搜索
教研室 首页 教学案例 电子商务案例 查看内容

中国金融认证中心

2011-5-25 11:16| 阅读次数: 7329| 发布者: admin

摘要: 随着中国网络金融的快速发展,数字认证越来越凸现其举足轻重的地位,安全问题很容易成为电子金融的瓶颈,大力发展中国安全认证体系,成为当务之急。

随着中国网络金融的快速发展,数字认证越来越凸现其举足轻重的地位,安全问题很容易成为电子金融的瓶颈,大力发展中国安全认证体系,成为当务之急。


中国金融认证中心是中国金融行业的根本认证中心,在我国金融行业占有举足轻重的地位,因此,单独将其拿出来重点介绍。

中国金融认证中心(ChinaFinanceCertificationAuthority,简称CFCA),是由中国人民银行牵头,联合中国工商银行、中国银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十四家商业银行联合建设的。CFCA是一个权威的、可信赖的、公正的第三方信任机构,专门负责为金融业的各种认证需求提供证书服务,包括电子商务、网上银行、支付系统和管理信息系统等,为参与网上交易的各方提供安全的保障,建立彼此信任的机制。

金融认证中心为了满足金融业在电子商务方面的多种需求,采用PKI技术,建立了SET和Non-SET两套系统,提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。

1.中国金融认证中心的功能

中国金融认证中心按国际通用标准开发建设,在证书管理方面,它具有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能,证书符合ITU的X.509国际标准。它可提供具有世界先进水平的CA认证中心的全部功能,包括证书的申请、审批、发放、归档、撤销、更新、证书废止列表的管理功能(CRL)、CA的管理功能、CA自身密钥的管理功能。同时,CFCA在业务方面,建立了SETCA及Non-SETCA两大体系。其宗旨是向各种用户颁发不同种类的数字证书,凭借金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。

CFCA证书主要应用领域很广,已在国内十余家全国性商业银行、近20家券商建成覆盖全国的认证服务体系,业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业:

(1)银行领域。主要有四大国有银行、各地商业银行、广发展、深发展、浦东发展、交通、中信、光大、华夏、民生、兴业、华一、东亚、上海、恒丰等银行。

(2)证券领域。主要有中银、蔚深、中信、中富、湘财、渤海、山西、申银万国、国元、国都、兴业、兴安等证券。

(3)基金领域。主要有华安、华夏、国泰、长盛、中融、南方、鹏华、嘉实、大成、长城、富国、中信等。

(4)企业集团和财务公司。主要有鞍钢、攀钢、湘钢、首钢、中油、中远、中煤、中铝、中航、一汽、上汽等。

(5)其他领域。各地国税、人行国库、外汇系统、票据清分系统、中国银联系统等。

2.CFCA证书流程

(1)证书申请:CFCA授权的证书注册审核机构(RegistrationAuthority,简称RA),各商业银行、证券公司等机构,面向最终用户,负责接受各自的持卡人和商户的证书申请并进行资格审核,具体的证书审批方式和流程由各授权审核机构规定。证书申请表直接到RA处领取。

(2)证书审批:经审批后,RA将审核通过的证书申请信息发送给CFCA,由CFCA签发证书。

①系统---CFCA将同时产生的两个码(参考号、授权码)发送到RA系统。为安全起见,RA采用两种途径将以上两个码交到证书申请者手中:RA管理员将其中授权码打印在密码信封里当面交给证书申请者;将参考号发送到证书申请者的电子邮箱里。

②SET系统---持卡人/商户到RA各网点直接领取专用密码信封。

(3)证书发放/下载:CA签发的证书格式符合X.509V3标准。具体的证书发放方式各RA的规定有所不同。用户可以登录网站http://www.cfca.com.cn联机下载证书或者到银行领取。

(4)证书生成:证书在本地生成,证书由CFCA颁发,用户私钥由客户自己保管。

(5)证书存放:存放介质可以是硬盘、软盘、IC卡、CPU卡、SIM卡等。

3.CFCA的应用模式

中国金融认证中心所适应的业务应用模式,无论是网上银行或是网上购物都支持B2C、B2B以及B2G(Government)的模式。在B2B交易中要使用CFCA发放的高级证书。使用高级证书的优点是:双方认证,完整的密钥和证书生命周期管理体系。对用户而言,具有易用性和透明性,客户端、服务器端自动进行在线CRL检查,强大的密码机制,双重密钥对机制,支持不可否认性,支持持久的全文审计跟踪,备有历史记录,使用基于IETF标准的解决方案(SPKM)。

在用户使用CFCA高级证书做B2B交易时,则透明地实现了对相应的CRL进行自动验证,从而确保了使用的每张证书都是有效的、可信的。证书管理方面使用证书库来分发证书。所谓证书库是证书的集中存放地,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。
构造证书库的最佳方法是采用支持LDAP协议(LightweightDirectoryAccessProtocol)的目录系统,用户或相关的应用通过LDAP来访问证书库。使用目录系统来存放证书有很多好处:应用能透明地检索用户的证书,能支持大量用户,能快速、高效地响应检索证书要求,可满足企业分布式需要,实现证书分布式分发,具有良好的扩展性。

使用普通证书的优点是:相对简单,双方认证,能够使用客户端软件进行电子邮件加密和对对象的数字签名。使用普通证书的缺点是:那些不可管理的证书仍然需要用户介入进行更新,一对密钥,若选择密钥备份,则不支持不可否认性(建议对电子邮件的密钥进行备份),依赖浏览器自身的密码强度。

4.CFCA的优势

(1)CFCA是人民银行牵头,十四家商业银行(工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生等)参加联合共建的中国金融认证中心,遵循了统一规划联合共建,先作试点逐步发展,技术先进功能全面,落实应用快字当先的原则。建设金融CA是中国电子商务的基础建设,其宗旨是:为中国的电子商务服务,兼顾网上银行和信息安全管理提供服务,因而CFCA具有很高的权威性。

(2)证书是一种权威性的电子文档。它应由公认的、被授权的权威机构所颁发,是网上交易、传输业务的身份证明,用于证明某个应用环境中某一主体(人或机器)的身份及其公开密钥的合法性。要想使证书获得这种可信赖和权威性,就必须拥有一个可信赖的权威机构来颁发证书,作为认证的第三方。

(3)建立CFCA也包括制定“证书运作管理规范”(CPS),它应由人民银行支付科技司批准,在中国目前电子商务法律环境尚不健全的情况下,CPS的制定就显得异常重要,CPS实际上是认证中心的法规。

(4)CFCA在安全方面也具有突出优势。为了保证认证中心的安全,金融认证中心专门建了一幢独立的建筑;CFCA的机房采取了严格的符合国际标准的措施。机房六面墙体(四面墙和天花板、地板)都采用无缝钢板进行屏蔽,安装了高级监控设备,装置了严格的门禁设备,制定了完善的安全制度。另外,在CFCA的网络安全策略上,将整个CFCA系统划分成不同安全等级的区域,有些可以由外界通过公网进行访问,有些则只能由特许人员访问,以确保系统的安全性。网络系统中还安装了世界先进的黑客入侵检测预警系统,以抵御黑客的攻击。

案例分析

虽然网络支付体系的基本构成和方式在不同的环境不尽相同,但安全、有效、方便、快捷是所有网络支付方式或工具追求的共同目标。对于一个实用的网络支付与结算系统而言(可能专门针对一种网络支付方式,也可能兼容几种网络支付方式),它至少应该具有以下七种基本功能:

1.能够使用数字签名和数字证书等实现对网上商务各方的认证,以防止支付欺诈。为实现网上交易与支付的安全性,对参与网上交易的各方身份的有效性进行认证,通过认证机构或注册机构向参与各方发放数字证书,以证实其身份的合法性。

2.能够使用较为尖端的加密技术,对相关支付信息流进行加密。可以采用单密钥体制或双密钥体制进行信息的加密和解密,可采用数字信封、数字签名等技术加强数据传输的保密性与完整性,防止未被授权的第三者获取信息的真正含义。例如,防止网上信用卡密码被黑客破译窃取。

3.能够使用数字摘要(即数字指纹)算法确认支付电子信息的真伪性,防止伪造假冒等欺骗行为。为了保护数据不被未授权者建立、嵌入、删除、篡改、重放等,完整无缺地到达接收者一方,可以采用数据杂凑技术(Hash技术)。

4.当网上交易双方出现纠纷,特别是有关支付结算的纠纷时,系统能够保证对相关行为或业务的不可否认性。网络支付系统必须在交易的过程中生成或提供足够充分的证据来迅速辨别纠纷中的是非,这些可以用数字签名等技术来实现。

5.能够处理网上交易业务的多边支付问题。支付结算涉及客户、商家和银行等多方,传送的购货信息与支付指令信息还必须链接在一起,因为商家只有在确认了某些支付信息后才会继续交易,银行也只有在确认支付指令后才会提供支付。为保证安全,商家不能读取客户的支付指令,银行不能读取商家的购货信息,这种多边支付的关系能够借用系统提供的诸如通过双重数字签名等技术来实现。

6.整个网络支付结算过程对网上交易各方,特别对客户来讲,应该是方便易用的,手续与过程不能太繁琐,大多数支付过程对客户与商家来讲应是透明的。

7.能够保证网络支付结算的速度,即应该让商家与客户感到快捷,这样才能体现电子商务的效率,发挥网络支付结算的优点。

思考题

1.为什么要有认证中心?

2. 中国金融认证中心的职能有哪些?


鲜花

握手

雷人

路过

鸡蛋

最新评论

回顶部