搜索
CFCA技术、应用介绍中国金融认证中心何小航介绍内容1CFCA介绍2CFCA技术架构及PKI基本知识3CFCA的业务拓展及典型应用案例4A&QCFCA介绍CFCA背景中国金融认证中心(ChinaFinancialCertificationAuthority,英文缩写CFCA)是国内全面支持电子商务安全支付业务的国家级网上信任服务机构。作为金融界唯一的、权威的、第三方认证机构,CFCA致力于保障网上跨行支付安全,通过以数字证书为核心的信任和安全服务,实现互联网上各方身份真实性、信息保密性和完整性、网上交易行为的不可否认性,为网上银行、电子商务提供安全保障。CFCA认证体系基于双密钥机制,具有完善的证书管理功能,能够提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务,并已通过了国家信息安全产品测评认证中心的安全评测。目前CFCA已在银行、证券公司、政府机构建成覆盖全国的认证服务体系,同时针对企业、个人提供包括普通、高级、Web站点、手机证书等在内的15种证书和多种信息安全服务,以满足社会各界用户的应用需求,证书应用遍及银行、证券、税务、保险、政府机构、企业集团等金融和非金融领域。建立与建设地位与影响技术与设施证书应用关于《电子签名法》CFCA介绍建立与建设CFCA:ChinaFinancialCertificationAuthority中国金融认证中心(银联认证中心有限公司)经人民银行和国家信息安全管理机构审批成立以PKI技术为基础的信息安全服务机构通过数字证书为网上银行、电子商务等提供信息安全保障建立与建设成立背景1999人民银行联合14家全国性商业银行共同建立2000.6正式开通运行提供服务2004.3并入中国银联,独立二级法人建立与建设中国银联Chinaunionpay背景:国内80多家金融机构共同发起设立的股份制金融机构,注册资本¥16.5亿元2002.3正式成立,总部上海宗旨:建立和运营中国银行卡跨行交换网络中国的“VISA建立与建设并入银联后的CFCA业务上接受人民银行的领导和监管股东增多,名副其实的“行业共建”仍然使用CFCA金融CA等品牌名称数字证书和银行卡结合具有广阔发展空间,为CFCA的发展带来新的机遇地位与影响CFCA——金融行业统一的CA金融统一CA的模式在国际上是一种创新对亚洲和周边地区产生积极影响例如台湾的TFCA2001年联合国发展报告亚洲部分中就CFCA进行了专门的描述国家高度重视国家金融信息安全的重点基础设施国家863科技成果重点推广项目专项资金支持——国产PKI/CA系统领导机关大力支持:人民银行国家科技部国密办银监会地位与影响CFCA——国内CA领域的典范CFCA金融认证中心金融CA已是国内知名品牌资质齐备人民银行和国家信息安全管理机构审批成立获得国家信息安全产品测评认证中心的认证通过国家商密局的安审和鉴定应用广泛累计发放总量达到50万张应用范围涉及:网上银行网上证券网上税务企业集团等技术与设施通过国际招标建立领先的CA认证系统通过国家863项目建立自主产权的PKI/CA系统作为国家金融信息安全基础设施,列入国家863重点示范项目国家科技部、人民银行组织,CFCA具体实施已经通过国家科技部中期检查完成了多轮严格的压力、性能测试多个应用项目正在实施技术与设施安全设施符合国际标准的CA安全运行环境国际水准的认证大楼机房双指纹多层门禁安全区内六面体钢板焊接24小时录像监控系统等同城、异地的备份中心正在建立之中CFCA公司介绍合格的资质CFCA公司介绍作为国家级专业第三方信任机构,CFCA在力求卓越与创新的同时,以贴近客户的专业化定制服务,不断强化着她业已树立的品牌,使CFCA在所涉及的各个领域始终保持着生生不息的活力。目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证服务体系,业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业。广泛的客户群CFCA公司介绍银行-中国工商银行、中国农业银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、广东发展银行、深圳发展银行、中国民生银行、福建兴业银行、华一银行(合资银行)等12家银行B-B/B-C网上银行系统证券-港澳证券、蔚深证券、中信证券、山西证券、黄河证券、闽发证券、江门证券、湘财证券、华鑫证券、中富证券、国都证券、金信证券、兴业证券、新华证券等14家券商的网上证券交易系统;华安、华夏、国泰、长盛、中融、博时等6家开放式基金的网上数据管理系统其它金融机构-中央国债登记系统;中国银联网上差错查询系统;厦门卡中心网上认证系统;大连市信用卡中心/大连市信息产业局网上认证系统;北京票据清算中心数据管理系统;深圳金融电子结算中心网上认证系统;中国人民银行武汉分行国库系统税务-北京国税、无锡国税、大连地税(网上申报缴税系统)电子政务-人民银行天津分行金融监管;上海外汇管理局网上外汇申报系统企业集团-攀钢、鞍钢、中石油、联想、一汽、万向、用友等企业集团财务广泛的客户群几种安全措施的比较SSL安全协议用户ID+口令+SSL协议动态口令+SSL协议数字证书机制几种安全措施的比较SSL安全协议SecureSocketLayer的简称,安全套接协议保护信息交易安全的最基本措施特点:“管道式安全”管道是保密的管道是认证过的管道是可靠的SSL的遗憾:不检查客户端的身份不能保证通道转接点的安全不能保证交易不可否认性几种安全措施的比较用户ID+口令+SSL协议SSL的加强用户ID+口令来判断用户的身份缺陷用户口令容易被泄漏和攻击(弱身份鉴别),后果严重不能保证交易不可否认性几种安全措施的比较动态口令+SSL协议后台生成随机的数字通过手机或座机方式提供给用户一次性使用,降低口令遗失的可能性缺陷仍然不能解决不可否认性问题几种安全措施的比较数字证书机制SSL机制和数字证书的结合通过数字证书进行强身份鉴别登录的口令不需要在网上传输即使口令遗失,没有数字证书也是不能冒充合法身份特别的优势通过数字签名实现不可否认性签名可以长期保存,以备查找PKI的基本概念PKI的概念(PublicKeyInfrastructure)是基于非对称密码学,利用公钥证书机制来实施和提供信息安全服务的普适性基础设施非对称密码学为网上通信提供通用安全服务的基础设施PKI的主要组成证书管理机构(CA)证书公布机制或目录服务机制(LDAP)证书废止发布机制(CRL)证书注册审批机构(RA)安全应用软件证书策略(CP)与认证运作规范(CPS)PKI提供的服务认证:身份识别与鉴别,确认实体是他自己所申明的数据完整性服务:防篡改,确认没有被修改、缺损、防伪造数据保密性服务:确保数据的机密,非授权没法读出不可否认性服务:保证实体对其行为的诚实,防抵赖CA的相关概念•CA是认证中心的英文CertificationAuthority的缩写•CA是PKI的核心执行机构•CA是PKI的主要组成实体•CA由CA签发服务器、RA、LDAP等组成•为电子商务环境中各个实体颁发电子证书•负责在交易中检验和管理证书•电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构CFCA技术架构及PKI基本知识金融专网或Internet加密机加密机加密机根CA防火墙证书用户城市分行LRA受理点商业银行总行RACA服务器政策CACFCA系统体系结构示意灵活的构架PKI公共密钥基础结构是一种遵循标准的密钥管理平台,它能够为所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥和证书管理,它是信息安全技术的核心,也是电子商务的关键和基础技术。CA可以为多层或单层结构,一般包括CA中心和证书注册审批机构(RA)两大部分。CA系统:承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定,不直接面对用户RA系统:直接面向用户,负责用户身份申请审核,并向CA申请为用户转发证书;一般可以设置在直接面对最终用户的柜台、营业点、分公司等等。CA认证系统要在满足安全性、易用性、扩展性等需求的同时,从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面按严格标准制定相应的安全策略;要有专业化的技术支持力量和完善的服务系统,保证系统7X24小时高效、稳定运行。完善的PKI服务CFCA技术架构及PKI基本知识PKI完善的服务支持不可否认性双密钥对时间戳证书查询交叉认证证书的注册审批发放密钥自动更新证书废止列表查询密钥备份与恢复密钥历史记录PKI完善的服务一个典型完整的PKI是由一系列服务和组件所组成:PKI是基于公钥算法和技术,为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。---实体鉴别、数据的保密性、数据的真实性和完整性、不可否认性、证书审批发放、---密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证常用PKI名词说明1:PKI-PublicKeyInfrastructure公钥基础设施是一种遵循标准的利用公钥加密技术为电子商务提供一套安全基础平台的技术和规范。当前互联网上的安全认证解决方案广泛采用安全先进的PKI技术和规范。2:CA-CertificateAuthority证书管理和认证的机构,即认证中心3:RA-RegistrationAuthority证书注册审批机构4:数字证书-CA用其私钥进行了数字签名的包含用户身份、公开密钥、有效期等许多相关信息的权威性的电子文件,是各实体在网上的电子身份证。5:公钥/私钥-可以认为是一种加密/解密的算法凭证,公钥可以公开获得,私钥是私密的保存6:数字签名-基于数字证书的一种信息技术处理,类似与传统的手写签名保证信息的不可抵赖性常用PKI名词说明7:SSL-SecureSocketLayer安全套接字层(SSL)是一个工业标准协议,对应于七层网络模型中的会话层,它使得公开密钥技术在其中发挥了重要作用。8:SET-是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。9:对称加密算法-对称加密算法中解密和解密使用的是同一个密钥。对称密钥密码体制是从传统的简单置换、替代密码发展而来的,对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类:常用的对称加密算法有:RC4、RC2、IDEA、CAST。10:非对称加密算法-非对称加密算法又被称之为公开密钥算法,因为算法要求公开公私钥对中的公钥给他人。它要求密钥成对出现,一个为公开密钥,一个为私有密钥,而且不可能从公开密钥推导出私有密钥,用公开密钥加密的信息只能用私有密钥解密,反之亦然。除加密功能之外,公钥系统还可提供数字签名。公钥加密算法主要有:RSA、Fertezza、ECC(椭圆曲线)等。证书相关知识数字证书的概念数字证书的内容数字证书的存放方式公钥证书(数字证书)公钥证书的概念将特定实体的身份(名称及其他有关该实体的属性)与相应公钥绑定(暗含与私钥绑定)的被签名的数据文件公钥证书由CA签发证书用CA的公钥验证证书,通过证书验证,确认证书的信任关系证书可用来确定身份,传递信任关系和传送公钥数字证书的内容序列号颁发者唯一识别名有效期主体唯一识别名主体公钥密钥/证书用途扩展域CA签名数字摘要CA私钥数字签名身份证与数字证书的比较DistinguishedName:BrianLiuSerialnumber:484865Issuedby:ABCcorpCAIssuedate:19970102Expirationdate:19990102Publickey:38ighejbDigitalSignature:hefdsaf证书存放方式的介绍硬盘软盘存储卡智能卡PKI基本技术手段标