几个部分:物理与环境安全控制、网络安全、证书处理系统应用软件与数据安全、人员安全管理。
证书处理系统应用与数据安全包括系统审计、操作系统安全设置、CA业务数据安全等方面。它的目的是保证数据完整性、私密性、可恢复性(数据的备份与存档)。系统审计是指使用审计的手段,对敏感事件、错误事件进行日志登记,提供原始举证数据。操作系统安全设置的目的是:要抵抗来自外部和内部的攻击,防范系统崩溃;要防止信息被窃取,严格保证CA私钥和用户账号信息的安全;要有足够能力防止黑客的攻击。CA业务数据安全是指CA系统的敏感部位(如数据库、存贮装置等)都设有严格的保护。金融CA的安全保障还包括设备安全和环境安全。
中国金融认证中心正在积极考虑建设灾难恢复中心,这样,当系统出现整体崩溃时,可在短时间内保证CA服务的可用性、保证数据的能够恢复。在CA建设初期,系统就已经具有双机备份、数据备份并分开存放的功能。将来条件成熟后,要建立金融CA备份中心,进行灾难备份,保证CA能提供365天24小时永不中断的服务。
RA系统的安全目标,是保证RA系统证书原始凭据和电子证体的安全,保证不致由于RA系统自身的原因对CA系统的安全造成影响。
CFCA从以下几方面制定了安全策略:物理与环境安全、网络安全、应用业务系统与数据安全、人员安全与日常操作安全、系统的连续性管理(即系统备份和可恢复)。
