電子商務(wù)安全導(dǎo)論11

2023/2/1第11章國(guó)內(nèi)CA認(rèn)證中心及CFCA金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則2023/2/111.1中國(guó)金融認(rèn)證中心（CFCA）111.1.1CFCA簡(jiǎn)介中國(guó)金融認(rèn)證中心（ChinaFinancialCertificationAuthority，CFCA）是由中國(guó)人民銀行牽頭，聯(lián)合中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、交通銀行、中信實(shí)業(yè)銀行、光大銀行、招商銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、民生銀行、福建興業(yè)銀行、上海浦東發(fā)展銀行等14家全國(guó)性商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)，是國(guó)內(nèi)惟一一家能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上信任服務(wù)機(jī)構(gòu)。中國(guó)金融認(rèn)證中心專門負(fù)責(zé)為電子商務(wù)的各種認(rèn)證需求提供數(shù)字證書(shū)服務(wù)，采用基于PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)的雙密鑰機(jī)制。中國(guó)金融認(rèn)證中心的建立是我國(guó)電子商務(wù)走向成熟的重要里程碑，尤其是對(duì)我國(guó)網(wǎng)上銀行、電子商務(wù)的深入發(fā)展起著巨大的推動(dòng)作用。11.1中國(guó)金融認(rèn)證中心（CFCA）211.1.2CFCA體系結(jié)構(gòu)CFCA認(rèn)證系統(tǒng)采用國(guó)際領(lǐng)先的PKI技術(shù)，總體為三層CA結(jié)構(gòu)，第一層為根CA；第二層為政策CA，可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍；第三層為運(yùn)營(yíng)CA，根據(jù)證書(shū)運(yùn)作規(guī)范（CPS）發(fā)放證書(shū)。運(yùn)營(yíng)CA由CA系統(tǒng)和證書(shū)注冊(cè)審批機(jī)構(gòu)（BA）兩大部分組成。CA系統(tǒng)：承擔(dān)證書(shū)簽發(fā)、審批、廢止、查詢、數(shù)學(xué)簽名、證書(shū)/黑名單發(fā)布、密鑰恢復(fù)與管理、證書(shū)認(rèn)定和政策制定。CA系統(tǒng)設(shè)在CFCA本部，不直接面對(duì)用戶。RA系統(tǒng)：直接面向用戶，負(fù)責(zé)用戶身份申請(qǐng)審核，并向CA申請(qǐng)為用戶轉(zhuǎn)發(fā)證書(shū)。RA系統(tǒng)一般設(shè)置在商業(yè)銀行的總行、證券公司、保險(xiǎn)公司總部及其它應(yīng)用證書(shū)的機(jī)構(gòu)總部，受理點(diǎn)（LRA）設(shè)置在商業(yè)銀行的分/支行、證券、保險(xiǎn)營(yíng)業(yè)部及其他應(yīng)用證書(shū)機(jī)構(gòu)的分支機(jī)構(gòu)。RA系統(tǒng)可方便集成到其業(yè)務(wù)應(yīng)用系統(tǒng)。CFCA認(rèn)證系統(tǒng)在滿足高安全性、開(kāi)放性、實(shí)用性、高擴(kuò)展性、交叉認(rèn)證等需求的同時(shí)，從物理安全、環(huán)境安全、網(wǎng)絡(luò)安全、CA產(chǎn)品安全以及密鑰管理和操作運(yùn)營(yíng)管理等方面均按國(guó)際標(biāo)準(zhǔn)制定了相應(yīng)的安全策略；專業(yè)化的技術(shù)隊(duì)伍和完善運(yùn)營(yíng)服務(wù)體系，確保系統(tǒng)7*24小時(shí)安全高效、穩(wěn)定運(yùn)行。11.1.3CFCA數(shù)字證書(shū)服務(wù)1，CFCA數(shù)字證書(shū)：是CFCA用其私鑰進(jìn)行了數(shù)字簽名的包含用戶身份、公開(kāi)密鑰、有效期等許多相關(guān)信息的權(quán)威性的電子文件，是各實(shí)體在網(wǎng)上的電子身份證。它遵循ITUX.509V3國(guó)際標(biāo)準(zhǔn)規(guī)范，采用雙密鑰和高強(qiáng)度雙向認(rèn)證機(jī)制，具有證書(shū)自動(dòng)更新、密鑰備份、黑名單在線自動(dòng)查詢等功能。2，CFCA證書(shū)種類：企業(yè)高級(jí)證書(shū)、個(gè)人高級(jí)證書(shū)、企業(yè)普通證書(shū)、個(gè)人普通證書(shū)、服務(wù)器證書(shū)、手機(jī)證書(shū)、安全E-MAIL證書(shū)、VPN設(shè)備證書(shū)、代碼簽名證書(shū)。3，PKI服務(wù)：PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施。是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書(shū)所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書(shū)，核對(duì)執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。實(shí)體鑒別、數(shù)據(jù)的保密性、數(shù)據(jù)的真實(shí)性和完整性、不可否認(rèn)證、證書(shū)審批發(fā)放、密鑰歷史記錄、時(shí)間戳、密鑰備份與恢復(fù)、密鑰自動(dòng)更新、黑名單實(shí)時(shí)查詢、支持交叉認(rèn)證。4，企業(yè)、個(gè)人如何獲得CFCA證書(shū)用戶可以到所有CFCA授權(quán)的證書(shū)審批機(jī)構(gòu)（RA）申請(qǐng)證書(shū)，申請(qǐng)者一般需提供有關(guān)開(kāi)戶賬號(hào)、身份證/組織機(jī)構(gòu)代碼，郵件地址等有效信息，RA審核通過(guò)后給用戶參考號(hào)、授權(quán)碼作為獲得證書(shū)的憑據(jù)。用戶在得到參考號(hào)授權(quán)碼后，可以自行登錄CFCA網(wǎng)站獲得證書(shū)，也可以使用RA提供的其他更為簡(jiǎn)便的方式獲得證書(shū)。證書(shū)的存儲(chǔ)介質(zhì)可以是軟盤、硬盤，但更為安全的方式是使用智能卡或USB-KEY存放。2023/2/111.1中國(guó)金融認(rèn)證中心（CFCA）311.1.4主要應(yīng)用項(xiàng)目目前CFCA已在國(guó)內(nèi)十余家核心商業(yè)銀行、近20家券商建成覆蓋全國(guó)的認(rèn)證服務(wù)體系，業(yè)務(wù)領(lǐng)域已延伸至銀行、證券、稅務(wù)、保險(xiǎn)、企業(yè)集團(tuán)、政府機(jī)構(gòu)、電子商務(wù)平臺(tái)等金融和非金融行業(yè)。11.1.5發(fā)展歷程11.1.6CFCA證書(shū)注冊(cè)審批機(jī)構(gòu)（RA)銀行系統(tǒng)：中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)建設(shè)銀行、交通銀行、中信實(shí)業(yè)銀行、中國(guó)光大銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、中國(guó)民生銀行、興業(yè)銀行、上海浦發(fā)銀行、華一銀行（合資銀行）、中國(guó)人民銀行上海分行、武漢市商業(yè)銀行、寧波市商業(yè)銀行、溫州市商業(yè)銀行、柳州市商業(yè)銀行。證券系統(tǒng)：山西證券公司、黃河證券公司、福建省閩發(fā)證券公司、江門證券有限公司、蔚深證券公司、海南港海岸國(guó)際信托投資有限公司、湘財(cái)證券有限責(zé)任公司、華鑫證券有限責(zé)任公司、中富證券有限責(zé)任公司、國(guó)都證券有限責(zé)任公司、金信證券有限責(zé)任公司、興業(yè)證券股份有限公司、中信證券公司、新華證券有限責(zé)任公司、新時(shí)代證券有限責(zé)任公司、興安證券有限公司。其他：深圳金融電子結(jié)算中心、中國(guó)銀聯(lián)股份有限公司大連分公司、中國(guó)銀聯(lián)股份有限公司夏門分公司。11.1.7典型應(yīng)用1，網(wǎng)上銀行2，網(wǎng)上證券3，網(wǎng)上申報(bào)與繳稅4，網(wǎng)上企業(yè)購(gòu)銷5，安全移動(dòng)商務(wù)（WAP/短信息）6，企業(yè)級(jí)VPN部署7，基于數(shù)字簽名的安全E-MAIL、安全文檔管理系統(tǒng)8，基于數(shù)字簽名的TruePass系統(tǒng)9，CFCA時(shí)間戳服務(wù)2023/2/111.2中國(guó)電信CA安全認(rèn)證系統(tǒng)（CTCA）111.2.1CTCA概況中國(guó)電信CA安全認(rèn)證系統(tǒng)（簡(jiǎn)稱CTCA）于2000年5月12日正式向社會(huì)發(fā)放CA證書(shū)，并向社會(huì)免費(fèi)公布CTCA安全認(rèn)證系統(tǒng)的接口標(biāo)準(zhǔn)。系統(tǒng)可以為應(yīng)用系統(tǒng)提供兩種黑名單查詢方式，即OCSP方式和CRL方式，其中OCSP方式為用戶提供實(shí)時(shí)的證書(shū)狀態(tài)查詢服務(wù)，而CRL方式定期為用戶提供證書(shū)黑名單列表。中國(guó)電信CFCA系統(tǒng)有一套完善的證書(shū)發(fā)放體系和管理制度。體系采用三級(jí)管理結(jié)構(gòu)：全國(guó)CA安全認(rèn)證中心（包括全國(guó)CTCA中主、CTCA湖南備份中心）、省級(jí)RA中心，以及地市業(yè)務(wù)受理點(diǎn)。11.2.2CTCA的組成及功能組成：全國(guó)CA中心、省RA中心系統(tǒng)、地市級(jí)業(yè)務(wù)受理點(diǎn)。CA中心的功能是：（1）簽發(fā)自簽名的根證書(shū)；（2）審核和簽發(fā)其他CA系統(tǒng)的交叉認(rèn)證證書(shū)；（3）向其他CA系統(tǒng)申請(qǐng)交叉認(rèn)證證書(shū)；（4）受理和審核各RA機(jī)構(gòu)的申請(qǐng)；（5）為RA機(jī)構(gòu)簽發(fā)證書(shū)；（6）潤(rùn)滑處理各RA服務(wù)器的證書(shū)業(yè)務(wù)請(qǐng)求；（7）簽發(fā)業(yè)務(wù)證書(shū)和證書(shū)作廢表；（8）管理全系統(tǒng)的用戶和證書(shū)資料；（9）維護(hù)全系統(tǒng)的OCSP查詢數(shù)據(jù)。2023/2/111.2中國(guó)電信CA安全認(rèn)證系統(tǒng)（CTCA）211.2.2CTCA的組成及功能2RA中心的功能是：（1）受理用戶證書(shū)業(yè)務(wù)；（2）審核用戶身份；（3）為審核通過(guò)的用戶生成密鑰對(duì)；（4）向CA中心申請(qǐng)簽發(fā)證書(shū)；（5）將證書(shū)和私鑰灌入IC卡后分發(fā)給受理中心、受理點(diǎn)或用戶；（6）管理本地OCSP服務(wù)器，并提供證書(shū)狀態(tài)的實(shí)時(shí)查詢；（7）管理本地用戶資料。受理點(diǎn)的功能是：（１）管理所轄受理點(diǎn)用戶資料；（２）受理用戶證書(shū)業(yè)務(wù)；（３）審核用戶身份；（４）向受理中心或ＲＡ中心申請(qǐng)簽發(fā)證書(shū)；（５）將ＲＡ中心或受理中心制作的證書(shū)介質(zhì)分發(fā)給用戶。11.2.3CTCA數(shù)字證書(shū)業(yè)務(wù)簡(jiǎn)介1，安全電子郵件證書(shū)：是指?jìng)€(gè)人用戶收發(fā)電子郵件時(shí)采用證書(shū)機(jī)制保證安全所必須具備的證書(shū)。它的申請(qǐng)不需要通過(guò)業(yè)務(wù)受理點(diǎn)，由用戶直接通過(guò)自己的瀏覽器完成。用戶的密鑰對(duì)由瀏覽器產(chǎn)生和管理，密鑰長(zhǎng)512位。2，個(gè)人數(shù)字證書(shū)：是指?jìng)€(gè)人使用電子商務(wù)應(yīng)用系統(tǒng)應(yīng)具備的證書(shū)。一般個(gè)人證書(shū)通過(guò)業(yè)務(wù)受理點(diǎn)申請(qǐng)，用戶的密鑰對(duì)由RA中心產(chǎn)生，長(zhǎng)1024位。3，企業(yè)數(shù)字證書(shū)：是指單位、團(tuán)體、企業(yè)作為被服務(wù)者，參與電子商務(wù)應(yīng)用系統(tǒng)時(shí)應(yīng)具備的證書(shū)。一般企業(yè)證書(shū)通過(guò)業(yè)務(wù)受理點(diǎn)申請(qǐng)，經(jīng)業(yè)務(wù)受理點(diǎn)的審核操作員一次審核完成申請(qǐng)，密鑰對(duì)由RA中心產(chǎn)生，長(zhǎng)1024位。4，服務(wù)器證書(shū)：通過(guò)業(yè)務(wù)申請(qǐng)。密鑰對(duì)由RA中心產(chǎn)生，長(zhǎng)1024位。5，SSL服務(wù)器證書(shū)：是WebServer與瀏覽器用戶建立安全連接時(shí)所必須具備的證書(shū)。申請(qǐng)不需要通過(guò)業(yè)務(wù)受理點(diǎn)，用戶的密鑰對(duì)由相應(yīng)的WebServer自己產(chǎn)生和管理，長(zhǎng)512位。2023/2/111.3上海市電子商務(wù)安全證書(shū)管理中心（SHECA）11.3.1SHECA簡(jiǎn)介上海市電子商務(wù)安全證書(shū)管理中心有限公司（簡(jiǎn)稱SHECA），是信任服務(wù)和安全認(rèn)證服務(wù)的專業(yè)提供商，通過(guò)提供在線的信任服務(wù)，為電子商務(wù)和網(wǎng)上作業(yè)保駕護(hù)航。SHECA是國(guó)內(nèi)較早建立的CA認(rèn)證中心，創(chuàng)建于1998年。SHECA提供了兩種證書(shū)系統(tǒng)：1，SET證書(shū)系統(tǒng)。該系統(tǒng)符合SET協(xié)議，其特點(diǎn)是交易和信用卡綁定。2，通用證書(shū)系統(tǒng)。該系統(tǒng)是結(jié)合國(guó)情自行設(shè)計(jì)開(kāi)發(fā)的，其特點(diǎn)是人或?qū)嶓w綁定，不僅可用于支付型的電子商務(wù)，也可用于政府辦公網(wǎng)上作業(yè)。11.3.2SHECA證書(shū)簡(jiǎn)介1SHECA的安全電子商務(wù)解決方案既擁有與國(guó)際接軌的、符合SET協(xié)議的SET證書(shū)系統(tǒng)，又擁有結(jié)合國(guó)內(nèi)特點(diǎn)自行設(shè)計(jì)開(kāi)發(fā)的通用證書(shū)系統(tǒng)。SHECA提供的數(shù)字證書(shū)按業(yè)務(wù)類型可分為SET證書(shū)（符合SET協(xié)議）和Universal證書(shū)（符合X.509標(biāo)準(zhǔn)，如SSL,S/MIME等）證書(shū)及特殊證書(shū)。數(shù)證書(shū)根據(jù)應(yīng)用對(duì)象可將其分為：個(gè)人用戶證書(shū)、企業(yè)用戶證書(shū)、服務(wù)器證書(shū)和代碼證書(shū)。2023/2/111.3上海市電子商務(wù)安全證書(shū)管理中心（SHECA）211.3.2SHECA證書(shū)簡(jiǎn)介21,證書(shū)結(jié)構(gòu)和內(nèi)容證書(shū)的結(jié)構(gòu)編碼嚴(yán)格遵從X.509標(biāo)準(zhǔn)，它包含以下內(nèi)容：（1）版本號(hào)（2）序列號(hào)（3）簽名算法（4）簽發(fā)機(jī)構(gòu)（CA）信息。（5）證書(shū)有效期信息（起用和失效日期）（6）證書(shū)中公鑰信息（7）證書(shū)持有人信息（8）擴(kuò)展項(xiàng)。E-MAIL地址、密鑰用途等。2，SHECA證書(shū)的ASN.1定義3，證書(shū)存放的介質(zhì)：硬盤、軟盤、IC卡或加密卡加密機(jī)。4，證書(shū)兼容性檢測(cè)通過(guò)的軟件（1）WebServer（2）S/MIME5，證書(shū)相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)稱加密算法：128位非對(duì)稱加密算法1024位2023/2/111.3上海市電子商務(wù)安全證書(shū)管理中心（SHECA）311.3.3SHECA證書(shū)管理器的功能SHECA證書(shū)管理器是幫助用戶管理和使用數(shù)字證書(shū)的一個(gè)重要工具。它可以管理包括數(shù)字證書(shū)的申請(qǐng)、使用、存儲(chǔ)、讀寫等功能，同時(shí)還包括了基本的加密算法，以便供程序開(kāi)發(fā)者使用。主要有如下功能：（1）支持用戶自己證書(shū)的申請(qǐng)、下載、查詢、更新、廢除，同時(shí)能對(duì)他人證書(shū)進(jìn)行查詢及下載。支持其他中級(jí)證書(shū)的加入和根證書(shū)的更新及加入。（2）提供對(duì)所有數(shù)據(jù)或單個(gè)數(shù)據(jù)的導(dǎo)入或?qū)С?。?）用戶自己證書(shū)的導(dǎo)入導(dǎo)出支持PKICS12，能和IE和Netscape交換證書(shū)密鑰。（4）支持證書(shū)驗(yàn)證包括黑名單驗(yàn)證、OCSP驗(yàn)證，以及證書(shū)鏈的驗(yàn)證。（5）支持一些緩存功能，減少網(wǎng)絡(luò)的操作，如黑名單緩存、證書(shū)鏈緩存等。（6）提供給應(yīng)用程序的接口有良好的說(shuō)明，并且能確實(shí)訪問(wèn)到每一個(gè)證書(shū)。確保私鑰不被非法使用（必須要口令，不出接口）。2，證書(shū)管理器的特點(diǎn)：（1）方便管理用戶個(gè)人及他人證書(shū)，存儲(chǔ)介質(zhì)多樣化。（2）同時(shí)SET證書(shū)和通用證書(shū)。（3）支持多種加密技術(shù)（如對(duì)稱加密、數(shù)字簽名等）（4）支持版本的自動(dòng)升級(jí)（或提醒）。（5）具有良好的使用及安裝界面。3，證書(shū)管理器使用簡(jiǎn)介證書(shū)管理將證書(shū)分為個(gè)人證書(shū)、他人證書(shū)和根證書(shū)，主要有如下操作：（1）個(gè)人證書(shū)睥操作：申請(qǐng)證書(shū)、添加個(gè)人證書(shū)、導(dǎo)出證書(shū)、導(dǎo)入證書(shū)、刪除證書(shū)、驗(yàn)證證書(shū)、修改證書(shū)私鑰密碼、查看詳細(xì)信息、設(shè)置驗(yàn)證方式等。（2）對(duì)他人證書(shū)的操作：添加他人證書(shū)、導(dǎo)出證書(shū)、導(dǎo)入證書(shū)、刪除證書(shū)、驗(yàn)證證書(shū)、查看詳細(xì)信息、設(shè)置驗(yàn)證方式、查找他人證書(shū)。（3）對(duì)根證書(shū)的操作：查看詳細(xì)信息、驗(yàn)證證書(shū)、查找根證書(shū)。2023/2/111.4中國(guó)金融認(rèn)證中心（CFCA）金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則CFCA金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則按電子商務(wù)中的角色不同可劃分為：網(wǎng)關(guān)（銀行）業(yè)務(wù)規(guī)則、商務(wù)（企業(yè)）業(yè)務(wù)規(guī)則、持卡人（個(gè)人）業(yè)務(wù)規(guī)則和中介機(jī)構(gòu)業(yè)務(wù)規(guī)則。11.4.1網(wǎng)關(guān)（銀行）業(yè)務(wù)規(guī)則網(wǎng)關(guān)（銀行）業(yè)務(wù)規(guī)則根據(jù)其使用的證書(shū)以及在網(wǎng)上交易是否遵循SETCo標(biāo)準(zhǔn)分為SET標(biāo)準(zhǔn)支付網(wǎng)關(guān)業(yè)務(wù)規(guī)則和Non-SET標(biāo)準(zhǔn)銀行業(yè)務(wù)規(guī)則。11.4.2商戶（企業(yè)）業(yè)務(wù)規(guī)則商戶（企業(yè)）業(yè)務(wù)規(guī)則根據(jù)其使用的證