1703483610
1703483611
(1)CA服务器:这是CA的核心,是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
1703483612
1703483613
(2)证书下载中心:该中心连接在互联网上,用户通过登录CA网站访问证书下载中心,CA服务器生成的证书通过证书下载中心供用户下载。
1703483614
1703483615
(3)目录服务器:功能是提供数字证书的存储,以及数字证书和证书撤销列表(CRL)的查询。
1703483616
1703483617
(4)OCSP服务器:该服务器向用户提供证书在线状态的查询。
1703483618
1703483619
(5)密钥管理中心(KMC):根据国家密码管理规定,加密用私钥必须由权威、可靠的机构进行备份和保管。CFCA被授权建立KMC,以备份和保管用户的加密密钥。
1703483620
1703483621
(6)证书注册机构(Registration Authority,简称RA):负责受理证书的申请和审核,其主要功能是接受客户证书申请并进行审核。RA主要是远程的,CFCA的RA部署在各家用户银行、税务机关或企业所在地。因为,这样一方面便于进行客户资料的审查,另一方面也便于银行将证书与客户的账号进行绑定,以实现认证。但即使RA部署在远程所在地,这些RA也仍然是CA的组成部分。
1703483622
1703483623
1703483624
1703483625
1703483626
4.CA的结构
1703483627
1703483628
一般的PKI/CA系统都为层次结构,这里就以CFCA系统结构为例来说明:在系统设计之初,CA系统由根CA(1个)、政策CA(3个)和运营CA(多个)三部分组成。
1703483629
1703483630
1703483631
1703483632
1703483633
当初设计这种结构的初衷是,CFCA希望做成全国性的金融CA,向公众提供服务。这样,根CA的作用主要是负责制定和审批CA的总策略,向政策CA发放证书,以及与国际其他PKI域的CA进行交叉认证。三个政策CA则分别负责制定和审批银行、证券、保险领域CA的策略,向运营CA发放证书。运营CA则负责颁发最终用户的证书。
1703483634
1703483635
由于三层结构CA的证书链较长,认证速度效率较低,而且认证业务并没有按原来所设想的方向发展,政策CA实际上只建了1个,原来的初衷未能实现。因此,CFCA后来新建的CA系统全部采用RCA-OCA两层的扁平结构,省略了政策CA这层。
1703483636
1703483637
1703483638
1703483639
1703483640
5.我国网上银行安全认证现状
1703483641
1703483642
目前,我国几乎所有开展实质性金融业务的网上银行都采用了安全认证技术来确保交易信息的保密性、完整性、可用性和不可否认性。以下就我国网上银行安全认证的发展现状作一介绍。
1703483643
1703483644
国内全国性商业银行共有14家,他们的认证服务主要有两种方式实现:
1703483645
1703483646
第一种是自建CA:为自己的网上银行客户提供认证服务;目前,中国工商银行、中国农业银行、中国银行、中国建设银行、招商银行、交通银行、浦东发展银行等商业银行有自己的CA,仅为自己的客户提供认证服务。其中除了中国建设银行、交通银行CA只为自己的B2C客户提供认证服务外,其他几家CA都为自己的所有网银客户提供认证服务(包括B2B和B2C业务)。
1703483647
1703483648
另一种是第三方认证,即网银客户使用专门从事安全认证机构发放的证书。中国金融认证中心(CFCA)是目前金融行业中唯一提供金融安全认证的第三方机构。目前,全国性商业银行中的中信银行、华夏银行、光大银行、民生银行、兴业银行、广东发展银行和深圳发展银行的所有网上银行业务都采用的是第三方CFCA证书。交通银行和中国建设银行的B2B业务也采用了CFCA签发的证书。
1703483649
1703483650
(五)电子支付安全协议技术
1703483651
1703483652
电子支付是企业现金管理业务中的重要内容,随着网银和电子支付的兴起,企业现金管理中的付款业务越来越多地通过网上银行或电子支付平台来完成。使得电子支付正逐渐取代传统的支付方式。但是,由于电子支付是通过开放的网络来实现的,支付信息很容易受到来自各种途径的攻击和破坏,信息的泄露和受损将带来大量的信息安全问题。
1703483653
1703483654
电子支付的安全机制主要是由安全协议支持的。目前国际上流行的电子支付所采用的协议主要包括:用于接入控制的SSL安全协议(Secure Socket Layer)、基于信用卡交易的安全电子交易协议(Secure Electronic Transaction,简称SET协议)以及VISA国际组织引入的3D安全协议(3-Domain Secure)。
1703483655
1703483656
1.SSL安全协议
1703483657
1703483658
SSL安全协议(Secure Socket Layer)主要是使用公开密钥体制和X.509数字证书技术,保护信息传输的机密性和完整性,主要适用于点对点之间的信息传输,常用Web-Server方式。SSL安全协议最初是由Netscape Communication公司设计开发的,又叫安全套接层(Secure Sockets Layer)协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,它涉及了所有TCP/IP应用程序。
1703483659