第8章构建有安全保障的应用系统

第8章构建有安全保障的应用系统安全电子商务应用第8章安全电子商务应用【本章提要】•中国金融认证中心系统（CFCA）•网证通系统（NETCA）第8章安全电子商务应用8.1中国金融认证中心系统8.2网证通系统（NETCA）8.1中国金融认证中心系统1．中国金融认证中心（CFCA）简介中国金融认证中心(ChinaFinanceCertificationAuthority缩写CFCA)，是由中国人民银行牵头，联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的。为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性)，防范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措施之外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认其他各方的身份，这就要求参加电子商务的各方必须有一个可以被验证的身份标识，即数字证书。数字证书是各类实体(个人/持卡人、企业/商户、银行/网关等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。中国金融认证中心(CFCA---ChinaFinanceCertificateAuthority)作为一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。8.1中国金融认证中心系统2．CFCA系统的体系结构中国金融认证中心的目标中国金融CA建立了SETCA及Non-SETCA两大体系。Non-SETCA体系亦称PKICA系统。其宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放15万张Non-SET证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张,个人8万张,SET证书支持SET1.0扩充版功能，既支持信用卡,又支持借记卡及PIN的处理。当CA完善后，扩大其应用范围，可发放S/MIME、VPN及特制X.509证书等。还将发放支持无线WAP协议的证书。中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持BtoC、BtoB以及BtoG(Government)的模式。8.1.2CFCA证书的类型及应用1）企业高级证书2）企业普通证书3）个人高级证书4）个人普通证书5）WebServer证书6）DirectServer证书CFCA的功能CFCA是采用目前国内外先进技术，按国际通用标准开发建设的，它具有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能。证书符合ITU的X.509国际标准。提供具有世界先进水平的CA认证中心的全部需求。归纳起来有以下几个方面：1．证书的申请·申请方式：离线申请方式在线申请方式2．证书的审批离线审核方式在线审核方式3．证书的发放离线方式发放在线方式发放4．证书的归档5．证书的撤销6．证书的更新人工密钥更新自动密钥更新7．证书废止列表的管理功能(CRL)证书废止原因编码CRL的产生及其发布企业证书及CRL的在线服务功能8．CA的管理功能9．CA自身密钥的管理功能8.1.5CFCA证书在B2B交易中的应用1．双密钥对体系在B2B交易中使用的高级证书使用两套密钥，其中一对公开密钥/私有密钥用来做加/解密，另一对公开密钥/私有密钥用来做验证/签名2．实时查询CRL8.1.5CFCA证书在B2B交易中的应用3.证书管理使用证书库来分发证书4．数字签名5．安全连接（SPKM/CAST-128）6．CFCA证书和用户应用结合CFCA个人证书需求背景：随着网上银行、网上购物日益普及，电子商务已越来越深入到普通人的生活中。在网上做交易时，由于交易双方并不进行现场交易，因此无法通过传统的面对面的方式确认双方的合法身份；同时，交易信息要通过互联网传输，存在可能被非法盗取、篡改的风险；此外，由于所有交易信息都以电子方式存在，无法进行传统的盖章和签字，所以一旦发生争议或纠纷，需要保证交易信息的不可抵赖性，必要的时候还要作为具有法律效力的证据。因此，在电子商务中，必须从技术上、法律上保证在交易过程中能够实现：身份真实性、信息私密性、信息完整性和信息不可否认性。2005年4月1日《电子签名法》正式颁布实施，从法律上确认的电子签名的法律效力。技术上，通过以PKI技术为基础的数字证书技术，方便、有效地解决了电子商务中的交易信息的安全问题！解决办法：CFCA数字证书机制采用国内外领先技术，在国内电子商务、电子政务等诸多领域得到了广泛的应用。CFCA提供多种类型的证书服务。CFCA个人证书面向个人用户，在网上信息传递过程中提供身份验证、信息加密和数字签名等功能。CFCA个人证书支持多种存储方式。个人证书包含了一些重要的信息：如用户身份信息（如身份证号码）、公钥信息、证书有效期等。个人证书应用：个人证书需要结合到具体的应用平台中，如在个人网银系统中：网银服务器端安装一张服务器证书，用户端安装一张个人证书，当用户登录网银或要发生交易时，系统会对证书有效性进行检查，只有双方的证书都有效，才能建立安全传输通道，对交易数据进行加密传输，确保了数据的完整性，对交易的关键数据进行数字签名，确保交易的不可否认。为保证安全性，个人证书设置了有效期，一般为两年；个人证书到期时，需重新进行申请。CFCA也支持网上证书自动展期功能。个人证书优点1、支持高强度加密算法2、数字证书生命周期检测3、数字证书在线挂失服务4、7*24小时在线支持5、支持业界主流的数字证书存储介质6、CA签名私钥受到高强度安全防护7、加密设备和加密算法符合国家商用密码管理条例规定8、开放的、符合业界主流标准的电子认证平台9、经验丰富的技术开发和支持队伍10、通过国家密码管理局严格检测获得电子认证运营资质的电子认证系统1、如何确认您的数字证书已正确安装？方式一：打开IE浏览器，点击工具→Internet选项→内容→证书，双击您的证书，点击“常规”按钮，系统显示证书详细信息，表明您的证书已正确安装。方式二：双击证书的驱动，查看是否显示数字证书的信息。若正常显示，则表示已正确安装2、数字证书不能像往常一样使用，当打开IE浏览器，点击工具→internet选项→内容→证书时，系统无证书显示，怎么办？1）将存有数字证书的电子密匙再拔插一次，并注意电子密匙上是否有灯亮起，如果灯不亮则表示此电子密匙可能存在问题。2）双击证书的驱动查看能否显示此证书的信息。若证书信息显示正常则表示数字证书驱动正常，则查证其他内容；若不能显示证书信息则表示驱动安装不成功，请卸载驱动重新安装。3）若上述检查都显示正常，可能系统不兼容，请换一台电脑再试一下。3、可以看到证书，但是不能使用证书进行登录，怎么办？1）查看所使用的IE版本是否为6.0及以上2）在别的计算机上尝试能否正常登录3）查看网络连接是否正常4）若输入登录密码后出现该页无法打开的情况，可能是LAN中选了代理服务器，将使用代理服务器的选项去除即可解决问题。5）若上述方法都无法解决问题，可以拨打网证通客户服务中心热线电话800-830-1330进行相关咨询，或将电子密匙拿到网证通的相关受理点进行处理。4、怎样知道数字证书是否过期？双击数字证书的驱动程序，可查看数字证书的有效期。或打开IE浏览器，点击工具→internet选项→内容→证书，双击您的证书，点击“常规”按钮，系统显示证书详细信息。检查证书的有效期，即可知道证书是否过期。若证书在有效期内，但查看数字证书时提示“该证书已经过期，或还未生效”，则请检查您的电脑的系统时间是否正确。电脑系统时间的检查方法：双击电脑屏幕右下角的时钟，即可显示“日期和时间属性”查看到电脑系统时间。如果您的证书已经过期，请您联系广东省电子商务认证有限公司更新您的数字证书。5、使用数字证书登录，没有出现相关的登录框，该如何处理？1）若弹出密码输入框，输入后提示“该页无法显示”，可能原因是密码错误，请输入密码重新登录。2）若弹出密码提示框，但之前曾经输入密码错误而没法进入，请将所有网页浏览器（IE）关闭，重新开启浏览器（IE）登录。3）若选择正确的数字证书，输入正确密码，出现“此用户不存在”或者“非法用户”等提示页面，可能原因是数字证书未和相关网站绑定，请拨打网证通客户服务中心热线电话800-830-1330进行相关咨询。4）若选择正确的数字证书证书，输入正确密码，出现“该页无法显示”的提示页面，请重新启动计算机。若仍然不能解决问题，可能原因是电子密匙驱动程序与计算机的某程序有所冲突，请卸载电子密匙驱动程序，重新进行安装。6、使用数字证书登录，出现相关的登录框，但没有显示可登录的用户证书，该如何处理？1）可能是电子密匙接触不良，请再拔插一次。2）若打开电子密匙管理器，查看证书信息显示“该证书已经过期，或还未生效”，若确认证书没有过期，可能是电脑的系统时间设定不准确，请重新调整系统时间。3）若打开电子密匙管理器，查看证书发现“Windows没有足够信息，不能验证该证书“，表明此计算机缺少证书链，请下载证书链（点击下载证书链），并进行安装。7、电子密匙驱动如何删除？1）先退出桌面右下角的驱动2）点击“我的电脑”进入控制面板点击“添加/删除程序”把相应的程序进行删除8、如果重装了计算机，是否需要重新申请证书？不需要，只需将电子密匙驱动重新安装即可。9、若打开电子密匙管理器，查看证书信息时，显示“该证书已经过期，或还未生效”，是什么原因？1）数字证书已经过期了。2）若确定数字证书没有过期，可能是电脑的系统时间设定不准确，请重新调整系统时间。10、电子密匙不小心遗失了该怎么办？请下载并填写数字证书申请表，正确填写后加盖公司公章（个人证书的本人签名）（一式二份），并带上原使用人的身份证复印件加盖公章至网证通的各服务点申请数字证书的挂失。若重新找回电子密匙可以申请取消挂失。如果您确认您的证书已经遗失，您可以直接申请数字证书的注销。11、如何获得好友的数字证书？最简单的方法是请对方给你发送一份电子签名邮件，您通过MicrosoftofficeOutlook或OutlookExpress或类似的邮件客户端程序接收该签名邮件，即可获得好友的数字证书了。您也可以在本中心查询对方数字证书，下载并安装。PKINon-SET证书的优势CFCA的non-SETCA，是基于PKI机制建立的，在当前是具有世界领先水平的CA系统。它的优势在于：1.技术优势（1）CFCA的Non-SETCA系统是引入当今世界先进水平的加拿大Entrust公司的产品。Entrust公司具有十五年的PKI开发经验，经过激烈竞争，是目前世界仅存的三家实力雄厚的CA公司(Entrust、Verisign、Baltimore)之－，CFCA采用的Entrust公司的高级/企业级证书是目前世界领先的工具。（2）Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥;（3）在浏览器与服务器间实现双方认证，提高身份认证的安全性,为访问控制提供了可能；（4）增强了浏览器与服务器之间数据传输加密强度，由原本40位对称算法加密提高到了128位。并且提供了改变算法的函数库。（5）具有数字