CFCA 技術(shù)介紹以及應(yīng)用案例課件

CFCA中國金融認(rèn)證中心（ChinaFinancialCertificationAuthority），簡(jiǎn)稱CFCA，是經(jīng)中國人民銀行和國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國家級(jí)權(quán)威的安全認(rèn)證機(jī)構(gòu)，是重要的國家金融信息安全基礎(chǔ)設(shè)施之一。中國金融認(rèn)證中心的售后服務(wù)宗旨是：“幫助客戶保證系統(tǒng)的運(yùn)行，成為客戶的技術(shù)支持合作伙伴，在客戶需要的時(shí)候隨時(shí)提供適當(dāng)?shù)姆?wù)”。CFCA的技術(shù)支持服務(wù)遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)的針對(duì)故障排除的響應(yīng)支持概念，而是依據(jù)整個(gè)系統(tǒng)的情況及客戶的需求，從支持客戶的日常運(yùn)作維護(hù)、系統(tǒng)預(yù)防性檢查、系統(tǒng)功能升級(jí)，到客戶的培訓(xùn)服務(wù)，幫助用戶更好地掌握系統(tǒng)維護(hù)的知識(shí)和了解相關(guān)的最新技術(shù)。CFCA技術(shù)及應(yīng)用介紹中國金融認(rèn)證中心何小航介紹內(nèi)容1CFCA介紹2CFCA技術(shù)架構(gòu)及PKI基本知識(shí)3CFCA的業(yè)務(wù)拓展及典型應(yīng)用案例4當(dāng)前糾紛處理、電子簽名法5A&QCFCA公司介紹CFCA背景中國金融認(rèn)證中心（ChinaFinancialCertificationAuthority，英文縮寫CFCA）是國內(nèi)全面支持電子商務(wù)安全支付業(yè)務(wù)的國家級(jí)網(wǎng)上信任服務(wù)機(jī)構(gòu)。作為金融界唯一的、權(quán)威的、第三方認(rèn)證機(jī)構(gòu)，CFCA致力于保障網(wǎng)上跨行支付安全，通過以數(shù)字證書為核心的信任和安全服務(wù)，實(shí)現(xiàn)互聯(lián)網(wǎng)上各方身份真實(shí)性、信息保密性和完整性、網(wǎng)上交易行為的不可否認(rèn)性，為網(wǎng)上銀行、電子商務(wù)提供安全保障。CFCA認(rèn)證體系基于雙密鑰機(jī)制，具有完善的證書管理功能，能夠提供證書申請(qǐng)、審核、生成、頒發(fā)、存儲(chǔ)、查詢、廢止等全程自動(dòng)審計(jì)服務(wù)，并已通過了國家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心的安全評(píng)測(cè)。目前CFCA已在銀行、證券公司、政府機(jī)構(gòu)建成覆蓋全國的認(rèn)證服務(wù)體系，同時(shí)針對(duì)企業(yè)、個(gè)人提供包括普通、高級(jí)、Web站點(diǎn)、手機(jī)證書等在內(nèi)的15種證書和多種信息安全服務(wù)，以滿足社會(huì)各界用戶的應(yīng)用需求，證書應(yīng)用遍及銀行、證券、稅務(wù)、保險(xiǎn)、政府機(jī)構(gòu)、企業(yè)集團(tuán)等金融和非金融領(lǐng)域。

CFCA公司介紹合格的資質(zhì)CFCA公司介紹作為國家級(jí)專業(yè)第三方信任機(jī)構(gòu)，CFCA在力求卓越與創(chuàng)新的同時(shí)，以貼近客戶的專業(yè)化定制服務(wù)，不斷強(qiáng)化著她業(yè)已樹立的品牌，使CFCA在所涉及的各個(gè)領(lǐng)域始終保持著生生不息的活力。目前CFCA已在國內(nèi)十余家核心商業(yè)銀行、近20家券商建成覆蓋全國的認(rèn)證服務(wù)體系，業(yè)務(wù)領(lǐng)域已延伸至銀行、證券、稅務(wù)、保險(xiǎn)、企業(yè)集團(tuán)、政府機(jī)構(gòu)、電子商務(wù)平臺(tái)等金融和非金融行業(yè)。廣泛的客戶群CFCA公司介紹銀行－中國工商銀行、中國農(nóng)業(yè)銀行、中國建設(shè)銀行、交通銀行、中信實(shí)業(yè)銀行、中國光大銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、中國民生銀行、福建興業(yè)銀行、華一銀行（合資銀行）等12家銀行B-B/B-C網(wǎng)上銀行系統(tǒng)證券

－港澳證券、蔚深證券、中信證券、山西證券、黃河證券、閩發(fā)證券、江門證券、湘財(cái)證券、華鑫證券、中富證券、國都證券、金信證券、興業(yè)證券、新華證券等14家券商的網(wǎng)上證券交易系統(tǒng)；華安、華夏、國泰、長盛、中融、博時(shí)等6家開放式基金的網(wǎng)上數(shù)據(jù)管理系統(tǒng)其它金融機(jī)構(gòu)－中央國債登記系統(tǒng)；中國銀聯(lián)網(wǎng)上差錯(cuò)查詢系統(tǒng)；廈門卡中心網(wǎng)上認(rèn)證系統(tǒng)；大連市信用卡中心/大連市信息產(chǎn)業(yè)局網(wǎng)上認(rèn)證系統(tǒng)；北京票據(jù)清算中心數(shù)據(jù)管理系統(tǒng)；深圳金融電子結(jié)算中心網(wǎng)上認(rèn)證系統(tǒng)；中國人民銀行武漢分行國庫系統(tǒng)稅務(wù)－北京國稅、無錫國稅、大連地稅（網(wǎng)上申報(bào)繳稅系統(tǒng)）電子政務(wù)

－人民銀行天津分行金融監(jiān)管；上海外匯管理局網(wǎng)上外匯申報(bào)系統(tǒng)企業(yè)集團(tuán)－攀鋼、鞍鋼、中石油、聯(lián)想、一汽、萬向、用友等企業(yè)集團(tuán)財(cái)務(wù)廣泛的客戶群CFCA技術(shù)架構(gòu)及PKI基本知識(shí)靈活的構(gòu)架PKI公共密鑰基礎(chǔ)結(jié)構(gòu)是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗械木W(wǎng)絡(luò)應(yīng)用透明的提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，它是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。CA可以為多層或單層結(jié)構(gòu)，一般包括CA中心和證書注冊(cè)審批機(jī)構(gòu)（RA）兩大部分。

CA系統(tǒng)：承擔(dān)證書簽發(fā)、審批、廢止、查詢、數(shù)字簽名、證書/黑名單發(fā)布、密鑰恢復(fù)與管理、證書認(rèn)定和政策制定，不直接面對(duì)用戶

RA系統(tǒng)：直接面向用戶，負(fù)責(zé)用戶身份申請(qǐng)審核，并向CA申請(qǐng)為用戶轉(zhuǎn)發(fā)證書；一般可以設(shè)置在直接面對(duì)最終用戶的柜臺(tái)、營業(yè)點(diǎn)、分公司等等。CA認(rèn)證系統(tǒng)要在滿足安全性、易用性、擴(kuò)展性等需求的同時(shí)，從物理安全、環(huán)境安全、網(wǎng)絡(luò)安全、CA產(chǎn)品安全以及密鑰管理和操作運(yùn)營管理等方面按嚴(yán)格標(biāo)準(zhǔn)制定相應(yīng)的安全策略；要有專業(yè)化的技術(shù)支持力量和完善的服務(wù)系統(tǒng)，保證系統(tǒng)7X24小時(shí)高效、穩(wěn)定運(yùn)行。完善的PKI服務(wù)CFCA技術(shù)架構(gòu)及PKI基本知識(shí)PKI完善的服務(wù)支持不可否認(rèn)性

雙密鑰對(duì)

時(shí)間戳

證書查詢

交叉認(rèn)證證書的注冊(cè)審批發(fā)放

密鑰自動(dòng)更新

證書廢止列表查詢

密鑰備份與恢復(fù)

密鑰歷史記錄

PKI完善的服務(wù)

一個(gè)典型完整的PKI是由一系列服務(wù)和組件所組成：PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施。是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。---實(shí)體鑒別、數(shù)據(jù)的保密性、數(shù)據(jù)的真實(shí)性和完整性、不可否認(rèn)性、證書審批發(fā)放、---密鑰歷史記錄、時(shí)間戳、密鑰備份與恢復(fù)、密鑰自動(dòng)更新、黑名單實(shí)時(shí)查詢、支持交叉認(rèn)證從技術(shù)路線上來區(qū)分CFCA證書及應(yīng)用分為高級(jí)和普通兩大類高級(jí)證書：指的雙密鑰對(duì)證書及其應(yīng)用普通證書：標(biāo)準(zhǔn)的x.509證書及其應(yīng)用證書密鑰協(xié)議管理功能自動(dòng)更新CA管理普通單對(duì)ssl密鑰不托管沒有不完善高級(jí)雙對(duì)spkm加密密鑰對(duì)托管自動(dòng)更新比較完善CFCA技術(shù)架構(gòu)及PKI基本知識(shí)常用PKI名詞說明1：PKI－PublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。當(dāng)前互聯(lián)網(wǎng)上的安全認(rèn)證解決方案廣泛采用安全先進(jìn)的PKI技術(shù)和規(guī)范。2：CA－CertificateAuthority證書管理和認(rèn)證的機(jī)構(gòu)，即認(rèn)證中心3：RA－RegistrationAuthority證書注冊(cè)審批機(jī)構(gòu)4：數(shù)字證書－CA用其私鑰進(jìn)行了數(shù)字簽名的包含用戶身份、公開密鑰、有效期等許多相關(guān)信息的權(quán)威性的電子文件，是各實(shí)體在網(wǎng)上的電子身份證。5：公鑰/私鑰－可以認(rèn)為是一種加密/解密的算法憑證，公鑰可以公開獲得，私鑰是私密的保存6：數(shù)字簽名－基于數(shù)字證書的一種信息技術(shù)處理，類似與傳統(tǒng)的手寫簽名保證信息的不可抵賴性常用PKI名詞說明7：SSL－SecureSocketLayer安全套接字層(SSL)是一個(gè)工業(yè)標(biāo)準(zhǔn)協(xié)議，對(duì)應(yīng)于七層網(wǎng)絡(luò)模型中的會(huì)話層，它使得公開密鑰技術(shù)在其中發(fā)揮了重要作用。8：SET－是由Visa國際組織和萬事達(dá)組織共同制定的一個(gè)能保證通過開放網(wǎng)絡(luò)(包括Internet)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。9：對(duì)稱加密算法－對(duì)稱加密算法中解密和解密使用的是同一個(gè)密鑰。對(duì)稱密鑰密碼體制是從傳統(tǒng)的簡(jiǎn)單置換、替代密碼發(fā)展而來的，對(duì)稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類：常用的對(duì)稱加密算法有：RC4、RC2、IDEA、CAST。10：非對(duì)稱加密算法－非對(duì)稱加密算法又被稱之為公開密鑰算法，因?yàn)樗惴ㄒ蠊_公私鑰對(duì)中的公鑰給他人。它要求密鑰成對(duì)出現(xiàn)，一個(gè)為公開密鑰，一個(gè)為私有密鑰，而且不可能從公開密鑰推導(dǎo)出私有密鑰，用公開密鑰加密的信息只能用私有密鑰解密，反之亦然。除加密功能之外，公鑰系統(tǒng)還可提供數(shù)字簽名。公鑰加密算法主要有：RSA、Fertezza、ECC(橢圓曲線)等。PKI基本技術(shù)手段標(biāo)準(zhǔn)信息：

證書的版本號(hào)證書的序列號(hào)簽名算法標(biāo)識(shí)符發(fā)證機(jī)關(guān)信息：（略）

證書有效期開始日期終止日期申請(qǐng)人信息：（略）

申請(qǐng)人公鑰發(fā)證機(jī)關(guān)簽名

申請(qǐng)人公鑰發(fā)證機(jī)關(guān)簽名擴(kuò)充信息：證書專門用途、種類、等級(jí)等。注解：

申請(qǐng)人公鑰包括兩部分：

l

公鑰算法l

公鑰信息

機(jī)關(guān)簽名包括兩部分

l

簽名算法l

簽名文件數(shù)字證書的格式（X.509v3標(biāo)準(zhǔn)）證書版本號(hào)，用來指定證書采用的標(biāo)準(zhǔn)格式（如X.509）的版本號(hào)。證書序列號(hào)，用來指定證書的唯一序列號(hào)，標(biāo)識(shí)CA（認(rèn)證中心）發(fā)出的所有公鑰證書序列。簽名算法標(biāo)識(shí)，根據(jù)現(xiàn)代密碼學(xué)的“算法公開，密鑰保密”的基本原則，這里列出該CA（認(rèn)證中心）所使用的簽名算法標(biāo)識(shí)名。證書有效期、起始日期、終止日期，用來指定證書的起始日期和終止日期。用戶信息，用來指定證書用戶的唯一標(biāo)識(shí)名DN用戶公鑰信息，用來指定公鑰使用的算法和本證書擁有的公鑰信息本身。發(fā)證機(jī)關(guān)簽名，CA（認(rèn)證中心）用自己的密鑰和本證書的信息通過上述簽名算法獲得的數(shù)字簽名信息。

PKI基本技術(shù)手段加密算法加密是指使用密碼算法對(duì)數(shù)據(jù)做變換，使得只有密碼持有人才能恢復(fù)數(shù)據(jù)面貌，其目的是防止信息的非授權(quán)泄露。對(duì)稱加密算法－對(duì)稱密碼算法是加密密鑰和解密密鑰相同，其優(yōu)點(diǎn)是保密強(qiáng)度高、計(jì)算開銷小、處理速度快，但密鑰管理困難。對(duì)稱密鑰密碼體制是從傳統(tǒng)的簡(jiǎn)單置換、替代密碼發(fā)展而來的，對(duì)稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類，常用的對(duì)稱加密算法有：RC4、RC2、IDEA、CAST。非對(duì)稱加密算法－非對(duì)稱密碼算法是加密密鑰和解密密鑰不同，它要求密鑰成對(duì)出現(xiàn)，每個(gè)用戶都有兩個(gè)密鑰，一個(gè)為公開密鑰，一個(gè)為私有密鑰，因?yàn)樗惴ㄒ蠊_公私鑰對(duì)中的公鑰給他人，而且不可能從公開密鑰推導(dǎo)出私有密鑰，用公開密鑰加密的信息只能用私有密鑰解密，反之亦然。該算法的計(jì)算開銷大、處理速度慢，但其優(yōu)點(diǎn)是便于密鑰的分發(fā)和管理，便于數(shù)字簽名（用公鑰加密，用私鑰解密，可實(shí)現(xiàn)多個(gè)用戶的加密信息只能由一個(gè)用戶解讀，這用于保密通信；若以私鑰加密，公鑰解密，可實(shí)現(xiàn)一個(gè)用戶的加密信息而由多個(gè)用戶解密，是用于數(shù)字簽名）。公鑰加密算法主要有：RSA、Fertezza、ECC(橢圓曲線)等摘要算法－也稱雜湊（HASH）算法，特點(diǎn)是很容易把明文變成密文，但很難把密文轉(zhuǎn)成明文，該密文稱HASH值，或稱“數(shù)據(jù)摘要”。摘要算法的核心是單向散列函數(shù)，這種函數(shù)可以將任意長度的信息轉(zhuǎn)變?yōu)楣潭ㄩL度的散列值，而通過輸出的信息求取輸入的信息是辦不到的。單向散列函數(shù)除了不可逆性之外，還具有無碰撞性，任意兩個(gè)信息的散列值幾乎不可能一樣。摘要算法主要運(yùn)用在保護(hù)信息的完整性上，常用的摘要算法有MD2、MD5、SHA等。PKI基本技術(shù)手段身份認(rèn)證保險(xiǎn)門戶口令信息簽名驗(yàn)證簽名用戶的私鑰用戶的公鑰CA認(rèn)證中心用戶門戶對(duì)用戶身份的識(shí)別

身份認(rèn)證：即確認(rèn)實(shí)體為自己所聲明的身份，鑒別身份的真?zhèn)?。如上圖，雙方建立安全連接，互換證書，彼此去CA公開的目錄服務(wù)器驗(yàn)證證書的有效性，確認(rèn)后，用戶將自己的用戶名、密碼等用自己的私鑰簽名送給保險(xiǎn)門戶，保險(xiǎn)門戶用獲得的用戶的證書所含的公鑰來驗(yàn)證用戶的數(shù)字簽名，如果該簽名談過驗(yàn)證，則證明用戶所聲明的身份是確實(shí)無誤的。PKI基本技術(shù)手段數(shù)據(jù)完整性和數(shù)據(jù)保密性數(shù)據(jù)完整性：就是確保數(shù)據(jù)在傳輸或者存儲(chǔ)的過程中沒有別修改，利用摘要算法＋數(shù)字簽名來實(shí)現(xiàn)。先對(duì)信息進(jìn)行摘要處理，然后對(duì)摘要的值作數(shù)字簽名附在原始數(shù)據(jù)后面一起發(fā)送。如果數(shù)據(jù)被篡改，驗(yàn)證就會(huì)失敗，反之則說明數(shù)據(jù)完整。

數(shù)據(jù)保密性：數(shù)據(jù)保密性服務(wù)目標(biāo)是除了指定的實(shí)體外，其它沒有經(jīng)過授權(quán)的人不能讀出或者看得懂該數(shù)據(jù)。這里采用的“數(shù)字信封”機(jī)制，特點(diǎn)是講對(duì)稱加密的快速和非對(duì)稱加密的方便很好的結(jié)合了起來。發(fā)送方先產(chǎn)生一個(gè)對(duì)稱密鑰，并利用該對(duì)稱密鑰加密敏感數(shù)據(jù)，同時(shí)，發(fā)送方利用接受方的公鑰加密此對(duì)稱密鑰，好像裝入了一個(gè)“數(shù)字信封”里面，然后將被加密的對(duì)稱密鑰和被此對(duì)稱密鑰加密的敏感數(shù)據(jù)一起發(fā)送給接受方，接受方先用自己的私鑰解開數(shù)字信封得到對(duì)稱密鑰，然后在用對(duì)稱密鑰解開加密的數(shù)據(jù)，其它沒有授權(quán)的人沒有拆開數(shù)字信封的私鑰所以看不見或者讀不懂?dāng)?shù)據(jù)，這就起到了數(shù)據(jù)保密性的作用。PKI基本技術(shù)手段數(shù)字簽名技術(shù)－不可抵賴性

數(shù)字簽名技術(shù)：一般A用HASH算法對(duì)一段信息進(jìn)行加工產(chǎn)生HASH值（即摘要信息），再用數(shù)字簽名規(guī)定的算法進(jìn)行私鑰加密形成數(shù)字簽名，將該段信息原文與數(shù)字簽名一起傳到B，B用A的公鑰對(duì)A的數(shù)字簽名進(jìn)行解密產(chǎn)生原文的HASH值，B同時(shí)用HASH算法對(duì)傳送過來的原文求HASH值（即摘要信息），用兩個(gè)HASH值進(jìn)行比較驗(yàn)證數(shù)字簽名；另一種數(shù)字簽名方法是對(duì)需保密的短信息，A用私鑰對(duì)原文通過簽名規(guī)定的加密算法產(chǎn)生數(shù)字簽名信息和時(shí)間戳一起傳到B，B用A的公鑰解密，加上時(shí)間戳來驗(yàn)證數(shù)字簽名。從上可以看出，每次數(shù)字簽名都與該次信息結(jié)合，不能移到另一段信息上。需要注意的是，數(shù)字簽名能保證數(shù)據(jù)來源的不可抵賴，保證了數(shù)據(jù)沒有被未經(jīng)授權(quán)的人修改過，但是不能夠保證數(shù)據(jù)不被未經(jīng)授權(quán)的人閱讀。PKI基本技術(shù)手段SSL簡(jiǎn)要介紹

SSL是被設(shè)計(jì)用來保證信息安全的一個(gè)協(xié)議，它依賴于可靠的TCP協(xié)議來傳輸數(shù)據(jù)。它的特點(diǎn)之一是獨(dú)立于上層的應(yīng)用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET等)，這些應(yīng)用層協(xié)議可以透明使地用SSL協(xié)議。SSL協(xié)議可以協(xié)商一個(gè)對(duì)稱加密算法和會(huì)話密鑰，同時(shí)可以在通信之前認(rèn)證服務(wù)器的合法性。SSL協(xié)議提供了一種“管道式安全”，它具有三個(gè)特征：l

管道是保密的，保密性是通過使用加密技術(shù)來保證的，在通過一個(gè)簡(jiǎn)單的握手過程之后獲得一個(gè)共同的密鑰，作為對(duì)稱加密算法的密鑰。l

管道是認(rèn)證過的，服務(wù)器端總是需要把自己的證書遞交給客戶端，以便客戶端對(duì)服務(wù)器進(jìn)行認(rèn)證。服務(wù)器可以選擇是否需要客戶端遞交證書。l

管道是可靠的，消息的傳輸包含了消息完整性檢查。

SSL協(xié)議實(shí)際上由兩個(gè)協(xié)議構(gòu)成，位于下面的一層為SSL記錄協(xié)議（SSLRecordProtocol），其上為SSL控制協(xié)議(SSLControlProtocols)，SSL記錄協(xié)議用于封裝上層發(fā)送和接收的所有數(shù)據(jù)，當(dāng)然包括SSL控制協(xié)議的數(shù)據(jù)，SSL控制協(xié)議包含：SSL握手協(xié)議(SSLHandshakeProtocol)SSL密鑰交換協(xié)議(SSLChangeCiphersSpecification)SSL報(bào)警協(xié)議(SSLAlertProtocol)PKI基本技術(shù)手段SSL簡(jiǎn)要介紹

SSL的握手過程是建立SSL的主要加密和安全參數(shù)的過程，它是SSL的控制協(xié)議執(zhí)行的控制功能。握手過程體現(xiàn)在瀏覽器使用HTTPS訪問WEB服務(wù)器時(shí)，包括以下步驟：1瀏覽器向安全WEB服務(wù)器發(fā)出一個(gè)HTTPS的請(qǐng)求，比如：。2該WEB服務(wù)器將它的證書遞交給瀏覽器的SSL模塊。3瀏覽器檢查服務(wù)器遞交的證書的有效性，比如有效日期和證書的簽名等。如果該證書不是被一個(gè)瀏覽器已經(jīng)信任的發(fā)證結(jié)構(gòu)（CA）簽發(fā)的證書，瀏覽器將彈出一個(gè)對(duì)話框來提示用戶是否信任該WEB站點(diǎn)證書。如果用戶選擇不信任該證書，瀏覽器會(huì)選擇自動(dòng)中止該連接。4瀏覽器將把從WEB站點(diǎn)證書里取得的站點(diǎn)名稱和瀏覽器的URL里的域名相對(duì)照，如果相符，瀏覽器將認(rèn)為站點(diǎn)為真正的站點(diǎn)。5

瀏覽器將自己支持的一系列算法發(fā)送給服務(wù)器。6

如果服務(wù)器需要客戶端遞交證書，瀏覽器將把自己的證書發(fā)送給服務(wù)器，服務(wù)器檢查遞交的證書，并且檢查該證書是否為自己已經(jīng)信任的發(fā)證機(jī)構(gòu)（CA）發(fā)放的證書。如果不是，服務(wù)器將自動(dòng)中止該次連接。

7服務(wù)器端選擇自己和客戶端共同支持的加密算法，然后發(fā)送給客戶端。8

瀏覽器產(chǎn)生一個(gè)會(huì)話密鑰，然后把該密鑰通過服務(wù)器的公鑰加密后傳給服務(wù)器。9

服務(wù)器接收到該加過密的會(huì)話密鑰后用自己的私鑰解密，得到會(huì)話密鑰的明文。10客戶端和服務(wù)器使用剛才協(xié)商的會(huì)話密鑰對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行加解密，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行安全保護(hù)。

不同CA及產(chǎn)品的特點(diǎn)國內(nèi)的CA現(xiàn)狀國內(nèi)CA發(fā)展過熱，大小建設(shè)有70多家，有實(shí)在應(yīng)用的也就１０家左右全國性的CA有金融ＣＡ、電信ＣＡ、海關(guān)ＣＡ等；地方性的ＣＡ有北京ＣＡ、上海ＣＡ、福建ＣＡ、山東ＣＡ等；各自的應(yīng)用領(lǐng)域不盡相同多數(shù)ＣＡ采用的都是國內(nèi)廠商的技術(shù)，CFCA采用的是加拿大Entrust公司的技術(shù)，核心加密部分是國產(chǎn)化；目前來看國外的安全技術(shù)依然高出國內(nèi)相當(dāng)水平多數(shù)ＣＡ目前所發(fā)放的都是單密鑰對(duì)的證書，以SSL安全協(xié)議為基礎(chǔ)的較多

CA發(fā)展過熱的原因：１：高估了電子商務(wù)發(fā)展的速度

２：誤解了CA（認(rèn)證中心）的作用

３：低估了CA（認(rèn)證中心）運(yùn)行的難度

不同CA及產(chǎn)品的特點(diǎn)國內(nèi)的CA現(xiàn)狀CA的共同點(diǎn)：１：證書基本都是采用X.509v3的標(biāo)準(zhǔn)，但證書的ＤＮ等的定義格式?jīng)]有標(biāo)準(zhǔn)２：普通證書和基于SSL安全協(xié)議的使用為多３：基本上都采用的CA/RA結(jié)構(gòu)，證書的審核發(fā)放都是通過RA來完成的４：目前所有的CA互相都不能夠?qū)崿F(xiàn)交叉認(rèn)證，有技術(shù)和市場(chǎng)的兩種因素５：普遍規(guī)模較小，服務(wù)不夠完善一些CA的特點(diǎn)：海關(guān)CA：相對(duì)封閉的系統(tǒng)，開放性靈活性不足，需要專用的IC卡讀卡器等，主要為海關(guān)各應(yīng)用系統(tǒng)服務(wù)，嚴(yán)格意義應(yīng)該說不是個(gè)獨(dú)立的第三方CA電信CA：建設(shè)的非常早，原來除了給電信提供服務(wù)還給證券等提供服務(wù)，現(xiàn)在主要是系統(tǒng)內(nèi)部應(yīng)用，其采用的是國內(nèi)的技術(shù)，提供服務(wù)的方式不夠靈活上海CA：相對(duì)成熟的CA，國內(nèi)的技術(shù)，可以滿足證券、一般企業(yè)應(yīng)用、網(wǎng)上稅務(wù)申報(bào)等安全性要求不高的領(lǐng)域金融CA：權(quán)威的第三方CA，國外的技術(shù)，有高級(jí)和普通證書兩類產(chǎn)品，支持的應(yīng)用范圍廣泛

不同CA及產(chǎn)品的特點(diǎn)CA應(yīng)用相關(guān)的產(chǎn)品產(chǎn)品產(chǎn)品簡(jiǎn)介特點(diǎn)郵安通（MailSafe）運(yùn)行在Windows桌面系統(tǒng)的應(yīng)用軟件，專門用于保護(hù)電子郵件的安全完全的端到端安全，傳輸過程中沒有第三方能得到明文嵌入瀏覽器，使用十分方便嵌入Outlook郵件編輯器自動(dòng)獲得郵件接收者的數(shù)字證書靈活控制的安全應(yīng)用政策安全代理服務(wù)器用于服務(wù)器端的建立安全通信信道的軟件良好的開放性對(duì)Web應(yīng)用透明多種訪問控制模式多證書鏈和CRL的支持強(qiáng)大的審計(jì)功能數(shù)字簽名系統(tǒng)提供基于Web瀏覽器和Web服務(wù)器的數(shù)字簽名解決方案，實(shí)現(xiàn)了對(duì)Web頁面中的指定內(nèi)容和文件進(jìn)行數(shù)字簽名和驗(yàn)證雙向的數(shù)字簽名/驗(yàn)證支持IC卡形式的證書介質(zhì)強(qiáng)大的證書狀態(tài)檢驗(yàn)功能多證書鏈和CRL的支持靈活而且便于使用智能鑰匙電腦安全和信息控制上有廣泛用途的安全產(chǎn)品介質(zhì)具有普通SmartCard和加密卡安全、可靠、易用等特點(diǎn)不同CA及產(chǎn)品的特點(diǎn)產(chǎn)品產(chǎn)品簡(jiǎn)介特點(diǎn)強(qiáng)雙因子安全身份認(rèn)證系統(tǒng)Gefon?SID-LASA：

局域網(wǎng)強(qiáng)雙因子安全身份認(rèn)證產(chǎn)品Gefon?SID-RASA：

遠(yuǎn)程撥號(hào)強(qiáng)雙因子身份認(rèn)證產(chǎn)品用強(qiáng)雙因子身份認(rèn)證的機(jī)制，將系統(tǒng)安全判別因子分離成兩部分，即用戶口令和存于SKey/IC卡/軟盤中的用戶個(gè)人秘密信息。當(dāng)需要用戶與服務(wù)器在網(wǎng)絡(luò)上交換信息時(shí)，系統(tǒng)利用CHAP協(xié)議保證了用戶的口令信息不在網(wǎng)上傳輸，并針對(duì)每次身份認(rèn)證采用一次性加密口令，保證信息的安全性電子簽證中心（CA/RA）利用PKI技術(shù)體系，采用X.509等國際標(biāo)準(zhǔn)，結(jié)合國密辦認(rèn)可PKI加密卡和PKI加密機(jī)推出的具有全部自主知識(shí)產(chǎn)權(quán)的電子數(shù)字證書和密鑰管理系統(tǒng)為用戶提供跨系統(tǒng)、跨業(yè)務(wù)的統(tǒng)一的身份認(rèn)證與訪問控制，廣泛地用在VPN、SSL、安全電子郵件、Domino/Notes等系統(tǒng)中認(rèn)證授權(quán)系統(tǒng)在PKICA等技術(shù)基礎(chǔ)上研制開發(fā)的面向角色的資源權(quán)限分配和統(tǒng)一的身份認(rèn)證訪問控制系統(tǒng)，是基于用戶證書和角色的認(rèn)證、授權(quán)系統(tǒng)該系統(tǒng)通過對(duì)資源（應(yīng)用程序模塊）的劃分，以及角色（具有不同訪問權(quán)限的用戶集合）的定義，把資源的權(quán)限賦予其對(duì)應(yīng)的角色來實(shí)現(xiàn)用戶對(duì)資源的訪問和控制CA應(yīng)用相關(guān)的產(chǎn)品CFCA的特點(diǎn)１：第三方的權(quán)威的CA，立足于銀行，為社會(huì)各界提供PKI服務(wù)２：技術(shù)水平領(lǐng)先，國際主流技術(shù)，核心加密模塊本地化３：靈活多樣的證書和應(yīng)用支持普通證書/高級(jí)證書等適應(yīng)不同的應(yīng)用環(huán)境高級(jí)證書的安全代理Direct應(yīng)用完全基于瀏覽器和SSL協(xié)議基礎(chǔ)上改進(jìn)的Truepass應(yīng)用方便用戶開放集成的Toolkits工具提供各種環(huán)境的證書應(yīng)用API

合作伙伴眾多完善的PKI服務(wù)支持４：較好的解決了電子商務(wù)中的安全問題和支付問題５：良好的背景和用戶群CFCA的特點(diǎn)CFCA典型應(yīng)用案例網(wǎng)上銀行應(yīng)用CFCA典型應(yīng)用案例網(wǎng)上銀行應(yīng)用

網(wǎng)上銀行業(yè)務(wù)是指商業(yè)銀行將其傳統(tǒng)的柜臺(tái)業(yè)務(wù)拓展到INTERNET上，用戶訪問其WebServer進(jìn)行在線的實(shí)現(xiàn)查詢、轉(zhuǎn)帳、匯款、支付等業(yè)務(wù)。用戶對(duì)其發(fā)出的指令用其簽名私鑰進(jìn)行簽名，銀行校驗(yàn)簽名，并且保存此次簽名，從而使銀行用戶所發(fā)出的指令具有不可抵賴性，簽名及校驗(yàn)的過程保證了用戶指令的真實(shí)性和完整性；用戶發(fā)出的交易內(nèi)容用指定銀行的公鑰進(jìn)行加密，銀行用銀行私鑰才能解秘，此環(huán)節(jié)保證了銀行指令信息的私密性。這樣在整個(gè)交易的過程中確保了網(wǎng)上信息安全。網(wǎng)銀的證書應(yīng)用也分證書管理和證書應(yīng)用兩部分

RA一般設(shè)立在銀行的總部，也是多層的結(jié)構(gòu)，其證書管理使用操作員證書進(jìn)行證書相關(guān)的管理操作。證書應(yīng)用是和其網(wǎng)銀應(yīng)用結(jié)合在一起，將安全部分嵌入到網(wǎng)銀中，這中間包括互相交換證書、驗(yàn)證身份、建立安全通道、加密、數(shù)字簽名等等應(yīng)用操作在網(wǎng)上銀行的證書應(yīng)用模式當(dāng)中，大同小異，真正的差別還是在于其業(yè)務(wù)的應(yīng)用CFCA典型應(yīng)用案例網(wǎng)上銀行應(yīng)用客戶端和銀行服務(wù)器端各自自動(dòng)進(jìn)行黑名單（CRL）查詢，減少交易風(fēng)險(xiǎn)。雙重密鑰（加密密鑰、簽名密鑰），支持?jǐn)?shù)字簽名的不可否認(rèn)性高強(qiáng)度加密機(jī)制（對(duì)稱128位，非對(duì)稱1024位），數(shù)據(jù)傳輸保密性強(qiáng)。具有完善的密鑰和證書生命周期管理，客戶端證書到期前，可自動(dòng)進(jìn)行更新，不需人工辦理任何手續(xù)，極大的方便了用戶?？蛻舳?、服務(wù)器端操作簡(jiǎn)便，透明性強(qiáng)。CFCA典型應(yīng)用案例網(wǎng)上證券交易CFCA典型應(yīng)用案例網(wǎng)上證券交易

網(wǎng)上證券交易可分為網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)帳，網(wǎng)上炒股是股民和證券公司之間發(fā)生的兩方交易。網(wǎng)上銀證轉(zhuǎn)帳是指股民通過INTERNET將資金在銀行股民帳戶和證券公司帳戶之間劃入或劃出，是涉及到股民、證券公司、銀行的三方交易。股民在使用證書進(jìn)行網(wǎng)上交易時(shí)，對(duì)其網(wǎng)上交易指令也要進(jìn)行加密和簽名，以確保交易數(shù)據(jù)的有效性、機(jī)密性、完整性和不可抵賴性。網(wǎng)上證券交易對(duì)交易的實(shí)時(shí)性和方便性要求比較高，應(yīng)用CFCA證書可以較好的解決安全和效率之間的矛盾。實(shí)際的做法是在證券公司總部設(shè)立RA,將證書的申請(qǐng)、使用、管理等功能集成到客戶端軟件中去?？蛻羯暾?qǐng)開通網(wǎng)上交易并下載使用證書后，在一定的時(shí)間去簽署一份書面的協(xié)議即可正常使用。

CFCA典型應(yīng)用案例稅務(wù)網(wǎng)上申報(bào)繳稅CFCA典型應(yīng)用案例稅務(wù)網(wǎng)上申報(bào)繳稅證書簽發(fā)中心CA與國稅系統(tǒng)的網(wǎng)絡(luò)連接采用DDN專線的方式2

證書發(fā)放管理由操作員(LRA)來進(jìn)行，只要具有操作員證書及可以上網(wǎng)的條件就可以安全的連接到RA系統(tǒng)大致的制證流程如下①操作員安全登錄到RA系統(tǒng)②輸入需要制作證書的納稅人識(shí)別號(hào)③RA系統(tǒng)將相關(guān)的請(qǐng)求發(fā)送到國稅發(fā)行平臺(tái)查詢并返回相關(guān)信息④CA系統(tǒng)接收制證請(qǐng)求并簽發(fā)證書⑤操作員獲得證書存放到軟盤中封裝并準(zhǔn)備分發(fā)

CFCA典型應(yīng)用案例企業(yè)集團(tuán)內(nèi)部電子結(jié)算平臺(tái)CFCA典型應(yīng)用案例企業(yè)集團(tuán)內(nèi)部電子結(jié)算平臺(tái)認(rèn)證中心子系統(tǒng)：實(shí)現(xiàn)數(shù)字證書的發(fā)放與管理證書管理系統(tǒng)（RA）：負(fù)責(zé)定制認(rèn)證中心的全部或部分安全策略、證書管理流程等關(guān)鍵部分，是最終用戶、管理員和CA系統(tǒng)交流的紐帶。證書應(yīng)用平臺(tái)（NetSafe/NetSign）：實(shí)現(xiàn)通信中的身份認(rèn)證、加密和數(shù)字簽名CFCA提供一整套基于PKI體系的應(yīng)用安全解決方案，使用戶能夠使用硬件存儲(chǔ)方式的證書（USBKEY或IC卡等）實(shí)現(xiàn)身份認(rèn)證、訪問控制、信息通信的保密性、信息的完整性和抗抵賴性，并支持常用的瀏覽器，B/S架構(gòu)，與業(yè)務(wù)無縫結(jié)合，操作簡(jiǎn)單、透明。身份認(rèn)證、訪問控制、信息通信的保密性通過CFCA的SSL安全代理通道產(chǎn)品NetSafeServer來實(shí)現(xiàn)，而信息的完整性和抗抵賴性則通過CFCA的數(shù)字簽名產(chǎn)品NetSign來實(shí)現(xiàn)的。CPS、電子簽名法、爭(zhēng)議處理證書運(yùn)作策略-CPS為了規(guī)范金融認(rèn)證中心的管理，保障認(rèn)證體系的可靠，維護(hù)金融認(rèn)證的權(quán)威性，有效地防范金融安全風(fēng)險(xiǎn)，金融認(rèn)證策略管理委員會(huì)（FPMC）制訂了證書策略（CP），對(duì)金融認(rèn)證體系，管理要求，運(yùn)行要求和系統(tǒng)與設(shè)施要求等內(nèi)容作出了相關(guān)的規(guī)定。金融認(rèn)證策略管理委員會(huì)（FPMC）制訂的證書策略（CP）不對(duì)注冊(cè)審批機(jī)構(gòu)的職能與運(yùn)作模式、交叉認(rèn)證策略、證書的格式與證書撤銷列表的格式作具體規(guī)定，具體由中國金融認(rèn)證中心（CFCA）制定的CPS（CertificatePracticeStatement，即證書實(shí)施說明）規(guī)定。第三方認(rèn)證機(jī)構(gòu)（CFCA）保存有證書用戶的狀態(tài)和證書廢止列表等信息可以供用戶查詢。交易雙方在交易之前需要驗(yàn)證各自身份，通過查CFCA的CRL和驗(yàn)證用戶使用自己證書和私鑰的密碼的方式來證明用戶的身份和資格。關(guān)于“CA對(duì)證書主體的鑒證和操作策略、安全控制手段”等內(nèi)容參見CPS中3.2證書管理、4.1-4.3證書服務(wù)業(yè)務(wù)規(guī)則、6.1-6.7安全策略；關(guān)于“證書主體的義務(wù)”等內(nèi)容參見CPS中2.2證書服務(wù)對(duì)象的權(quán)利和義務(wù)、證書用戶的責(zé)任；關(guān)于“CA中心的義務(wù)”等內(nèi)容參見CPS中2.1金融CA系統(tǒng)內(nèi)部的權(quán)利和義務(wù)；

CPS、電子簽名法、爭(zhēng)議處理依據(jù)CFCA的CPS即證書運(yùn)作規(guī)范參考相關(guān)的法律法規(guī)CPS大致包括以下內(nèi)容：金融認(rèn)證中心概況金融認(rèn)證中心證書管理策略金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則金融認(rèn)證中心密鑰安全管理策略安全策略CPS的管理法律責(zé)任及爭(zhēng)議的解決

糾紛處理機(jī)制參考材料：《電子簽名法（征求意見稿）》數(shù)據(jù)電文及電子簽名的內(nèi)容第三方認(rèn)證的要求電子商務(wù)中的消費(fèi)者權(quán)益保護(hù)網(wǎng)絡(luò)服務(wù)提供者的特別規(guī)定法律責(zé)任附則這其中特別規(guī)定了第三方CA應(yīng)具有的合法資格和各方的責(zé)任，以及電子簽名的法律效力CPS、電子簽名法、爭(zhēng)議處理證書使用各方和CFCA的責(zé)任及義務(wù)，在CFCA發(fā)布的CPS中已有明確的定義，CPS的描述，視為CFCA對(duì)證書運(yùn)作規(guī)則（包含電子簽名合法性）的申明。視為CFCA對(duì)證書運(yùn)作規(guī)則（包簽名合法性）的申明。發(fā)生否認(rèn)性糾紛時(shí)，證書應(yīng)用單位向客戶和仲裁及執(zhí)法部門出示的證據(jù)應(yīng)包括：

1、客戶對(duì)此次交易進(jìn)行確認(rèn)的數(shù)字簽名、交易時(shí)間戳。

2、該客戶的數(shù)字證書。

3、應(yīng)用單位對(duì)該客戶的數(shù)字證書申請(qǐng)和審核的原始材料。

4、如果客戶的證書已被注銷，應(yīng)用單位提供對(duì)該張客戶證書注銷的原始材料（含注銷時(shí)間）。

5、仲裁及執(zhí)法部門要求出示的其它證據(jù)

CA應(yīng)提供的資料:1、簽發(fā)該張客戶證書的CA證書。2、該張證書在交易發(fā)生時(shí)，在或不在CFCA發(fā)布的證書廢止列表內(nèi)的證明。3、為交易提供時(shí)間戳服務(wù)的時(shí)間服務(wù)器證書CFCA應(yīng)承擔(dān)的技術(shù)義務(wù):1、協(xié)助使用單位對(duì)證書、數(shù)字簽名、時(shí)間戳的真實(shí)性、有效性進(jìn)行技術(shù)確認(rèn)2、為仲裁及執(zhí)法部門提供第1點(diǎn)所述的技術(shù)義務(wù)3、為仲裁及執(zhí)法部門提供其所需且應(yīng)由CFCA承擔(dān)的其它技術(shù)義務(wù)。糾紛處理機(jī)制CPS、電子簽名法、爭(zhēng)議處理每一張數(shù)字證書都與上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)可的根認(rèn)證中心（根CA）。各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的信任鏈。CA的權(quán)威性、公正性和可信賴性保證用戶證書的合法性CFCA具有權(quán)威性、公正性和可信賴性《電子簽名法》的通過將使CFCA的權(quán)威性將得到進(jìn)一步的法律保障

CA的合法性及認(rèn)證權(quán)利CPS、電子簽名法、爭(zhēng)議處理證書本身的唯一性證書和用戶應(yīng)用系統(tǒng)ID綁定查黑名單消除懷疑認(rèn)證建立的過程防止了認(rèn)證錯(cuò)誤私鑰保護(hù)認(rèn)證的唯一性及防止錯(cuò)誤CPS、電子簽名法、爭(zhēng)議處理證書使用各方的權(quán)利義務(wù)關(guān)系圍繞證書的使用，本項(xiàng)目中主要涉及三方當(dāng)事人：CFCA、應(yīng)用提供者及最終用戶。其中，CFCA是一個(gè)權(quán)威、可信的第三方，負(fù)責(zé)提供證書服務(wù)。對(duì)于應(yīng)用提供者有兩個(gè)角色，一是作為CFCA證書的申請(qǐng)審批機(jī)構(gòu)，即RA，主要負(fù)責(zé)核實(shí)最終用戶的身份，并向CFCA提交證書申請(qǐng)；二是作為證書用戶，申請(qǐng)服務(wù)器證書保證應(yīng)用提供者網(wǎng)站安全。對(duì)于最終用戶，是一般證書用戶，要保證提交真實(shí)的證書申請(qǐng)信息，在拿到證書后應(yīng)保護(hù)好證書口令并通過證書進(jìn)行網(wǎng)上交易CFCA和應(yīng)用提供者RA，除了通過有關(guān)RA的申請(qǐng)、建設(shè)、驗(yàn)收等規(guī)范來保證證書發(fā)放的安全性外，雙方的權(quán)利義務(wù)關(guān)系是在CPS基礎(chǔ)上通過簽定《CFCARA協(xié)議》（見7.3）來確定的。CFCA和證書最終用戶之間也有一系列申請(qǐng)、使用、撤消、恢復(fù)等標(biāo)準(zhǔn)流程，雙方的權(quán)利義務(wù)關(guān)系也是在遵循CPS基礎(chǔ)上通過《CFCA數(shù)字證書責(zé)任書》（7.5）來規(guī)定的。如果三方之間就證書使用出現(xiàn)爭(zhēng)議，解決辦法參見5.3.6爭(zhēng)議解決及賠償。

各方的權(quán)利義務(wù)CFCA相關(guān)附件證書責(zé)任書數(shù)字證書責(zé)任書銀聯(lián)金融認(rèn)證中心有限公司（以下簡(jiǎn)稱CFCA）作為權(quán)威的第三方數(shù)字證書認(rèn)證機(jī)構(gòu)，通過設(shè)在CFCA的數(shù)字證書審批受理點(diǎn)為用戶發(fā)放數(shù)字證書。數(shù)字證書是一個(gè)包含用戶身份信息以及公開密鑰等相關(guān)信息的電子文件，是各實(shí)體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的電子身份證。CFCA通過對(duì)數(shù)字證書進(jìn)行數(shù)字簽名保證其正確性與唯一性，并通過基于數(shù)字證書的密碼機(jī)制為各種網(wǎng)上交易提供信息安全保障。使用CFCA數(shù)字證書的用戶應(yīng)遵守并享有下述義務(wù)和權(quán)利：一、 用戶在申請(qǐng)數(shù)字證書時(shí)請(qǐng)遵照CFCA的規(guī)程辦理手續(xù)。用戶一旦接受數(shù)字證書，即表明用戶同意本責(zé)任書的所有規(guī)定。二、 用戶應(yīng)遵循誠實(shí)、信用原則，提供真實(shí)的資料。因故意或過失提供不真實(shí)資料，即用戶未能公開實(shí)質(zhì)性的事實(shí)，導(dǎo)致CFCA簽發(fā)的數(shù)字證書不實(shí)，由此造成的損失CFCA不承擔(dān)相關(guān)責(zé)任