CA认证 发表评论(0) 编辑词条

       电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。
　　CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。
　　CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。
　　CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。
　　如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。
　　如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。
　　为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证，并负责管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

　　证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。
　　证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。
　　加密：
　　ca认证我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。
　　解密：
　　我们将密文转换成能够直接阅读的文字（即明文）的过程称为解密。
　　如何在电子文档上实现签名的目的呢？我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：
　　信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。
　　在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数) 生成的。对这些HASH函数的特殊要求是：
　　1．接受的输入报文数据没有长度限制；
　　2．对任何输入报文数据生成固定长度的摘要(数字指纹)输出；
　　3．从报文能方便地算出摘要；
　　4．难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；
　　5．难以生成两个不同的报文具有相同的摘要。

　　收方在收到信息后用如下的步骤验证您的签名：
　　1．使用自己的私钥将信息转为明文；
　　2．使用发信方的公钥从数字签名部分得到原摘要；
　　3．收方对您所发送的源信息进行hash运算，也产生一个摘要；
　　4．收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。
　　如果两摘要内容不符，会说明什么原因呢？
　　可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破坏或篡改。

　　数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

　　数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。
　　在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。

　　保密性 - 只有收件人才能阅读信息。
　　认证性 - 确认信息发送者的身份。
　　完整性 - 信息在传递过程中不会被篡改。
　　不可抵赖性 - 发送者不能否认已发送的信息。

       中国金融认证中心（China Financial Certification Authority，英文简称CFCA）
　　CFCA是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一，也是《中华人民共和国电子签名法》颁布后，国内首批获得电子认证服务许可的CA之一。
　　CFCA作为国家级权威、公正的第三方安全认证机构，为网上金融、电子商务、电子政务提供安全认证服务；确保了网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。
　　现在各家银行为开展网上业务也都成立了各自CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核，实现了权威的、公正的、可信赖的第三方的作用。这样，交易的双方在参加交易之前，就已经过了网络银行在互联网上的身份验证和确认。保证了买卖双方的真实身份，为安全的交易奠定了信任的基础。
　　一、中国金融认证中心的建设　
　　中国金融认证中心( China Finance Certification Authority 缩写 CFCA )，是由中国人民银行牵头，联合浦发银行，中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的。
　　为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性)，防范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措施之外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认其他各方的身份，这就要求参加电子商务的各方必须有一个可以被验证的身份标识，即数字证书。数字证书是各类实体(个人/持卡人、企业/商户、银行/网关等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。中国金融认证中心(CFCA---China Finance Certificate Authority )作为一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。
　　金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。
　　二、 中国金融认证中心的目标　
　　中国金融CA建立了SET CA及Non-SET CA两大体系。Non-SET CA 体系亦称PKI CA 系统。其宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。
　　金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放15万张Non-SET证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张,个人8万张,SET证书支持SET 1.0 扩充版功能，既支持信用卡,又支持借记卡及PIN的处理。当CA完善后，扩大其应用范围，可发放S/MIME、VPN及特制X.509 证书等。还将发放支持无线WAP协议的证书。
　　中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持B to C、B to B以及B to G (Government)的模式。
　　三、 中国金融CA的结构　
　　1、 Non-SET 系统
　　Non-SET 对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书)，Non-SET 系统分为两部分。
　　Non-SET -CA 系统分为三层结构，第一层为根CA ，第二层为政策CA ，第三层为运营CA 。
　　2、 RA 系统
　　系统分为CA本地RA和CA远程RA。本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。远程RA根据商业银行的体系架构分为三级结构，即总行、分行、受理点。
　　四、 CFCA的功能　
　　CFCA是采用目前国内外先进技术，按国际通用标准开发建设的，它具有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能。证书符合ITU的X.509国际标准。提供具有世界先进水平的CA认证中心的全部需求。归纳起来有以下几个方面：
　　1． 证书的申请
　　·申请方式：
　　离线申请方式 在线申请方式
　　离线审核方式 在线审核方式
　　离线方式发放 在线方式发放
　　2． 证书的审批
　　3． 证书的发放
　　4． 证书的归档
　　5． 证书的撤销
　　6． 证书的更新
　　人工密钥更新 自动密钥更新
　　7．证书废止列表的管理功能( CRL )
　　证书废止原因编码 CRL的产生及其发布 企业证书及CRL的在线服务功能 8．CA的管理功能
　　9．CA 自身密钥的管理功能
　　五、 PKI Non-SET 证书的优势　
　　CFCA的non-SET CA，是基于PKI机制建立的，在当前是具有世界领先水平的CA系统。它的优势在于：
　　1. 技术优势
　　（1） CFCA的Non-SET CA 系统是引入当今世界先进水平的加拿大Entrust 公司的产品。Entrust 公司具有十五年的PKI开发经验，经过激烈竞争，是目前世界仅存的三家实力雄厚的CA公司( Entrust、Verisign、Baltimore )之－，CFCA采用的Entrust公司的高级/企业级证书是目前世界领先的工具。
　　（2） Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥;
　　（3） 在浏览器与服务器间实现双方认证，提高身份认证的安全性,为访问控制提供了可能；
　　（4） 增强了浏览器与服务器之间数据传输加密强度， 由原本40位对称算法加密提高到了128位。并且提供了改变算法的函数库。
　　（5） 具有数字签名功能，实现了传送者对信息的签名， 提供了抗否认性；
　　（6） 浏览器与客户代理之间，服务器与服务器代理之 间采用HTTP连接，而两个代理之间的通信采用了SPKM（简单公钥 机制）。实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的安全性。SPKM协议现已成为国际标准；
　　（7） 客户端、服务器端实现自动在线CRL查询。CRL 是证书作废列表，为了减少交易或传输的风险，在交易之前，能自动 查询各自的证书是否上了作废的黑名单，如果证书已无效，则系统自动拒绝交易，以保证交易的安全性；
　　（8） 签字公钥可自动置于目录服务器中，实现用户自 动检索。
　　（9） 完整的证书管理功能。提供证书的有效期管理、密钥更新管理等功能；
　　（10） 存储历史文档，支持全程的审计功能。对每次交易，传输都留有记录，特别是历次数据签名都存有历史文档，以备 审计查询；
　　（11） 提供时间戳功能。在数据签名或加信息等操作时，使用时间服务，以保证所有用户的时间一致；
　　（12） 证书除存放在机器硬盘、随身软盘而外，也可存 放于IC卡（CPU卡）中，以保证证书的本身的安全性；
　　以上列出的这些CFCA Entrust/Direct 证书及其代理软件（DIRECT PROXY）的优点，这些特点是与国内其他同类产品相对 比较得出的。国内有些公司开发的代理软件其功能各异，一般浏览 器/服务器的代理软件只是解决了128位对称加密强度问题，而没有 数字签名功能，没有证书管理以及在线CRL查询功能等等。因此，解决网上银行和电子商务应用中的 B to B 模式， 而采用中国金融认证中心的高级/企业级证书，是最好的选择，在技 术上不但具有可能性而且具有可行性。
　　2. 政策保证方面的优势
　　（1）中国金融CA（CFCA）是人民银行牵头，十二家商业银行（工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生，浦发）参加联合共建的中国金融认证中心。遵循了"统一规划联合共建，先作试点逐步发展，技术先进功能全面，落实应用快字当先"的原则。建设金融CA是中国电子商务的基础建设，其宗旨是：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。因而CFCA具有很高的权威性。
　　（2）证书是一种权威性的电子文档。它应由公认的、 被授权的权威机构所颁发，是网上交易、传输业务的身份证明，用于证明某个应用环境中某一主体（人或机器）的身份及其公开密钥的合 法性。要想使证书获得这种可信赖和权威性，就必须拥有一个可信 赖的权威的机构来颁发证书，作为认证的第三方。
　　（3）建立CFCA也包括制定"证书运作管理规范"（CPS），它应由人民银行支付科技司批准，在中国目前电子商务法律环境尚不健全的情况下，CPS的制定就显得异常重要，CPS实际上 是认证中心的法规。
　　（4）CFCA在安全方面也具有突出优势。为了保证认 证中心的安全，金融认证中心专门建了一幢独立的建筑；CFCA的机 房采取了严格的符合国际标准的措施。机房六面墙体(四面墙和天花 板、地板)都采用无缝钢板进行屏蔽，安装了高级监控设备，装置了 严格的门禁设备，制定了完善的安全制度。另外，在CFCA的网络 安全策略上。将整个CFCA系统划分成不同安全等级的区域，有些可以由外界通过公网进行访问，有些则只能由特许人员访问，以确保系统 的安全性。网络系统中还安装了世界先进的黑客入侵检测预警系统,以抵御黑客的攻击。