cfca技术应用介绍.ppt

CFCA技术、应用介绍,中国金融认证中心 何小航,介 绍 内 容,1 CFCA介绍 2 CFCA技术架构及PKI基本知识 3 CFCA的业务拓展及典型应用案例 4 A&Q,CFCA介绍,CFCA背景,中国金融认证中心（China Financial Certification Authority ，英文缩写CFCA）是国内全面支持电子商务安全支付业务的国家级网上信任服务机构 作为金融界唯一的、权威的、第三方认证机构，CFCA致力于保障网上跨行支付安全，通过以数字证书为核心的信任和安全服务，实现互联网上各方身份真实性、信息保密性和完整性、网上交易行为的不可否认性，为网上银行、电子商务提供安全保障CFCA认证体系基于双密钥机制，具有完善的证书管理功能，能够提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务，并已通过了国家信息安全产品测评认证中心的安全评测 目前CFCA已在银行、证券公司、政府机构建成覆盖全国的认证服务体系，同时针对企业、个人提供包括普通、高级、Web站点、证书等在内的15种证书和多种信息安全服务，以满足社会各界用户的应用需求，证书应用遍及银行、证券、税务、保险、政府机构、企业集团等金融和非金融领域。

建立与建设 地位与影响 技术与设施 证书应用 关于《电子签名法》,CFCA介绍,建立与建设,CFCA: China Financial Certification Authority 中国金融认证中心（银联认证中心有限公司） 经人民银行和国家信息安全管理机构审批成立 以PKI技术为基础的信息安全服务机构 通过数字证书为网上银行、电子商务等提供信息安全保障,建立与建设,成立背景 1999 人民银行联合14家全国性商业银行共同建立 2000.6 正式开通运行提供服务 2004.3 并入中国银联，独立二级法人,建立与建设,中国银联 China unionpay 背景：国内80多家金融机构共同发起设立的 股份制金融机构，注册资本￥16.5亿元 2002.3 正式成立，总部上海 宗旨：建立和运营中国银行卡跨行交换网络 中国的“VISA“,建立与建设,并入银联后的CFCA 业务上接受人民银行的领导和监管 股东增多，名副其实的“行业共建” 仍然使用CFCA 金融CA等品牌名称 数字证书和银行卡结合具有广阔发展空间， 为CFCA的发展带来新的机遇,地位与影响,CFCA——金融行业统一的CA 金融统一CA的模式在国际上是一种创新 对亚洲和周边地区产生积极影响 例如 台湾的TFCA 2001年联合国发展报告亚洲部分中就CFCA进行了专门的描述 国家高度重视 国家金融信息安全的重点基础设施 国家863科技成果重点推广项目专项资金支持——国产PKI/CA系统 领导机关大力支持：人民银行 国家科技部 国密办 银监会,地位与影响,CFCA——国内CA领域的典范 CFCA 金融认证中心 金融CA 已是国内知名品牌 资质齐备 人民银行和国家信息安全管理机构审批成立 获得国家信息安全产品测评认证中心的认证 通过国家商密局的安审和鉴定 应用广泛 累计发放总量达到50万张 应用范围涉及：网上银行 网上证券 网上税务 企业集团等,技术与设施,通过国际招标建立领先的CA认证系统 通过国家863项目建立自主产权的PKI/CA系统 作为国家金融信息安全基础设施，列入国家863重点示范项目 国家科技部、人民银行组织，CFCA具体实施 已经通过国家科技部中期检查 完成了多轮严格的压力、性能测试 多个应用项目正在实施,技术与设施,安全设施 符合国际标准的CA安全运行环境 国际水准的认证大楼 机房双指纹多层门禁 安全区内六面体钢板焊接 24小时录像监控系统等 同城、异地的备份中心正在建立之中,CFCA公司介绍,合格的资质,CFCA公司介绍,作为国家级专业第三方信任机构，CFCA在力求卓越与创新的同时，以贴近客户的专业化定制服务，不断强化着她业已树立的品牌，使CFCA在所涉及的各个领域始终保持着生生不息的活力。

目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证服务体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业广泛的客户群,CFCA公司介绍,银行－中国工商银行、中国农业银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、广东发展银行、深圳发展银行、中国民生银行、福建兴业银行、华一银行（合资银行）等12家银行B-B/B-C网上银行系统 证券 －港澳证券、蔚深证券、中信证券、山西证券、黄河证券、闽发证券、江门证券、湘财证券、华鑫证券、中富证券、国都证券、金信证券、兴业证券、新华证券等14家券商的网上证券交易系统；华安、华夏、国泰、长盛、中融、博时等6家开放式基金的网上数据管理系统 其它金融机构－中央国债登记系统；中国银联网上差错查询系统；厦门卡中心网上认证系统；大连市信用卡中心/大连市信息产业局网上认证系统；北京票据清算中心数据管理系统；深圳金融电子结算中心网上认证系统；中国人民银行武汉分行国库系统 税务－北京国税、无锡国税、大连地税（网上申报缴税系统） 电子政务 －人民银行天津分行金融监管；上海外汇管理局网上外汇申报系统 企业集团－攀钢、鞍钢、中石油、联想、一汽、万向、用友等企业集团财务,广泛的客户群,几种安全措施的比较,SSL安全协议 用户ID+口令＋SSL协议 动态口令＋SSL协议 数字证书机制,几种安全措施的比较,SSL安全协议 Secure Socket Layer的简称，安全套接协议 保护信息交易安全的最基本措施 特点：“管道式安全” 管道是保密的 管道是认证过的 管道是可靠的 SSL的遗憾： 不检查客户端的身份 不能保证通道转接点的安全 不能保证交易不可否认性,几种安全措施的比较,用户ID+口令＋SSL协议 SSL的加强 用户ID＋口令来判断用户的身份 缺陷 用户口令容易被泄漏和攻击（弱身份鉴别），后果严重 不能保证交易不可否认性,几种安全措施的比较,动态口令＋SSL协议 后台生成随机的数字 通过或座机方式提供给用户 一次性使用，降低口令遗失的可能性 缺陷 仍然不能解决不可否认性问题,几种安全措施的比较,数字证书机制 SSL机制和数字证书的结合 通过数字证书进行强身份鉴别 登录的口令不需要在网上传输 即使口令遗失，没有数字证书也是不能冒充合法身份 特别的优势 通过数字签名实现不可否认性 签名可以长期保存，以备查找,PKI的基本概念,PKI的概念（Public Key Infrastructure） 是基于非对称密码学，利用公钥证书机制来实施和提供信息安全服务的普适性基础设施 非对称密码学 为网上通信提供通用安全服务的基础设施,PKI的主要组成,证书管理机构（CA） 证书公布机制或目录服务机制（LDAP） 证书废止发布机制（CRL） 证书注册审批机构(RA) 安全应用软件 证书策略(CP)与认证运作规范(CPS),PKI提供的服务,认证：身份识别与鉴别，确认实体是他自己所申明的 数据完整服务：防篡改 ，确认没有被修改、缺损、防伪造 数据保密服务：确保数据的机密，非授权没法读出 不可否认服务：保证实体对其行为的诚实，防抵赖,CA的相关概念,CA是认证中心的英文Certification Authority的缩写 CA是PKI 的核心执行机构 CA是PKI的主要组成实体 CA由CA签发服务器、RA、LDAP等组成 为电子商务环境中各个实体颁发电子证书 负责在交易中检验和管理证书 电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构,CFCA技术架构及PKI基本知识,灵活的构架,PKI公共密钥基础结构是一种遵循标准的密钥管理平台，它能够为所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥和证书管理，它是信息安全技术的核心，也是电子商务的关键和基础技术。

CA可以为多层或单层结构，一般包括CA中心和证书注册审批机构（RA）两大部分 CA系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定，不直接面对用户 RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般可以设置在直接面对最终用户的柜台、营业点、分公司等等 CA认证系统要在满足安全性、易用性、扩展性等需求的同时，从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面按严格标准制定相应的安全策略；要有专业化的技术支持力量和完善的服务系统，保证系统7X24小时高效、稳定运行完善的PKI服务,CFCA技术架构及PKI基本知识,PKI完善的服务,PKI完善的服务,一个典型完整的PKI是由一系列服务和组件所组成： PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体其核心元素是数字证书，核心执行者是CA认证机构 ---实体鉴别、数据的保密性、数据的真实性和完整性、不可否认性、证书审批发放、 ---密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证,常用PKI名词说明,1：PKI－Public Key Infrastructure 公钥基础设施是一种遵循标准的利用公钥加密技术为电子商务提供一套安全基础平台的技术和规范。

当前互联网上的安全认证解决方案广泛采用安全先进的PKI技术和规范 2：CA－Certificate Authority 证书管理和认证的机构，即认证中心 3：RA－Registration Authority 证书注册审批机构 4：数字证书－CA用其私钥进行了数字签名的包含用户身份、公开密钥、有效期等许多相关信息的权威性的电子文件，是各实体在网上的电子身份证 5：公钥/私钥－可以认为是一种加密/解密的算法凭证，公钥可以公开获得，私钥是私密的保存 6：数字签名－基于数字证书的一种信息技术处理，类似与传统的手写签名保证信息的不可抵赖性,常用PKI名词说明,7：SSL－Secure Socket Layer 安全套接字层(SSL)是一个工业标准协议， 对应于七层网络模型中的会话层，它使得公开密钥技术在其中发挥了重要作用 8：SET－是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准 9：对称加密算法－对称加密算法中解密和解密使用的是同一个密钥对称密钥密码体制是从传统的简单置换、替代密码发展而来的，对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类：常用的对称加密算法有：RC4、RC2、IDEA、CAST。

10：非对称加密算法－非对称加密算法又被称之为公开密钥算法，因为算法要求公开公私钥对中的公钥给他人它要求密钥成对出现，一个为公开密钥，一个为私有密钥，而且不可能从公开密钥推导出私有密钥，用公开密钥加密的信息只能用私有密钥解密，反之亦然除加密功能之外，公钥系统还可提供数字签名公钥加密算法主要有：RSA、Fertezza、ECC(椭圆曲线)等证书相关知识,数字证书的概念 数字证书的内容 数字证书的存放方式,公钥证书（数字证书）,公钥证书的概念 将特定实体的身份（名称及其他有关该实体的属性）与相应公钥绑定（暗含与私钥绑定）的被签名的数据文件 公钥证书由CA签发 证书用CA的公钥验证证书，通过证书验证，确认证书的信任关系 证书可用来确定身份，传递信任关系和传送公钥,数字证书的内容,,身份证与数字证书的比较,,证书存放方式的介绍,硬盘 软盘 存储卡 智能卡,PKI基本技术手段,数字证书的格式（X.509v3标准）,证书版本号，用来指定证书采用的标准格式（如X.509）的版本号 证书序列号，用来指定证书的唯一序列号，标识CA（认证中心）发出的所有公钥证书序列 签名算法标识，根据现代密码学的“算法公开，密钥保密”的基本原则，这里列出该CA（认证中心）所使用的签名算。